微信小程序安全指引-后台

1. 注入漏洞

注入漏洞通常是由于用户绕过后台代码限制，直接在数据库或shell 中执行自定义代码导致的。SQL注入和命令注入都是比较常见的注入漏洞。

1.1 SQL注入

SQL注入是指Web程序代码中对于用户提交的参数未做有效过滤就直接拼接到SQL语句中执行，导致参数中的特殊字符打破了SQL语句原有逻辑，黑客可以利用该漏洞执行任意SQL语句。

开发建议：

1. 使用数据库提供的参数化查询来进行数据库操作，不允许直接通过拼接字符串的方式来合成SQL语句。
2. 如果必须要通过拼接的方式来合成SQL语句，那么拼接的变量必须要经过处理：对于整数类型的变量，需要判断其是否为整数类型；对于字符串类型的变量，需要对单引号、双引号等进行转义处理。
3. 避免Web应用显示SQL报错信息。
4. 保证Web应用的每一数据层的编码统一。

1.2 命令注入

命令注入漏洞是指Web应用未对用户可控参数进行有效过滤，攻击者可以构造恶意参数拼接到命令上来执行任意命令。

开发建议：

• 对用户输入的数据（如 ;、|、&等）进行过滤或转义。

2. 弱口令

弱口令指管理后台的用户名密码设置得较为简单或者使用默认帐号。攻击者可以通过登录这些帐号修改后台数据或进行下一步的入侵操作。

开发建议：

1. 后台服务禁用默认帐号，修改后台弱口令。
2. 敏感服务增加二次验证机制，如短信验证码、邮箱验证码等。

3. 文件上传漏洞

文件上传漏洞是指Web应用允许用户上传指定文件，但未对文件类型、格式等做合法性校验，导致可以上传非预期格式的文件。

开发建议：

• 正确解析上传文件的文件类型，通过白名单的方式限制可上传的文件类型。

4. 文件下载

文件下载漏洞是指Web应用允许用户通过指定路径和文件名的方式来下载对应的文件，但未正确限制可下载文件所在的目录范围，导致预期范围外的文件被下载泄露。

开发建议：

1. 正确限制可下载文件所在的目录范围。
2. 通过指定文件id的方式来查找下载对应的文件。

5. 目录遍历

目录遍历是指由后台服务对用户输入验证不足或配置不严谨导致的服务器目录内容泄漏。外部可能通过目录遍历获取系统文件、后台代码等敏感文件。

开发