小程序安全检测一

1、明文或弱加密传输用户名、密码和验证码等敏感信息

整改优先级：高

问题描述：用户登录过程中，在与服务器端交互时明文或弱加密传输用户名、密码或者验证码等，可导致用户敏感信息泄露。

检测方法：利用burpsuite对被测应用进行监听，点击登录或修改密码，请求将被网络抓包工具监听拦截，如果网络包中敏感信息使用了明文或者MD5、Base64等弱加密方式进行传输，则该处具有风险。

检查工具： Fiddler、Burpsuite等。

整改建议：在被测应用与服务器交互过程中，对用户名、密码和验证码等敏感信息进行有效加密传输。

2、未使用有效的Token机制，导致可以绕过鉴权

整改优先级：高

问题描述：如果被测应用没有使用有效的Token机制，对登陆响应中的服务器返回的鉴权信息进行修改，即可绕过服务器鉴权，直接访问系统内部信息。

检查方法：

1. 利用网络抓包工具监听登陆响应，对登陆响应中的服务器返回的鉴权信息进行修改。
2. 修改后成功绕过登录界面，进入应用界面。

检查工具：Fiddler、BurpSuite等

整改建议：使用有效的Token机制进行鉴权。

3、文件上传漏洞

整改优先级：高

问题描述：如果小程序中存在上传接口，且接口没有严格限制上传文件格式，则该处可能被恶意上传木马文件，导致服务器被控。

检查方法：利用网络抓包工具对被测应用进行监听。对具有上传功能的模块进行抓包，修改请求中的文件后缀名，看是否能成功上传。

整改建议：客户端限定文件上传格式，服务器对上传文件格式进行检测，不使用已知存在漏洞的低版本编辑器，不授予上传文件目录下文件可执行权限。

这篇好文章是转载于：学新通技术网