微信小程序安全吗？

微信小程序无需安装，即用即走，给大众带来了很多方便，而这种方便快捷的使用方式到底安全吗？

在两会期间义务为党政府机关和企事业单位提供“微信小程序”安全测试。其中发现某大型企业的小程序存在遍历漏洞，可导致大量平台用户信息及订单信息泄露。

经测试，小程序在获取用户订单列表时直接使用PassportId参数进行查询，未验证查询参数PassportId是否与查询人会话身份(session)匹配，这样便导致可以通过修改PassportId值的方式获得其他用户对订单列表，从而获取用户信息。

针对该问题建议在获取用户数据时添加会话验证，只允许读取当前登录用户的订单信息，由此有效避免个人信息泄露。

由此可见，小程序安全问题大有可观

安全服务团队结合小程序特点对小程序做了大量分析后发现，大部分小程序的开发者可能会在小程序编写上存在SQL注入、越权访问、文件上传、CSRF信息泄露等严重安全问题，一旦这些问题爆发，对财产安全、用户信息、用户信任度等方面都会产生极其恶劣的影响。

微信小程序使用便捷的特点，是用户接受小程序的最大原因。并且，微信小程序新增的对个人开发者开放注册小程序的功能势必会让无数的开发者尝试开发小程序，而一些并不严谨的开发者如果只为图快，不考虑安全问题的话，就会导致大量的微信小程序存在各种安全隐患。

所以微信小程序的开发者在开发过程中需要特别注重安全问题，注重对信息的保护，那才是真正便民的小程序。