我總是聽到很多朋友要求微信小程序安全，會(huì)遇到什么樣的攻擊，是否存在漏洞這樣的話題。事實(shí)上，這些問題在我們的日常生活中仍然很常見。今天我們將為您詳細(xì)介紹并希望幫助更多的朋友解決這個(gè)問題。

是微信小程序安全：

1.從App到小程序，是否有任何漏洞會(huì)持續(xù)存在？

小程序改變了業(yè)務(wù)前端實(shí)現(xiàn)的形式，但基本業(yè)務(wù)沒有改變。因此，對(duì)于小程序服務(wù)提供商，還有兩個(gè)風(fēng)險(xiǎn)：

Web界面中的漏洞。例如，xss，csrf，各種類型的覆蓋等。此類漏洞是服務(wù)體系結(jié)構(gòu)本身的漏洞。

業(yè)務(wù)功能中的邏輯漏洞。例如：訂單金額被任意修改，返回驗(yàn)證碼，檢索密碼設(shè)計(jì)缺陷等。這些也是后端服務(wù)本身的漏洞。

2.插入小程序有哪些漏洞？

微信小程序安全性：傳統(tǒng)的App客戶端，由于代碼的復(fù)雜性，系統(tǒng)比較大，往往存在很多漏洞。現(xiàn)在，接口由微信提供，服務(wù)提供者只需要調(diào)用微信的接口來實(shí)現(xiàn)服務(wù)功能。這導(dǎo)致以前對(duì)App客戶端的攻擊丟失了對(duì)象。

小程序在微信中運(yùn)行。以前人們擔(dān)心App客戶端的漏洞。現(xiàn)在人們需要關(guān)心微信小程序安全性：

給栗子。

App客戶端將直接調(diào)用系統(tǒng)服務(wù)，因此許多漏洞都與系統(tǒng)版本有關(guān)，例如Android webview漏洞，uxss漏洞等。

以Android為例，微信使用修改了Chrome內(nèi)核的X5內(nèi)核并修復(fù)了webview遠(yuǎn)程執(zhí)行代碼漏洞，因此即使在較低版本的Android上，也不需要考慮此漏洞的影響。

3，那么對(duì)于騰訊自己的X5內(nèi)核，如果發(fā)現(xiàn)一個(gè)新的漏洞，它會(huì)影響小程序嗎？

那就對(duì)了。理論上，小程序的漏洞應(yīng)該受到微信客戶端本身的影響。例如，x5內(nèi)核中的新uxss漏洞可能會(huì)導(dǎo)致這些應(yīng)用程序的敏感信息泄漏。

4.是否有可能在完整科學(xué)中完成微信小程序的安全結(jié)構(gòu)？

微信小程序是一個(gè)插件。

插件框架的基本特性是基本程序（微信）為插件（小程序）提供服務(wù)。

在Android上，小程序使用X5內(nèi)核接口;

在iOS上，小程序使用JS Core接口。

接下來我們將以iOS為例進(jìn)行說明。

微信通過JS接口向小程序公開一些服務(wù)（如繪圖等）。

我理解的安全模型是：小程序環(huán)境---＆gt; 微信環(huán)境---＆gt;系統(tǒng)環(huán)境。

那么，微信小程序的安全風(fēng)險(xiǎn)是什么？

由于微信主程序通過JS接口將指定的服務(wù)暴露給小程序。如果小程序可以獲得指定服務(wù)以外的信息（例如，用戶的資金余額等），則是信息公開。

簡而言之，微信可以理解為瀏覽器，小程序可以理解為網(wǎng)頁。如果執(zhí)行小程序，則可以在微信中執(zhí)行任意代碼，這是傳統(tǒng)意義上的遠(yuǎn)程代碼執(zhí)行。

例如：

1）攻擊微信。

理論上，如果您可以突破小程序執(zhí)行環(huán)境（JS）并在微信主程序中獲取代碼，您將成功創(chuàng)建代碼執(zhí)行漏洞。例如，如果您執(zhí)行小程序，則可以向任何組發(fā)送紅包。

2）在小程序之間實(shí)施跨站點(diǎn)攻擊。

可能存在一些其他類型的漏洞可以實(shí)現(xiàn)跨站點(diǎn)攻擊。例如，從小程序訪問其他小程序數(shù)據(jù)。

當(dāng)然，iOS和Android實(shí)現(xiàn)之間可能存在差異，并且攻擊面可能不同。

3）攻擊操作系統(tǒng)。

由于安全環(huán)境框架：小程序環(huán)境---＆gt; 微信環(huán)境---＆gt;系統(tǒng)環(huán)境。所以理論上有這種可能性：

結(jié)合系統(tǒng)漏洞，您可以使用惡意小程序進(jìn)行越獄，而無需用戶安裝應(yīng)用程序。 （當(dāng)然，隨著小程序的越獄，很少有人會(huì)這樣做。）

6.這些攻擊方法出現(xiàn)的可能性有多大？

上述攻擊可能需要強(qiáng)大的攻擊能力。但在現(xiàn)實(shí)生活中，許多攻擊可能來自腳本小子。攻擊效果可能不像上面提到的那么嚴(yán)重，估計(jì)大部分是獲取一些信息。

7. 微信預(yù)計(jì)將采取哪些措施來應(yīng)對(duì)可能的威脅？

所有微信小程序肯定會(huì)接受微信審核。從理論上講，惡意小程序不會(huì)上架。

當(dāng)然，Apple不會(huì)允許將惡意程序放到貨架上，但有些人已成功將Pangu 9.3越獄程序上傳到AppStore，盡管很快就被刪除了。這里的問題是微信可能無法自動(dòng)檢測(cè)某些惡意程序，或者審核員的專業(yè)背景可能不那么強(qiáng)。

基本攻擊路徑是：微信小程序安全性？攻擊小程序后，攻擊微信到小程序實(shí)施漏洞。所以有意義的是，微信應(yīng)該為小程序創(chuàng)建一個(gè)沙箱環(huán)境，不知道微信是否這樣做。

8，那么，我們需要擔(dān)心黑客通過微信小程序竊取我的紅包嗎？

目前，似乎沒有必要這樣做。

通過上面的介紹，現(xiàn)在你知道微信小程序是安全的。因?yàn)檫@是騰訊自己的產(chǎn)品，它仍然會(huì)對(duì)安全性提出很多敬禮，它也會(huì)保證用戶的安全，所以如果你現(xiàn)在使用小程序，你不必?fù)?dān)心，因?yàn)?a href=http://www.kingszun.cn/xiaochengxu/ target=_blank class=infotextkey>小程序更安全。