在今年的两会上,与微信小程序有关的是外交部部长王毅表示会在两周后推出12308微信版。此后,在3与22日,“外交部12308”正式上线。而两会上另一个话题——互联网安全,也不可避免地让人联想到现在“即用即走”的微信小程序。
微信小程序不用安装,有的扫码就能用,有的要在微信中搜索进入,而这种方便快捷的使用方式是不是真的就能减少安全隐患呢?
知道创宇在两会期间义务为党政府机关和企事业单位提供“微信小程序”安全测试。其中发现某大型企业的小程序存在遍历漏洞,可导致大量平台用户信息及订单信息泄露。
经测试,小程序在获取用户订单列表时直接使用PassportId参数进行查询,未验证查询参数PassportId是否与查询人会话身份(session)匹配,这样便导致可以通过修改PassportId值的方式获得其他用户对订单列表,从而获取用户信息。
针对该问题,知道创宇建议,在获取用户数据时添加会话验证,只允许读取当前登录用户的订单信息,由此有效避免个人信息泄露。
由此可见,小程序安全问题大有可观
安全服务团队结合小程序特点对小程序做了大量分析后发现,大部分小程序的开发者可能会在小程序编写上存在SQL注入、越权访问、文件上传、CSRF信息泄露等严重安全问题,一旦这些问题爆发,对财产安全、用户信息、用户信任度等方面都会产生极其恶劣的影响。
微信小程序使用便捷的特点,是用户接受小程序的最大原因。并且,微信小程序新增的对个人开发者开放注册小程序的功能势必会让无数的开发者尝试开发小程序,而一些并不严谨的开发者如果只为图快,不考虑安全问题的话,就会导致大量的微信小程序存在各种安全隐患。所以在图方便的同时,更要注重对信息的保护,那才是真正便民的小程序。
相关文章推荐
-
小程序丨微信小程序从后面服务端获取数据失败
本人新人,刚刚上手小程序几天,希望各位大神多多指教1、后端采用的是asp.net(VB.NET),创建的是webservice,部分代码如下WebMethod()_PublicSubGetStudentEx(IDAsInteger)DimstuAsN....
-
小程序新增“社交红包”类目的通知
小程序服务类目现增加社交红包,开发者可在小程序管理后台中添加。基于保护用户资金安全的考虑,在申请社交红包类目的红包小程序时,开发者须知悉以下情况:1.所有提供含有微信用户充值红包功能的小程序,必须选...小程序服务类目现增加社交红包,开发者可在小程序....
-
2016年11月3日小程序标志性时间:开放公测不接受个人申请
2016年11月3日微信小程序标志性时间:开放公测不接受个人申请。微信小程序开放公测,开放注册范围包括企业、政府、媒体以及其他组织,个人身份不能注册。接入流程包括注册、小程序信息完善、开发小程序、提交审核和发布。完成开发后,提交代码至微信团队审核,审....
-
小程序丨编辑模式可以显示的图片,在预览的时候无法显示
这段代码在编辑模式的时候是可以显示图片的,但在真机预览的时候就无法显示,不知道是什么原因,求帮助wxml代码navigatorclass=seturl=../favorites/favoritestext设置/text/navigatorwxss代码....
-
小程序丨微信小程序有哪些?理财小程序告诉你生财有道!
“村民辛苦攒×万现金放缸中,被老鼠咬碎”“辛苦钱藏墙缝,被老鼠咬霉烂”“10元钱存了五十年,老存单利息只有9.25元”……生活中我们时不时就能看到类似的新闻,即使不是自己的钱,小编也替主人肉疼啊!回头想想,这些事都在告诉我们两件事:钱紧紧的攥在自己的....
-
小程序丨【已解决】新版工具bug
在app.json中添加页面,pages里边不自动加载新加的页面,需要手动添加网友回复:匆***:系统记录爱盈利(aiyingli.com)移动互联网最具影响力的盈利指导网站。定位于服务移动互联网创业者,移动盈利指导。我们的目标是让盈利目标清晰可见!....
