微信小程序已經刷爆朋友圈����,當然,有些時候����,關于互聯網的安全總是走在前線,那么微信小程序有漏洞嗎����?信小程序會成為黑客盜紅包的通道嗎?文中小編將會為大家?guī)斫獯稹?/p>
微信小程序有漏洞嗎����?
為了搞清這個問題����,咨詢了幾位黑客大牛����,整理回答如下:
1、從App到小程序����,有一些漏洞會一直存在吧����?
小程序改變了業(yè)務前端實現的形式,但是基本的業(yè)務沒有變化����。所以對于小程序服務商而言,有兩方面風險依然存在:
Web接口的漏洞����。例如xss、csrf����、各類越權等等����。這類是服務構架本身的漏洞����。
業(yè)務功能的邏輯漏洞。例如:訂單額任意修改����,驗證碼回傳、找回密碼設計缺陷等等����。這些也是后端服務本身的漏洞。
2����、小程序堵上了哪些漏洞的可能?
傳統(tǒng)的App客戶端����,由于代碼比較復雜,體系比較大����,經常存在很多漏洞����,F在����,由微信提供接口,服務商只需要調用微信的接口就可以實現服務功能����。這使得以前針對App客戶端的攻擊行為失去了對象。
小程序跑在微信中����,以前人們關心App客戶端手否存在漏洞����,現在人們需要關心微信是否安全了。
【小程序和微信的關系����,類似于App和系統(tǒng)的關系】
舉個例子。
App客戶端會直接調用系統(tǒng)服務����,所以漏洞很多跟系統(tǒng)版本相關����,比如Android的webview漏洞����,uxss漏洞等。
以Android為例����,微信自己使用的是修改了Chrome內核的X5內核,修復了webview遠程代碼執(zhí)行漏洞����,所以即使在低版本的Android系統(tǒng)上也不用考慮這個漏洞的影響。
3����、那么對于騰訊自己的X5內核,如果爆出了新的漏洞����,是否會影響小程序呢?
沒錯����。理論上說����,小程序的漏洞應該會受微信客戶端本身的影響����,比如出現了一個x5內核新的uxss漏洞,有可能就能造成這些應用的敏感信息泄露����。
4、是否可以完整科普一下微信小程序的安全結構呢����?
微信小程序是一種插件。
插件框架的基本特點是:基礎程序(微信)提供服務給插件(小程序)����。
在Android上����,小程序使用X5內核接口;
而在iOS上����,小程序使用的是JS Core接口����。
接下來我們以iOS為例進行解釋����。
微信是通過將一些服務(比如:繪圖等)通過JS接口暴露給小程序。
我理解的安全模型是:小程序環(huán)境--->微信環(huán)境--->系統(tǒng)環(huán)境����。
【小程序安全模型:小程序環(huán)境--->微信環(huán)境--->系統(tǒng)環(huán)境】
5、那么����,對于微信小程序來說,存在哪些安全風險呢����?
由于微信主程序會通過JS接口向小程序暴露規(guī)定的服務。如果小程序可以獲取到規(guī)定服務外的信息(比如:用戶的錢余額等)即是信息泄露����。
總之,可以將微信理解成瀏覽器,將小程序理解成網頁����。如果執(zhí)行小程序可以在微信中執(zhí)行任意代碼,就是傳統(tǒng)意義上的遠程代碼執(zhí)行����。
例如:
1)攻擊微信。理論上來說����,如果可以突破小程序的執(zhí)行環(huán)境(JS),在微信主程序中獲得代碼執(zhí)行����,就成功制造了代碼執(zhí)行的漏洞,如:執(zhí)行一個小程序����,就可以往任意群中發(fā)紅包。
【通過拿到微信主程序代碼權限而攻擊紅包功能】
2)實現小程序之間的跨站攻擊��������?赡苓存在一些其他類型的漏洞����,實現跨站攻擊����。例如從一個小程序訪問了其他小程序的數據。
【通過拿到微信主程序代碼權限而攻擊紅包功能】
2)實現小程序之間的跨站攻擊����。可能還存在一些其他類型的漏洞����,實現跨站攻擊。例如從一個小程序訪問了其他小程序的數據����。
【腦洞:通過小程序,一步步占領系統(tǒng)控制權】
6����、以上的這些攻擊方法,出現的可能性有多大呢����?以上所說的攻擊可能需要極強的攻擊能力����。但是真實的場景下����,可能很多攻擊都來自腳本小子。攻擊效果不一定會到如上所說的那么嚴重����,估計大多數也就是獲取一些信息。
7����、預計微信會做哪些措施來對抗可能存在的威脅呢?所有微信小程序一定會接受微信的審核����。理論上惡意小程序是不會被上架的。
當然����,蘋果也不會允許惡意程序上架,但是還有有人成功把Pangu 9.3的越獄程序成功上傳到AppStore����,雖然很快就下架了。這里的問題是����,微信可能無法自動檢測出某些惡意程序,或者審核人員的專業(yè)背景可能沒有那么強����。
基本的攻擊路徑是:攻擊了小程序后,然后通過小程序實現方面的漏洞進而攻擊微信����。所以按道理,微信應該為小程序創(chuàng)建一個沙盒環(huán)境����,不知道微信是否這樣做。
微信小程序會成為黑客盜紅包的通道嗎����?
目前看來,沒這個必要����。
根據以往的經驗����,騰訊在自身產品的安全性上����,會投入巨大的精力。而對于皇冠級產品微信����,相信騰訊更是不敢有絲毫疏漏。就在小程序退出的當天����,TSRC(騰訊安全應急響應中心)也發(fā)布了英雄帖《微信小程序如約而至,安全需要你的守護》����,宣布即日起到2017年1月20日,“重金”收集有關微信小程序的漏洞和威脅情報����。
鄂公網安備 42011102000245號