春風送暖,兩會在和煦的陽光中圓滿的落下了帷幕,隨和互聯網行業的飛速發展,今年的兩會,越來越多的新興傳播報道方式如同雨后春筍般涌現,不僅有視頻直播、VR,甚至有許多家媒體開發出自己的微信小程序,更方便的將百姓的想法帶入會場。而作為剛剛興起的微信小程序,同樣是兩會上的熱點話題。
外交部長王毅曾在今年兩會上就記者提問政府如何更好的適應新媒體時代時表示會在兩周后正式推出12308微信版的承諾。果然,3月22日,外交部與微信聯合發布“12308”微信版,其中包括經過升級的外交部微信公眾號“領事直通車”與12308小程序。
而早在今年的“3·15”晚會上,國家工商總局就宣布推出了“12315”小程序,方便消費者隨時隨地進行維權,更好更快捷的對消費者權益進行保護。
小程序越來越多的與政府攜手,無疑加強了公民與政府之間的交流,也為公民進行維權、發表建議提供了更加快捷的渠道。
而在今年的兩會期間,互聯網安全同樣也是一項備受關注的熱點話題。習總書記表示加強大數據環境下個人信息安全保護是當前亟待解決的重要課題。所以,這不經引起了我們的深思,我們正在使用的小程序,真的安全么?
為了貢獻一己之力,知道創宇在兩會期間義務為黨政府機關和企事業單位提供“微信小程序”安全測試。其中發現某大型企業的小程序存在遍歷漏洞,可導致大量平臺用戶信息及訂單信息泄露。
經測試,小程序在獲取用戶訂單列表時直接使用PassportId參數進行查詢,未驗證查詢參數PassportId是否與查詢人會話身份(session)匹配,這樣便導致可以通過修改PassportId值的方式獲得其他用戶對訂單列表,從而獲取用戶信息。
針對該問題,知道創宇建議,在獲取用戶數據時添加會話驗證,只允許讀取當前登錄用戶的訂單信息,由此有效避免個人信息泄露。
由此可見,小程序安全問題大有可觀。
創宇小伙伴分析小程序中
安全服務團隊結合小程序特點對小程序做了大量分析后發現,大部分小程序的開發者可能會在小程序編寫上存在SQL注入、越權訪問、文件上傳、CSRF信息泄露等嚴重安全問題,一旦這些問題爆發,對財產安全、用戶信息、用戶信任度等方面都會產生極其惡劣的影響。
使用小程序,是為了讓我們更方便快捷的服務于我們的生活。但是由此可能引發的信息竊取、數據篡改、惡意植入、用戶仿冒、獲取未授權資源、控制應用軟件和服務器等問題都不是我們想看到的。當然,互聯網的發展伴隨著或多或少的問題這是無可厚非的,這就要求每位互聯網從業者為互聯網安全添磚加瓦。
創宇安服部成員合影
知道創宇身為互聯網安全的領軍者,其“安應用”團隊更是業內第一個專業“微信小程序”安全測試團隊,我們能做的就是身先士卒,用最專業的技術,最有針對性的方法維護著互聯網的安全。企業目標和社會責任的結合是我們的夙愿。俠之大者,為國為民,專注維護互聯網安全,我們從“小”做起。
