收藏
回答

小程序测试人员攻击服务后台?

开发了一个小程序, 基于团队进行管理的, 但从上周五开始, 发现微信小程序这边的测试人员(昵称是水浒传角色且用户加入时间是第一次提交正式版审核期间)不断使用不正常手段加入我们的团队, 踢出团队后第二天又加入我们的团队, 想问一下大家有没类似的情况, 也求腾讯小程序官方给个合理解释!!!

最后一次编辑于  2018-12-05  (未经腾讯允许,不得转载)
回答关注问题邀请回答
收藏

12 个回答

  • Bling
    Bling
    2018-12-05

    你好,请提供正确的AppID,或请提供更多具体信息,以便工作人员核实情况

    2018-12-05
    赞同
    回复 7
    • Helius
      Helius
      2018-12-05

      wx38e7ef5b5b823489

      2018-12-05
      回复
    • Helius
      Helius
      2018-12-05

      问题就是我的小程序中用户可以创建工作团队,  团队有其唯一标识.


      正常用户进入该团队只能:

      1/ 团队内成员分享消息卡片(附有团队唯一标识)

      2/ 被邀请人点击卡片, 将团队唯一标识附在请求中发送到后端


      但是现在情况是, 测试人员连续几天加入到我和我朋友创建的好几个团队中. 我就会有疑问了:

      1/ 测试人员如何获取到邀请的消息卡片或者这几个团队的唯一标识?

      2/ 如果觉得我的小程序存在漏洞为什么不直接通过官方途径联系我们解决?

      2018-12-05
      回复
    • MCC
      MCC
      2018-12-05

      我们的小程序有这个骚操作,微信的官方人员,点击我们的页面

      2018-12-05
      回复
    • Bling
      Bling
      2018-12-05回复Helius

      你好,经核实,我方工作人员未进行该操作

      2018-12-05
      回复
    • Helius
      Helius
      2018-12-05回复MCC

      不太懂=. =

      2018-12-05
      回复
    查看更多(2)
  • Stephen
    Stephen
    2018-12-05

    进来抽查的,看看你的小程序有没有违规

    2018-12-05
    赞同 1
    回复 3
    • Helius
      Helius
      2018-12-05

      那我团队数据不就被泄露了吗, 这不属于侵权吗

      如果我团队有商业机密呢

      2018-12-05
      回复
    • Stephen
      Stephen
      2018-12-05回复Helius

      你可以加个权限管理,再说小程序不都是全网发布的吗,有微信的都能进来

      2018-12-05
      回复
    • Helius
      Helius
      2018-12-05回复Stephen

      我的程序是基于团队管理, 用户可以建立多个群, 群里是有权限管理的, 但加入团队这个操作为了用户体验是不需要校验的, 现在问题是测试人员老加群, 让我严重担心会加到正常用户的团队了, 使这个用户对我们小程序不满

      2018-12-05
      回复
  • 苑
    2018-12-07

    我也有遇到这个问题。其实如果是官方人员测试,我们十分愿意配合。但是如果用户发现陌生人出现在自己好友才会出现的地方,会以为是小程序出了问题,比较影响用户体验。建议工作人员正常使用去检测或者开始检测前予以告知理由,相信小程序开发人员都是能接受的。

    2018-12-07
    赞同
    回复 1
    • Helius
      Helius
      2018-12-11

      是的呀, 不知道还以为哪里的bug或者服务器或者数据库被泄露了

      2018-12-11
      回复
  • 
    
    2018-12-06

    既然可以直接通过抓包发送请求进入,说明你们的后台逻辑不严谨。

    2018-12-06
    赞同
    回复 4
    • Helius
      Helius
      2018-12-07

      没办法, 为了减少加入团队的步骤, 加入接口是开放的, 并没有限制或者确认机制

      2018-12-07
      回复
    • 
      
      2018-12-07回复Helius

      既然是团队管理,那加入是不是应该是邀请制的?

      这跟前端操作步骤没有关系吧?

      2018-12-07
      回复
    • Helius
      Helius
      2018-12-07回复

      确实是邀请制, 问题在于被邀请人点击邀请链接后(加入团队唯一入口)我们就认为该用户已经加入该团队, 而不需要团队管理员审核. 现在是测试人员抓包或者不知道通过什么方法获取到邀请链接进入团队

      2018-12-07
      回复
    • 
      
      2018-12-07回复Helius

      那就是后台的锅了吧?

      2018-12-07
      回复
  • phony。🚗🕶
    phony。🚗🕶
    2018-12-06

    我们小程序也有

    2018-12-06
    赞同
    回复
  • 黄药师-邪
    黄药师-邪
    2018-12-06

    这个是你们程序自己开发的逻辑问题 改下就好了

    2018-12-06
    赞同
    回复 2
    • Helius
      Helius
      2018-12-07

      这个功能是建立在用户不会乱分享的情况, 暂时确实没有考虑外部攻击, 但如果微信测试这么乱搞的话我们不彻底搞清楚问题或者解决都不敢随便推广了

      2018-12-07
      回复
    • 黄药师-邪
      黄药师-邪
      2018-12-07回复Helius

      嗯,修复一下就好了。其实从正常的逻辑来考虑的话,对于分享的用户来说,程序上应该是无法断定这个用户会不会乱搞,但是开发的时候一定要考虑到这个乱搞的情况的,建议你们还是把这块问题内部做好。

      2018-12-07
      回复
  • smile
    smile
    2018-12-06

    建议做好角色权限控制,这样就防止微信审核测试人员越级操作了

    2018-12-06
    赞同
    回复 1
    • Helius
      Helius
      2018-12-07

      其他接口都有权限控制, 但加入团队接口就是故意做无权限限制的

      2018-12-07
      回复
  • Mr.G
    Mr.G
    2018-12-06

    建议你的分享卡片加入有效期验证!

    2018-12-06
    赞同
    回复 1
    • Helius
      Helius
      2018-12-06

      正准备这么改, 但考虑如果真的是测试抓包直接访问后台, 这个方法也是治标不治本

      2018-12-06
      回复
  • 意外金喜
    意外金喜
    2018-12-06


    我这小程序也是,天天来,而且昵称不一样的人,头像一样,但是头像地址不一样,

    都无法判断。糟心

    2018-12-06
    赞同
    回复 1
    • Helius
      Helius
      2018-12-06

      恶心人, 官方还不承认

      2018-12-06
      回复
  • 黎😄
    黎😄
    2018-12-05

    怎么会允许测试人员进入你们群呢,一开始就应该让他自己建群,也只能进去他知道的群,怎么泄露了你们的群出去呢

    2018-12-05
    赞同
    回复 1
    • Helius
      Helius
      2018-12-05

      这就是我想知道的, 我这边应该是都没有泄露出去的

      2018-12-05
      回复

正在加载...