1月9日，微信推出的“小程序”正式上線。“小程序”是一種無需安裝，即可使用的手機“應用”。不必要像往常一樣下載APP，用戶在微信中“用完即走”。微信團隊微信團隊的創新向來以鄭重馳名，但是小程序做為微信誕生以來功能更新，照舊火遍了互聯網圈……

而在各種聲音彌漫的同時，行業對其安全性也開始出現質疑聲音，帶著這一題目，筆者專門采訪了知道創宇安全服務部總監王宇，讓安全專家以的姿勢為大家解讀小程序的安全題目。

▲知道創宇安全服務部總監王宇

題目：小程序很火，為什么？

王宇：確實很火，由于大家都在說小程序百度排名優化，但褒貶不一，這跟整個互聯網生態有關，解讀的角度不同，觀點也就不同，但是大多是趨利的，小我覺得這可能會讓張小龍感到失望，當然還有一些持觀望態度的人。不能不說的是，如今正式上線的小程序在我看來還屬于試水階段四川做網站信息網，所以我信賴這些不同的聲音剛好可以讓微信團隊得以很好的借鑒，未來把小程序做的更好。我小我堅信這一方向是的，核心的點就是輕量化應用去知足用戶需求，由于以用戶需求為出發點不會是錯的。但是在客戶端，真的是要認清APP和小程序真正的區別，我信賴將來一定會有一大批良好的小程序讓大家現實領會到。

題目：您怎樣考量小程序的安全性題目？

王宇：APP到小程序，行業在安全性上做了大量的分析，歸根結底是什么？其實就是那個不變的真理，沒有任何一套體系敢說本身100%安全。但是從變化的過程來看，這種平臺化的做法廠商所承擔的風險是在降低的，微信端為廠商承擔了一部分，小程序在規避跨站腳本類風險方面具備自然上風，更由于騰訊SRC的存在，各大安全廠商也是騰訊SRC的合作伙伴，包括連年獲得良好合作伙伴的知道創宇，所以選擇微信平臺比自建平臺更安全也不會錯。

但緊張的題目是在新的領域，都有一個認知的過程，由于安全照舊要本身負責。這個時候我們就回到了傳統安全領域題目，假如安全落后于產品，題目可能就會來。在小程序的開發過程中，我們知道創宇也拿到了內測賬號，我們有營業體系和APP滲透測試的營業，所以我們會考慮小程序同樣也會暴露如許的題目，我們通過開發后臺分析，羅列了許多開發者在實現小程序過程中會容易犯的錯誤，這跟傳統安全一樣，漏洞都是從這些錯誤上留下的。

題目：如今可以使用的小程序安全嗎？

王宇：這個題目問的好，可能也是用戶關心的題目，人無完人、金無足赤。我們團隊前不久剛好接了單微信小程序的滲透測試服務，由于我們接觸微信小程序，并且率先建立了完整的滲透測試方案，所以他們就找到了我們，不出料想的話這也可能是全行業個商業微信小程序滲透測試服務。但如你所問就很遺憾了，我們報告上是如許描述的，相干漏洞會讓攻擊者獲取悉數用戶數據，也就是我們所說的可以“拖庫”。

但是我們也必須要為這家廠商點贊，由于他們在上線微信小程序時把安全放在了很緊張的位置，先通過了我們的專業測試修復之后才上的線。但是我們無從知曉其它廠商的小程序是不是也如許做的，畢竟在小程序真的來到我們身邊時網站排名優化，許多客戶也意識到了這個營業增量的機會，苦逼的研發部門可能保證的就是定時上線而已。所曩昔不久銀監會叫停了金融機構的小程序，我覺得是有道理的，必須要嚴酷控制安全性。

題目：專業角度上看，小程序可能存在的安全性題目有哪些？

王宇：通過我們安全服務團隊結合小程序特點去做的大量分析，以及我們累積的應用安全經驗，開發者可能會在小程序編寫上存在SQL注入、越權訪問、文件上傳、CSRF、信息泄漏等等幾方面的緊張安全題目，我們如今出了一套安全檢測規范，就是為了避免開發者在代碼編寫時出現上述安全題目，專業的安全檢測，將會發現存在的題目。小程序確實是個很好的東西，但是在開發時肯定要把安全放到很緊張的位置去考慮，假如本身的團隊沒有這個能力，建議找專業安全團隊來做安全測試和把控，分外是在網絡安全法即將實施之前，肯定要衡量規避企業信息泄漏風險。

來源：北青網