我们是来自复旦大学计算机科学技术学院系统软件与安全实验室的小程序安全研究团队,致力于研究微信等小程序平台的生态安全。经排查,我们发现贵方的微信小程序存在安全风险。按照国家《网络安全产品漏洞管理规定》中的相关要求,我们将此问题以邮件形式反馈。
小程序的运营数据和敏感资源管理依赖于对开发者身份的验证,而开发者的不安全实践可导致攻击者能够窃取服务端敏感资源,如用户个人身份信息等高价值敏感数据。同时,攻击者可对敏感资源进行篡改、删除等恶意操作,最终影响小程序的正常业务运营及造成经济损失。
我想问一下,有人收到过类似的吗?搜索相关的,官方回复的是以平台通知为准。
您好,
我是该邮件的发送者,复旦大学系统软件与安全实验室小程序安全研究团队的成员。在我们最近的小程序安全研究中发现了大量的安全漏洞,其中大部分为中高危漏洞,涉及敏感数据泄露、远程代码执行等严重安全问题。出于负责任的态度,我们积极向相关小程序的开发团队报告这些漏洞,希望能够尽我们的一份力量帮助相关方快速响应并修复漏洞。截至目前,在我们的提醒和协助下,已有743个小程序成功修复了相关问题。
我们真诚希望收到提醒的团队能够积极自查,发现问题、及时解决。如果有需要,欢迎随时与我们联系。在确认身份后,我们将无偿提供漏洞的具体细节,并为修复过程提供帮助。
期待与各位携手共进,共同提升整个小程序生态的安全性,创造更加安全、可靠的用户体验。
实验室主页:https://secsys.fudan.edu.cn/
团队指导教师个人主页:https://yangzhemin.github.io/
联系方式:secsys@fudan.edu.cn
我们今天也收到了,奇奇怪怪的邮件特别多
只要不是你的小程序后台站内信或者模板消息通知管理员的,都不用管。