在今年的两会上,与微信小程序有关的是外交部部长王毅表示会在两周后推出12308微信版。此后,在3与22日,“外交部12308”正式上线。而两会上另一个话题——互联网安全,也不可避免地让人联想到现在“即用即走”的微信小程序。
微信小程序不用安装,有的扫码就能用,有的要在微信中搜索进入,而这种方便快捷的使用方式是不是真的就能减少安全隐患呢?
知道创宇在两会期间义务为党政府机关和企事业单位提供“微信小程序”安全测试。其中发现某大型企业的小程序存在遍历漏洞,可导致大量平台用户信息及订单信息泄露。
经测试,小程序在获取用户订单列表时直接使用PassportId参数进行查询,未验证查询参数PassportId是否与查询人会话身份(session)匹配,这样便导致可以通过修改PassportId值的方式获得其他用户对订单列表,从而获取用户信息。
针对该问题,知道创宇建议,在获取用户数据时添加会话验证,只允许读取当前登录用户的订单信息,由此有效避免个人信息泄露。
由此可见,小程序安全问题大有可观
安全服务团队结合小程序特点对小程序做了大量分析后发现,大部分小程序的开发者可能会在小程序编写上存在SQL注入、越权访问、文件上传、CSRF信息泄露等严重安全问题,一旦这些问题爆发,对财产安全、用户信息、用户信任度等方面都会产生极其恶劣的影响。
微信小程序使用便捷的特点,是用户接受小程序的最大原因。并且,微信小程序新增的对个人开发者开放注册小程序的功能势必会让无数的开发者尝试开发小程序,而一些并不严谨的开发者如果只为图快,不考虑安全问题的话,就会导致大量的微信小程序存在各种安全隐患。所以在图方便的同时,更要注重对信息的保护,那才是真正便民的小程序。
相关文章推荐
-
小程序丨微信公众平台后台之前有一个每周开发者问题反馈的汇总的页面,为何现在找不到那个页面 ...
如标题所示,微信的同志们,可否帮助一下网友回复:枫***:里面很多经典问题的回答,以及一些小程序不能实现一些功能,能否告知界面哪去了,林***:可以通过社区的搜索来找到大部分问题之前的FAQ效率不是太好枫***:社区给人的感觉不官方,我觉得还是有一个....
-
小程序丨发送模板消息
强烈建议微信能开放模板消息相互发送。目前模板消息只能自己发给自己,不能发送到其他微信,微信的解释是:为了防止骚扰。其实可以在小程序中设置一个消息接收开关,不想被骚扰,就关掉消息功能。网友回复:C***:系统记录S***:这样增加了一步用户操作,虽然只....
-
小程序丨微信小程序的下一个新能力是什么?重点依然在应用场景
微信自上线以来,已经推了四十多个能力。俗话说:得能力者得天下,这几天第九程序就发现附近的小程序已经开始爆发了。除了相关能力以外,有的微信功能也与小程序打通了。比起那些刚刚上线的能力,用户显然对微信功能更加熟门熟路,扫一扫、摇一摇、微信支付、微信运动…....
-
小程序丨小程序这一年:1.7亿日活、上线58万个
1月15日,2018微信公开课PRO版微信公开课现场,小程序发布重磅数据:日活跃用户数1.7亿、已上线小程序58万个,覆盖100万开发者、2300个第三方平台。微信开放平台基础部副总经理胡仁杰全面回顾了小程序上线一年。1.7亿日活,一二三四线城市全覆....
-
小程序丨scroll-view 不能被上层view屏蔽掉,被滚动
当应用里,较低层(比如z-index为0)用到scroll-view时,如果页面高层级(z-index0)做了半透明或透明遮罩时,在遮罩中滑动手指,z轴一旦重叠,低层级里的scroll-view会被滚动。怎样才能让scroll-view不被滚动?网友....
-
小程序丨【已解决】急急急!小程序审核问题
(adsbygoogle=window.adsbygoogle||[]).push({});急急急,[HTML51]怎么在小程序里获取二维码的相关信息+小程序开发教程...。小程序已提交审核,请尽快审核处理一下,想要元旦时候借助小程序做活动,同时也是....
