从事北京微信小程序开发已经非常多年了,对于一个完整的web安全体系测试可以从布置与基础结构、输入验证、身份验证、授权、配置管理(guǎn lǐ)、敏感数据(data)、绘画管理、加密、参数操作控制、一场管理、审核以及日志记录等多个方面入手。北京微信小程序制作公司目的是通过微信小程序达到开展网上营销、展示个人兴趣爱好、搭建各类社区平台,实现电子商务等多种目的;建微信小程序从出现时被大家认可的产业,已经成为社会不可替代的产物。北京微信小程序制作前期准备包括了前期微信小程序定位、内容差异化、页面沟通等战略性调研,这些确立后,再去注册域名、租用空间、微信小程序风格设计、微信小程序代码制作五个部分,这个过程需要微信小程序策划人员、美术设计人员、WEB程序员共同完成。微信小程序是企业展示自身形象、发布产品信息、联系网上客户的新平台、新天地,进而可以通过电子商务开拓新的市场,以极少的投入获得极大的收益和利润。北京微信小程序开发包括域名注册查询、微信小程序策划、北京微信小程序设计、微信小程序功能、微信小程序优化技术、微信小程序内容整理、微信小程序推广、微信小程序评估、微信小程序运营、微信小程序整体优化、微信小程序改版等。下面北京微信小程序开发就来分享一下对于微信小程序安全性测试的一点想法。
数据加密:有写数据是需要进行信息的加密以及过滤之后才能进行数据传输的,比如用户信息,用户的登录帐号以及密码等,所以此时需要进行其他的操作,储存数据、解密发送要用户的电子邮箱或者客户的浏览器,如前的加密算法是越来越多了,但是一般数据加密的过程是可逆的,也就是说可以进行加密,同时也需要解密。
登录:一般的应用微信小程序都会使用登录或者注册后使用的方式,因此,必须对用户名和匹配的密码进行校验,以阻止非法用户登录。在进行登陆测试的时候,需要考虑输入的密码是否对大小写敏感、是否有长度和条件限制,最多可以尝试多少次登录,哪些页面或者文件需要登录后才能访问/下载等。
超时限制:WEB应用系统需要有是否超时的限制,当用户长时间不作任何操作的时候, 需要重新登录才能使用其功能。
SSL:越来越多的微信小程序使用SSL安全协议进行传送。SSL是Security Socket Lauer(安全套接字协议层)的缩写,是由Netscape首先发表的网络数据安全传输协议。SSL是利用公开密钥/私有密钥的加密技术。(RSA),在位于HTTP层和TCP层之间,建立用户与服务器之间的加密通信,确保所传递信息的安全性。SSL是工作在公共密钥和私人密钥基础上的,任何用户都可以获得公共密钥来加密数据,但解密数据必须要通过相应的私人密钥。进入一个SSL微信小程序后,可以看到浏览器出现警告信息,然后地址栏的http变成 httPHOTOSHOP,在做SSL测试的时候,需要确认这些特性,以及是否有时间链接限制等一系列相关的安全保护。
服务器脚本语言:脚本语言是常见的安全隐患。每种语言的细节有所不同。有些 脚本允许访问根目录。其他只允许访问邮件服务器,但是经验丰富的黑客可以将服务器用户名和口令发送给他们自己。找出微信小程序使用了哪些脚本语言,并研究该语言的缺陷。还要需要测试没有经过授权,就不能在服务器端放置和编辑(Editor)脚本的问题。最好的办法是订阅一个讨论微信小程序使用的脚本语言安全性的新闻组。
注:黑客利用脚本允许访问根目录的这个安全隐患特性攻击微信小程序。这个微信小程序包含了脚本代码(code)(有允许访问根目录的特性)就可能(maybe)有这个安全隐患。
