青海格尔木公安约谈某单位做好网络安全整改

2025年3月27日，【格尔木公安】公众号发文称，某单位的微信小程序存在多个高危漏洞和信息泄露等问题，并要求该单位做好网络安全整改。

微信小程序的安全问题一直是企事业单位容易忽视的点，微信小程序虽然在微信里面，但是小程序的后台服务器，要么是自建服务器，要么是通过云服务器。小程序主机漏洞如下：

1.逻辑漏洞与业务流程缺陷

小程序后端业务逻辑校验不严，可能导致订单金额篡改、任意用户登录、注册绕过审核等问题，给攻击者带来“0元购”或越权操作的机会。

2.权限校验不足和水平越权

部分小程序在身份验证和权限控制上存在漏洞，可能允许攻击者通过修改请求数据实现任意用户数据访问，甚至修改账户信息。

3.SessionKey泄露及数据加解密问题

由于微信小程序中使用AES加密用户数据，而开发者如果直接返回由微信API获取的session_key或者未对数据包进行充分校验，就可能导致用户敏感信息（如手机号）被伪造利用，实现任意手机号登录。

4.密钥泄露与AppSecret误用

一些小程序存在硬编码AppSecret或直接泄露开发者密钥的风险，使攻击者能通过微信API获取用户openid、session_key等，甚至实现账户劫持。

5.隐藏API与未授权访问

由于很多小程序使用了微信或第三方提供的隐藏API，这些接口可能缺乏严格的安全检查，导致攻击者利用未公开的接口获取敏感数据或执行恶意操作。

总体而言，微信小程序漏洞多因开发者对后端数据校验不足、权限控制不严格、以及加解密实现不完善而导致，攻击者可以通过篡改请求数据、利用SessionKey和密钥泄露等方式突破安全防护，造成用户数据泄露和账户劫持等严重后果。