认识于闯:“小而美”小程序渗透测试

春风暖暖身子，两会在温暖的阳光下落下帷幕。在此期间，网络安全是一个备受关注的热点话题。十二届全国人大五次会议副秘书长傅莹在新闻发布会上介绍，今年的网络安全执法检查将全面开展，其中一个重点关注点就是加强个人信息保护。

随着“微信小程序”的普及，其安全问题不容小觑。为了贡献自己的力量，我知道于闯有义务在两会期间为党政机关、企事业单位提供“微信小程序”安全测试。

安全专家于超在安全测试中，发现一家大型企业的小程序存在遍历漏洞。导致大量平台用户信息和订单信息泄露。

于超表示，在测试小程序时发现，获取用户订单列表时直接使用PassportId参数进行查询，没有验证查询参数PassportId是否与查询者的会话匹配，导致通过修改PassportId值来获取其他用户的订单列表，从而获取用户信息。

于超建议，针对这一问题，在获取用户数据时应加入会话认证，只能读取当前登录用户的订单信息，有效避免个人信息泄露。

通过安全服务团队结合小程序特点进行的大量分析，发现开发人员在编写小程序时可能存在严重的安全问题，如SQL注入、未经授权访问、文件上传、CSRF信息泄露等。这会对小程序开发者和小程序用户造成严重损害，包括经济性、用户信息、信任度等。甚至可能导致程序不可用。例如，在开发一个带有查询功能的小程序时，这样写：

Sqlinjection.js代码