春風(fēng)送暖,兩會(huì)在和煦的陽(yáng)光中圓滿的落下了帷幕,隨和互聯(lián)網(wǎng)行業(yè)的飛速發(fā)展,今年的兩會(huì),越來(lái)越多的新興傳播報(bào)道方式如同雨后春筍般涌現(xiàn),不僅有視頻直播、VR,甚至有許多家媒體開(kāi)發(fā)出自己的微信小程序,更方便的將百姓的想法帶入會(huì)場(chǎng)。而作為剛剛興起的微信小程序,同樣是兩會(huì)上的熱點(diǎn)話題。
外交部長(zhǎng)王毅曾在今年兩會(huì)上就記者提問(wèn)政府如何更好的適應(yīng)新媒體時(shí)代時(shí)表示會(huì)在兩周后正式推出12308微信版的承諾。果然,3月22日,外交部與微信聯(lián)合發(fā)布“12308”微信版,其中包括經(jīng)過(guò)升級(jí)的外交部微信公眾號(hào)“領(lǐng)事直通車”與12308小程序。
而早在今年的“3·15”晚會(huì)上,國(guó)家工商總局就宣布推出了“12315”小程序,方便消費(fèi)者隨時(shí)隨地進(jìn)行維權(quán),更好更快捷的對(duì)消費(fèi)者權(quán)益進(jìn)行保護(hù)。
小程序越來(lái)越多的與政府?dāng)y手,無(wú)疑加強(qiáng)了公民與政府之間的交流,也為公民進(jìn)行維權(quán)、發(fā)表建議提供了更加快捷的渠道。
而在今年的兩會(huì)期間,互聯(lián)網(wǎng)安全同樣也是一項(xiàng)備受關(guān)注的熱點(diǎn)話題。習(xí)總書記表示加強(qiáng)大數(shù)據(jù)環(huán)境下個(gè)人信息安全保護(hù)是當(dāng)前亟待解決的重要課題。所以,這不經(jīng)引起了我們的深思,我們正在使用的小程序,真的安全么?
為了貢獻(xiàn)一己之力,知道創(chuàng)宇在兩會(huì)期間義務(wù)為黨政府機(jī)關(guān)和企事業(yè)單位提供“微信小程序”安全測(cè)試。其中發(fā)現(xiàn)某大型企業(yè)的小程序存在遍歷漏洞,可導(dǎo)致大量平臺(tái)用戶信息及訂單信息泄露。
經(jīng)測(cè)試,小程序在獲取用戶訂單列表時(shí)直接使用PassportId參數(shù)進(jìn)行查詢,未驗(yàn)證查詢參數(shù)PassportId是否與查詢?nèi)藭?huì)話身份(session)匹配,這樣便導(dǎo)致可以通過(guò)修改PassportId值的方式獲得其他用戶對(duì)訂單列表,從而獲取用戶信息。
針對(duì)該問(wèn)題,知道創(chuàng)宇建議,在獲取用戶數(shù)據(jù)時(shí)添加會(huì)話驗(yàn)證,只允許讀取當(dāng)前登錄用戶的訂單信息,由此有效避免個(gè)人信息泄露。
由此可見(jiàn),小程序安全問(wèn)題大有可觀。
創(chuàng)宇小伙伴分析小程序中
安全服務(wù)團(tuán)隊(duì)結(jié)合小程序特點(diǎn)對(duì)小程序做了大量分析后發(fā)現(xiàn),大部分小程序的開(kāi)發(fā)者可能會(huì)在小程序編寫上存在SQL注入、越權(quán)訪問(wèn)、文件上傳、CSRF信息泄露等嚴(yán)重安全問(wèn)題,一旦這些問(wèn)題爆發(fā),對(duì)財(cái)產(chǎn)安全、用戶信息、用戶信任度等方面都會(huì)產(chǎn)生極其惡劣的影響。
使用小程序,是為了讓我們更方便快捷的服務(wù)于我們的生活。但是由此可能引發(fā)的信息竊取、數(shù)據(jù)篡改、惡意植入、用戶仿冒、獲取未授權(quán)資源、控制應(yīng)用軟件和服務(wù)器等問(wèn)題都不是我們想看到的。當(dāng)然,互聯(lián)網(wǎng)的發(fā)展伴隨著或多或少的問(wèn)題這是無(wú)可厚非的,這就要求每位互聯(lián)網(wǎng)從業(yè)者為互聯(lián)網(wǎng)安全添磚加瓦。
創(chuàng)宇安服部成員合影
知道創(chuàng)宇身為互聯(lián)網(wǎng)安全的領(lǐng)軍者,其“安應(yīng)用”團(tuán)隊(duì)更是業(yè)內(nèi)第一個(gè)專業(yè)“微信小程序”安全測(cè)試團(tuán)隊(duì),我們能做的就是身先士卒,用最專業(yè)的技術(shù),最有針對(duì)性的方法維護(hù)著互聯(lián)網(wǎng)的安全。企業(yè)目標(biāo)和社會(huì)責(zé)任的結(jié)合是我們的夙愿。俠之大者,為國(guó)為民,專注維護(hù)互聯(lián)網(wǎng)安全,我們從“小”做起。
