我爱小程序
昨天发现一个小程序和我们自己的一模一样(是上个月的版本)UI 图标等都完全一致,早前看的文章说小程序包可以被下载的漏洞已经修复,还以为安全了,结果还是可以通过安卓手机拿到 root 权限后找到下载的小程序包,解包后得到源码。。。
网上有傻瓜教程,成本很低,解包的代码被公开在 GitHub 上,有 python 、js 等多个版本,真是欲哭无泪。。。拿到前端源码,接口通信的加密方式也暴露了,服务器数据相当的不安全,只能通过版本升级来修改加密算法,但这就是治标不治本,最多别人多花点时间“读代码”而已。。。
官方对此事不可能不知道,如此轻松的让人“解包”,基本没有什么加密措施,着实令人震惊!
网友回复
卢霄霄:
有请下一位受害者
纸老虎:
希望能引起重视,要不然整合生态圈相当脆弱,到时都是原创者的血泪史了!
wxappUnpacker
只需两步获取任何微信小程序源码
https://zhuanlan.zhihu.com/p/37667537
江阴久久香(批)--徐锡忠:
来社区查找接口安全问题的,搜到了这个问题,仔细一想,面对这个问题,个人认为只能心态放平稳一点,小程序前端就好像网页的html,js代码,这些数据用浏览器可轻松获得,这么多年网页设计怎么处理的,我想设计前端的时候就要怎么处理,敏感数据和操作不要在前端处理,数据库操作接口注意先校验用户操作权限,坐等更好的见解...
Ltt:
侵权投诉流程严格按照法律流程建立,需提交充足的证据材料,由法务团队来专业评估。
小程序侵权投诉指引可参考:http://kf.qq.com/faq/170222yqAbqi170222faeErI.html