首页 >金融

安应用安全需从小做起

2019-05-15 02:47:04 | 来源: 金融

春风送暖,两会在和煦的阳光中圆满的落下了帷幕,随和互联行业的飞速发展,今年的两会,越来越多的新兴传播报导方式如同雨后春笋般涌现,不仅有视频直播、VR,乃至有许多家媒体开发出自己的小程序,更方便的将百姓的想法带入会场。而作为刚刚兴起的小程序,同样是两会上的热点话题。

外交部长王毅曾在今年两会上就发问政府如何更好的适应新媒体时期时表示会在两周后正式推出12308版的承诺。果然,3月22日,外交部与联合发布12308版,其中包括经过升级的外交部公众号领事直通车与12308小程序。

而早在今年的315晚会上,国家工商总局就宣布推出了12315小程序,方便消费者随时随地进行维权,更好更快捷的对消费者权益进行保护。

小程序愈来愈多的与政府携手,无疑加强了公民与政府之间的交换,也为公民进行维权、发表建议提供了更加快捷的渠道。

而在今年的两会期间,互联安全一样也是一项备受关注的热点话题。习总书记表示加强大数据环境下个人信息安全保护是当前亟待解决的重要课题。所以,这不经引发了我们的深思,我们正在使用的小程序,真的安全么?

为了贡献一己之力,知道创宇在两会期间义务为党政府机关和企事业单位提供小程序安全测试。其中发现某大型企业的小程序存在遍历漏洞,可导致大量平台用户信息及订单信息泄露。

经测试,小程序在获得用户订单列表时直接使用PassportId参数进行查询,未验证查询参数PassportId是不是与查询人会话身份(session)匹配,这样便导致可以通过修改PassportId值的方式获得其他用户对订单列表,从而获得用户信息。

针对该问题,知道创宇建议,在获得用户数据时添加会话验证,只允许读取当前登录用户的定单信息,由此有效避免个人信息泄露。

由此可见,小程序安全问题大有可观。

创宇小伙伴分析小程序中

安全服务团队结合小程序特点对小程序做了大量分析后发现,大部分小程序的开发者可能会在小程序编写上存在SQL注入、越权访问、文件上传、CSRF信息泄露等严重安全问题,一旦这些问题爆发,对财产安全、用户信息、用户信任度等方面都会产生极其恶劣的影响。

使用小程序,是为了让我们更方便快捷的服务于我们的生活。但是由此可能引发的信息窃取、数据篡改、恶意植入、用户仿冒、获取未授权资源、控制应用软件和服务器等问题都不是我们想看到的。固然,互联的发展伴随着或多或少的问题这是无可厚非的,这就要求每位互联从业者为互联安全添砖加瓦。

创宇安服部成员合影

知道创宇身为互联安全的领军者,其安应用团队更是业内个专业小程序安全测试团队,我们能做的就是一马当先,用专业的技术,有针对性的方法维护着互联的安全。企业目标和社会的结合是我们的宿愿。侠之大者,为国为民,专注保护互联安全,我们从小做起。

人流后恢复要多久
外阴瘙痒用什么好
什么原因导致白带增多

猜你喜欢