微信小程序诞生基于微信的社交属性,依托微信9. 8 亿活跃用户,微信小程序可以说是在微信生态内完成设计裂变。从一开始,微信就为小程序开通了46个场景入口,推广迅猛。这也使得微信小程序才发布就具备得天独厚的优势。 在互联网界掀起不小的波澜,已有许多公司发布了自己的小程序,涉及不同的行业领域。大家在体验小程序用完即走便利的同时,是否对小程序的安全性还存有疑虑。龙兵科技知识付费团队的小伙伴对微信小程序进行初步的安全技术分析,在此整理出来抛砖引玉,如有描述不当的地方,欢迎纠正,交流。
本文将从小程序的功能模块安全方面进行剖析,希望能为大家带来小程序安全方面的认知。
一,功能模块安全分析
功能模块安全分析大白将分为4个部分介绍,分别是:
网络传输安全
数据存储安全
文件存储安全
扫描二维码安全
1.1,网络传输安全
微信小程序支持发起通用请求、文件上传下载、WebSocket通讯机制, 在开发微信小程序的过程中,微信小程序官方强制使用https协议进行网络请求数据传输。小程序请求的域名必须经过微信小程序管理后台通过服务域名设置特定的安全域名(见下图),微信小程序仅能访问已经配置的安全域名下的url,确保网络请求是安全的。
在网络文件下载过程中同样仅支持从含有已配置域名的url下载资源,不是走http/https协议。下载成功后文件临时存放,通过微信小程序自定义协议wxfile进行访问,在android平台通过映射到SD卡上目录/sdcard/tencent/MicroMsg/wxafiles/wx_id/tmp_[hash_value]。
1.2,数据存储安全
微信小程序以K/V形式存放在本地缓存,将小程序需要存储的K/V数据直接存储到Storage DB缓存,微信小程序进行数据保护需要自行做加密处理。数据存储在本地DB,微信APP会对DB数据整体做本地加密保护,所以小程序本地存储数据的安全性依赖于微信数据库加密方案的安全,策略与EnMicroMsg.db类似。
1.3,文件存储安全
通过微信小程序下载的文件保存在SD卡/sdcard/tencent/MicroMsg/wxafiles/wx_id/目录下,通过微信小程序自定义wxfile://协议指向SD卡目录下的文件。微信App会对存放SD卡的文件有做完整性校验,无法被篡改。首先,最终存储的文件名是:对称加密(文件流内容Alder32校验和|原始文件名)生成的,最终文件名和文件内容会通过自校验判断完整性;其次,本地缓存是通过HASH映射查找文件。所以即使能破解文件名和文件内容,绕过文件自身签名校验,篡改为攻击者的伪造文件,小程序APP也无法映射到该伪造文件进行使用。
1.4,扫描二维码安全
微信小程序扫一扫功能依赖微信App的原生的扫码功能;生成小程序特定页面的专属二维码,依赖于微信认证机制的ACCESS_TOKEN,而ACCESS_TOKEN是通过小程序私有的唯一APPID和Appsecret请求得到,攻击者无法获知到该信息伪造生成二维码。
二,说在最后
龙兵科技研发团队通过对微信小程序平台安全机制的调研,在龙兵知识付费微信小程序端做改进安全机制,结合微信小程序凭条本身提供的安全机制对知识付费小程序的账户安全,文件破解等方面做了安全加强,确保系统数据安全,稳定。
龙兵智能名片小程序项目加盟合作:https://xm.admin5.com/longbing/?wz
申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!
国内知识付费发端于2015年,此后很快迎来爆发期,然后像大部分互联网细分行业一样,一阵喧嚣过后进入平静的成熟期。当曾经显赫一时、以罗振宇和吴晓波为代表的“四大天王”的光环逐渐黯淡,并且悉数冲击IPO失败后,一直作为配角存在的知识付费“送水人”小鹅通,却依旧生机勃勃。小鹅通自诩为行业“共享CTO”,那
我们的微信答题活动从原来的答题升级到现在答题后抽奖,还可以答题获取积分用积分进行抽奖,模式越来越丰富,可以满足不同商家的需求,今天小编要分享的就是微信答题抽奖活动,答题后积分抽奖活动的制作步骤。
为什么商家要做拼团返利活动呢,目的是为了更好地吸引更多的忠实用户,让用户享受购物乐趣,平台及其产品供应商、线下商店通过拼团返利商城小程序可以启动多人购买活动,灵活设置参与者和获奖者参数,拼团成功的用户可以获得产品,未拼团成功的用户可以全额退款。
深耕培训行业13年,疫情之后,许老师一直在寻找破局之路,最后合作创客匠人搭建线上平台,整合教学资源,培养更多的国学老师,为他们提供展示的机会,盛世家园教育平台上线仅仅半年,就实现了从0到百万到千万。这是来自于〖规划的力量知识付费2023年起航大会〗的一场精彩连麦片段。2022年12月17日,创客匠人
我们做好的家居微信小程序是将小程序与公众平台相互打通,从而大大提高用户的访问率,提升成交率。通过开发家居小程序,大大改善了用户看家居的体验,家居微信小程序既没有APP的下载门槛,也不需要关注门槛。
信创即信息技术创新,是指通过自主研发、技术创新等方式,实现信息技术的自主可控,降低对外部技术的依赖,提高国家信息安全保障能力。
第三届828B2B企业节正在全国如火如荼进行中。作为中国首个以“提升企业数字化能力、助力企业稳健快速成长”为目标的B2B企业节,828B2B企业节由华为云联合上万伙伴共同发起,目的是为了打通数字化供需天堑,让科技企业和有数转智改需求的中小企业能在一站购平台上完成对接,实现成就好生意,成为好企业的节日
当今世界经济局势复杂多变,企业面临着越来越激烈的市场竞争。在生产方式不断随着科技水平的发展而提升的同时,各个行业企业产品之间的差距越来越小,企业单纯依靠产品很难在如今的市场竞争中取胜。因此,如何为企业寻求更加富有竞争力的销售能力提升办法,成为了企业普遍更加看重的问题。赵峰,现任北京正信启德管理顾问有
零售经营者正处在一个历史性的转折点上。一方面,中国的零售产业已经发展到门店渠道饱和的状态,优胜劣汰会是零售产业未来一段时间内的主旋律;一方面,中国消费者的价值观出现了显著变化,零售快消市场已经进入“性价比时代”。为此,百望云总结服务诸多零售快消经营者的经验,集合产品与技术,推出了数字化解决方案,并取
受限于三元材料以及磷酸铁锂电池在能量密度、安全性、循环寿命等多方面的限制,纯电汽车产品始终无法完成对传统燃油车的致命一击。在此背景下,优势明显的固态电池被寄予厚望,众多车企以及电池企业纷纷加码这一细分领域,以求占领技术制高点。目前,业界普遍将全固态电池小批量量产上车的时间节点定在2027年左右,大规
嘿,朋友们!矢量智控(南京)科技有限公司官网www.ivcon.cn8月31日正式启用啦!这将是矢量智控的重要里程碑,期待为AI+工业与制造业带来更深入、更全面的服务。矢量智控作为南栖仙策旗下工业智能决策品牌,专注为高端装备和复杂流程工业提供自主智能控制产品和方案。产品积淀前沿AI技术我们根据产品的
北京时间9月2日凌晨,科沃斯机器人CEO钱程的一条朋友圈引起业内关注,抢先揭示了科沃斯将在2024德国柏林IFA展推出其地宝X系列新品。从简短的内容中可以窥见,科沃斯内部对于这款新品的信心和期待。从钱程朋友圈流出的图片来看,猜测科沃斯此次新品将重点围绕地面顽垢清洁的提升以及二次污染的问题解决。截至上
经过多年坚持不懈的努力,以色列AudioPixels公司和中国地球山微电子公司双方联合研制的数字像素级MEMS扬声器技术取得重大突破。据AudioPixels官方发布消息显示:新研制的第二代MEMS扬声器(GEN-II)所达到的声压级(SPL或“响度”)已被验证符合其商业化可行性的数字声音重建(DS
2024年8月29日,深圳国际3D打印、增材制造展览会(Formnext+PMSouthChina)在深圳国际会展中心13号馆隆重举行。本次展会以其丰富的活动与论坛,再次彰显了3D打印技术在商业发展中的广泛应用,尤其是在新兴的“3D打印农场”建设领域,纵维立方的两款新品在农场主群体中备受关注,并宣布
8月30日,招商银行在上海举办了“招银浦江数字金融生态大会”,拓元智慧科技有限公司(以下简称“拓元智慧”)应邀参加本次大会。拓元智慧以其在人工智能领域的深厚积累与前沿探索,吸引了众多行业内外人士的关注。公司首席科学家王广润博士在论坛上发表了题为《新型多模态大模型的前沿技术及产业化实践》的报告,深入探
