发现小程序前端代码安全问题
发布于 5 年前 作者 haofang 2733 次浏览 来自 问答

由于手持弹幕被过多人抄袭阻挡我们迭代得路径,我们对微信前端代码进行了一次安全性测试。

发现通过抓包方式可以获取前端代码及密钥,感到非常危机。

一下为破解结果。

另附,反馈系统得交互设计·由于输入框太大, 我会先输入内容,再选择问题  而不是先选择问题在输入内容。

10 回复

通过代理抓包实现抓取而已,至于楼主说的拿到前端代码及密钥,这个是网络传输的一个历史问题了WEB都可以直接破译.

所以比较关键的资料,我们一般是通过本地加密后进行传输,然后服务端解密入库.加密解密算法很多网上可以查直接copy

一些是可以被抓包抓到的,一些重要的就抓不了了

这应该不算吧…你用抓包工具抓的https 是需要设备安装证书授权信任的,所以秘钥数据泄露的问题不存在,你难道是担心源码泄露吗?

目测是fiddler抓包,然并卵。

小程序的代码都可以弄到何况数据

就这样抓取得啊  过程当然不能说

这就是 你们的手持 弹幕吧 ,我就花了 几秒钟 就到手了,其他所有程序都一样。 这个问题我反馈给 官方了。 期待官方的 改善

你这看到了一部份,我看tx 什么时候修复, 所有小程序的源码 都可以被人轻易搞到,看看tb上那些缩了变量名的 源码,打包是 不能 加点密吗?,page-frame.html 不能 换换形式?

https有啥不能抓的……理论上只要手机选择信任一个自己签发的证书就可以了

具体可以看charles

不是https的吗,你们怎么抓到的?

回到顶部