1月9日，微信推出的“小程序”正式上線。“小程序”是一種無需安裝，即可使用的手機(jī)“應(yīng)用”。不必要像往常一樣下載APP，用戶在微信中“用完即走”。微信團(tuán)隊(duì)微信團(tuán)隊(duì)的創(chuàng)新向來以鄭重馳名，但是小程序做為微信誕生以來功能更新，照舊火遍了互聯(lián)網(wǎng)圈……

而在各種聲音彌漫的同時(shí)，行業(yè)對其安全性也開始出現(xiàn)質(zhì)疑聲音，帶著這一題目，筆者專門采訪了知道創(chuàng)宇安全服務(wù)部總監(jiān)王宇，讓安全專家以的姿勢為大家解讀小程序的安全題目。

▲知道創(chuàng)宇安全服務(wù)部總監(jiān)王宇

題目：小程序很火，為什么？

王宇：確實(shí)很火，由于大家都在說小程序百度排名優(yōu)化，但褒貶不一，這跟整個(gè)互聯(lián)網(wǎng)生態(tài)有關(guān)，解讀的角度不同，觀點(diǎn)也就不同，但是大多是趨利的，小我覺得這可能會(huì)讓張小龍感到失望，當(dāng)然還有一些持觀望態(tài)度的人。不能不說的是，如今正式上線的小程序在我看來還屬于試水階段四川做網(wǎng)站信息網(wǎng)，所以我信賴這些不同的聲音剛好可以讓微信團(tuán)隊(duì)得以很好的借鑒，未來把小程序做的更好。我小我堅(jiān)信這一方向是的，核心的點(diǎn)就是輕量化應(yīng)用去知足用戶需求，由于以用戶需求為出發(fā)點(diǎn)不會(huì)是錯(cuò)的。但是在客戶端，真的是要認(rèn)清APP和小程序真正的區(qū)別，我信賴將來一定會(huì)有一大批良好的小程序讓大家現(xiàn)實(shí)領(lǐng)會(huì)到。

題目：您怎樣考量小程序的安全性題目？

王宇：APP到小程序，行業(yè)在安全性上做了大量的分析，歸根結(jié)底是什么？其實(shí)就是那個(gè)不變的真理，沒有任何一套體系敢說本身100%安全。但是從變化的過程來看，這種平臺(tái)化的做法廠商所承擔(dān)的風(fēng)險(xiǎn)是在降低的，微信端為廠商承擔(dān)了一部分，小程序在規(guī)避跨站腳本類風(fēng)險(xiǎn)方面具備自然上風(fēng)，更由于騰訊SRC的存在，各大安全廠商也是騰訊SRC的合作伙伴，包括連年獲得良好合作伙伴的知道創(chuàng)宇，所以選擇微信平臺(tái)比自建平臺(tái)更安全也不會(huì)錯(cuò)。

但緊張的題目是在新的領(lǐng)域，都有一個(gè)認(rèn)知的過程，由于安全照舊要本身負(fù)責(zé)。這個(gè)時(shí)候我們就回到了傳統(tǒng)安全領(lǐng)域題目，假如安全落后于產(chǎn)品，題目可能就會(huì)來。在小程序的開發(fā)過程中，我們知道創(chuàng)宇也拿到了內(nèi)測賬號，我們有營業(yè)體系和APP滲透測試的營業(yè)，所以我們會(huì)考慮小程序同樣也會(huì)暴露如許的題目，我們通過開發(fā)后臺(tái)分析，羅列了許多開發(fā)者在實(shí)現(xiàn)小程序過程中會(huì)容易犯的錯(cuò)誤，這跟傳統(tǒng)安全一樣，漏洞都是從這些錯(cuò)誤上留下的。

題目：如今可以使用的小程序安全嗎？

王宇：這個(gè)題目問的好，可能也是用戶關(guān)心的題目，人無完人、金無足赤。我們團(tuán)隊(duì)前不久剛好接了單微信小程序的滲透測試服務(wù)，由于我們接觸微信小程序，并且率先建立了完整的滲透測試方案，所以他們就找到了我們，不出料想的話這也可能是全行業(yè)個(gè)商業(yè)微信小程序滲透測試服務(wù)。但如你所問就很遺憾了，我們報(bào)告上是如許描述的，相干漏洞會(huì)讓攻擊者獲取悉數(shù)用戶數(shù)據(jù)，也就是我們所說的可以“拖庫”。

但是我們也必須要為這家廠商點(diǎn)贊，由于他們在上線微信小程序時(shí)把安全放在了很緊張的位置，先通過了我們的專業(yè)測試修復(fù)之后才上的線。但是我們無從知曉其它廠商的小程序是不是也如許做的，畢竟在小程序真的來到我們身邊時(shí)網(wǎng)站排名優(yōu)化，許多客戶也意識到了這個(gè)營業(yè)增量的機(jī)會(huì)，苦逼的研發(fā)部門可能保證的就是定時(shí)上線而已。所曩昔不久銀監(jiān)會(huì)叫停了金融機(jī)構(gòu)的小程序，我覺得是有道理的，必須要嚴(yán)酷控制安全性。

題目：專業(yè)角度上看，小程序可能存在的安全性題目有哪些？

王宇：通過我們安全服務(wù)團(tuán)隊(duì)結(jié)合小程序特點(diǎn)去做的大量分析，以及我們累積的應(yīng)用安全經(jīng)驗(yàn)，開發(fā)者可能會(huì)在小程序編寫上存在SQL注入、越權(quán)訪問、文件上傳、CSRF、信息泄漏等等幾方面的緊張安全題目，我們?nèi)缃癯隽艘惶装踩珯z測規(guī)范，就是為了避免開發(fā)者在代碼編寫時(shí)出現(xiàn)上述安全題目，專業(yè)的安全檢測，將會(huì)發(fā)現(xiàn)存在的題目。小程序確實(shí)是個(gè)很好的東西，但是在開發(fā)時(shí)肯定要把安全放到很緊張的位置去考慮，假如本身的團(tuán)隊(duì)沒有這個(gè)能力，建議找專業(yè)安全團(tuán)隊(duì)來做安全測試和把控，分外是在網(wǎng)絡(luò)安全法即將實(shí)施之前，肯定要衡量規(guī)避企業(yè)信息泄漏風(fēng)險(xiǎn)。

來源：北青網(wǎng)