您所在的位置:微信小程序代理加盟_青创小程序 > 新闻资讯 >

八个问题:黑客可以通过微信小程序窃取红包吗

来源:北京青创小程序 浏览量:0 发布时间:2018-06-28 00:00:00

今天早上,微信小程序爆炸了朋友圈,雷锋作为中国甜瓜进食人群的老朋友,决定按照观赏活泼无畏的原则来探索一个重要的问题。

小程序改变了业务前端实现的形式,但基本业务没有改变。因此,对于小型程序提供商来说,有两个风险:

业务功能中的一个逻辑缺陷。例如,订单数量被任意修改,返回验证码,恢复密码设计等,这也是后端服务自身的弱点。

传统的App Client,由于代码复杂,系统比较庞大,经常存在很多漏洞。现在,通过微信提供的接口,服务提供商只能通过调用微信的接口来实现服务功能,这就造成了以前的攻击。对APP客户端失去对象。

小型程序在WeChat运行。人们过去一直担心应用程序客户端是否存在漏洞。现在人们需要关注WeChat是否安全。

App Client会直接调用系统服务,所以很多漏洞与系统版本相关,如Android的WebVIEW漏洞、UXSS漏洞等。

例如,在Android中,WebScript本身使用修改Chrome内核的X5内核,恢复WebVIEW远程代码执行漏洞,因此即使在Android系统的低版本中,也不考虑该漏洞。

3,那么,如果腾讯自己的X5内核突然出现新的漏洞,它会影响小程序吗你说得对。理论上,小程序的漏洞应该受到WebClient客户端自身的影响,例如X5内核中出现了一个新的UXSS漏洞,这可能导致这些应用程序的敏感信息的泄露。

因为微聊天的主程序会通过JS接口将指定的服务暴露给小程序,如果小程序可以获得指定服务之外的信息(例如,用户的货币余额等),那就是信息泄露。

简而言之,微聊天可以被理解为一个浏览器和一个小程序作为一个网页。如果一个小程序在微信中执行任意代码,它就是传统的远程代码执行。

1)攻击WebCalm。从理论上讲,如果你可以突破一个小程序(JS)的执行环境,并在微信主程序中获得代码执行,则可以成功地创建代码执行中的错误,例如一个可以将红色包发送到任何组的小程序。

2)小型程序间的跨站攻击的实现。可能存在其他类型的漏洞来实现跨站点攻击。例如,从一个小程序中访问来自其他小程序的数据。

2)小型程序间的跨站攻击的实现。可能存在其他类型的漏洞来实现跨站点攻击。例如,从一个小程序中访问来自其他小程序的数据。

6,这些攻击的几率是多少上面提到的攻击可能需要强大的攻击力,但是在实际场景中,许多攻击可能来自脚本儿童。攻击的效果不一定像上面提到的那样严重,而且大部分是获取一些信息。

7,预计微信将采取什么措施应对可能的威胁所有的微信小程序都会接受微信的审计。理论上,恶意小程序不是现成的。

当然,苹果不会允许恶意软件搁置,但还有一些人成功地将PANGU 9.3越狱程序上传到AppSt店,虽然它很快就下降了。这里的问题是,WebCalk可能无法自动检测到一些恶意程序,或者专业的备份。一轮审计师可能没有那么强。

攻击的基本路径是:攻击小程序,然后通过小程序实现漏洞攻击WebCalk。因此,WeChat应该为小程序创建沙箱环境,而不知道微信是否这样做。

根据过去的经验,腾讯将投入巨大的精力在其自身产品的安全上。对于皇冠级产品WeChat,我相信腾讯恐怕不会有丝毫的疏忽。在撤出小程序的当天,TSRC(腾讯安全应急响应中心)AL。于是发布了一篇英勇的帖子,说:微聊小程序喜欢,安全需要你的守护者。

随着小程序的推广和应用,你可以帮助安全研究人员和黑生产者在小程序周围发起一场新的竞赛。如果在小程序中存在致命缺陷,也希望安全研究人员能够引导他们找到它们。

相关文章

联系我们

  • 公司:北京青创小程序

  • 免费热线:400-880-6422 手机:13683819778

  • 地址:北京市朝阳区大望路地铁站soho现代城

  • 电话:13683819778

2015-2019 北京青创小程序 版权所有 浙ICP备16000559号-3



线