如图所示,小程序端通过wx.loging()获取code之后,通过wx.request()将code发送给后台,
这里我们的安全同事认为code是单一参数,存在遍历的风险
请问一下微信端生成的code,这里是否存在遍历,蒙出一个正确的code,从而实现越权的情况?
2 个回答
请 登录 后发表内容
相关问题
如图所示,小程序端通过wx.loging()获取code之后,通过wx.request()将code发送给后台,
这里我们的安全同事认为code是单一参数,存在遍历的风险
请问一下微信端生成的code,这里是否存在遍历,蒙出一个正确的code,从而实现越权的情况?
2 个回答
code5分钟有效,code为32个字符,不大可能试出来,code生成也会和appid有关的,认为
不大可能,应该有时效性和其他的一些保障