在今年的两会上,与微信小程序有关的是外交部部长王毅表示会在两周后推出12308微信版。此后,在3与22日,“外交部12308”正式上线。而两会上另一个话题——互联网安全,也不可避免地让人联想到现在“即用即走”的微信小程序。
微信小程序不用安装,有的扫码就能用,有的要在微信中搜索进入,而这种方便快捷的使用方式是不是真的就能减少安全隐患呢?
知道创宇在两会期间义务为党政府机关和企事业单位提供“微信小程序”安全测试。其中发现某大型企业的小程序存在遍历漏洞,可导致大量平台用户信息及订单信息泄露。
经测试,小程序在获取用户订单列表时直接使用PassportId参数进行查询,未验证查询参数PassportId是否与查询人会话身份(session)匹配,这样便导致可以通过修改PassportId值的方式获得其他用户对订单列表,从而获取用户信息。
针对该问题,知道创宇建议,在获取用户数据时添加会话验证,只允许读取当前登录用户的订单信息,由此有效避免个人信息泄露。
由此可见,小程序安全问题大有可观
安全服务团队结合小程序特点对小程序做了大量分析后发现,大部分小程序的开发者可能会在小程序编写上存在SQL注入、越权访问、文件上传、CSRF信息泄露等严重安全问题,一旦这些问题爆发,对财产安全、用户信息、用户信任度等方面都会产生极其恶劣的影响。
微信小程序使用便捷的特点,是用户接受小程序的最大原因。并且,微信小程序新增的对个人开发者开放注册小程序的功能势必会让无数的开发者尝试开发小程序,而一些并不严谨的开发者如果只为图快,不考虑安全问题的话,就会导致大量的微信小程序存在各种安全隐患。所以在图方便的同时,更要注重对信息的保护,那才是真正便民的小程序。
相关文章推荐
-
小程序丨【已解决】微信展示附近功能,总是被其它号占用地点,申斥没用,怎么解决 ... ...
微信展示附近功能,总是被其它号占用地点,申斥没用,怎么解决根据这个提示,我到附近搜索并没有搜索到此程序,附近也没有,系统偏偏这样提示网友回复:B***:你好,后台查看到该小程序“南华华恒传媒”的账号主体公司是南华县华恒传媒广告有限责任公司,请商户核实....
-
小程序丨小程序里面的数据缓存是不是等效于cookie,向服务器发送请求的时候会传过去吗 ... ...
cookie可以在服务器端设置和读取,小程序的Storage也可以吗?还是必须用js读取然后传递过去?网友回复:林***:还是必须用js读取然后传递过去林***:必须用js读取然后传递过去爱盈利(aiyingli.com)移动互联网最具影响力的盈利指....
-
小程序丨为什么线下商家一定要开发微信小程序?
“”小程序和农业部“全国农民手机技能培训”小程序依次低调上线其实,不仅是政府的行为,还有其他几个因素可以表明,小程序对商家的好处不是一般的多。首先,微信据行业人士分析透露,目前微信小程序用户留存很高,数据整体是向上的趋势。微信小程序因使用便捷,而致使....
-
小程序丨公众号后台要合并「附近的小程序」功能了/美团发布「小区守卫」想假扮送餐员没戏/免费共享房间24小时亮灯
「附近的小程序」功能将合并到「门店小程序」页面内以往,我们可以从公众号后台「小程序」—「展示场景」里设置展示的小程序,现在,打开公众号后台「小程序」—「展示场景」,出现了这样的提示:公众账号后台的“附近的小程序”功能即将合并到“门店小程序”页面内,不....
-
小程序丨【已解决】小程序审核总提示:不能以Demo形式提交##小程序开发 ... ...
微信小程序开发完提交审核后,[HTML51]小程序审核被拒,原因如下:+小程序开发。一直出现,是什么原因呢:1:小程序功能不符合规则:(1):小程序所实际提供的服务和内容,必须是正式的,不能以Demo形式提交。--------------------....
-
小程序丨【已解决】新手提问 高手勿喷
刚注册了一个小程序关联了公众号然后想找到太阳码...就手残解绑了怎么找到APPID啊?注册APPID额邮箱账号密码都记得网友回复:C***:用邮箱登陆进去看爱盈利(aiyingli.com)移动互联网最具影响力的盈利指导网站。定位于服务移动互联网创业....
