发现小程序前端代码安全问题
由于手持弹幕被过多人抄袭阻挡我们迭代得路径,我们对微信前端代码进行了一次安全性测试。
发现通过抓包方式可以获取前端代码及密钥,感到非常危机。
一下为破解结果。
另附,反馈系统得交互设计·由于输入框太大, 我会先输入内容,再选择问题 而不是先选择问题在输入内容。
10 回复
通过代理抓包实现抓取而已,至于楼主说的拿到前端代码及密钥,这个是网络传输的一个历史问题了WEB都可以直接破译.
所以比较关键的资料,我们一般是通过本地加密后进行传输,然后服务端解密入库.加密解密算法很多网上可以查直接copy
一些是可以被抓包抓到的,一些重要的就抓不了了
这应该不算吧…你用抓包工具抓的https 是需要设备安装证书授权信任的,所以秘钥数据泄露的问题不存在,你难道是担心源码泄露吗?
目测是fiddler抓包,然并卵。
小程序的代码都可以弄到何况数据
就这样抓取得啊 过程当然不能说
这就是 你们的手持 弹幕吧 ,我就花了 几秒钟 就到手了,其他所有程序都一样。 这个问题我反馈给 官方了。 期待官方的 改善
你这看到了一部份,我看tx 什么时候修复, 所有小程序的源码 都可以被人轻易搞到,看看tb上那些缩了变量名的 源码,打包是 不能 加点密吗?,page-frame.html 不能 换换形式?
https有啥不能抓的……理论上只要手机选择信任一个自己签发的证书就可以了
具体可以看charles
不是https的吗,你们怎么抓到的?