刚上线第一天就出漏洞,不敢想之后是什么情况。
(不会插图,当我发广告吧 http://www.4hou.com/technology/2936.html )
1 月 9 日微信小程序正式上线,铺天盖地的各类评测、使用、分析甚至是授课培训之类的文章风一般席卷你所能看见的几乎所有媒体、社交平台。
小程序在出生前就被一片看好——“可以替代极大占用内存的 APP ”、“低廉的开发成本与低消耗的时间成本”等声音早已充斥整个互联网。在这种全方位‘利好’的形势下,很多大公司小公司都不愿放弃这样一个免费入口的机会,想必小程序还将在将来几个月持续红火。
微信小程序的优势:它存在的你知道的和你看见的
微信小程序工作在微信整体的框架中呈现,相比一些分发平台和 APP 、传统网站有以下几个优势:
风险都是我们很讨厌的东西,他总是在最不恰当的时候到来,比如正要下班回家被一通电话叫回单位,或是刚刚发布了个新版本准备出去散个心,火车上接到电话要处理问题。风险就像撕不开甩不走的狗皮膏药,让人不论做什么事情的时候心里总是悬着,总感觉做点什么大事业为什么就那么难。
其实我在做了这么多年的业务风控后,有一个非常直接的感受,尽管处理风险的人总是苦口婆心的讲:任何业务的变动都等同的伴随着机遇和风险,做任何业务改动一定要谨慎,多跟安全来讨论,但业务角度来讲往往眼睛只看着机遇,而选择性忽略风险。
小程序的上线就可以看作是一个业务上的变动,有了一个新的入口,所有人都在高喊小程序要改变行业格局的时候,笔者默默的打开了几个小程序检查一下,结果不出所料发现了几例非常常见的撞库风险:
在今天上线的众多小程序登录页面中我们都需要面对一个选项——是否同意小程序“获得你的公开信息(昵称、头像等)”、是否同意小程序“获取你的地理位置”。如果不同意,部分小程序就无法进行体验或使用了。
而在选择同意并进入页面之后,一些存在注册、登录、绑定操作的小程序,是否能够保证我们帐号的安全?是否会让有心人士有利可图?
什么是撞库?
撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在 A 网站的账户从而尝试登录 B 网址,这就可以理解为撞库攻击。
有一定技术了解的人应该比较清楚,首先这个某家公司的小程序登录接口用了 http ,导致我们可以简单的通过代理抓包提取这个登录接口的请求内容,然后构造不同的手机号码和密码组合就可以尝试撞库了,发现类似问题的公司到对应的手机 APP 和官网上看,其实都已经做了比较完善的风控措施,但因为一个新登录入口的引入而又没有考虑周详,原本坚固的风控体系一下子就变的形同虚设了。
如果你的产品已经不再迭代了、不出新功能了、外部大环境也基本不动了,那么出现风险的概率是很低的。风险这个东西特别喜欢人们仓促匆忙的做一些事情,互联网时代需求瞬息万变,用户忠诚度低,一个趋势跟不上就有被淘汰的危险, BAT 都不敢松懈,小体量的公司更是举着业务优先的大旗一路高歌猛进,安全往往只是停留在一个概念上,甚至连概念都没有,等业务量上来了再说呗。
但国内的互联网业务现状我只能用一个字:乱 来形容,原因也很简单,我们的产品打磨周期实在是太短了,留给产品研发上线的时间是按天来计的,造成的结果就是往往面上的工作做好了,该有的概念都有,结果引擎盖下面各种乱七八糟的拼凑,看着外观挺炫,能不能用稳不稳定真要打个大大的问号。
这种乱给了黑灰产生存的必要条件,不断的侵蚀企业的利润空间,甚至有能力把一些抵抗能力比较低的企业扼杀在早期,比如那些个使用条件多到令人发指的优惠卷,普通消费者永远是理不清楚的,但黄牛却能把各种折扣优惠理个门清,直接告诉消费者我比官网便宜多少,到最后消费者拿到了实惠,企业缺只留下了一堆黄牛帐号,当无力继续烧钱的时候草草关张。
互联网的草莽时代早已经过去了,笔者曾经做过这样的预测,接下来的市场拼的是精细化运营能力和风险抵御能力,谁更能从地板缝里扣钱出来,就能活的更久更长,而黑灰产链条的形成,意味着任何粗暴的生长模式都会被他们啃干净,什么都留不下。
无论对于互联网企业、用户还是黑灰产业链条上的人,微信小程序无疑都是一个崭新的、巨大的入口,也是每个使用者需要去面对、去规避可能存在的风险。
1
ykwlv 2017-01-09 17:56:02 +08:00
楼主是来卖萌的?
|
2
airyland 2017-01-09 17:56:54 +08:00
疑惑,小程序不是强制接口请求 https 么
|
4
mind3x 2017-01-09 18:05:49 +08:00
对 oauth2 一点概念都没有的人来谈什么撞库,来搞笑的吗
|
5
ahkxhyl 2017-01-09 18:06:16 +08:00
想不通 小程序 咋撞库 跟 撞库不沾边 好吧~~
|
6
ryannnnn OP @ahkxhyl "而在选择同意并进入页面之后,一些存在注册、登录、绑定操作的小程序,是否能够保证我们帐号的安全?是否会让有心人士有利可图?"
|
7
llopppp 2017-01-09 18:13:27 +08:00
楼主确实是来卖萌的...小标题都看不懂...
|
8
xycool 2017-01-09 18:21:11 +08:00
哦
|
9
jimwoo 2017-01-09 18:23:03 +08:00
楼主确实是来卖萌的 +1
简单来说,每个商家获取同一个用户的 id 都是不一样的。 A 商家获取 A 用户: ksadjflajslkfjalsghaskjdhgkalshfsal_ B 商家获取 A 用户:但撒了快解放啦睡觉啦放假啊燊;了;;; |
10
loading 2017-01-09 18:24:14 +08:00 via Android 2
楼主,你这个号算是费了,希望你近期没在找工作。
|
11
cxh116 2017-01-09 18:25:09 +08:00 1
|
13
vanxy 2017-01-09 18:29:05 +08:00
楼主逻辑有点跳脱啊
|
14
ahkxhyl 2017-01-09 18:29:37 +08:00
其实就是个 app~
|
16
ipconfiger 2017-01-09 18:33:18 +08:00
吓得我的瓜子都掉了
|
17
kchum 2017-01-09 18:33:27 +08:00
我以为我火星了。。。原来我并没有。。。
|
18
badec 2017-01-09 18:34:31 +08:00
典型的朋友圈文学。保佑楼主最近没在求职。
|
19
swulling 2017-01-09 18:35:39 +08:00 via Android
LZ 的无知令人惊讶,更厉害的竟然能扯这么多…
|
20
612 2017-01-09 18:39:16 +08:00 via iPhone
你们吓得楼主都不敢说话了。。。
|
21
x86 2017-01-09 18:57:11 +08:00 via Android
一本正经的胡说八道
|
22
onionnews 2017-01-09 19:06:06 +08:00 via Android
QQ 和微博授权登录都多少年了
|
23
kmyzzy 2017-01-09 19:09:15 +08:00
都散了吧,我估计这篇文章是机器自动生成的。
|
24
piaoliu 2017-01-09 19:32:52 +08:00
我来吐槽下为毛整段话只有一个句号。。 语文老师哭瞎了
|
25
skydiver 2017-01-09 20:03:13 +08:00
只能说 lz 的语文水平不太好,说了这么多没说明白意思。
楼上 @cxh116 解释的就很清楚了,如果一个小程序在你授权登录之后,让你注册,很多人就输入和微信同样的手机号和密码了,这样第三方就可以拿这个数据去撞微信登录。 不过我觉得微信应该会处理这种小程序吧,不会允许小程序再让用户注册。 |
26
skydiver 2017-01-09 20:03:54 +08:00
全文中只有这么一句话是有用的
> 而在选择同意并进入页面之后,一些存在注册、登录、绑定操作的小程序,是否能够保证我们帐号的安全?是否会让有心人士有利可图? |
27
falcon05 2017-01-09 20:37:15 +08:00 via iPhone
这标题,我还以为楼主黑掉了微信小程序
|
29
Jaylee 2017-01-09 20:40:09 +08:00
典型的读书不多而想的太多
|
30
killsting 2017-01-09 20:42:19 +08:00 via iPhone
说的什么鬼,胡说八道。
|
31
simonlei 2017-01-09 22:19:53 +08:00
典型的读书不多而想的太多
|
32
jamessdo 2017-01-09 22:53:42 +08:00
要真拿微信的手机号和密码来注册,那登陆微信也要手机收验证码。。(好久没重新登陆了,应该没记错:)
|
33
hebeiround 2017-01-10 07:16:25 +08:00 via iPhone
不需要单独注册的小程序应该是 oauth 。
需要的单独注册的小程序,即使没有小程序,也可以来撞库。 |
34
firefox12 2017-01-10 10:01:54 +08:00
@cxh116 早说过了 不是产品经理没脑子,是他们清楚 大公司是个什么德性。如果不继续注册一次,很可能那一天一封,你除了一堆垃圾 id 就什么都没有了。如果你认为世界上这些人都很蠢,那建议你自己检查一下自己。因为人的智商都是差不多的。
|
35
harrysun 2017-01-13 10:59:10 +08:00
其实就是个 web 还浪费 流量
|