微信小程序已經(jīng)刷爆朋友圈，當(dāng)然，有些時(shí)候，關(guān)于互聯(lián)網(wǎng)的安全總是走在前線，那么微信小程序有漏洞嗎？信小程序會(huì)成為黑客盜紅包的通道嗎？文中小編將會(huì)為大家?guī)?lái)解答。

微信小程序有漏洞嗎？

為了搞清這個(gè)問(wèn)題，咨詢了幾位黑客大牛，整理回答如下：

1、從App到小程序，有一些漏洞會(huì)一直存在吧？

小程序改變了業(yè)務(wù)前端實(shí)現(xiàn)的形式，但是基本的業(yè)務(wù)沒(méi)有變化。所以對(duì)于小程序服務(wù)商而言，有兩方面風(fēng)險(xiǎn)依然存在：

Web接口的漏洞。例如xss、csrf、各類越權(quán)等等。這類是服務(wù)構(gòu)架本身的漏洞。

業(yè)務(wù)功能的邏輯漏洞。例如：訂單額任意修改，驗(yàn)證碼回傳、找回密碼設(shè)計(jì)缺陷等等。這些也是后端服務(wù)本身的漏洞。

2、小程序堵上了哪些漏洞的可能？

傳統(tǒng)的App客戶端，由于代碼比較復(fù)雜，體系比較大，經(jīng)常存在很多漏洞。現(xiàn)在，由微信提供接口，服務(wù)商只需要調(diào)用微信的接口就可以實(shí)現(xiàn)服務(wù)功能。這使得以前針對(duì)App客戶端的攻擊行為失去了對(duì)象。

小程序跑在微信中，以前人們關(guān)心App客戶端手否存在漏洞，現(xiàn)在人們需要關(guān)心微信是否安全了。

【小程序和微信的關(guān)系，類似于App和系統(tǒng)的關(guān)系】

舉個(gè)例子。

App客戶端會(huì)直接調(diào)用系統(tǒng)服務(wù)，所以漏洞很多跟系統(tǒng)版本相關(guān)，比如Android的webview漏洞，uxss漏洞等。

以Android為例，微信自己使用的是修改了Chrome內(nèi)核的X5內(nèi)核，修復(fù)了webview遠(yuǎn)程代碼執(zhí)行漏洞，所以即使在低版本的Android系統(tǒng)上也不用考慮這個(gè)漏洞的影響。

3、那么對(duì)于騰訊自己的X5內(nèi)核，如果爆出了新的漏洞，是否會(huì)影響小程序呢？

沒(méi)錯(cuò)。理論上說(shuō)，小程序的漏洞應(yīng)該會(huì)受微信客戶端本身的影響，比如出現(xiàn)了一個(gè)x5內(nèi)核新的uxss漏洞，有可能就能造成這些應(yīng)用的敏感信息泄露。

4、是否可以完整科普一下微信小程序的安全結(jié)構(gòu)呢？

微信小程序是一種插件。

插件框架的基本特點(diǎn)是：基礎(chǔ)程序（微信）提供服務(wù)給插件（小程序）。

在Android上，小程序使用X5內(nèi)核接口；

而在iOS上，小程序使用的是JS Core接口。

接下來(lái)我們以iOS為例進(jìn)行解釋。

微信是通過(guò)將一些服務(wù)（比如：繪圖等）通過(guò)JS接口暴露給小程序。

我理解的安全模型是：小程序環(huán)境---微信環(huán)境---系統(tǒng)環(huán)境。

【小程序安全模型：小程序環(huán)境---微信環(huán)境---系統(tǒng)環(huán)境】

5、那么，對(duì)于微信小程序來(lái)說(shuō)，存在哪些安全風(fēng)險(xiǎn)呢？

由于微信主程序會(huì)通過(guò)JS接口向小程序暴露規(guī)定的服務(wù)。如果小程序可以獲取到規(guī)定服務(wù)外的信息（比如：用戶的錢(qián)余額等）即是信息泄露。

總之，可以將微信理解成瀏覽器，將小程序理解成網(wǎng)頁(yè)。如果執(zhí)行小程序可以在微信中執(zhí)行任意代碼，就是傳統(tǒng)意義上的遠(yuǎn)程代碼執(zhí)行。

例如：

1）攻擊微信。理論上來(lái)說(shuō)，如果可以突破小程序的執(zhí)行環(huán)境（JS），在微信主程序中獲得代碼執(zhí)行，就成功制造了代碼執(zhí)行的漏洞，如：執(zhí)行一個(gè)小程序，就可以往任意群中發(fā)紅包。

【通過(guò)拿到微信主程序代碼權(quán)限而攻擊紅包功能】

2）實(shí)現(xiàn)小程序之間的跨站攻擊。可能還存在一些其他類型的漏洞，實(shí)現(xiàn)跨站攻擊。例如從一個(gè)小程序訪問(wèn)了其他小程序的數(shù)據(jù)。

【通過(guò)拿到微信主程序代碼權(quán)限而攻擊紅包功能】

2）實(shí)現(xiàn)小程序之間的跨站攻擊。可能還存在一些其他類型的漏洞，實(shí)現(xiàn)跨站攻擊。例如從一個(gè)小程序訪問(wèn)了其他小程序的數(shù)據(jù)。

【腦洞：通過(guò)小程序，一步步占領(lǐng)系統(tǒng)控制權(quán)】

6、以上的這些攻擊方法，出現(xiàn)的可能性有多大呢？以上所說(shuō)的攻擊可能需要極強(qiáng)的攻擊能力。但是真實(shí)的場(chǎng)景下，可能很多攻擊都來(lái)自腳本小子。攻擊效果不一定會(huì)到如上所說(shuō)的那么嚴(yán)重，估計(jì)大多數(shù)也就是獲取一些信息。

7、預(yù)計(jì)微信會(huì)做哪些措施來(lái)對(duì)抗可能存在的威脅呢？所有微信小程序一定會(huì)接受微信的審核。理論上惡意小程序是不會(huì)被上架的。

當(dāng)然，蘋(píng)果也不會(huì)允許惡意程序上架，但是還有有人成功把Pangu 9.3的越獄程序成功上傳到AppStore，雖然很快就下架了。這里的問(wèn)題是，微信可能無(wú)法自動(dòng)檢測(cè)出某些惡意程序，或者審核人員的專業(yè)背景可能沒(méi)有那么強(qiáng)。

基本的攻擊路徑是：攻擊了小程序后，然后通過(guò)小程序?qū)崿F(xiàn)方面的漏洞進(jìn)而攻擊微信。所以按道理，微信應(yīng)該為小程序創(chuàng)建一個(gè)沙盒環(huán)境，不知道微信是否這樣做。

微信小程序會(huì)成為黑客盜紅包的通道嗎？

目前看來(lái)，沒(méi)這個(gè)必要。

根據(jù)以往的經(jīng)驗(yàn)，騰訊在自身產(chǎn)品的安全性上，會(huì)投入巨大的精力。而對(duì)于皇冠級(jí)產(chǎn)品微信，相信騰訊更是不敢有絲毫疏漏。就在小程序退出的當(dāng)天，TSRC（騰訊安全應(yīng)急響應(yīng)中心）也發(fā)布了英雄帖《微信小程序如約而至，安全需要你的守護(hù)》，宣布即日起到2017年1月20日，“重金”收集有關(guān)微信小程序的漏洞和威脅情報(bào)。