我发现一个今天大漏洞,如果一个用户 从公众号后台设置一个底部菜单为小程序的首页,选择备用网址,这个备用网址是h5微商城的地址,只是需要登录的页面,然后新的用户点击会默认调一下微商城的登录,居然不需要用户授权就能拿到用户的敏感信息,然后后台收集和小程序端的数据进行融合,在小程序端就能把用户的敏感信息展示出来,全称根本不需要用户任何授权,必现,往官方修复下这个bug,好心提醒,不然小程序端的登录改造全都无意义了,全称不需要授权,太可怕了,全是敏感信息
9 个回答
请 登录 后发表内容
那个,unionid了解下?
新用户UNIONID 是需要用户授权才能拿到,但是以上操作全程是没有授权操作的
公众号是有unionid的
授权可以,但是页可以直接通过公众号的unionid获取,你可以去查一下unionid的定义
那个,unionId了解下
关注公众号之后,你的头像昵称之类的消息就默认授权了,跳转到小程序只要判断UNIONID就可以展示对应的信息了
什么黑科技啊
1、公众号关注就可以获取到用户的这些信息。不需要授权
2、你小程序用的login获取的openid也是不用授权的。
这种情况获取用户信息都不需要授权。没看官方都不回复你的吗
1.就算微信公众号关注了,在公众号里面配置个登陆页面h5想要拿到用户信息也是需要授权的,其次登陆信息是在h5页面拿的,关注的时候能主动调用h5的登陆信息?
2.小程序想要拿到用户信息必须需要授权,拿到login只会返回code
没看懂说的什么
可以理解为,用户点击一次进行了两次登录操作?
默认网址,只能从电脑点开吧,,,,感觉用处不大 一般都放公司官网
像电商这种,既有微商城h5,又有小程序,那就是可以这样玩的
公众号/H5对应的后台里面已经有了这个openId用户的基础信息了吧
关注公众号的时候就可以获得这些了吧
测试了几次即使关注公众号,小程序还是需要授权
虽然没看懂。但还是例行关注下