ITBear旗下自媒体矩阵:

安应用:安全需从“小”做起

   时间:2017-03-27 12:23:51 来源:IT168 编辑:星辉 发表评论无障碍通道

春风送暖,两会在和煦的阳光中圆满的落下了帷幕,随和互联网行业的飞速发展,今年的两会,越来越多的新兴传播报道方式如同雨后春笋般涌现,不仅有视频直播、VR,甚至有许多家媒体开发出自己的微信小程序,更方便的将百姓的想法带入会场。而作为刚刚兴起的微信小程序,同样是两会上的热点话题。

安全需从“小”做起

外交部长王毅曾在今年两会上就记者提问政府如何更好的适应新媒体时代时表示会在两周后正式推出12308微信版的承诺。果然,3月22日,外交部与微信联合发布“12308”微信版,其中包括经过升级的外交部微信公众号“领事直通车”与12308小程序。

而早在今年的“3·15”晚会上,国家工商总局就宣布推出了“12315”小程序,方便消费者随时随地进行维权,更好更快捷的对消费者权益进行保护。

小程序越来越多的与政府携手,无疑加强了公民与政府之间的交流,也为公民进行维权、发表建议提供了更加快捷的渠道。

而在今年的两会期间,互联网安全同样也是一项备受关注的热点话题。习总书记表示加强大数据环境下个人信息安全保护是当前亟待解决的重要课题。所以,这不经引起了我们的深思,我们正在使用的小程序,真的安全么?

为了贡献一己之力,知道创宇在两会期间义务为党政府机关和企事业单位提供“微信小程序”安全测试。其中发现某大型企业的小程序存在遍历漏洞,可导致大量平台用户信息及订单信息泄露。

经测试,小程序在获取用户订单列表时直接使用PassportId参数进行查询,未验证查询参数PassportId是否与查询人会话身份(session)匹配,这样便导致可以通过修改PassportId值的方式获得其他用户对订单列表,从而获取用户信息。

安全需从“小”做起
 
安全需从“小”做起
 
安全需从“小”做起

针对该问题,知道创宇建议,在获取用户数据时添加会话验证,只允许读取当前登录用户的订单信息,由此有效避免个人信息泄露。

由此可见,小程序安全问题大有可观。

安全需从“小”做起

创宇小伙伴分析小程序中

安全服务团队结合小程序特点对小程序做了大量分析后发现,大部分小程序的开发者可能会在小程序编写上存在SQL注入、越权访问、文件上传、CSRF信息泄露等严重安全问题,一旦这些问题爆发,对财产安全、用户信息、用户信任度等方面都会产生极其恶劣的影响。

使用小程序,是为了让我们更方便快捷的服务于我们的生活。但是由此可能引发的信息窃取、数据篡改、恶意植入、用户仿冒、获取未授权资源、控制应用软件和服务器等问题都不是我们想看到的。当然,互联网的发展伴随着或多或少的问题这是无可厚非的,这就要求每位互联网从业者为互联网安全添砖加瓦。

安全需从“小”做起

创宇安服部成员合影

知道创宇身为互联网安全的领军者,其“安应用”团队更是业内第一个专业“微信小程序”安全测试团队,我们能做的就是身先士卒,用最专业的技术,最有针对性的方法维护着互联网的安全。企业目标和社会责任的结合是我们的夙愿。侠之大者,为国为民,专注维护互联网安全,我们从“小”做起。

举报 0 收藏 0 打赏 0评论 0
 
 
更多>同类资讯
全站最新
热门内容
网站首页  |  关于我们  |  联系方式  |  版权声明  |  网站留言  |  RSS订阅  |  违规举报  |  开放转载  |  滚动资讯  |  English Version
关闭
ITBear微信账号

微信扫一扫
加微信拉群
电动汽车群
科技数码群