而早在今年的“3·15”晚會上, 國家工商總局就宣佈推出了“12315”小程式, 方便消費者隨時隨地進行維權, 更好更快捷的對消費者權益進行保護。
小程式越來越多的與政府攜手, 無疑加強了公民與政府之間的交流, 也為公民進行維權、發表建議提供了更加快捷的管道。
而在今年的兩會期間, 互聯網安全同樣也是一項備受關注的熱點話題。 習總書記表示加強大資料環境下個人資訊安全保護是當前亟待解決的重要課題。 所以, 這不經引起了我們的深思, 我們正在使用的小程式, 真的安全麼?
經測試, 小程式在獲取使用者訂單清單時直接使用PassportId參數進行查詢,
針對該問題, 知道創宇建議, 在獲取使用者資料時添加會話驗證, 只允許讀取當前登錄使用者的訂單資訊, 由此有效避免個人資訊洩露。
由此可見, 小程式安全問題大有可觀。
創宇小夥伴分析小程式中
安全服務團隊結合小程式特點對小程式做了大量分析後發現, 大部分小程式的開發者可能會在小程式編寫上存在SQL注入、越權訪問、檔上傳、CSRF資訊洩露等嚴重安全問題, 一旦這些問題爆發, 對財產安全、使用者資訊、使用者信任度等方面都會產生極其惡劣的影響。
使用小程式, 是為了讓我們更方便快捷的服務於我們的生活。 但是由此可能引發的資訊竊取、資料篡改、惡意植入、用戶仿冒、獲取未授權資源、控制應用軟體和伺服器等問題都不是我們想看到的。 當然, 互聯網的發展伴隨著或多或少的問題這是無可厚非的, 這就要求每位互聯網從業者為互聯網安全添磚加瓦。
創宇安服部成員合影