我經(jīng)常聽到很多朋友問微信是否安全��,他們會遇到什么樣的攻擊���,是否有漏洞。事實(shí)上�����,這些問題在我們的日常生活中仍然很普遍�����。今天我們將為大家仔細(xì)介紹它們���,希望能幫助更多的朋友解決這個問題。
微信小程序安全嗎�����?
1.從應(yīng)用到小應(yīng)用,總會有漏洞嗎�?
小程序改變了業(yè)務(wù)前端實(shí)現(xiàn)的形式,但是基本的業(yè)務(wù)沒有變化�����。所以對于小程序服務(wù)商而言����,有兩方面風(fēng)險依然存在:小項(xiàng)目改變了業(yè)務(wù)前端實(shí)現(xiàn)的形式,但基本業(yè)務(wù)沒有改變�����。因此�����,對于小型程序服務(wù)提供商來說���,仍然存在兩種風(fēng)險:
Web界面漏洞�。例如xss�����、csrf、各種越權(quán)等��。這種漏洞就是服務(wù)架構(gòu)本身�����。
商業(yè)功能中的邏輯漏洞��。例如�,訂單數(shù)量可以任意修改,驗(yàn)證碼可以返回����,密碼的設(shè)計(jì)缺陷可以被發(fā)現(xiàn)。這些也是后端服務(wù)本身的漏洞����。
2.小應(yīng)用程序堵塞了哪些漏洞�����?
微信小程序安全嗎��?傳統(tǒng)應(yīng)用程序 由于其復(fù)雜的代碼和龐大的系統(tǒng),客戶經(jīng)常有許多漏洞�。目前,微信提供了一個界面��,服務(wù)提供商只需調(diào)用微信的界面即可實(shí)現(xiàn)服務(wù)功能��。這使得以前對應(yīng)用 客戶端的攻擊失去了目標(biāo)�����。
微信上運(yùn)行的小程序�。以前,人們擔(dān)心應(yīng)用程序客戶端是否有漏洞?,F(xiàn)在,人們需要關(guān)注微信小程序的安全性嗎:�����。
拿一顆栗子���。
應(yīng)用客戶端直接調(diào)用系統(tǒng)服務(wù)�����,所以許多漏洞都與系統(tǒng)版本相關(guān)�,例如安卓網(wǎng)絡(luò)視圖漏洞和uxs漏洞。
以安卓為例�,微信本身使用修改了Chrome內(nèi)核的X5內(nèi)核來修復(fù)webview遠(yuǎn)程代碼執(zhí)行漏洞,所以即使在 安卓系統(tǒng)的較低版本上�,也不需要考慮這個漏洞的影響。
3.那么�,關(guān)于騰訊自己的X5內(nèi)核,如果發(fā)現(xiàn)新的漏洞��,它們會影響小程序嗎�?
沒錯。理論上����,小程序的脆弱性應(yīng)該受到微信客戶端本身的影響。例如�����,x5內(nèi)核的新uxs漏洞可能會導(dǎo)致這些應(yīng)用程序的敏感信息泄露���。
4.我們能完全理解微信小程序的安全結(jié)構(gòu)嗎���?
微信小程序是一個插件。
插件框架的基本特征是基本程序(微信)為插件(applets)提供服務(wù)����。
在安卓系統(tǒng)上,小程序使用X5內(nèi)核接口����;
在iOS上,小程序使用JS核心接口�����。
接下來���,讓我們以iOS為例進(jìn)行解釋�����。
微信通過JS界面向小程序公開一些服務(wù)(如繪畫)��。
我理解的安全模型是:小程序環(huán)境->微信環(huán)境->系統(tǒng)環(huán)境���。
5.那么,微信小程序的安全風(fēng)險是什么�����?
因?yàn)槲⑿胖鞒绦驅(qū)⑼ㄟ^JS界面向小程序公開指定的服務(wù)。如果小程序可以獲得指定服務(wù)之外的信息(例如用戶的資金余額等)�����。)����,是信息披露。
簡而言之����,微信可以理解為瀏覽器,小程序可以理解為網(wǎng)頁����。如果執(zhí)行小程序可以在微信上執(zhí)行任何代碼,那就是傳統(tǒng)的遠(yuǎn)程代碼執(zhí)行����。
例如:
1)攻擊微信。
理論上來說����,如果可以突破小程序的執(zhí)行環(huán)境(JS)�����,在微信主程序中獲得代碼執(zhí)行,就成功制造了代碼執(zhí)行的漏洞����,如:執(zhí)行一個小程序,就可以往任意群中發(fā)紅包����。理論上,如果我們能夠突破小程序的執(zhí)行環(huán)境����,在微信主程序中獲得代碼執(zhí)行,我們將成功地在代碼執(zhí)行中制造漏洞�����。例如����,如果我們執(zhí)行一個小程序,我們可以向任何組發(fā)送紅包�。
2)在小程序之間實(shí)施跨站點(diǎn)攻擊���。
可能還有其他類型的漏洞來實(shí)施跨站點(diǎn)攻擊。例如�,從一個小程序中訪問其他小程序的數(shù)據(jù)。
當(dāng)然��,iOS和安卓的實(shí)現(xiàn)也可能不同����,攻擊面也可能不同。
3)攻擊操作系統(tǒng)���。
由于安全環(huán)境框架:applet環(huán)境->微信環(huán)境->系統(tǒng)環(huán)境�。所以理論上有這種可能性:
與系統(tǒng)漏洞相結(jié)合���,有可能用一個惡意的小程序逃離監(jiān)獄��,而不需要用戶安裝應(yīng)用程序���。(當(dāng)然,帶著一個小項(xiàng)目越獄可能很少見���。)
6.這些攻擊發(fā)生的可能性有多大���?
上述攻擊可能需要極強(qiáng)的攻擊能力��。然而��,在真實(shí)場景中�����,許多攻擊可能來自腳本小子。攻擊效果可能不像上面提到的那樣嚴(yán)重����,據(jù)估計(jì)他們中的大多數(shù)只是得到一些信息。
7.微信預(yù)計(jì)將采取什么措施來應(yīng)對可能的威脅���?
所有微信小程序肯定會被微信審計(jì)��。理論上����,惡意小程序不會被上架�����。
當(dāng)然,蘋果不會允許惡意程序上架����,但有些人已經(jīng)成功將盤古9.3的escape程序上傳到 AppStore,盡管它很快就會下架����。這里的問題是微信可能無法自動檢測到一些惡意程序,或者審計(jì)人員的專業(yè)背景可能不太強(qiáng)���。
基本攻擊路徑是:微信小程序安全嗎��?攻擊小程序后��,再通過小程序?qū)崿F(xiàn)中的漏洞攻擊微信�����。因此�����,根據(jù)這個原則�,微信應(yīng)該為小程序創(chuàng)建一個沙箱環(huán)境。目前還不知道微信是否會這么做�����。
8.那么����,我們需要擔(dān)心黑客通過微信小程序竊取我的紅包嗎?
目前���,這是沒有必要的�����。
通過以上介紹,你現(xiàn)在知道微信小程序的安全性了嗎����?因?yàn)檫@是騰訊自己的產(chǎn)品,所以很多禮炮都會放在安全的地方����,同時用戶的安全也會得到保證。因此��,如果您當(dāng)前正在使用小程序�����,您不必?fù)?dān)心,因?yàn)樾〕绦蛉匀幌鄬Π踩?/span>
