微信小程序,安全性有多高?黑客能盗走你的红包吗
“本文转自雷锋网,原文标题: 《八问:通过微信小程序,黑客有可能盗走你的红包吗? | 宅客频道》作者:史中,文章转载已获授权。”
原文链接地址: http://www.leiphone.com/news/201701/fXJsV1r3DzVCzCIX.html
今天,微信小程序员上线了。在分享黑客是否盗走您的红包之前,小编先给大家科普一下如何使用微信程序。
1、升级你的微信到最新的6.5.3版本。
2、在微信的第一个页面顶端,有一个搜索条,在搜索条里输入:小程序示例 然后搜索。点最下面的:搜一搜 小程序示例 朋友圈、公众号、文章等。
3、选择第一个结果,图标是黑色斜写的英文字母“S”,点开它
4、看到这个页面的时候,你就已经激活了小程序。不需要做任何额外的操作。
5、退出上面这个页面,点开你的微信第三页面“发现”。当当当当!最下面就出现了小程序的入口!
说到小程序,悬镜小编也不得不提一下安全性,特别是红包安全。黑客会不会盗取我的银行卡金额呀等的问题。
微信小程序和街边大保健有不少共同点。
用完就走,
需要再来。
新面孔常有,
来去无痕迹。
总之,服务还是那些服务,只不过更加轻量,自由。这些细微而坚定的进步,也许能让你更加欲罢不能。
今天早晨,微信小程序正式刷爆了朋友圈。作为中国吃瓜群众的老朋友,雷锋网(公众号:雷锋网)宅客频道本着看热闹不怕事大的原则,决定探寻一个重要的问题:
黑客有没有可能通过微信小程序的漏洞,偷偷地用你的微信给他发一个大红包?
为了搞清这个问题,雷锋网宅客频道咨询了几位黑客大牛,整理回答如下:
1、从 App 到小程序,有一些漏洞会一直存在吧?
小程序改变了业务前端实现的形式,但是基本的业务没有变化。所以对于小程序服务商而言,有两方面风险依然存在:
Web接口的漏洞。例如 xss、csrf、各类越权等等。这类是服务构架本身的漏洞。
业务功能的逻辑漏洞。例如:订单额任意修改,验证码回传、找回密码设计缺陷等等。这些也是后端服务本身的漏洞。
2、小程序堵上了哪些漏洞的可能?
传统的 App 客户端,由于代码比较复杂,体系比较大,经常存在很多漏洞。现在,由微信提供接口,服务商只需要调用微信的接口就可以实现服务功能。这使得以前针对 App 客户端的攻击行为失去了对象。
小程序跑在微信中,以前人们关心 App 客户端手否存在漏洞,现在人们需要关心微信是否安全了。
【小程序和微信的关系,类似于 App 和系统的关系】
举个栗子。
App 客户端会直接调用系统服务,所以漏洞很多跟系统版本相关,比如 Android 的 webview 漏洞,uxss 漏洞等。
以 Android 为例,微信自己使用的是修改了 Chrome 内核的 X5 内核,修复了 webview 远程代码执行漏洞,所以即使在低版本的 Android 系统上也不用考虑这个漏洞的影响。
3、那么对于腾讯自己的 X5 内核,如果爆出了新的漏洞,是否会影响小程序呢?
没错。理论上说,小程序的漏洞应该会受微信客户端本身的影响,比如出现了一个x5内核新的 uxss 漏洞,有可能就能造成这些应用的敏感信息泄露。
4、是否可以完整科普一下微信小程序的安全结构呢?
微信小程序是一种插件。
插件框架的基本特点是:基础程序(微信)提供服务给插件(小程序)。
在 Android 上,小程序使用 X5 内核接口;
而在 iOS 上,小程序使用的是 JS Core 接口。
接下来我们以 iOS 为例进行解释。
微信是通过将一些服务(比如:绘图等)通过 JS 接口暴露给小程序。
我理解的安全模型是:小程序环境--->微信环境--->系统环境。
【小程序安全模型:小程序环境--->微信环境--->系统环境】
5、那么,对于微信小程序来说,存在哪些安全风险呢?
由于微信主程序会通过 JS 接口向小程序暴露规定的服务。如果小程序可以获取到规定服务外的信息(比如:用户的钱余额等)即是信息泄露。
总之,可以将微信理解成浏览器,将小程序理解成网页。如果执行小程序可以在微信中执行任意代码,就是传统意义上的远程代码执行。
例如:
1)攻击微信。
理论上来说,如果可以突破小程序的执行环境(JS),在微信主程序中获得代码执行,就成功制造了代码执行的漏洞,如:执行一个小程序,就可以往任意群中发红包。
【通过拿到微信主程序代码权限而攻击红包功能】
2)实现小程序之间的跨站攻击。
可能还存在一些其他类型的漏洞,实现跨站攻击。例如从一个小程序访问了其他小程序的数据。
【小程序之间的“跨站攻击”】
当然 iOS 与 Android 实现可能还会有区别,攻击面可能也有差别。
3)攻击操作系统。
由于安全环境框架:小程序环境--->微信环境--->系统环境。所以理论上存在着这种可能:
结合系统漏洞,也许可以用一个恶意的小程序就实现了越狱,不需要用户装一个应用。(当然,用小程序越狱,可能很少人会这样做。)
【脑洞:通过小程序,一步步占领系统控制权】
6、以上的这些攻击方法,出现的可能性有多大呢?
以上所说的攻击可能需要极强的攻击能力。但是真实的场景下,可能很多攻击都来自脚本小子。攻击效果不一定会到如上所说的那么严重,估计大多数也就是获取一些信息。
7、预计微信会做哪些措施来对抗可能存在的威胁呢?
所有微信小程序一定会接受微信的审核。理论上恶意小程序是不会被上架的。
当然,苹果也不会允许恶意程序上架,但是还有有人成功把 Pangu 9.3 的越狱程序成功上传到 AppStore,虽然很快就下架了。这里的问题是,微信可能无法自动检测出某些恶意程序,或者审核人员的专业背景可能没有那么强。
基本的攻击路径是:攻击了小程序后,然后通过小程序实现方面的漏洞进而攻击微信。所以按道理,微信应该为小程序创建一个沙盒环境,不知道微信是否这样做。
8、所以,我们需要担心黑客通过微信小程序盗走我的红包吗?
目前看来,没这个必要。
根据以往的经验,腾讯在自身产品的安全性上,会投入巨大的精力。而对于皇冠级产品微信,相信腾讯更是不敢有丝毫疏漏。
就在小程序退出的当天,TSRC(腾讯安全应急响应中心)也发布了英雄帖《微信小程序如约而至,安全需要你的守护》,宣布即日起到2017年1月20日,“重金”收集有关微信小程序的漏洞和威胁情报。
【来自 TSRC 的“英雄帖”】
雷锋网宅客频道联系了 TSRC 的掌门人 Flyh4t,他表示暂时还没有更多的消息可以透露。
随着小程序的普及应用,你可以脑补安全研究员和黑产们围绕着小程序展开了新一波的赛跑。如果小程序果真存在致命漏洞的话,也希望安全研究员能够领先黑产发现它们。
最后,祝你像享受大保健一样享受小程序,注意安全第一。
雷锋原创文章,未经授权禁止转载。详情见转载须知
@悬镜安全,悬镜是一款免费Linux服务器安全软件,拥有风险诊断、网站防护、服务器加固、安全运维、云监控、Webshell查杀等功能.网站安全、服务器安全,首选悬镜!
微信小程序,安全性有多高?黑客能盗走你的红包吗相关推荐
- 解决微信小程序textarea层级太高遮挡其他组件的问题
解决微信小程序textarea层级太高遮挡其他组件的问题 参考文章: (1)解决微信小程序textarea层级太高遮挡其他组件的问题 (2)https://www.cnblogs.com/pansid ...
- 微信小程序echarts层级太高
项目中因为需求,底部的tab导航栏是自己写的,在开发者工具中一切正常:但是在真机上页面滑动时,echarts的层级比tab高,调过两者的z-index后仍然如此. 经过查找后发现cover-view和 ...
- 视频教程-微信小程序项目实战:高仿iOS计算器-微信开发
微信小程序项目实战:高仿iOS计算器 东北大学计算机专业硕士研究生,欧瑞科技创始人&CEO,曾任国内著名软件公司项目经理,畅销书作者,企业IT内训讲师,CSDN学院专家讲师,制作视频课程超过1 ...
- uniapp微信小程序获取屏幕宽高
uniapp开发微信小程序的时候,有时候去调整样式 你需要适配各种手机屏幕,使用,你的样式宽高就不能使用rpx 有的朋友觉得可以使用vw vh % 是的,当然可以 但是要让你的元素,宽高,比如 ...
- uniapp微信小程序怎样获取宽高?获取系统信息?微信小程序 获取用户手机屏幕高度与宽度信息等
第一种方案(推荐) "vw" = "view width" "vh" = "view height" 使用 CSS3 引 ...
- 微信小程序swiper组件宽高自适应方法
微信小程序开发交流qq群 173683895 承接微信小程序开发.扫码加微信. 正文: 我把 swiper 的 width 设定成了屏幕的95%宽度, 如果想宽度也自适应的话请改成 wid ...
- input层级高 小程序_微信小程序textarea层级过高(盖住其他元素)问题的解决办法...
1.首先,textarea为微信小程序原生组件,其层级是最高的,所以页面中的其他组件无论设置 z-index 为多少,都无法盖在原生组件上. 2.解决方法: 方法一:可通过官方提供的标签嵌套view或 ...
- 微信小程序-获取设备宽高
前言 在开发页面的过程中,有些元素或图片内容的宽高不能写死,否则换台设备可能页面就会导致页面乱了特别难看,于是就打算获取设备屏幕的宽高,用获取的数值给元素的宽高赋值,这样哪怕换了设备页面也能正常显示 ...
- 微信小程序 三级分类(高仿淘宝页面分类)
** 三级分类(高仿淘宝页面分类) ** 初步的二级页面参考的这个文章的代码:https://blog.csdn.net/luowei85520/article/details/90510311 这个 ...
- Android 获取微信ua,微信小程序实现获取用户高清头像
const app = getApp(); Page({ /** * 页面的初始数据 */ data: { imageUrl: null, userInfo: {}, hasUserInfo: fal ...
最新文章
- hookup_2.10-0.2.3.jar包下载
- SpringBoot 2.0 系列001 -- 入门介绍以及相关概念
- 买了一本老镇的swift语言实战晋级
- PHP 计算每个月的最后一天
- java web 刷新_Java Web项目的保存和刷新
- 单元测试工具 Numega
- 推陈出新:12C 推进 SCN 新方法实践
- tortoisegit 代码的回滚方式 --两种
- 【移入移出事件练习】【菜单】【选项卡】 -------this使用
- linux 命令 下载 sz,linux - rz/sz 命令上传下载
- 塔式太阳能热发电技术在我国发展现状与前景分析
- Revisiting Time Series Outlier Detection: Definitions and Benchmarks
- 技巧:如何提高git下载速度
- isolate两三事
- win7开不了机按f8修复计算机没反应,win7开不了机按f8没用怎么办
- 闲鱼怎么引流到淘宝客?吸引住大量的粉丝
- STC8H开发(十五): GPIO驱动Ci24R1无线模块
- OR值的意义和计算公式,和95% CI
- oracle 不等于但包含空,sql语句不等于null
- 培养你的逻辑思维能力
热门文章
- 【DJI Mobile SDK】RTMP 推流卡顿问题
- 20179311《网络攻防实践》第二周作业
- 该不该放弃嵌入式,单片机这条路?(答主梦人亦冷:我与嵌入式软件开发爱恨交织7年)
- 【JavaScript】------- JavaScript 文件大小转换,字节转换成K、M、G、T 单位
- 【项目】Python人脸识别(GUI界面)—— 基于pyopencv
- 【BMT】MTK电池充电问题
- 【JavaScript】------- Web前端研发工程师编程能力飞升之路
- 小程序分享到朋友圈图片绘制 Painter
- 【Redis】Redis 分布式锁误删问题
- 大数据画像:85%在线学习者“知道但不了解人工智能”,更多人对AI普及应用存顾虑