V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ryannnnn
V2EX  ›  微信

入口还是危机?微信小程序已存在的的撞库风险

  •  
  •   ryannnnn · 2017-01-09 17:52:34 +08:00 · 4762 次点击
    这是一个创建于 2876 天前的主题,其中的信息可能已经有所发展或是发生改变。

    刚上线第一天就出漏洞,不敢想之后是什么情况。

    (不会插图,当我发广告吧 http://www.4hou.com/technology/2936.html )

    1 月 9 日微信小程序正式上线,铺天盖地的各类评测、使用、分析甚至是授课培训之类的文章风一般席卷你所能看见的几乎所有媒体、社交平台。

    小程序在出生前就被一片看好——“可以替代极大占用内存的 APP ”、“低廉的开发成本与低消耗的时间成本”等声音早已充斥整个互联网。在这种全方位‘利好’的形势下,很多大公司小公司都不愿放弃这样一个免费入口的机会,想必小程序还将在将来几个月持续红火。

    微信小程序的优势:它存在的你知道的和你看见的

    微信小程序工作在微信整体的框架中呈现,相比一些分发平台和 APP 、传统网站有以下几个优势:

    1. 只能通过扫描二维码、微信提供的搜索和在会话、微信群中的推荐来获取小程序,去中心化避免了分发、流量、竞价、排名;
    2. 所有的小程序都存放在微信自己的框架内,某个小程序一旦被添加就会下载暂存在用户手机上,能够快速装载打开;微信的整体框架让小程序使用的体验非常流畅,一切以简洁、快捷、便捷为主;
    3. 小程序的开发技术相比 APP 的开发简单许多,能为企业节省下大量时间成本与人力成本,特别是对于初创公司来说,在品牌宣传与市场营销上可以节省下一大笔开支;
    4. 在被分发机制惯坏的受众体系下,如此麻烦的寻找方式也是另一种形式的“定位精准用户”。没有粉丝数、没有打开率、没有 KPI ,让一切体验更纯粹;
    5. 特定的开发语言(需要特别为小程序而学习)、严格的审核、私有的发布渠道(没有分发途径),几乎是形成了一个封闭的展示环境;
    6. 从目前得到的消息而言,小程序无法群发消息、无法分享到朋友圈,小程序之间亦无法关联,而且对营销号、广告位的行为严令禁止。未来如何发展也就是说如何盈利,拭目以待。 小程序也有风险?你不知道不代表风险不存在

    风险都是我们很讨厌的东西,他总是在最不恰当的时候到来,比如正要下班回家被一通电话叫回单位,或是刚刚发布了个新版本准备出去散个心,火车上接到电话要处理问题。风险就像撕不开甩不走的狗皮膏药,让人不论做什么事情的时候心里总是悬着,总感觉做点什么大事业为什么就那么难。

    其实我在做了这么多年的业务风控后,有一个非常直接的感受,尽管处理风险的人总是苦口婆心的讲:任何业务的变动都等同的伴随着机遇和风险,做任何业务改动一定要谨慎,多跟安全来讨论,但业务角度来讲往往眼睛只看着机遇,而选择性忽略风险。

    小程序的上线就可以看作是一个业务上的变动,有了一个新的入口,所有人都在高喊小程序要改变行业格局的时候,笔者默默的打开了几个小程序检查一下,结果不出所料发现了几例非常常见的撞库风险:

    在今天上线的众多小程序登录页面中我们都需要面对一个选项——是否同意小程序“获得你的公开信息(昵称、头像等)”、是否同意小程序“获取你的地理位置”。如果不同意,部分小程序就无法进行体验或使用了。

    而在选择同意并进入页面之后,一些存在注册、登录、绑定操作的小程序,是否能够保证我们帐号的安全?是否会让有心人士有利可图?

    什么是撞库?

    撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在 A 网站的账户从而尝试登录 B 网址,这就可以理解为撞库攻击。

    有一定技术了解的人应该比较清楚,首先这个某家公司的小程序登录接口用了 http ,导致我们可以简单的通过代理抓包提取这个登录接口的请求内容,然后构造不同的手机号码和密码组合就可以尝试撞库了,发现类似问题的公司到对应的手机 APP 和官网上看,其实都已经做了比较完善的风控措施,但因为一个新登录入口的引入而又没有考虑周详,原本坚固的风控体系一下子就变的形同虚设了。

    如果你的产品已经不再迭代了、不出新功能了、外部大环境也基本不动了,那么出现风险的概率是很低的。风险这个东西特别喜欢人们仓促匆忙的做一些事情,互联网时代需求瞬息万变,用户忠诚度低,一个趋势跟不上就有被淘汰的危险, BAT 都不敢松懈,小体量的公司更是举着业务优先的大旗一路高歌猛进,安全往往只是停留在一个概念上,甚至连概念都没有,等业务量上来了再说呗。

    但国内的互联网业务现状我只能用一个字:乱 来形容,原因也很简单,我们的产品打磨周期实在是太短了,留给产品研发上线的时间是按天来计的,造成的结果就是往往面上的工作做好了,该有的概念都有,结果引擎盖下面各种乱七八糟的拼凑,看着外观挺炫,能不能用稳不稳定真要打个大大的问号。

    这种乱给了黑灰产生存的必要条件,不断的侵蚀企业的利润空间,甚至有能力把一些抵抗能力比较低的企业扼杀在早期,比如那些个使用条件多到令人发指的优惠卷,普通消费者永远是理不清楚的,但黄牛却能把各种折扣优惠理个门清,直接告诉消费者我比官网便宜多少,到最后消费者拿到了实惠,企业缺只留下了一堆黄牛帐号,当无力继续烧钱的时候草草关张。

    互联网的草莽时代早已经过去了,笔者曾经做过这样的预测,接下来的市场拼的是精细化运营能力和风险抵御能力,谁更能从地板缝里扣钱出来,就能活的更久更长,而黑灰产链条的形成,意味着任何粗暴的生长模式都会被他们啃干净,什么都留不下。

    无论对于互联网企业、用户还是黑灰产业链条上的人,微信小程序无疑都是一个崭新的、巨大的入口,也是每个使用者需要去面对、去规避可能存在的风险。

    35 条回复    2017-01-13 10:59:10 +08:00
    ykwlv
        1
    ykwlv  
       2017-01-09 17:56:02 +08:00
    楼主是来卖萌的?
    airyland
        2
    airyland  
       2017-01-09 17:56:54 +08:00
    疑惑,小程序不是强制接口请求 https 么
    ryannnnn
        3
    ryannnnn  
    OP
       2017-01-09 18:01:02 +08:00
    @airyland 撞库跟 HTTPS 有啥关系 - -、
    mind3x
        4
    mind3x  
       2017-01-09 18:05:49 +08:00
    对 oauth2 一点概念都没有的人来谈什么撞库,来搞笑的吗
    ahkxhyl
        5
    ahkxhyl  
       2017-01-09 18:06:16 +08:00
    想不通 小程序 咋撞库 跟 撞库不沾边 好吧~~
    ryannnnn
        6
    ryannnnn  
    OP
       2017-01-09 18:08:15 +08:00
    @ahkxhyl "而在选择同意并进入页面之后,一些存在注册、登录、绑定操作的小程序,是否能够保证我们帐号的安全?是否会让有心人士有利可图?"
    llopppp
        7
    llopppp  
       2017-01-09 18:13:27 +08:00
    楼主确实是来卖萌的...小标题都看不懂...
    xycool
        8
    xycool  
       2017-01-09 18:21:11 +08:00
    jimwoo
        9
    jimwoo  
       2017-01-09 18:23:03 +08:00
    楼主确实是来卖萌的 +1
    简单来说,每个商家获取同一个用户的 id 都是不一样的。

    A 商家获取 A 用户: ksadjflajslkfjalsghaskjdhgkalshfsal_
    B 商家获取 A 用户:但撒了快解放啦睡觉啦放假啊燊;了;;;
    loading
        10
    loading  
       2017-01-09 18:24:14 +08:00 via Android   ❤️ 2
    楼主,你这个号算是费了,希望你近期没在找工作。
    cxh116
        11
    cxh116  
       2017-01-09 18:25:09 +08:00   ❤️ 1
    @mind3x
    @llopppp

    楼主的意思是那些打开小程序后,还要用手机号和密码注册的小程序有撞库钓鱼的可能?

    现在微信新用户注册一般是手机号+密码.如果恶意的小程序让你试用,从微信 oauth 过来,还要你用手机号和密码注册一遍,是不是很容易收集手机号和密码.

    很多网站,明明 oauth 能标识一个唯一的用户,有的就是要再注册一遍,只能感叹国内的产品经理的脑子.
    ahkxhyl
        12
    ahkxhyl  
       2017-01-09 18:25:59 +08:00
    @ryannnnn 小程序 只限制在微信里操作 无分享等功能 如何撞库
    vanxy
        13
    vanxy  
       2017-01-09 18:29:05 +08:00
    楼主逻辑有点跳脱啊
    ahkxhyl
        14
    ahkxhyl  
       2017-01-09 18:29:37 +08:00
    其实就是个 app~
    muziki
        15
    muziki  
       2017-01-09 18:30:26 +08:00
    @loading 233333
    ipconfiger
        16
    ipconfiger  
       2017-01-09 18:33:18 +08:00
    吓得我的瓜子都掉了
    kchum
        17
    kchum  
       2017-01-09 18:33:27 +08:00
    我以为我火星了。。。原来我并没有。。。
    badec
        18
    badec  
       2017-01-09 18:34:31 +08:00
    典型的朋友圈文学。保佑楼主最近没在求职。
    swulling
        19
    swulling  
       2017-01-09 18:35:39 +08:00 via Android
    LZ 的无知令人惊讶,更厉害的竟然能扯这么多…
    612
        20
    612  
       2017-01-09 18:39:16 +08:00 via iPhone
    你们吓得楼主都不敢说话了。。。
    x86
        21
    x86  
       2017-01-09 18:57:11 +08:00 via Android
    一本正经的胡说八道
    onionnews
        22
    onionnews  
       2017-01-09 19:06:06 +08:00 via Android
    QQ 和微博授权登录都多少年了
    kmyzzy
        23
    kmyzzy  
       2017-01-09 19:09:15 +08:00
    都散了吧,我估计这篇文章是机器自动生成的。
    piaoliu
        24
    piaoliu  
       2017-01-09 19:32:52 +08:00
    我来吐槽下为毛整段话只有一个句号。。 语文老师哭瞎了
    skydiver
        25
    skydiver  
       2017-01-09 20:03:13 +08:00
    只能说 lz 的语文水平不太好,说了这么多没说明白意思。

    楼上 @cxh116 解释的就很清楚了,如果一个小程序在你授权登录之后,让你注册,很多人就输入和微信同样的手机号和密码了,这样第三方就可以拿这个数据去撞微信登录。

    不过我觉得微信应该会处理这种小程序吧,不会允许小程序再让用户注册。
    skydiver
        26
    skydiver  
       2017-01-09 20:03:54 +08:00
    全文中只有这么一句话是有用的

    > 而在选择同意并进入页面之后,一些存在注册、登录、绑定操作的小程序,是否能够保证我们帐号的安全?是否会让有心人士有利可图?
    falcon05
        27
    falcon05  
       2017-01-09 20:37:15 +08:00 via iPhone
    这标题,我还以为楼主黑掉了微信小程序
    Jaylee
        28
    Jaylee  
       2017-01-09 20:39:14 +08:00
    @skydiver oauth 拿不到是微信号的。
    Jaylee
        29
    Jaylee  
       2017-01-09 20:40:09 +08:00
    典型的读书不多而想的太多
    killsting
        30
    killsting  
       2017-01-09 20:42:19 +08:00 via iPhone
    说的什么鬼,胡说八道。
    simonlei
        31
    simonlei  
       2017-01-09 22:19:53 +08:00
    典型的读书不多而想的太多
    jamessdo
        32
    jamessdo  
       2017-01-09 22:53:42 +08:00
    要真拿微信的手机号和密码来注册,那登陆微信也要手机收验证码。。(好久没重新登陆了,应该没记错:)
    hebeiround
        33
    hebeiround  
       2017-01-10 07:16:25 +08:00 via iPhone
    不需要单独注册的小程序应该是 oauth 。
    需要的单独注册的小程序,即使没有小程序,也可以来撞库。
    firefox12
        34
    firefox12  
       2017-01-10 10:01:54 +08:00
    @cxh116 早说过了 不是产品经理没脑子,是他们清楚 大公司是个什么德性。如果不继续注册一次,很可能那一天一封,你除了一堆垃圾 id 就什么都没有了。如果你认为世界上这些人都很蠢,那建议你自己检查一下自己。因为人的智商都是差不多的。
    harrysun
        35
    harrysun  
       2017-01-13 10:59:10 +08:00
    其实就是个 web 还浪费 流量
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   965 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 19:27 · PVG 03:27 · LAX 11:27 · JFK 14:27
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.