大佬们好,我是使用微信小程序云开发做了一个小程序,至于名字叫什么不重要。
在里面是有后台的,后台是使用微信云开发做的,然后在小程序端,通过账号密码登录的,但是发现有人可以修改数据,具体的操作就是通过伪造CA证书,然后攻击自己的客户端。然后就可以获取我的小程序与微信服务器通讯的数据,然后通过反编译我的小程序。可以读取,小程序的目录。小程序后台的登录入口。包括我console的内容,本地的缓存等等数据。
并且通过中间人攻击,读取小程序的目录,可以直接进入后台管理的界面,修改我小程序的数据。所以想问问大佬,有没有办法屏蔽这样的操作。分包加载做了,没有用。登录认证的过程也改成使用云函数验证,还是没用。小程序的js也加密了。还是不行。
摆脱各位大佬,不想把自己的命脉掌握到别人的手里。希望微信能够重视这个问题。
这个是可以防解包的,然后伪造CA证书也要用户点信任才行,正常客户端请求应该发不出来。
勾选这个会导致小程序运行的时候找不到npm引入组件直接报错
使用npm模块勾选了吗
勾了呀 不是构建npm的时候就要勾吗
臆想症
你自己没有收到攻击。所以你觉得不重视
这个锅微信团队不背
我知道伪造CA证书的事情,微信团队不背锅。但是小程序反编译的这个事情要背锅吧。都一年了。现在还能反编译。自己加密也只能加密js啊