图7-小程序的初始化数据文件示意图综上内容,大白为泽友们介绍了小程序的框架部分,接下来,大白要介绍的就是小程序核心
功能模块安全分析,继续围观哦!
二.小程序功能模块安全
功能模块安全大白将分为6小部分分析介绍,分别是:
1、网络传输安全
2、数据存储安全
3、文件存储安全
4、扫码二维码安全
5、微信开放接口安全
6、小程序钓鱼风险
7、泄露数据到微信隐患
下面我们先看一下小程序的网络传输安全。
网络传输安全
支持发起通用请求、文件上传下载、WebSocket通讯机制。
Https校验安全
通用request网络请求仅支持采用https,处理请求的接口位于com.tencent.mm.plugin.appbrand.g.c中,包含url校验、域名校验、发起请求和处理响应结果。图8图9分别为官方正式DEMO和某银行APP请求包示意图。
图9-某银行APP request功能请求包
Https校验采用类似浏览器的策略,通过系统原生的URL.openConnection()方式请求,证书校验的策略为校验公钥证书的根证书是否在合法CA列表凭证中。因此自签名证书无法使用;针对特定终端设备,即是校验公钥证书的根证书是否在受信任的凭据中,在设备被恶意安装代理根证书的前提下,存在被中间人攻击的风险。Request网络请求实现代码详见【附录3】。
通过域名控制可访问的url
由后台配置小程序支持的域名,仅可访问已配置域名的url,校验过程会将配置的域名先下载到本地,然后每次请求时本地做域名检查通过后才发起。域名检查代码实现详见【附录4】,图10展示了域名不匹配进行错误请求的示例。
图10-小程序域名控制检查
此外,对于通用request请求平台会进行请求超时控制(当前应该是5s),当请求超过5s即会被中断(文件上传操作也有超时中断控制),超时后请求将被抛掉。
网络下载安全
同样仅支持从含有已配置域名的url下载资源,不是走http/https协议。下载成功后临时存放,通过自定义协议wxfile进行访问,映射到SD卡上目录 /sdcard/tencent/MicroMsg/wxafiles/wx_id/tmp_[hash_value]。
文件上传安全
上传至小程序合法域名下的服务器上,并保存临时文件在SD卡的文件存储区域/sdcard/tencent/MicroMsg/wxafiles/wx_id/tmp_[hash_value]。
图12-文件上传示意图
小程序外链url规范
小程序在微信的生态下运行,不开放给个人使用(需要企业)。在小程序中不允许调整到外部网站,也不允许放链接。同时微信在小程序发布前会对小程序进行审核。
数据存储安全
以(key,value)形式存放在本地缓存,将小程序需要存储的key/value数据直接存储到Storage DB缓存,小程序进行数据保护需要自行做加密处理。数据存储在本地DB,微信APP会对DB数据整体做本地加密保护,所以小程序本地存储数据的安全性依赖于微信数据库加密方案的安全,策略与EnMicroMsg.db类似,如下图所示。