您小程序了吗？ 专家一语道破小程序安全本质

1月9日，微信推出的“小程序”正式上线。“小程序”是一种无需安装，即可使用的手机“应用”。不需要像往常一样下载APP，用户在微信中“用完即走”。微信团队微信团队的创新向来以谨慎闻名，但是小程序做为微信诞生以来最大的功能更新，还是火遍了互联网圈……

▲知道创宇安全服务部总监王宇

问题：小程序最近很火，为什么？

王宇：确实很火，因为大家都在说小程序，但褒贬不一，这跟整个互联网生态有关，解读的角度不同，观点也就不同，但是大多是趋利的，个人觉得这可能会让张小龙感到失望，当然还有一些持观望态度的人。不能不说的是，现在正式上线的小程序在我看来还属于试水阶段，所以我相信这些不同的声音刚好可以让微信团队得以很好的借鉴，将来把小程序做的更好。我个人坚信这一方向是正确的，核心的点就是轻量化应用去满足用户需求，因为以用户需求为出发点永远不会是错的。但是在客户端，真的是要认清APP和小程序真正的区别，我相信未来肯定会有一大批优秀的小程序让大家实际体会到。

问题：您怎样考量小程序的安全性问题？

王宇：APP到小程序，行业在安全性上做了大量的分析，归根结底是什么？其实就是那个不变的真理，没有任何一套系统敢说自己100%安全。但是从转变的过程来看，这种平台化的做法厂商所承担的风险是在降低的，微信端为厂商承担了一部分，小程序在规避跨站脚本类风险方面具备天然优势，更因为腾讯SRC的存在，各大安全厂商也是腾讯SRC的合作伙伴，包括连年获得优秀合作伙伴的知道创宇，所以选择微信平台比自建平台更安全也不会错。

但重要的问题是在新的领域，都有一个认知的过程，因为最终的安全还是要自己负责。这个时候我们就回到了传统安全领域最常见的问题，如果安全落后于产品，问题可能就会来。在小程序的开发过程中，我们知道创宇也最先拿到了内测账号，我们有业务系统和APP渗透测试的业务，所以我们会考虑小程序同样也会暴露这样的问题，我们通过开发后台分析，罗列了很多开发者在实现小程序过程中会容易犯的错误，这跟传统安全一样，漏洞都是从这些错误上留下的。

问题：现在可以使用的小程序安全吗？

王宇：这个问题问的好，可能也是用户最关心的问题，人无完人、金无足赤。我们团队前不久刚好接了单微信小程序的渗透测试服务，因为我们最早接触微信小程序，并且率先建立了完备的渗透测试方案，所以他们就找到了我们，不出意料的话这也可能是全行业第一个商业微信小程序渗透测试服务。但如你所问就很遗憾了，我们最终的报告上是这样描述的，相关漏洞会让攻击者获取全部用户数据，也就是我们所说的可以“拖库”。

但是我们也必须要为这家厂商点赞，因为他们在上线微信小程序时把安全放在了很重要的位置，先通过了我们的专业测试修复之后才上的线。但是我们无从知晓其它厂商的小程序是不是也这样做的，毕竟在小程序真的来到我们身边时，很多客户也意识到了这个业务增量的机会，苦逼的研发部门可能最先保证的就是准时上线而已。所以前不久银监会叫停了金融机构的小程序，我觉得是有道理的，必须要严格控制安全性。

问题：专业角度上看，小程序可能存在的安全性问题有哪些？

王宇：通过我们安全服务团队结合小程序特点去做的大量分析，以及我们累积的应用安全经验，开发者可能会在小程序编写上存在SQL注入、越权访问、文件上传、CSRF、信息泄露等等几方面的严重安全问题，我们现在出了一套安全检测规范，就是为了避免开发者在代码编写时出现上述安全问题，专业的安全检测，将会发现存在的问题。小程序确实是个很好的东西，但是在开发时一定要把安全放到很重要的位置去考虑，如果自己的团队没有这个能力，建议找专业安全团队来做安全测试和把控，特别是在网络安全法即将实施之前，一定要衡量规避企业信息泄露风险。