[转]微信小程序安全浅析

本文转自：http://blog.csdn.net/baize_security/article/details/54582854

引言

近期微信小程序重磅发布，在互联网界掀起不小的波澜，已有许多公司发布了本身的小程序，涉及不一样的行业领域。你们在体验小程序用完即走便利的同时，是否对小程序的安全性还存有疑虑。白泽日前对微信小程序进行初步的安全技术分析，在此整理出来抛砖引玉，若有描述不当的地方，欢迎纠正，轻拍。

本文中，大白将从小程序的框架、功能模块安全、帐户使用安全方面进行剖析，但愿能为各位泽友带来不同的认知。

1、小程序框架概述

在第一部分小程序框架概述中，将介绍小程序抽象框架、小程序调用框架和小程序初始化流程。下面让大白来逐一介绍。

一、小程序抽象框架

1.1视图层

包含WXML、WXSS和页面视图组件。

WXML是一种相似XML格式的语言，支持数据绑定、条件渲染、列表渲染、自定义模板、事件回调和外部引用；

WXSS是一种相似CSS格式的语言，用于描述WXML的组件样式，决定WXML中的组件如何显示；

组件是框架提供的一系列基础模块，是视图层的基本组成单元，包含表单组件、导航、地图、媒体组件等经常使用元素，如图1说明当前小程序支持的的视图组件；

图1 小程序视图组件

1.2逻辑接口

包含小程序注册、页面注册和功能API。程序注册代码位于app.js，页面框架注册位于app.json，如图2所示为官方示例小程序的app.js和app.json。功能API当前包含网络请求功能、文件处理功能、数据存储功能、微信的开放接口功能等，详见微信官方说明，如图3所示。

图2 小程序注册代码示例

图3 小程序功能API示例

1.3 原生实现层

承载小程序依赖的具体操做，由微信APP支撑实现，包括tbs内核、JSAPI框架、初始化小程序配置、功能接口实现等，实现代码主要位于com.tencent.mm.plugin.appbrand包，关联功能有微信平台原有的数据存储能力、二维码能力、网络请求能力、支付能力等。

二、小程序调用框架

图4 微信小程序调用框架简图

上图主要说明小程序功能逻辑框架流程，由顶层的小程序实现代码（相似js），到微信底层支撑实现模块的调用流程，经过微信JSAPI框架支撑页面到本地实现的桥接调用。小程序缓存数据存放在Storage中，对应文件为DB数据库；小程序文件操做经过Hash机制进行映射，并存储在外部存储空间。

承载小程序展现的组件有.plugin.appbrand.ui.AppBrandUI、.plugin.appbrand.ui.AppBrandUI一、.plugin.appbrand.ui.AppBrandUI二、.plugin.appbrand.ui.AppBrandUI三、.plugin.appbrand.ui.AppBrandUI4共五个组件，五个组件实现逻辑相同，AppBrandUI1- AppBrandUI4继承自AppBrandUI，图5为每一个承载小程序的Android组件定义。

图5 承载每一个小程序展现的组件定义

支持最多同时有五个小程序在加载运行状态，每一个小程序使用独立进程运行，若是当前开启的小程序已位于缓存进程中，则无需从新加载直接开启（速度快），不然从新加载并替换（若是已有五个缓存进程存在）存在时间最久的缓存进程，若当前未满五个缓存进程，则从未用进程中随机取得一个使用。下图展现微信APP同时已开启过五个小程序的对应进程。

图6 小程序的进程缓存示意图

三、小程序初始化流程

小程序初始化流程可分为开发者后台控制关键配置和安全的配置更新流程。

3.1开发者后台控制关键配置

小程序后台控制的配置信息主要包括小程序名称、图标、最大webview深度、最大请求数、请求合法域名列表、下载合法域名列表和上传合法域名列表、socket合法域名列表以及APP包的基本信息等，动态加载的配置信息相关代码详见【附录1】。

3.2安全的配置更新流程

启动小程序检查是否需从服务端更新最新配置，若是需更新则下载最新配置到本地APP。在初始化阶段完成小程序的关键属性更新和配置，此部分属性配置彻底由后端配置控制，在更新传输和本地存储被恶意篡改的可能性极低，提取配置信息的实现代码详见【附录2】。

综上内容，大白为泽友们介绍了小程序的框架部分，接下来，大白要讲的就是小程序功能模块安全分析了，来围观哦！

2、功能模块安全分析

功能模块安全分析大白将分为6小部分介绍，分别是： 一、网络传输安全 二、数据存储安全 三、文件存储安全 四、扫码二维码安全 五、微信开放接口安全 六、小程序钓鱼风险 七、泄露数据到微信隐患 下面咱们先看一下网络传输安全。

2.1网络传输安全

支持发起通用请求、文件上传下载、WebSocket通信机制。

Https校验安全

通用request网络请求仅支持采用https，处理请求的接口位于com.tencent.mm.plugin.appbrand.g.c中，包含url校验、域名校验、发起请求和处理响应结果。图7图8分别为官方正式DEMO和某银行APP请求包示意图。

图7 官方DEMO request功能请求包

图8 某银行APP request功能请求包

Https校验采用相似浏览器的策略，经过系统原生的URL.openConnection()方式请求，证书校验的策略为校验公钥证书的根证书是否在合法CA列表凭证中。所以自签名证书没法使用；针对特定终端设备，便是校验公钥证书的根证书是否在受信任的凭据中，在设备被恶意安装代理根证书的前提下，存在被中间人攻击的风险。Request网络请求实现代码详见【附录3】。

经过域名控制能够访问的url

由后台配置小程序支持的域名（见1.3），仅可访问已配置域名的url，校验过程会将配置的域名先下载到本地，而后每次请求时本地作域名检查经过后才发起。域名检查代码实现详见【附录4】，图9展现了域名不匹配进行错误请求的示例。

图9 小程序域名控制检查

此外，对于通用request请求平台会进行请求超时控制（当前应该是5s），当请求超过5s即会被中断（文件上传操做也有超时中断控制），以下图所示超时后请求将被抛掉。

图10 请求超时中断控制

网络下载

一样仅支持从含有已配置域名的url下载资源，不是走http/https协议。下载成功后临时存放，经过自定义协议wxfile进行访问，映射到SD卡上目录/sdcard/tencent/MicroMsg/wxafiles/wx_id/tmp_[hash_value]。

图11 网络下载文件示意图

文件上传

上传至小程序合法域名下的服务器上，并保存临时文件在SD卡的文件存储区域/sdcard/tencent/MicroMsg/wxafiles/wx_id/tmp_[hash_value]。

图12 文件上传示意图

小程序外链url规范

图13 小程序不容许外链url规定说明

小程序在微信的生态下运行，不开放给我的使用（须要企业）。在小程序中不容许调整到外部网站，也不容许放连接。同时微信在小程序发布前会对小程序进行审核。

2.2数据存储安全

以（key，value）形式存放在本地缓存，将小程序须要存储的key/value数据直接存储到Storage DB缓存，小程序进行数据保护须要自行作加密处理。数据存储在本地DB，微信APP会对DB数据总体作本地加密保护，因此小程序本地存储数据的安全性依赖于微信数据库加密方案的安全，策略与EnMicroMsg.db相似，以下图所示。

图14 本地数据存储示意

2.3 文件存储安全

文件保存在SD卡/sdcard/tencent/MicroMsg/wxafiles/wx_id/目录下，经过wxfile://协议指向SD卡目录下的文件。

存放SD卡的文件有作完整性校验，没法被篡改。首先，最终存储的文件名是：对称加密（文件流内容Alder32校验和|原始文件名）生成的，最终文件名和文件内容会经过自校验判断完整性；其次，本地缓存是经过HASH映射查找文件。因此即便能破解文件名和文件内容，绕过文件自身签名校验，篡改成攻击者的伪造文件，小程序APP也没法映射到该伪造文件进行使用。

2.4 扫码二维码安全

扫码功能（wx.scanCode）依赖微信APP的原生的扫码功能；生成小程序特定页面的直达二维码，依赖于ACCESS_TOKEN，而ACCESS_TOKEN是经过小程序（公众号）私有的APPID和appsecret请求获得，攻击者没法获知到该信息伪造生成二维码。

2.5 微信开放接口安全

用户信息获取，包含如下信息：

接口返回的明文数据会进行签名校验，须要依赖登陆session_key；接口返回的敏感数据会经过密文返回，解密算法依赖登陆session_key。攻击者没法获知用户的session_key进行破解，窃取用户数据。

此外分享、客服消息、模板消息中输入的内容仅会以文本形式输出；模板消息会将数据经过https传输到服务器，然后推送到客户微信服务通知；微信支付功能继承微信平台原有的功能，安全性较为可靠。

开放平台大部分功能会先经过wx.login得到code；而后使用该code换取openid；以此openid进行既定的微信功能操做，好比发送模板消息推送、发起微信支付等。

图15 开放平台发布模板请求示意图

2.6 小程序钓鱼风险

微信小程序以惟一appid标识身份，不一样小程序拥有不一样的appid。若是恶意开发者伪造流行的小程序APP，如美团、大众点评，制做一个仿冒的微信小程序，且使用不一样的appid，有可能绕过微信的审核流程发布到市场。小白用户如无辨识能力，很可能被钓鱼受骗。但因为小程序没法嵌入url跳转，同时有访问域名的控制，使得钓鱼风险在必定程度上减轻。小程序钓鱼风险依赖于微信平台的发布审核、监管控制。

2.7泄露数据到微信隐患

微信小程序的网络请求经过微信APP实现转发，微信平台可能能够获取到小程序的全部网络请求和存储数据，所以对于小程序业务敏感的数据，建议由小程序再作一层保护；小程序的操做轨迹日志会加密传送到腾讯TBS后台，以下图所示。

图16 操做轨迹日志监控上传

3、小程序帐户使用安全

经过目前使用体验，发现当前存在三种帐户形式：

方式一：经过wx.getUserInfo获取的微信用户信息，以openid标识一个用户应用到小程序；

方式二：经过公众平台appid+appsecret+code，换取session_key/openid，并生成小程序第三方session，在小程序的服务器维护第三方session和微信session_key/openid的关联；客户端使用第三方session进行请求；

方式三：经过小程序内部自实现的登陆模块，如手机号+动态验证码登陆

方式一是一种弱帐户体系设计，小程序自己没法得到微信用户的标识信息，如手机号、身份证或银行卡，依赖于微信开放平台接口能够提供的用户信息，详见2.5节，通常会在页面上展现微信用户昵称和头像，以下图17所示。

图17 使用微信信息登陆

方式二和方式三是强帐户体系，方式二相似微信公众号的受权机制，经过小程序得到的code和微信用户基本信息，到第三方服务器获取访问的token（第三方session），第三方服务器维护用户使用的session与微信session_key/openid的关联关系。图18为微信官方提供的登陆实现时序图，图19为某餐饮小程序受权登陆的请求过程。

图18 官方提供的受权登陆实现方案

图19 某餐饮小程序受权登陆过程

以上第一个请求经过code和微信基本用户信息到第三方服务器换取token，然后的请求经过token请求用户我的数据，如团购代金券使用历史记录。方式二不能将微信公众平台的appsecret或者session_key（属于敏感信息）传递到客户端，不然可能致使安全攻击。方式三属于小程序自身实现方式，依赖自身实现的安全性，与微信平台无关。

4、总结

说了这么多，大白也该总结一下了，大体以下8点：

一、框架上继承了微信成熟的JSAPI框架和底层的TBS浏览器内核；

二、小程序的关键信息彻底由后台控制进行配置，如可访问的域名信息；

三、通用网络传输使用Https，并对访问域名进行校验控制，没法抵御攻击者在本地安装代理证书实施中间人攻击的威胁；

四、本地数据存储采用（KEY，VALUE）形式存放在DB，数据的保护继承了微信的数据库加密防御策略；

五、本地文件存储采用HASH映射机制进行文件定位，文件存储在外部存储，自己经过自定义算法实现完整性校验；

六、存在仿冒钓鱼小程序的可能，依靠于微信平台的审核监管能力；

七、针对特定小程序，因为是在微信平台生态中运行，小程序自身仍需对敏感数据进行安全防御；

八、小程序登陆体系能够依赖微信接口和公众号平台，也能够由小程序自行实现。前者须要根据微信平台的安全规范实施，后者则由小程序自行控制安全性。

5、附录

下面大白补充一下上述文中4个附录内容：

附录1：小程序初始化后台配置信息

附录2：更新并提取后台配置信息逻辑

附录3：request网络请求实现

附录4：网络请求域名校验

本次小程序的安全策略解析分享完结，本文由白泽原创，欢迎各位转发分享～

END 若是您有任何关于互联网金融安全的任何问题，欢迎留言，咱们将知无不言，言无不尽～

关注白泽安全团队  互金安全尽你掌握