微信小程序已经刷【shuā】爆朋友圈,当然,有些时候,关【guān】于互联网的安全总是走在前线,那么【me】微信小程序有漏洞吗【ma】?信小程序【xù】会成为黑客盗红包的通道【dào】吗?文中小编将会为大家带来解答。
为了搞清这个问题,咨询了几位黑客大牛,整理回答如下:
1、从App到小程序,有一些漏洞会一直存在吧?
小程【chéng】序改变了业务前端实现的形【xíng】式,但是基本的【de】业务没有变化。所以对于小程序服务商而言,有【yǒu】两方面风险依然存在:
Web接口的漏洞【dòng】。例如xss、csrf、各类越权等【děng】等【děng】。这类是服务构架本身的漏洞。
业【yè】务功能的逻辑漏洞。例如:订【dìng】单额任意修改【gǎi】,验【yàn】证码回传、找回密码设计缺陷等等。这些也是后端服务本【běn】身的漏洞。
2、小程序堵上了哪些漏洞的可能?
传统的App客户端【duān】,由于代码比【bǐ】较复杂【zá】,体系比较大,经常存在很多漏洞。现在,由微信提供接口,服务商只需要调用微信的接口就可以实现服【fú】务【wù】功能。这使得以前针【zhēn】对App客户端的攻击行为失去了【le】对象。
小程序跑在微信中,以前【qián】人们关心【xīn】App客户端手否存在漏洞,现在人们【men】需要关心微信是否安【ān】全了。
举个例子。
App客户端会直接调用系【xì】统服务,所以漏洞【dòng】很多跟系统版本相关,比如Android的webview漏【lòu】洞,uxss漏洞等。
以【yǐ】Android为例,微信自己使用的是修改了Chrome内核【hé】的【de】X5内核,修复了【le】webview远程代【dài】码执行漏洞,所以即使在低版本的Android系统上也不用考虑这个漏洞的【de】影响。
3、那么对于【yú】腾讯自己的X5内核,如果爆出了【le】新【xīn】的漏洞,是否会影响小程序呢?
没错。理论上说,小程序【xù】的漏洞应【yīng】该会受微信客户端本身的影响,比如出现了一个x5内核新【xīn】的uxss漏洞,有可能就能造成这些应用【yòng】的敏感信【xìn】息泄露。
4、是否可以完整科普一下微信小程序的安全结构呢?
微信小程序是一种插件。
插件框架的基本特点是:基础程序(微信)提供服务给【gěi】插件(小程序【xù】)。
在Android上,小程序使用X5内核接口;
而在iOS上,小程序使用的是JS Core接口。
接下来我们以iOS为例进行解释。
微信是通【tōng】过将一些服务(比如:绘图等)通过JS接口暴露给小程序。
我理解的安全模【mó】型是:小程序环境--->微信【xìn】环境--->系【xì】统环境。
5、那么,对于微信小程序来说,存在哪些安全风险呢?
由于微信主程序【xù】会通过JS接口向小程序暴露规定的服务。如果小程序可以获取到规定【dìng】服务【wù】外的信息(比如:用户【hù】的钱余额等)即是信【xìn】息泄露。
总之,可以将微信理解成浏览器,将小程序理解成网页。如果执行小程序可以在微信中执行任意代码【mǎ】,就是传统意义上的远【yuǎn】程代【dài】码执行。
例如:
1)攻击微信。理论上来说,如果可以突破小程序【xù】的执行【háng】环境【jìng】(JS),在微信主程序中获得代【dài】码执行,就成【chéng】功制造了代【dài】码执行的漏洞,如:执行一个小程序,就【jiù】可以往任意群中发红包。
【通过拿到微信主程序代码权限而攻击红包功能】
2)实现小程序之间的【de】跨站攻击。可能还存在一【yī】些其他类【lèi】型的漏洞,实现跨站攻击。例如从【cóng】一个小程序访问了其他小程序的数据。
【通过拿到微信主程序代码权限而攻击红包功能】
2)实【shí】现小程【chéng】序之【zhī】间的跨站攻击。可能还存在一【yī】些其他类型的漏洞,实现跨站攻击。例如从一个小程序访问了其他小【xiǎo】程序的数据。
6、以上的这些攻击方法【fǎ】,出现的可【kě】能性有多【duō】大呢?以上所说的【de】攻击可能需要极强的【de】攻击能力。但是真实的场景下【xià】,可能很多攻击都来【lái】自脚本小子。攻击效果不一定会到如上所说的那么严重,估计大多数也就是获取一些信息。
7、预计微信会【huì】做哪【nǎ】些措施来对抗可能【néng】存在的【de】威胁呢?所有微【wēi】信小程序一定会接受微信的审核。理论上恶意小程序是不会被上架的。
当然,苹果也不会允许恶【è】意程序【xù】上架,但是还有有人成功把Pangu 9.3的越狱程序成【chéng】功上传到AppStore,虽然很快就下架了。这里的问题是【shì】,微信可能无【wú】法自动检测出某些恶【è】意【yì】程序,或者审核人员的专业背景可【kě】能没有那么强。
基本的【de】攻【gōng】击路径是:攻击了小程序后,然后通过小程序实现方面的漏洞进而攻击微信【xìn】。所以按道理,微信应该为小程序创建一个沙盒环【huán】境,不知道微信是否这样做【zuò】。
目前看来,没这个必要。
根据以往的经验,腾讯在【zài】自身产品的安全性上,会投入巨大的精力。而对于皇冠【guàn】级产品微信,相信【xìn】腾讯【xùn】更是不敢有【yǒu】丝毫疏【shū】漏。就在小程序退出的当天,TSRC(腾讯安全应【yīng】急响应中心)也发布了英雄帖《微信小程序如【rú】约而至,安全需要你的守护》,宣布即日起到9-20,“重金”收集有关微信小程序的漏洞和威胁情报。
2024-9-20 / 14.7M
2024-9-20 / 18.0M
2024-9-20 / 27.1M
2024-9-20 / 17.8M
2024-9-20 / 45.2M
2024-9-20 / 50.6M