微信小程序安全嗎?都會(huì )遇到怎樣的攻擊

　　總是聽(tīng)到很多朋友在問(wèn)微信小程序安全嗎，都會(huì )遇到怎樣的攻擊，是不是存在漏洞之類(lèi)的話(huà)題。其實(shí)這些問(wèn)題還是在我們日常生活當中普遍存在的，今天我們就來(lái)為大家仔細的介紹一下，希望能夠幫助更多的朋友解決這一困擾。

　　微信小程序安全嗎：

　　1、從 App 到小程序，有一些漏洞會(huì )一直存在吧?

　　小程序改變了業(yè)務(wù)前端實(shí)現的形式，但是基本的業(yè)務(wù)沒(méi)有變化。所以對于小程序服務(wù)商而言，有兩方面風(fēng)險依然存在：

　　Web接口的漏洞。例如 xss、csrf、各類(lèi)越權等等。這類(lèi)是服務(wù)構架本身的漏洞。

　　業(yè)務(wù)功能的邏輯漏洞。例如：訂單額任意修改，驗證碼回傳、找回密碼設計缺陷等等。這些也是后端服務(wù)本身的漏洞。

　　2、小程序堵上了哪些漏洞的可能?

　　微信小程序安全嗎：傳統的 App 客戶(hù)端，由于代碼比較復雜，體系比較大，經(jīng)常存在很多漏洞�，F在，由微信提供接口，服務(wù)商只需要調用微信的接口就可以實(shí)現服務(wù)功能。這使得以前針對 App 客戶(hù)端的攻擊行為失去了對象。

　　小程序跑在微信中，以前人們關(guān)心 App 客戶(hù)端手否存在漏洞，現在人們需要關(guān)心微信小程序安全嗎：。

　　舉個(gè)栗子。

　　App 客戶(hù)端會(huì )直接調用系統服務(wù)，所以漏洞很多跟系統版本相關(guān)，比如 Android 的 webview 漏洞，uxss 漏洞等。

　　以 Android 為例，微信自己使用的是修改了 Chrome 內核的 X5 內核，修復了 webview 遠程代碼執行漏洞，所以即使在低版本的 Android 系統上也不用考慮這個(gè)漏洞的影響。

　　3、那么對于騰訊自己的 X5 內核，如果爆出了新的漏洞，是否會(huì )影響小程序呢?

　　沒(méi)錯。理論上說(shuō)，小程序的漏洞應該會(huì )受微信客戶(hù)端本身的影響，比如出現了一個(gè)x5內核新的 uxss 漏洞，有可能就能造成這些應用的敏感信息泄露。

　　4、是否可以完整科普一下微信小程序的安全結構呢?

　　微信小程序是一種插件。

　　插件框架的基本特點(diǎn)是：基礎程序(微信)提供服務(wù)給插件(小程序)。

　　在 Android 上，小程序使用 X5 內核接口;

　　而在 iOS 上，小程序使用的是 JS Core 接口。

　　接下來(lái)我們以 iOS 為例進(jìn)行解釋。

　　微信是通過(guò)將一些服務(wù)(比如：繪圖等)通過(guò) JS 接口暴露給小程序。

　　我理解的安全模型是：小程序環(huán)境--->微信環(huán)境--->系統環(huán)境。

　　在云里，為各行業(yè)商戶(hù)搭建自己的小程序。微信號：zaiyunli002