亚洲精品成A人在线观看_亚洲人成影院在线播放精品_亚洲人成午夜免电影费观看_亚洲人成无码电影一区

　　微信小程序誕生基于微信的社交屬性，依托微信9. 8 億活躍用戶，微信小程序可以說是在微信生態(tài)內(nèi)完成設(shè)計(jì)裂變。從一開始，微信就為小程序開通了46個(gè)場(chǎng)景入口，推廣迅猛。這也使得微信小程序才發(fā)布就具備得天獨(dú)厚的優(yōu)勢(shì)。 在互聯(lián)網(wǎng)界掀起不小的波瀾，已有許多公司發(fā)布了自己的小程序，涉及不同的行業(yè)領(lǐng)域。大家在體驗(yàn)小程序用完即走便利的同時(shí)，是否對(duì)小程序的安全性還存有疑慮。龍兵科技知識(shí)付費(fèi)團(tuán)隊(duì)的小伙伴對(duì)微信小程序進(jìn)行初步的安全技術(shù)分析，在此整理出來拋磚引玉，如有描述不當(dāng)?shù)牡胤?，歡迎糾正，交流。

　　本文將從小程序的功能模塊安全方面進(jìn)行剖析，希望能為大家?guī)硇〕绦虬踩矫娴恼J(rèn)知。

　　一，功能模塊安全分析

　　功能模塊安全分析大白將分為4個(gè)部分介紹，分別是：

　　網(wǎng)絡(luò)傳輸安全

　　數(shù)據(jù)存儲(chǔ)安全

　　文件存儲(chǔ)安全

　　掃描二維碼安全

　　1.1，網(wǎng)絡(luò)傳輸安全

　　微信小程序支持發(fā)起通用請(qǐng)求、文件上傳下載、WebSocket通訊機(jī)制， 在開發(fā)微信小程序的過程中，微信小程序官方強(qiáng)制使用https協(xié)議進(jìn)行網(wǎng)絡(luò)請(qǐng)求數(shù)據(jù)傳輸。小程序請(qǐng)求的域名必須經(jīng)過微信小程序管理后臺(tái)通過服務(wù)域名設(shè)置特定的安全域名(見下圖)，微信小程序僅能訪問已經(jīng)配置的安全域名下的url，確保網(wǎng)絡(luò)請(qǐng)求是安全的。

　　在網(wǎng)絡(luò)文件下載過程中同樣僅支持從含有已配置域名的url下載資源，不是走h(yuǎn)ttp/https協(xié)議。下載成功后文件臨時(shí)存放，通過微信小程序自定義協(xié)議wxfile進(jìn)行訪問，在android平臺(tái)通過映射到SD卡上目錄/sdcard/tencent/MicroMsg/wxafiles/wx_id/tmp_[hash_value]。

　　1.2，數(shù)據(jù)存儲(chǔ)安全

　　微信小程序以K/V形式存放在本地緩存，將小程序需要存儲(chǔ)的K/V數(shù)據(jù)直接存儲(chǔ)到Storage DB緩存，微信小程序進(jìn)行數(shù)據(jù)保護(hù)需要自行做加密處理。數(shù)據(jù)存儲(chǔ)在本地DB，微信APP會(huì)對(duì)DB數(shù)據(jù)整體做本地加密保護(hù)，所以小程序本地存儲(chǔ)數(shù)據(jù)的安全性依賴于微信數(shù)據(jù)庫(kù)加密方案的安全，策略與EnMicroMsg.db類似。

　　1.3，文件存儲(chǔ)安全

　　通過微信小程序下載的文件保存在SD卡/sdcard/tencent/MicroMsg/wxafiles/wx_id/目錄下，通過微信小程序自定義wxfile://協(xié)議指向SD卡目錄下的文件。微信App會(huì)對(duì)存放SD卡的文件有做完整性校驗(yàn)，無法被篡改。首先，最終存儲(chǔ)的文件名是：對(duì)稱加密(文件流內(nèi)容Alder32校驗(yàn)和|原始文件名)生成的，最終文件名和文件內(nèi)容會(huì)通過自校驗(yàn)判斷完整性;其次，本地緩存是通過HASH映射查找文件。所以即使能破解文件名和文件內(nèi)容，繞過文件自身簽名校驗(yàn)，篡改為攻擊者的偽造文件，小程序APP也無法映射到該偽造文件進(jìn)行使用。

　　1.4，掃描二維碼安全

　　微信小程序掃一掃功能依賴微信App的原生的掃碼功能;生成小程序特定頁面的專屬二維碼，依賴于微信認(rèn)證機(jī)制的ACCESS_TOKEN，而ACCESS_TOKEN是通過小程序私有的唯一APPID和Appsecret請(qǐng)求得到，攻擊者無法獲知到該信息偽造生成二維碼。

　　二，說在最后

　　龍兵科技研發(fā)團(tuán)隊(duì)通過對(duì)微信小程序平臺(tái)安全機(jī)制的調(diào)研，在龍兵知識(shí)付費(fèi)微信小程序端做改進(jìn)安全機(jī)制，結(jié)合微信小程序憑條本身提供的安全機(jī)制對(duì)知識(shí)付費(fèi)小程序的賬戶安全，文件破解等方面做了安全加強(qiáng)，確保系統(tǒng)數(shù)據(jù)安全，穩(wěn)定。