微信小程序会被黑客攻击吗?

微信小程序会被黑客攻击

由于微信主程序会通过 JS 接口向小程序暴露规定的服务。如果小程序可以获取到规定服务外的信息(比如：用户的钱余额等)即是信息泄露。

总之，可以将微信理解成浏览器，将小程序理解成网页。如果执行小程序可以在微信中执行任意代码，就是传统意义上的远程代码执行。

例如：

1)攻击微信。

理论上来说，如果可以突破小程序的执行环境(JS)，在微信主程序中获得代码执行，就成功制造了代码执行的漏洞，如：执行一个小程序，就可以往任意群中发红包。

2)实现小程序之间的跨站攻击。

可能还存在一些其他类型的漏洞，实现跨站攻击。例如从一个小程序访问了其他小程序的数据。

当然 iOS 与 Android 实现可能还会有区别，攻击面可能也有差别。

3)攻击 *** 作系统。

由于安全环境框架：小程序环境--->微信环境--->系统环境。所以理论上存在着这种可能：

结合系统漏洞，也许可以用一个恶意的小程序就实现了越狱，不需要用户装一个应用。(当然，用小程序越狱，可能很少人会这样做。)

6、以上的这些攻击方法，出现的可能性有多大呢?

以上所说的攻击可能需要极强的攻击能力。但是真实的场景下，可能很多攻击都来自脚本小子。攻击效果不一定会到如上所说的那么严重，估计大多数也就是获取一些信息。

7、预计微信会做哪些措施来对抗可能存在的威胁呢?

所有微信小程序一定会接受微信的审核。理论上恶意小程序是不会被上架的。

当然，苹果也不会允许恶意程序上架，但是还有有人成功把 Pangu 9.3 的越狱程序成功上传到 AppStore，虽然很快就下架了。这里的问题是，微信可能无法自动检测出某些恶意程序，或者审核人员的专业背景可能没有那么强。

基本的攻击路径是：微信小程序安全吗?攻击了小程序后，然后通过小程序实现方面的漏洞进而攻击微信。所以按道理，微信应该为小程序创建一个沙盒环境，不知道微信是否这样做。

8、所以，我们需要担心黑客通过微信小程序盗走我的红包吗?

目前看来，没这个必要。

通过以上介绍，现在你知道微信小程序安全吗了吧。因为这是腾讯自己的产品，所以在安全上面还是会投入很多的敬礼，同时也会保证用户的安全性，所以如果你目前在使用小程序的话，可以不用担心，因为小程序还是比较安全的。

起因：盯上了一个小程序，想要使用接口直接访问小程序内容，但是小程序需要登录！用charles抓包后发现其中登录接口的密码被加密了，密文: "encryptPasswd": [89, 84, ...., 106, 77, 61], ,第一反应是字符串转ascil值，但是将我的密码转换后与其对不上，所以里面应该用了其他什么方法。为了获取其密码的加密规则，开搞！

万能的百度先搜一波发现已经有很多人做了解密了小程序的教程，但是全是基于安卓手机或者安卓模拟器的。哦！没安卓机！装个模拟器？算了吧！这部有台已经越狱的iphone7麻，既然安卓能获取到微信小程序包，那IOS应该也是可以的。试试吧！打开unc0ver 先越狱。然后i4助手找到应用越狱文件系统，那么怎么找到微信存放的小程序包呢？猜想应该存放在沙盒里。 思路一，直接hook 微信，找到沙盒地址导出后再查找。感觉应该是可行的。 *** 作起来也不难，由于DKWeChatHelper微信已经被搞了很多次了。 frida-ios-dump 导出安装包，monkeydev hook安装包，重新打开小程序，导出沙盒内容查找。

感觉不是很方便啊，偷个懒呗。方案二： SSH ,ssh登录到手机后，直接进入沙盒地址

cd var/mobile/Containers/Data/Application

查看一下内容

这也不知道哪一个啊，那就直接开搜吧

easy！ .这不比模拟器快多了，再按修改日期排个序，很容易就找到了小程序包。

接下来就是 解包小程序了。其他博客这部分内容很多，就不介绍了，获取源码后使用微信开发者工具打开。全文搜索一下 login 吧，结果太多了。这时候结合抓包，根据接口地址搜索，最终确定了登录的函数。

9月11日，微信团队通过官方公众号宣布，小程序和小游戏已全面支持iPad。用户将iPad上的微信版本更新到6.7.2后，下拉主界面即可打开小程序和小游戏，之前在手机上使用过的小程序也会同步到iPad端。

早在微信小程序推出之后，不少开发者就要求适配iPad端，但微信团队一直没有开放Pad端的功能。微信官方曾在开发者社区中表示，iPad版本的小程序适配“目前在规划中，因为涉及到较多的兼容和优化的工作，还需要较长的时间，还请耐心等待。”

因此，在很长一段时间内，用户想在iPad上使用微信小程序，必须”越狱“更改设备信息才能实现。

小程序推出之初的立意是“即用即走”，但随着小程序种类越来越多，部分小程序对用户使用时长提出了更高的要求，例如腾讯推出的“腾讯文档”小程序针对的就是办公场景，在这种情况下，大屏平板的使用体验无疑比手机端好得多。对于一些小游戏来说，iPad端的娱乐体验也会好于手机端。

今年开始，微信方面加快了小程序适配iPad的规划。从微信公众平台的开发者社区中可以看到，两三个月前，就有微信员工表示小程序支持iPad的规划正在筹备中，“会在近期上线”；7月，网上出现了小程序适配iPad的使用画面。

8月16日，iOS 版微信更新了 6.7.2 版本，iPad端增加小程序功能。昨天的公告，算是微信方面正式认可了这一版本。

目前，微信小程序的开发文档已加入大屏适配相关内容。如果开发者希望根据具体的呈现内容，在iPad上实现横屏显示，可以在开发时选择加入使小程序支持iPad屏幕旋转的代码，从而实现这一功能。

---