- 1【启明智显分享】2D图形加速和JPEG解码如何实现高质量图形传输(以Model3A 7寸触摸屏为例)_河北高速2d图形
- 2使用selenium库模拟操作edge_selenium edge
- 3transformers.generator_utils函数源码解析之sample生成(包括temperature、TopK、TopP函数解析)_temperaturelogitswarper
- 4计算机网络——计算机网络知识脑图_mac地址多少位
- 5ubuntu22.04 安装 rabbitmq_ubuntu22.04搭建rabbitmq集群
- 6Java:计算地球上两个经纬度坐标之间的距离-geodesy和geotools实现_java geodesy
- 7【论文精读】Latent Diffusion_latent diffusion models
- 8FastDFS上传文件原理详解_dfs协议
- 9python程序设计题库-知到智慧树_Python程序设计基础_完整免费答案
- 10【数据结构】C语言实现链式二叉树(附完整运行代码)_树的代码实现
安全课堂|关于小程序session_key泄露漏洞官方_微信小程序jscode被第三方生成
赞
踩
原文链接:https://developers.weixin.qq.com/community/minihome/doc/000806202400280b0edd5866156c01?blockType=99
安全课堂|关于小程序session_key泄露漏洞官方
微信团队04-20
为进一步提升小程序的安全性和用户体验,目前平台对提审的小程序均需进行安全检测,在检测过程中发现仍有许多小程序存在安全漏洞,其中涉及session_key泄露漏洞,希望通过以下相关的漏洞介绍、案例分析和修复建议,开发者能更加了解如何对该漏洞进行防御。
一、漏洞介绍
为了保证数据安全,微信会对用户数据进行加密传输处理,所以小程序在获取微信侧提供的用户数据(如手机号)时,就需要进行相应的解密,这就会涉及到session_key,具体流程可参考开放数据校验与解密开发文档。
session_key指的是会话密钥,可以简单理解为微信开放数据AES加密的密钥,它是微信服务器给开发者服务器颁发的身份凭证,这个数据正常来说是不能通过任何方式泄露出去的。小程序若存在session_key泄露漏洞的情况,则代表微信侧传递的用户数据有被泄露、篡改等风险,开发者应及时发现该漏洞并快速修复相应问题。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-WWFS3n0m-1664011624453)(https://wdoc-76491.picgzc.qpic.cn/MTY4ODg1MDU3MTAzMzgyMw_321030_GHdWXN4M2vpn5j2-_1648543292?w=830&h=304)]
二、漏洞案例
某小程序因为session_key泄露,导致该小程序可以使用任意手机号进行登录,造成了极大的安全风险。
我们可以很明显地看到,下列请求中的session_key已经被泄露:
通过获取该session_key,我们可以结合iv解密出密文:
只需如下脚本即可进行解密,所以攻击者也可利用同样的信息去篡改用户数据,然后加密后返回给服务器,从而达到使用任意手机号进行登录的目的。
三、漏洞修复
通过上述案例,我们了解到session_key泄露会对小程序造成的危害,而导致session_key泄露的原因则可能有以下两种:
1.通过auth.code2Session接口获取用户openid时,返回小程序的数据中包含了session_key字段,以泄露的url:/api/get_openid.php?code=xxxx为例,具体的表现如下图所示:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QOHX9L9F-1664011624456)(https://wdoc-76491.picgzc.qpic.cn/MTY4ODg1MDU0NTcwODMyNw_496205_qpIbTH4tgPpfkLY3_1655691837?w=1277&h=650)]
查看后端get_openid.php的源码,经排查发现$response 变量包含了session_key字段,开发者应去掉变量中的session_key字段,若需获取openid,应只提取该字段返回小程序即可。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-crjgjHAI-1664011624457)(https://wdoc-76491.picgzc.qpic.cn/MTY4ODg1MDU0NTcwODMyNw_458672_-1vJfCxa5VSMyq9T_1655692082?w=523&h=627)]
2.在解密开放数据时,使用了错误的方式,以获取手机号接口为例,通过事件回调获取微信服务器返回的加密数据(encryptedData和iv)后,将服务端中的session_key传送至小程序前端,直接在前端进行解密:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VFTxGRqf-1664011624458)(https://wdoc-76491.picgzc.qpic.cn/MTY4ODg1MDU0NTcwODMyNw_944810_gkCIIV3Zqls3NhUI_1655693170?w=669&h=243)]
这种方式是绝对不可取的,正确的流程应该是将加密数据(encryptedData和iv)传至服务端后,结合服务端中的session_key进行解密获取手机号,然后返回给小程序。另外,目前平台已对获取手机号接口进行了安全升级,建议开发者使用新版本,以增强小程序的安全性。
若小程序存在相应的session_key泄露漏洞问题,请开发者尽快自查并修复漏洞:
请尽快在网络请求中,去除请求和响应中的session_key字段及其对应值,后续也不应该将session_key传到小程序客户端等服务器外的环境,以便消除风险。
其他常见问题
Q1: 如何进行相应的修复,是需要把session_key字段更换个名字就可以了吗?
A1: 不是,更换字段名无法从根本上消除风险,session_key这个字段及对应值不应该传到小程序客户端等服务器外的环境,需去除请求和响应中的所有相关信息,才可对该漏洞问题进行修复。
Q2: 解密开放数据的正确方式是什么?
A2: 以获取手机号接口为例,通过事件回调获取微信服务器返回的加密数据(encryptedData和iv),将加密数据传至服务端后,结合服务端中的session_key进行解密获取手机号,然后返回给小程序。而不应将服务端中的session_key传送至小程序前端,直接在前端进行解密。
相关文章
安全课堂|关于小程序AppSecret密钥泄露漏洞
安全课堂|关于小程序云AK/SK泄露漏洞
如有其他相关疑问,欢迎随时参与官方社区讨论。
[详细] -->赞
踩
