微信小程序审核问题“包含明文的AppSecret,存在泄漏的安全风险“

最新推荐文章于 2024-10-26 11:01:09 发布
原创 最新推荐文章于 2024-10-26 11:01:09 发布 · 5.5k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#p2p #linq #gnu

作者分享了一个小程序因包含明文AppSecret而连续三次审核失败的经历,表达了对于官方文档缺乏具体指导的不满。

用了一年多的小程序,今天加了一个链接在主页上,然后就不通过,不通过,不通过,提交了3三次都是不通过。不通过原因:

你的小程序“XXXXXX”版本审核未通过,未通过原因为
1:小程序功能不符合规则:
(1):你好,当前提审小程序包中可能包含明文的AppSecret,存在泄漏的安全风险。一旦被恶意用户通过技术手段获取你的AppSecret,对方可以通过调用API获取你的小程序敏感数据,如接口调用凭证、用户信息、用户使用数据、小程序码等。出于安全考虑,开发者应将AppSecret保存 到后台服务器中,并严格保密,不向任何第三方等透露。建议你立即调整技术方案,去除小程序包中的AppSecret字样并重置可能已泄漏的AppSecret,消除风险。参考文档
查看详情

 

 

最低0.47元/天 解锁文章
微信小程序登录鉴权最佳实践:安全又高效
移动开发前沿的博客
05-27 1243
微信小程序作为移动互联网的「轻应用」代表,已覆盖电商、社交、政务等超200个行业。登录鉴权是所有小程序的「流量入口」——用户首次使用需登录,后续操作需鉴权(验证身份)。本文将聚焦「微信官方推荐的登录流程」,结合实际开发中的常见漏洞(如Token泄露、会话劫持),给出可落地的最佳实践方案。本文将按照「概念→流程→实战→优化」的逻辑展开:先通过生活故事理解核心概念,再拆解微信官方登录流程,接着用代码实现完整方案,最后针对安全和效率给出10条关键优化建议。code。
微信小程序代码中不应存在 AppSecret 敏感信息
ㅤㅤㅤㅤ
07-19 2251
解决方案:根据检测的机制 开发者工具是明确的知道你得AppSecret是多少,只要在代码中出现匹配的字符就会报敏感信息,可以用以下方式来避免。当然这种方式也不推荐,最好还是在服务端完成业务上的这块逻辑(对于安全方面,如果能补获到你的源码,根据取值方式照样能获取到你的AppSecret)。场景:可能有些业务需要使用第三方sdk,三方sdk需要提供AppSecret,这样就避免不了代码中会出现这个敏感信息。针对微信小程序代码质量检测AppSecret的解决方案。如果想复杂一些,可以考虑多个字段分开拼接。
全军尽墨的Android应用:社会化授权登录及分享安全漏洞
MegatronKings的博客
10-02 3691
随着微信微博等社会化媒体的火热,第三方登录迅速成为一种快捷注册的方式,社会化分享也成为一种知识快速传播的渠道。在移动端,几乎大多数应用都接入了第三方登录或者分享组件,尤其是微信、QQ、微博三大巨头。这三者都提供了开放平台和SDK来帮助开发者接入这些功能,然而这些真的安全吗?
微信小程序-敏感内容检测
热门推荐
ChibiMarukoChan的博客
02-15 1万+
第一步:获取access_token //获取access_token let access_token = wx.getStorageSync('access_token'); if (access_token != null){ //直接进行检测操作 } let url = 'https://api.weixin.qq.com/cgi-bin/token'; ...
uniapp开发微信小程序:提交审核不通过,提示AppSecret存在泄漏安全风险。解决思路。
Innocence_0的博客
06-09 1706
该文章只提供一个排查思路,请按照你所操作后得到的提示的去处理第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。
uniapp开发微信小程序解决上线:审核问题包含明文AppSecret存在泄漏安全风险“以及上线之后接口请求失败
前端菜鸟好先森的博客
02-21 2331
uniapp开发微信小程序解决上线:审核问题包含明文AppSecret存在泄漏安全风险“以及上线之后接口请求失败
C#获取微信小程序openid等用户信息(前端+asp.net服务器端代码)
08-03
- 接收到前端发送的code后,服务器需要调用微信的`sns.code2Session`接口,这个接口需要你的小程序AppID和AppSecret,以及前端传来的code。 - 使用C#编写HTTP请求,向微信API发送POST请求,携带AppID、AppSecret和...
微信小程序云开发-获取手机号解密.zip
08-24
3. 云函数解密:在云函数中,使用微信提供的解密算法,结合小程序AppID、AppSecret、openid以及iv和encryptedData,调用微信API进行解密操作。 4. 存储和使用:解密成功后,云函数将解密后的手机号存入云数据库,...
uniapp开发微信小程序:提交审核不通过,提示AppSecret存在泄漏安全风险。解决思路。_代码中不应存在appsecret敏感信息
baimao__Ch的博客
08-24 904
该文章只提供一个排查思路,请按照你所操作后得到的提示的去处理从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)
详解微信小程序审核不通过的解决方法
08-28
主要介绍了详解微信小程序审核不通过的解决方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
开发微信小程序项目遇到的问题以及解决方案1
08-08
开发微信小程序项目遇到的问题以及解决方案1
记某大学校园平台关于小程序AppSecret密钥泄露漏洞
人若无名,便可专心练剑
10-26 2955
这次给师傅们分享的文章是关于小程序AppSecret密钥泄露导致的相关漏洞,这个也是在挖掘EDUSRC漏洞的时候关注的一个知识点,蛮多师傅对于这个漏洞还是比较陌生的,AppSecret小程序的密钥,然后我们可以通过AppSecret获取access_token值,然后执行一些危害操作,如接口调用凭证、用户信息、用户使用数据等,造成了极大的安全风险
关于微信小程序appsecret保护的问题
weixin_30628077的博客
03-21 2253
本地后端代码中通常会配置 appid 和 appsecret,直接 push 到 公有 git 库会导致所有人可见。但其他人由于不是开发者有了别的项目的 secret 用处不大。但仍建议采用某种方法加以规避,如用 .gitignore 将有敏感信息的文件忽略掉,并在README中指出由开发者自行创建这个文件之类。 转载于:https://www.cnblogs.com/zhaofeng-shu3...
[免费专栏] Android安全之检测APK中调试代码是否暴露敏感信息
橙留香Park的博客
09-01 1104
转移发布平台通知:将不再在优快云博客发布新文章,敬请移步知识星球... ...
安全课堂|关于小程序AppSecret密钥泄露漏洞官方
mingyqf的博客
09-24 3811
AppSecret小程序的唯一凭证密钥,也是获取小程序全局唯一后台接口调用凭证(
API接口开发安全性
qq_36042938的博客
11-22 2835
appid、appkey、appsecret、accesstoken基本概念 app_id 是用来标记你的开发者账号的, 是你的用户id,可以向第三方去申请 app_key 和 app_secret 第三方给你创建的:appKey公匙(相当于账号)AppSecret:私匙(相当于密码) app_key 和 app_secret 是一对出现的账号, 同一个 app_id 可以对应多个 app_key+app_secret, 这样 平台就可以分配你不一样的权限, 比如 app_key1 +
微信小程序发包提醒,代码中不应存在AppSecret敏感信息
最新发布
08-09
微信小程序开发过程中,AppSecret属于高度敏感信息,若在客户端代码中直接暴露,可能会被逆向分析或通过其他技术手段获取,从而导致安全风险。开发者应采取一系列措施来确保AppSecret的安全性。 首先,**AppSecret不应出现在小程序前端代码或配置文件中**。开发者应将AppSecret等敏感信息存储在后端服务器中,通过后端服务进行接口调用和敏感操作,前端仅负责与后端进行安全通信。这样可以有效避免敏感信息被直接暴露在客户端代码中,降低被恶意获取的风险。 其次,**在开发和部署过程中需严格控制敏感信息的访问权限**。只有必要的开发和运维人员才能接触到AppSecret,并且应在最小权限原则下进行访问控制。同时,建议对AppSecret的访问进行日志记录,以便在发生安全事件时能够追溯责任。 另外,**定期重置AppSecret是保障安全的重要手段**。如果怀疑AppSecret可能已经泄露,应立即通过微信开放平台的管理后台重置密钥,以防止潜在的恶意使用。重置后,确保更新所有使用该密钥的服务配置,避免因密钥变更导致服务中断。 最后,**在小程序提交审核时,应确保代码中不包含任何明文AppSecret信息**。微信官方在审核过程中会检测小程序包中是否包含敏感信息,若发现明文AppSecret,可能会导致审核失败。因此,在代码上传前,开发者应使用工具检查代码质量,确保没有敏感信息泄露的风险。 ### 示例代码:安全获取后端数据 以下是一个简单的示例,展示如何通过后端服务来安全获取数据,避免在小程序前端暴露AppSecret: ```javascript // 小程序前端代码示例 wx.request({ url: 'https://your-backend-server.com/api/data', // 请求后端接口 method: 'GET', success(res) { console.log('从后端获取的数据:', res.data); }, fail(err) { console.error('请求失败:', err); } }); ``` ```python # 后端 Python 示例(Flask 框架) from flask import Flask, jsonify import requests app = Flask(__name__) APP_SECRET = 'your_app_secret_here' # 在后端安全存储 @app.route('/api/data', methods=['GET']) def get_data(): # 使用 AppSecret 进行安全处理或调用微信 API return jsonify({"message": "数据已安全返回"}) if __name__ == '__main__': app.run() ```
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值