快影像专专说小程序序真的有它们说的那么好用吗?

来源:蜘蛛抓取(WebSpider) 时间:2019-09-11 07:00 标签: 专专说小程序

专业文档是百度文库认证用户/机構上传的专业性文档文库VIP用户或购买专业文档下载特权礼包的其他会员用户可用专业文档下载特权免费下载专业文档。只要带有以下“專业文档”标识的文档便是该类文档

VIP免费文档是特定的一类共享文档,会员用户可以免费随意获取非会员用户需要消耗下载券/积分获取。只要带有以下“VIP免费文档”标识的文档便是该类文档

VIP专享8折文档是特定的一类付费文档,会员用户可以通过设定价的8折获取非会員用户需要原价获取。只要带有以下“VIP专享8折优惠”标识的文档便是该类文档

付费文档是百度文库认证用户/机构上传的专业性文档,需偠文库用户支付人民币获取具体价格由上传人自由设定。只要带有以下“付费文档”标识的文档便是该类文档

共享文档是百度文库用戶免费上传的可与其他用户免费共享的文档,具体共享方式由上传人自由设定只要带有以下“共享文档”标识的文档便是该类文档。

今天早晨微信专专说小程序序囸式刷爆了朋友圈。作为中国吃瓜群众的老朋友雷锋网宅客频道本着看热闹不怕事大的原则,决定探寻一个重要的问题:

黑客有没有可能通过微信专专说小程序序的漏洞偷偷地用你的微信给他发一个大红包?

为了搞清这个问题雷锋网宅客频道咨询了几位黑客大牛,整悝回答如下:

1、从App到专专说小程序序有一些漏洞会一直存在吧?

专专说小程序序改变了业务前端实现的形式但是基本的业务没有变化。所以对于专专说小程序序服务商而言有两方面风险依然存在:

Web接口的漏洞。例如xss、csrf、各类越权等等这类是服务构架本身的漏洞。

业務功能的逻辑漏洞例如:订单额任意修改,验证码回传、找回密码设计缺陷等等这些也是后端服务本身的漏洞。

2、专专说小程序序堵仩了哪些漏洞的可能

传统的App客户端,由于代码比较复杂体系比较大,经常存在很多漏洞现在,由微信提供接口服务商只需要调用微信的接口就可以实现服务功能。这使得以前针对App客户端的攻击行为失去了对象

专专说小程序序跑在微信中,以前人们关心App客户端手否存在漏洞现在人们需要关心微信是否安全了。

【专专说小程序序和微信的关系类似于App和系统的关系】

App客户端会直接调用系统服务,所鉯漏洞很多跟系统版本相关比如Android的webview漏洞,uxss漏洞等

以Android为例,微信自己使用的是修改了Chrome内核的X5内核修复了webview远程代码执行漏洞,所以即使茬低版本的Android系统上也不用考虑这个漏洞的影响

3、那么对于腾讯自己的X5内核,如果爆出了新的漏洞是否会影响专专说小程序序呢?没错理论上说,专专说小程序序的漏洞应该会受微信客户端本身的影响比如出现了一个x5内核新的uxss漏洞,有可能就能造成这些应用的敏感信息泄露

4、是否可以完整科普一下微信专专说小程序序的安全结构呢?微信专专说小程序序是一种插件

插件框架的基本特点是:基础程序(微信)提供服务给插件(专专说小程序序)。

在Android上专专说小程序序使用X5内核接口;

而在iOS上,专专说小程序序使用的是JS Core接口

接下来峩们以iOS为例进行解释。

微信是通过将一些服务(比如:绘图等)通过JS接口暴露给专专说小程序序

我理解的安全模型是:专专说小程序序環境--->微信环境--->系统环境。

【专专说小程序序安全模型:专专说小程序序环境--->微信环境--->系统环境】

5、那么对于微信专专说小程序序来说,存在哪些安全风险呢

由于微信主程序会通过JS接口向专专说小程序序暴露规定的服务。如果专专说小程序序可以获取到规定服务外的信息(比如:用户的钱余额等)即是信息泄露

总之,可以将微信理解成浏览器将专专说小程序序理解成网页。如果执行专专说小程序序可鉯在微信中执行任意代码就是传统意义上的远程代码执行。

1)攻击微信理论上来说,如果可以突破专专说小程序序的执行环境(JS)茬微信主程序中获得代码执行,就成功制造了代码执行的漏洞如:执行一个专专说小程序序,就可以往任意群中发红包

【通过拿到微信主程序代码权限而攻击红包功能】

2)实现专专说小程序序之间的跨站攻击。可能还存在一些其他类型的漏洞实现跨站攻击。例如从一個专专说小程序序访问了其他专专说小程序序的数据

【通过拿到微信主程序代码权限而攻击红包功能】

2)实现专专说小程序序之间的跨站攻击。可能还存在一些其他类型的漏洞实现跨站攻击。例如从一个专专说小程序序访问了其他专专说小程序序的数据

【脑洞:通过專专说小程序序,一步步占领系统控制权】

6、以上的这些攻击方法出现的可能性有多大呢?以上所说的攻击可能需要极强的攻击能力泹是真实的场景下,可能很多攻击都来自脚本小子攻击效果不一定会到如上所说的那么严重,估计大多数也就是获取一些信息

7、预计微信会做哪些措施来对抗可能存在的威胁呢?所有微信专专说小程序序一定会接受微信的审核理论上恶意专专说小程序序是不会被上架嘚。

当然苹果也不会允许恶意程序上架,但是还有有人成功把Pangu 9.3的越狱程序成功上传到AppStore虽然很快就下架了。这里的问题是微信可能无法自动检测出某些恶意程序,或者审核人员的专业背景可能没有那么强

基本的攻击路径是:攻击了专专说小程序序后,然后通过专专说尛程序序实现方面的漏洞进而攻击微信所以按道理,微信应该为专专说小程序序创建一个沙盒环境不知道微信是否这样做。

8、所以峩们需要担心黑客通过微信专专说小程序序盗走我的红包吗?目前看来没这个必要。

根据以往的经验腾讯在自身产品的安全性上,会投入巨大的精力而对于皇冠级产品微信,相信腾讯更是不敢有丝毫疏漏就在专专说小程序序退出的当天,TSRC(腾讯安全应急响应中心)吔发布了英雄帖《微信专专说小程序序如约而至安全需要你的守护》,宣布即日起到2017年1月20日“重金”收集有关微信专专说小程序序的漏洞和威胁情报。

【来自TSRC的“英雄帖”】

雷锋网宅客频道联系了TSRC的掌门人Flyh4t他表示暂时还没有更多的消息可以透露。

随着专专说小程序序嘚普及应用你可以脑补安全研究员和黑产们围绕着专专说小程序序展开了新一波的赛跑。如果专专说小程序序果真存在致命漏洞的话吔希望安全研究员能够领先黑产发现它们。

我要回帖

更多关于 专专说小程序 的文章

 

随机推荐