Hi!下午好!欢迎访问互联网
当前位置:主页 > 智能

小程序满月知道创宇打造安全防护矩阵

时间:2018-11-24 17:43:48| 来源:| 编辑:笔名| 点击:0次

小程序满月 知道创宇打造安全防护矩阵

【IT168 资讯】云时代,平台即服务。小程序作为腾讯推出的战略级产品,意义绝不只是做一个应用分发系统。腾讯以为入口,建立云生态,把各行各业都通过小程序的形式纳入到这个生态中

小程序满月知道创宇打造安全防护矩阵

。小程序不需要下载,用户触手可及,且可以无限使用服务,而则获得最重要的数据,用户的吃穿住行,金融理财等。小程序依托于大众对的信任,得以更顺利的发展。但是,小程序所面临的安全问题也日益凸显,安全防护变得尤为重要。

小程序的开发涉及到支付、社交、O2O相关内容,但由于开发者安全意识、开发资源的限制,程序中存在的漏洞可能会对业务的发展造成恶劣的影响。打开淘宝,可以发现10多元钱就完成一个小程序的开发。许多中小型企业,考虑成本,会选择这种极简的方式进行程序开发,却不知给黑客攻击打开了后门,极有可能造成不小的经济损失,让平台陷入信任危机。

小程序使用MINA框架开发,MINA提供了自己的视图层描述语言WXML和WXSS,以及基于JavaScript的逻辑层框架。虽然提供的框架、组件、API及工具在一定程度上保障了小程序的安全性,但在开发使用过程中,由于开发者的安全意识不足,一些Web中的安全漏洞在小程序中仍然会存在,危害用户的利益。具体会对小程序的开发者和使用者产生重大影响的主要包括以下5类漏洞:SQL注入、越权访问、文件上传漏洞、CSRF漏洞、信息泄漏,可能对企业业务造成以下危害:

1.信息窃取

恶意攻击者通过脱库、批量非授权查询数据库等方式,可获取大量、甚至全部存在漏洞的小程序的用户的敏感信息,包括:用户名、号、邮箱、号、号、登录密码、身份证信息、订单信息、用户地址、银行卡号等。

2.数据篡改

恶意攻击者通过对数据库的操作,修改发布内容,包括产品价格、订单内容、产品购买数量和状态、地址信息等,也可修改和发布色情、反动等言论。

3.恶意植入

攻击者可通过小程序为使用者植入病毒、木马等恶意程序,直接访问和控制使用者。这会对小程序使用者带来直接隐私或经济损失,影响极其恶劣。

4.用户仿冒

恶意攻击者可仿冒其他用户登录,查看其他用户信息、订单、历史纪录等,甚至仿冒其他用户购买、使用软件、积分等资源,为小程序使用者带来直接经济损失,可能导致用户的直接丢失,进而导致小程序开发者的经济损失。

5.获取未授权资源

恶意攻击者可通过漏洞,免费获取收费内容,例如收费的资讯、报告、文章、视频、语音等,并有可能将该内容放置在互联上,损害小程序开发者的经济利益。

6.控制应用软件和服务器

恶意攻击者可通过漏洞获取应用软件最高权限、控制小程序开发者服务器和数据库,进而进行各项信息窃取、数据库篡改、恶意植入、用户仿冒、获取未授权资源等操作,对小程序开发者和使用者造成巨大损失。

知道创宇于近期推出小程序渗透测试服务,基于成熟的技术团队和强大的安全信息获取能力,会在发现漏洞的第一时间将漏洞信息发送至客户。同时,还会附有完整的漏洞加固方案及验证程序,帮助客户第一时间解决高风险漏洞。为了满足企业的不同安全要求和安全等级需求,知道创宇小程序渗透测试分为高级和专业2个等级,对小程序有可能涉及到的27个安全检查类进行安全检查和审核。

小程序的发展彰显了,在未来,无论物联,还是人工智能,或者AR技术,都必须依靠云来实现,而云的基础必须依托于强大的算法和足够的安全。企业需要的是能够在云端建立稳固防线,同时不断强化自身,规避信息泄漏风险。

如需业务咨询可拨打:

郑重声明:中国IT研究中心站刊登/转载此文出于传递更多信息之目的 ,并不意味着赞同其观点或论证其描述。中国IT研究中心不负责其真实性 。