微信小程序,信息安全届的又一场狂欢

Entrust Datacard荣获SSL安全数字证书年度用户体验奖

微信小程序这几天占据了科技新闻不少的版面,相信它是啥,能干啥,各位技术工作者已经耳熟能详了,那么这么一个新鲜事物,对于信息安全领域来说又意味着什么呢?

似乎安全届又可以找到一个小风口,因为一个小程序牵扯到了很多相关的技术领域,而这些领域的结合体似乎又构成了独特的安全漏洞的组合,下面我们来详细的分析一下到底哪些方面是可以利用的。

WEB安全,小程序无论包装的多像原生APP,它不过是运行在微信浏览器里的一个小网页,那么所有关于WEB的安全问题在小程序中都会有所体现,比如SQL漏洞,XSS,CSRF等等,只需要稍微熟悉一下小程序前端与微信JSSDK相关的特定API等知识,就可以直接上手去挖掘WEB方面的安全漏洞了。

Gartner分析:云计算压制传统软硬件销售量
网易云服务获得ISO27001和CSA-STAR双重认证

浏览器安全,小程序构建在微信浏览器上,可以预见,基于WEBKIT的浏览器不会是百分之百安全的,关于浏览器的漏洞挖掘早就是安全研究人员的重点领域了,相信把资源稍微往微信浏览器倾斜一下,发现N个重大的微信浏览器安全漏洞也不是难题。
大中型企业越来越重视信息安全
微信APP安全,还是基于没有百分百安全的逻辑,微信内部与小程序的接口部分也可能存在问题,尤其是跟支付等重要资产相关的部分,必将成为黑客研究的重点,爆出来任何的问题都将是非常严重的。

总结一下,信息安全届是个善于讲故事的团体,因为其价值也是在各种安全漏洞的利用中得以体现的,那么微信小程序这个事件一定会成为一个不错的谈资,关于其漏洞的挖掘和利用定会引起人们的关注,即使其技术并不新鲜。抓住机会吧,骚年们。。。
微信扫一扫关注该公众号
多家安全公司发现新型网购木马骗术正全面升级,道高一尺,魔高一丈,要有效打击不断升级的骗术,防范措施也需要一直更新。

网络硬盘等等确实给管理带来挑战,对安全级别要求比较高的,建议默认封闭所有,然后使用白名单逐个放开必需的,可能比较有效,不过,在云计算来临的时代,这些方法可能要重新得到慎重考虑。

猜您喜欢

老板们不懂信息安全该怎么办?
信息安全意识教育案例之商业黑客参与搜索引擎专利大战
针对企业员工的EHS知识启蒙培训
FEWO-WELT RALPHLAURENSPRINGSWEATERS
保密意识教育