原文链接:https://developers.weixin.qq.com/community/minihome/doc/0004a84fcb0bb0e89eddbaa5156401
安全课堂|关于小程序AppSecret密钥泄露漏洞官方
微信团队04-27
为进一步提升小程序的安全性和用户体验,目前平台对提审的小程序均需进行安全检测,在检测过程中发现仍有许多小程序存在安全漏洞,其中涉及AppSecret密钥泄露漏洞,希望通过以下相关的漏洞介绍、案例分析和修复建议,开发者能更加了解如何对该漏洞进行防御。
一、漏洞介绍
AppSecret是小程序的唯一凭证密钥,也是获取小程序全局唯一后台接口调用凭证(access_token)的重要参数,需要开发者妥善保管至后台服务器中,并严格保密,不向任何第三方等透露。小程序若存在AppSecret密钥泄露漏洞的情况,会造成身份信息仿冒、敏感数据外泄等严重后果,开发者应及时发现该漏洞并快速修复相应问题。
二、漏洞案例
某小程序因为AppSecret泄露,导致攻击者可以通过调用API获取该小程序敏感数据,如接口调用凭证、用户信息、用户使用数据等,造成了极大的安全风险。
通过以下展示我们可以明晰该小程序敏感数据外泄的原因,测试者先对小程序网络请求进行抓包,发现请求响应中包含了appid和AppSecret敏感信息:
通过上述获取的appid和AppSecret敏感信息,可以利用接口获取到相应的access_token:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-2ntNdQnz-1664011723592)(https://wdoc-76491.picgzc.qpic.cn/MTY4ODg1MDU0NTcwODMyNw_765873_hSVhFJ3kjUu_xu-Z_1650965113?w=840&h=38)]
最后可以实现使用access_token调用该小程序所有后台接口的目的,后台服务端接口已涵盖数据、运维、消息等多方面场景能力。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MN9PiNJB-1664011723593)(https://wdoc-76491.picgzc.qpic.cn/MTY4ODg1MDU0NTcwODMyNw_790829_S2l7yat0r4F3_eGM_1650965848?w=1280&h=645.7112860892388)]
下面我们再具体举几个利用access_token调用小程序后台接口的例子:
1.获取小程序用户评论
2.获取小程序用户访问数据
3.冒用小程序身份给用户发送消息
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-WEbH9L07-1664011723597)(https://wdoc-76491.picgzc.qpic.cn/MTY4ODg1MDU0NTcwODMyNw_959985_sI_P2fyJHf3s1MbO_1650966902?w=343&h=382)]
AppSecret密钥泄露漏洞其他的危害包括但不限于:冒用小程序身份给用户发送客服消息/模板消息、获取小程序session_key(用于解密微信侧提供的用户敏感数据)、获取小程序运维信息、日志等敏感信息、更改小程序相关的配置等。
三、漏洞修复
若小程序存在相应的AppSecret密钥泄露漏洞问题,请开发者尽快根据以下修复指引进行调整,以便消除风险:
1.后端API接口请勿把AppSecret敏感信息返回给前端(包括前端请求或小程序代码内传输、记录AppSecret);
2.立即登录小程序管理后台,在【开发-开发管理-开发设置】中对AppSecret进行重置。由于Appsecret存在历史泄露且仍然有效,务必进行重置才可消除风险,以免被攻击者恶意利用,请尽快按指引进行修复;
3.对AppSecret进行重置后,请及时修改后台代码,以免无法使用微信API
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-j2U5MJbR-1664011723598)(https://wdoc-76491.picgzc.qpic.cn/MTY4ODg1MDU0NTcwODMyNw_183975_xgpJXcyZZw7TVXTA_1650968191?w=1280&h=626.793084216397)]
其他常见问题
Q1: 小程序提审不通过,显示小程序AppSecret存在历史泄露且仍然有效,是否需要重置AppSecret?
A1: 需要,请重置AppSecret后再提审,若审核通过,说明该问题已消除,若审核不通过,说明仍存在明文的AppSecret,需进一步排查并去除AppSecret字段及其对应值。
Q2: 重置小程序AppSecret会影响到线上小程序吗?
A2: auth.getAccessToken需要使用AppSecret进行调用入参,重置AppSecret后,如果用新的AppSecret去获取access_token,那么旧的access_token会在5分钟内失效,如果未使用新的AppSecret,旧的access_token会在两小时内失效,故即使重置AppSecret,access_token仍有一定的缓冲期,可及时修改后台代码,不会对线上小程序造成影响。