微信小程序诞生基于微信的社交属性,依托微信9. 8 亿活跃用户,微信小程序可以说是在微信生态内完成设计裂变。从一开始,微信就为小程序开通了46个场景入口,推广迅猛。这也使得微信小程序才发布就具备得天独厚的优势。 在互联网界掀起不小的波澜,已有许多公司发布了自己的小程序,涉及不同的行业领域。大家在体验小程序用完即走便利的同时,是否对小程序的安全性还存有疑虑。龙兵科技知识付费团队的小伙伴对微信小程序进行初步的安全技术分析,在此整理出来抛砖引玉,如有描述不当的地方,欢迎纠正,交流。
本文将从小程序的功能模块安全方面进行剖析,希望能为大家带来小程序安全方面的认知。
一,功能模块安全分析
功能模块安全分析大白将分为4个部分介绍,分别是:
网络传输安全
数据存储安全
文件存储安全
扫描二维码安全
1.1,网络传输安全
微信小程序支持发起通用请求、文件上传下载、WebSocket通讯机制, 在开发微信小程序的过程中,微信小程序官方强制使用https协议进行网络请求数据传输。小程序请求的域名必须经过微信小程序管理后台通过服务域名设置特定的安全域名(见下图),微信小程序仅能访问已经配置的安全域名下的url,确保网络请求是安全的。
在网络文件下载过程中同样仅支持从含有已配置域名的url下载资源,不是走http/https协议。下载成功后文件临时存放,通过微信小程序自定义协议wxfile进行访问,在android平台通过映射到SD卡上目录/sdcard/tencent/MicroMsg/wxafiles/wx_id/tmp_[hash_value]。
1.2,数据存储安全
微信小程序以K/V形式存放在本地缓存,将小程序需要存储的K/V数据直接存储到Storage DB缓存,微信小程序进行数据保护需要自行做加密处理。数据存储在本地DB,微信APP会对DB数据整体做本地加密保护,所以小程序本地存储数据的安全性依赖于微信数据库加密方案的安全,策略与EnMicroMsg.db类似。
1.3,文件存储安全
通过微信小程序下载的文件保存在SD卡/sdcard/tencent/MicroMsg/wxafiles/wx_id/目录下,通过微信小程序自定义wxfile://协议指向SD卡目录下的文件。微信App会对存放SD卡的文件有做完整性校验,无法被篡改。首先,最终存储的文件名是:对称加密(文件流内容Alder32校验和|原始文件名)生成的,最终文件名和文件内容会通过自校验判断完整性;其次,本地缓存是通过HASH映射查找文件。所以即使能破解文件名和文件内容,绕过文件自身签名校验,篡改为攻击者的伪造文件,小程序APP也无法映射到该伪造文件进行使用。
1.4,扫描二维码安全
微信小程序扫一扫功能依赖微信App的原生的扫码功能;生成小程序特定页面的专属二维码,依赖于微信认证机制的ACCESS_TOKEN,而ACCESS_TOKEN是通过小程序私有的唯一APPID和Appsecret请求得到,攻击者无法获知到该信息伪造生成二维码。
二,说在最后
龙兵科技研发团队通过对微信小程序平台安全机制的调研,在龙兵知识付费微信小程序端做改进安全机制,结合微信小程序凭条本身提供的安全机制对知识付费小程序的账户安全,文件破解等方面做了安全加强,确保系统数据安全,稳定。
龙兵智能名片小程序项目加盟合作:https://xm.admin5.com/longbing/?wz
申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!
国内知识付费发端于2015年,此后很快迎来爆发期,然后像大部分互联网细分行业一样,一阵喧嚣过后进入平静的成熟期。当曾经显赫一时、以罗振宇和吴晓波为代表的“四大天王”的光环逐渐黯淡,并且悉数冲击IPO失败后,一直作为配角存在的知识付费“送水人”小鹅通,却依旧生机勃勃。小鹅通自诩为行业“共享CTO”,那
我们的微信答题活动从原来的答题升级到现在答题后抽奖,还可以答题获取积分用积分进行抽奖,模式越来越丰富,可以满足不同商家的需求,今天小编要分享的就是微信答题抽奖活动,答题后积分抽奖活动的制作步骤。
为什么商家要做拼团返利活动呢,目的是为了更好地吸引更多的忠实用户,让用户享受购物乐趣,平台及其产品供应商、线下商店通过拼团返利商城小程序可以启动多人购买活动,灵活设置参与者和获奖者参数,拼团成功的用户可以获得产品,未拼团成功的用户可以全额退款。
深耕培训行业13年,疫情之后,许老师一直在寻找破局之路,最后合作创客匠人搭建线上平台,整合教学资源,培养更多的国学老师,为他们提供展示的机会,盛世家园教育平台上线仅仅半年,就实现了从0到百万到千万。这是来自于〖规划的力量知识付费2023年起航大会〗的一场精彩连麦片段。2022年12月17日,创客匠人
我们做好的家居微信小程序是将小程序与公众平台相互打通,从而大大提高用户的访问率,提升成交率。通过开发家居小程序,大大改善了用户看家居的体验,家居微信小程序既没有APP的下载门槛,也不需要关注门槛。
近年来,面对日益激烈的市场竞争,如何实现生产原料和成品的高品质、低成本、高效率逐渐成为大部分公司的目标。条码管理技术的开发和应用可以使企业从传统的生产管理方式中彻底走出来,向数智化转型的方向迈进。北京三维天地科技股份有限公司在实验室数智化领域具有丰富的行业经验,致力于为客户提供信息化整体解决方案及相
2024年1月22日,人行数字供应链金融服务平台电子保函模块正式上线运行,全国首批共5家试点行于日前完成验收与上线工作。信雅达以专业、丰富的系统建设经验助力3家试点行(宁波银行、南京银行、徽商银行)电子保函系统建设,并于1月21日前完成系统上线准备工作,1月22日与人行同步正式上线系统运行,其中宁波
近日,艾灵完成1.5亿元A轮融资。本轮投资方包括英特尔资本、深圳天使母基金直投基金、TCL中新融创、浦耀信晔、住友商事亚洲资本、新电投资(SingtelInnov8)、华迪创投。据透露,艾灵本轮融资将用于深化工业5G、工业智能等核心产品的研发,加速在更多行业落地推广,推动重要行业市场大规模商用落地,
十年,是时间的标尺,也是发展的刻度。从2012年的2.5万亿到2022年的10.81万亿,国内软件产业收入增长了近4倍。特别是近两年,得益于数字经济的蓬勃发展,软件产业更是迎来了黄金期。在外部数字化需求的拉动下,产业内生动力强劲,服务商不断地加速产品进化、生态布局,以寻求新一轮增长。然而,一半是火焰
如今,很多CFO开始关注企业支出数据,希望通过精细化洞察分析,实现有效降本。但由于费用支出零散化、报销流程繁琐化、支出管理割裂化,导致支出数据分析无抓手,数据沉淀不完整导致分析结果无效。暗藏的合规行为如果没有及时发现,还会带来经营风险。分贝通近期发布《一体化支出管理案例集·春季版》,收录了智能制造、
从推出全电发票、改名数电票,到十多种票面样式落实;从少数城市试点,到试点城市覆盖全国范围......从“以票治税”到“以数治税”,数电票作为“金税四期”工程的重要载体,已进入全面普及时代!全面普及后,数电票的概念、数电票与纸质票的区别、如何开具和收票等......每家企业更要做到心中有数。01数电票
摘要:在信息技术快速发展和数字化浪潮席卷全球的今天,中国企业正积极迎接数字化转型的挑战和机遇。在这个过程中,国产化替代正成为中国企业提升信息安全性、实现自主创新与可控性、降低采购成本的重要路径。“从企业自身来讲,在推进精益化管理的进程中,实现软件产品的升级迭代,一方面,要汲取国外先进软件的精髓,另一
伴随“一带一路”的高质量发展,国内企业“走出去”在海外的布局越来越广,出海产业也不断升级迭代,对信息化、数据化建设也越来越重视,信息技术的不断发展在企业全球化布局起着至关重要的作用。凌锐蓝信为用户的全球业务提供高性能、安全和稳定的数智网络服务,消除用户的关键任务应用程序和全球实时流量的连接和延迟问题
随着全球化的加速和数字技术的普及,金融业面临着日益激烈的市场竞争和不断变化的客户需求。为了更好地适应新时代的要求,不少金融企业,特别是银行,正在积极推进数字化改革,打造一个全球业务支撑平台,以提高运营效率、降低成本、提升服务质量。根据德勤《DigitalBankMaturity2022》报告显示,银
