wx.request接口单一参数请求,是否有遍历风险?
如图所示,小程序端通过wx.loging()获取code之后,通过wx.request()将code发送给后台,
这里我们的安全同事认为code是单一参数,存在遍历的风险
请问一下微信端生成的code,这里是否存在遍历,蒙出一个正确的code,从而实现越权的情况?
2 回复
code5分钟有效,code为32个字符,不大可能试出来,code生成也会和appid有关的,认为
如图所示,小程序端通过wx.loging()获取code之后,通过wx.request()将code发送给后台,
这里我们的安全同事认为code是单一参数,存在遍历的风险
请问一下微信端生成的code,这里是否存在遍历,蒙出一个正确的code,从而实现越权的情况?
code5分钟有效,code为32个字符,不大可能试出来,code生成也会和appid有关的,认为