收藏
回答

惊天黑科技

问题模块 框架类型 问题类型 API/组件名称 终端类型 操作系统 微信版本 基础库版本
API和组件 小程序 Bug wx.login 客户端 6.6.7 2.0.9

我发现一个今天大漏洞,如果一个用户 从公众号后台设置一个底部菜单为小程序的首页,选择备用网址,这个备用网址是h5微商城的地址,只是需要登录的页面,然后新的用户点击会默认调一下微商城的登录,居然不需要用户授权就能拿到用户的敏感信息,然后后台收集和小程序端的数据进行融合,在小程序端就能把用户的敏感信息展示出来,全称根本不需要用户任何授权,必现,往官方修复下这个bug,好心提醒,不然小程序端的登录改造全都无意义了,全称不需要授权,太可怕了,全是敏感信息

最后一次编辑于  2018-06-07  (未经腾讯允许,不得转载)
邀请回答
复制链接收藏投诉关注问题回答
帖子已隐藏

9 个回答

  • 东流
    东流
    2018-06-08

    那个,unionid了解下?

    2018-06-08
    赞同 2
    回复 4
    • 要账的
      要账的
      2018-06-08

      新用户UNIONID 是需要用户授权才能拿到,但是以上操作全程是没有授权操作的

      2018-06-08
      回复
    • 东流
      东流
      2018-06-08回复要账的

      公众号是有unionid的

      2018-06-08
      回复
    • 要账的
      要账的
      2018-06-08
      但是微商城里面登陆页面是需要授权才能拿到登录信息,难道关注公众号之后进入微商城就不需要授权?
      2018-06-08
      回复
    • 东流
      东流
      2018-06-08回复要账的

      授权可以,但是页可以直接通过公众号的unionid获取,你可以去查一下unionid的定义

      2018-06-08
      回复
  • 呃
    2018-06-07

    虽然没看懂。但还是例行关注下


    2018-06-07
    赞同
    回复
  • ao
    ao
    2018-06-07

    公众号/H5对应的后台里面已经有了这个openId用户的基础信息了吧

    2018-06-07
    赞同
    回复 6
    • 要账的
      要账的
      2018-06-07
      都是新用户
      2018-06-07
      回复
    • Journey。
      Journey。
      2018-06-08回复要账的

      关注公众号的时候就可以获得这些了吧

      2018-06-08
      回复
    • J
      J
      2018-06-08

      测试了几次即使关注公众号,小程序还是需要授权

      2018-06-08
      回复
    • 要账的
      要账的
      2018-06-08回复J
      我们是这样操作的,公众号上面有配置底部菜单的,选择跳转小程序,而小程序也是需要登录的,备用网址填写微商城里面有个需要登录的h5页面,然后新用户关注了公众号,点击进入了小程序页面,然后中间全称没有授权操作,在我们的后台查看的是两条用户信息,一条是小程序的登陆信息,这条登陆信息是用wx.loging获取到code让服务端存起来的,一条是微商城h5的用户登陆信息,里面用户的名称,用户的头像等一些敏感信息,都是拿到的。
      2018-06-08
      回复
    • 要账的
      要账的
      2018-06-08
      我们是这样操作的,公众号上面有配置底部菜单的,选择跳转小程序,而小程序也是需要登录的,备用网址填写微商城里面有个需要登录的h5页面,然后新用户关注了公众号,点击进入了小程序页面,然后中间全程没有授权操作,在我们的后台查看的是两条用户信息,如果单独进入微商城那个h5页面,也是会弹出授权,才能拿到用户信息,一条是小程序的登陆信息,这条登陆信息是用wx.loging获取到code让服务端存起来的,一条是微商城h5的用户登陆信息,里面用户的名称,用户的头像等一些敏感信息,都是拿到的。
      2018-06-08
      回复
    查看更多(1)
  • 锄禾日当午
    锄禾日当午
    2018-06-07

    默认网址,只能从电脑点开吧,,,,感觉用处不大  一般都放公司官网

    2018-06-07
    赞同
    回复 1
    • 要账的
      要账的
      2018-06-08

      像电商这种,既有微商城h5,又有小程序,那就是可以这样玩的

      2018-06-08
      回复
  • fengmirx
    fengmirx
    2018-06-08

    可以理解为,用户点击一次进行了两次登录操作?

    2018-06-08
    赞同
    回复 1
    • 要账的
      要账的
      2018-06-08
      对的,但是微商城的那个操作本来是需要授权登陆的,结果没授权就拿到用户信息
      2018-06-08
      回复
  • Jake
    Jake
    2018-06-08

    没看懂说的什么

    2018-06-08
    赞同
    回复
  • 十
    2018-06-08

    什么黑科技啊

    1、公众号关注就可以获取到用户的这些信息。不需要授权

    2、你小程序用的login获取的openid也是不用授权的。

    这种情况获取用户信息都不需要授权。没看官方都不回复你的吗

    2018-06-08
    赞同
    回复 1
    • 要账的
      要账的
      2018-06-08

      1.就算微信公众号关注了,在公众号里面配置个登陆页面h5想要拿到用户信息也是需要授权的,其次登陆信息是在h5页面拿的,关注的时候能主动调用h5的登陆信息?

      2.小程序想要拿到用户信息必须需要授权,拿到login只会返回code

      2018-06-08
      回复
  • 行渐远
    行渐远
    2018-06-10

    关注公众号之后,你的头像昵称之类的消息就默认授权了,跳转到小程序只要判断UNIONID就可以展示对应的信息了

    2018-06-10
    赞同
    回复
  • DireWolf
    DireWolf
    2018-06-10

    那个,unionId了解下

    2018-06-10
    赞同
    回复