收藏
回答

小程序插件开发最大安全隐患

问题模块 框架类型 问题类型 操作系统 工具版本
开发者工具 小程序 Bug Windows v1.02.1804251

小程序插件工具上有个重大的安全隐患。

就是每个指令的hostsign的 noncestr、timestamp、signature都一样?

在调试重放攻击时,不知道开发的是否正确,

请小程序开发团队帮忙看下,这种情况下,该如何调试?







另外,还有下面这句话



这个是什么意思,如果appid不同,那么怎么进行安全方面的调试?


也请帮忙解释一下,谢谢!




最后一次编辑于  2018-05-14  (未经腾讯允许,不得转载)
邀请回答
复制链接收藏投诉关注问题回答

2 个回答

  • LastLeaf
    LastLeaf
    2018-05-14

    感谢反馈。目前 noncestr 生成时机有 bug ,我们会调整为每10分钟生成一次,之后新版本基础库发送的请求可以通过判断 timestamp 来解决。


    后面那个问题,插件在手机上预览时,我们会将插件放在一个特殊的小程序内(即“插件开发助手”),开发时请注意这一点。

    2018-05-14
    赞同
    回复
  • 唐衡
    唐衡
    2018-05-15

    好的,谢谢答复。

    2018-05-15
    赞同
    回复