论小程序的安全问题

小程序源码被窥视

现如今, 小程序源码被打包在二进制文件 xxx.wxapkg 文件中, 这个文件在 root 了的安卓手机, 越狱了的苹果系统上, 都可以轻松取得, 甚至之前还有个漏洞拼接一下 url 就可拿到 任意小程序 wxapkg 文件
而网上更是好多脚本可以解包此文件, 更有甚者, 还有将解包后的文件 整理成可直接被微信开发工具打开的项目, 其中代码逻辑清晰可见, 源码毫无安全可言!!!
最令人担忧的是, 微信至今也没有做出处理, 对 wxapkg 加密或者混淆源码, 有人说, 自己的小程序安全, 自己的代码, 自己混淆啊, 然而小程序方面, 代码终有不同, 在这方面并没有成熟的混淆工具, 毕竟不是 JS 啊

小程序请求问题

除了上诉的硬伤外, 每个 webapp 都会遇到的问题, 就是抓包, 有人说 https, 但是我说的这个抓包, 不是别人拦截你的请求, 而是他自己查看自己手机的, 这是完全可以实现的. 而更严重的是, 对请求有一些经验的, 还可以修改参数, 攥改数据, 非常轻松. 比如一个提取现金的接口, 如果后台不做处理, 而只是前台限制, 那一经抓包, 就可以复制这个请求, 重复几次, 会有什么后果?

评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值