近年来,微信小程序发展迅速,带来便利的同时也暴露了较为突出的安全隐患。近日国家互联网应急中心(CNCERT/CC)在其官网发布《2020年中国互联网网络安全报告》。
报告对国内50个银行发布的小程序进行了安全检测。
检测结果显示,微信小程序数据泄露风险较为突出,平均一个小程序存在八项安全风险,超过90%的小程序在程序源代码暴露关键信息和输入敏感信息时未采取防护措施;超过80%的小程序未提供个人信息收集协议;个人信息在本地储存和网络传输过程中未进行加密处理的小程序超过60%;少数小程序则存在较严重的越权风险。
Windows10是勒索病毒感染最多的系统
网络安全报告显示,Windows10为被勒索病毒感染最多的系统,占比34.4%。其次是Windows7和Windows Server 2008 分别占比32.2%和17.6%。
报告显示,全年捕获勒索病毒软件78.1万余个,较2019年同比增长 6.8%。勒索病毒逐渐从“广撒网”转向定向攻击,表现出更强的针对性,攻击目标主要是大型高价值机构。
勒索病毒的技术手段不断升级
利用漏洞入侵过程以及随后的内网横向移动过程的自动化、集成化、模块化、组织化特点愈发明显,攻击技术呈现快速升级趋势。
勒索方式持续升级,勒索团伙将被加密文件窃取回传,在网站或暗网数据泄露站点上公布部分或全部文件,以威胁受害者缴纳赎金。例如我国某互联网公司就曾遭受来自勒索团伙Maze实施的此类攻击。
勒索病毒家族传播方式主要利用,垃圾邮件、钓鱼邮件、 水坑网站等方式传播,诱导受害者下载运行勒索病毒。
小程序使用SSL证书
所以为了保护用户数据安全,微信小程序在上线之初就强制要求小程序服务端必须使用HTTPS加密协议,通过HTTPS请求进行网络通信,若不满足条件的域名和协议无法请求。
微信小程序要求HTTPS请求
为了保护小程序应用安全,微信小程序也设置诸多的限制,如官方的需求文档要求,每个微信小程序必须事先设置一个通讯域名,并通过HTTPS请求进行网络通信,不满足条件的域名和协议无法请求。
因此开发者应先准备好配置好HTTPS证书的域名,实现服务器端HTTPS请求,就需要在服务器端配置SSL证书实现。
SSL证书在小程序扮演的什么角色?
SSL证书其实在小程序应用开发中并不会直接使用,因为SSL证书是需要安装到服务器,然后启动HTTPS://协议的抬头,该协议要符合ATS的一个标准,主要是指被信任的HTTPS协议才可以调用开发在小程序中。
他们的只要的关系就是小程序数据的传输调用的安全。
小程序使用的html5网页技术开发,特点是兼容性强,可以在线应用、不需要安装、用完就可以关闭。
但互联网常见的主要网络协议是HTTP明文传输协议,如果使用该协议进行小程序的数据交互工作,会让个人与服务器数据暴漏在危险中。
HTTP明文传输属于不安全协议,不能给服务器小程序进行校验,更不能给服务器提供安全传输,所以通过HTTP传输的协议数据存在风险!
微信小程序在2018年呈现出爆发趋势,背靠微信10亿日活流量,累积用户数超过4亿。曾经不被业界看好的轻应用模式,如今已变成互联网企业不可忽视的流量平台。
微信小程序从上线之初就强制要求HTTPS加密,想通过微信小程序收割新的流量,为小程序配置HTTPS加密是各行业开发者绕不开的技术门槛。
声明:本网站发布的图片均以转载为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。本站原创内容未经允许不得转载,或转载时需注明出处:GDCA数安时代
《报告》90%的小程序存在安全隐患
发布日期:2021-08-25
上一篇:20%中小企业遭到黑客攻击,企业应如何保护网站安全?
下一篇:警惕邮件中的发票链接