小程序源码被窥视
现如今, 小程序源码被打包在二进制文件 xxx.wxapkg 文件中, 这个文件在 root 了的安卓手机, 越狱了的苹果系统上, 都可以轻松取得, 甚至之前还有个漏洞拼接一下 url 就可拿到 任意小程序 wxapkg 文件
而网上更是好多脚本可以解包此文件, 更有甚者, 还有将解包后的文件 整理成可直接被微信开发工具打开的项目, 其中代码逻辑清晰可见, 源码毫无安全可言!!!
最令人担忧的是, 微信至今也没有做出处理, 对 wxapkg 加密或者混淆源码, 有人说, 自己的小程序安全, 自己的代码, 自己混淆啊, 然而小程序方面, 代码终有不同, 在这方面并没有成熟的混淆工具, 毕竟不是 JS 啊
小程序请求问题
除了上诉的硬伤外, 每个 webapp 都会遇到的问题, 就是抓包, 有人说 https, 但是我说的这个抓包, 不是别人拦截你的请求, 而是他自己查看自己手机的, 这是完全可以实现的. 而更严重的是, 对请求有一些经验的, 还可以修改参数, 攥改数据, 非常轻松. 比如一个提取现金的接口, 如果后台不做处理, 而只是前台限制, 那一经抓包, 就可以复制这个请求, 重复几次, 会有什么后果?