我经常听到很多朋友问微信是否安全，他们会遇到什么样的攻击，是否有漏洞。事实上，这些问题在我们的日常生活中仍然很普遍。今天我们将为大家仔细介绍它们，希望能帮助更多的朋友解决这个问题。

微信小程序安全吗？

1.从应用到小应用，总会有漏洞吗？

小程序改变了业务前端实现的形式，但是基本的业务没有变化。所以对于小程序服务商而言，有两方面风险依然存在：小项目改变了业务前端实现的形式，但基本业务没有改变。因此，对于小型程序服务提供商来说，仍然存在两种风险:

Web界面漏洞。例如xss、csrf、各种越权等。这种漏洞就是服务架构本身。


 

商业功能中的逻辑漏洞。例如，订单数量可以任意修改，验证码可以返回，密码的设计缺陷可以被发现。这些也是后端服务本身的漏洞。

2.小应用程序堵塞了哪些漏洞？

微信小程序安全吗？传统应用程序 由于其复杂的代码和庞大的系统，客户经常有许多漏洞。目前，微信提供了一个界面，服务提供商只需调用微信的界面即可实现服务功能。这使得以前对应用 客户端的攻击失去了目标。

微信上运行的小程序。以前，人们担心应用程序客户端是否有漏洞。现在，人们需要关注微信小程序的安全性吗:。

拿一颗栗子。

应用客户端直接调用系统服务，所以许多漏洞都与系统版本相关，例如安卓网络视图漏洞和uxs漏洞。

以安卓为例，微信本身使用修改了Chrome内核的X5内核来修复webview远程代码执行漏洞，所以即使在 安卓系统的较低版本上，也不需要考虑这个漏洞的影响。

3.那么，关于腾讯自己的X5内核，如果发现新的漏洞，它们会影响小程序吗？

没错。理论上，小程序的脆弱性应该受到微信客户端本身的影响。例如，x5内核的新uxs漏洞可能会导致这些应用程序的敏感信息泄露。

4.我们能完全理解微信小程序的安全结构吗？

微信小程序是一个插件。

插件框架的基本特征是基本程序(微信)为插件(applets)提供服务。

在安卓系统上，小程序使用X5内核接口；

在iOS上，小程序使用JS核心接口。

接下来，让我们以iOS为例进行解释。

微信通过JS界面向小程序公开一些服务(如绘画)。

我理解的安全模型是:小程序环境->微信环境->系统环境。

5.那么，微信小程序的安全风险是什么？

因为微信主程序将通过JS界面向小程序公开指定的服务。如果小程序可以获得指定服务之外的信息(例如用户的资金余额等)。)，是信息披露。

简而言之，微信可以理解为浏览器，小程序可以理解为网页。如果执行小程序可以在微信上执行任何代码，那就是传统的远程代码执行。


 

例如:

1)攻击微信。

理论上来说，如果可以突破小程序的执行环境(JS)，在微信主程序中获得代码执行，就成功制造了代码执行的漏洞，如：执行一个小程序，就可以往任意群中发红包。理论上，如果我们能够突破小程序的执行环境，在微信主程序中获得代码执行，我们将成功地在代码执行中制造漏洞。例如，如果我们执行一个小程序，我们可以向任何组发送红包。

2)在小程序之间实施跨站点攻击。

可能还有其他类型的漏洞来实施跨站点攻击。例如，从一个小程序中访问其他小程序的数据。

当然，iOS和安卓的实现也可能不同，攻击面也可能不同。

3)攻击操作系统。

由于安全环境框架:applet环境->微信环境->系统环境。所以理论上有这种可能性:

与系统漏洞相结合，有可能用一个恶意的小程序逃离监狱，而不需要用户安装应用程序。(当然，带着一个小项目越狱可能很少见。)

6.这些攻击发生的可能性有多大？

上述攻击可能需要极强的攻击能力。然而，在真实场景中，许多攻击可能来自脚本小子。攻击效果可能不像上面提到的那样严重，据估计他们中的大多数只是得到一些信息。

7.微信预计将采取什么措施来应对可能的威胁？

所有微信小程序肯定会被微信审计。理论上，恶意小程序不会被上架。

当然，苹果不会允许恶意程序上架，但有些人已经成功将盘古9.3的escape程序上传到 AppStore，尽管它很快就会下架。这里的问题是微信可能无法自动检测到一些恶意程序，或者审计人员的专业背景可能不太强。

基本攻击路径是:微信小程序安全吗？攻击小程序后，再通过小程序实现中的漏洞攻击微信。因此，根据这个原则，微信应该为小程序创建一个沙箱环境。目前还不知道微信是否会这么做。

8.那么，我们需要担心黑客通过微信小程序窃取我的红包吗？

目前，这是没有必要的。

通过以上介绍，你现在知道微信小程序的安全性了吗？因为这是腾讯自己的产品，所以很多礼炮都会放在安全的地方，同时用户的安全也会得到保证。因此，如果您当前正在使用小程序，您不必担心，因为小程序仍然相对安全。