摘要：無(wú)論對(duì)于互聯(lián)網(wǎng)企業(yè)用戶還是黑灰產(chǎn)業(yè)鏈條上的人，微信小程序無(wú)疑都是一個(gè)嶄新的巨大的入口，也是每個(gè)使用者需要去面對(duì)去規(guī)避可能存在的風(fēng)險(xiǎn)。

1月9日微信小程序正式上線，鋪天蓋地的各類評(píng)測(cè)、使用、分析甚至是授課培訓(xùn)之類的文章風(fēng)一般席卷你所能看見的幾乎所有媒體、社交平臺(tái)。

小程序在出生前就被一片看好——“可以替代極大占用內(nèi)存的APP”、“低廉的開發(fā)成本與低消耗的時(shí)間成本”等聲音早已充斥整個(gè)互聯(lián)網(wǎng)。在這種全方位‘利好’的形勢(shì)下，很多大公司小公司都不愿放棄這樣一個(gè)免費(fèi)入口的機(jī)會(huì)，想必小程序還將在將來(lái)幾個(gè)月持續(xù)紅火。

微信小程序工作在微信整體的框架中呈現(xiàn)，相比一些分發(fā)平臺(tái)和APP、傳統(tǒng)網(wǎng)站有以下幾個(gè)優(yōu)勢(shì)：

描二維碼、微信提供的搜索和在會(huì)話、微信群中的推薦來(lái)獲取小程序，去中心化避免了分發(fā)、流量、競(jìng)價(jià)、排名；

所有的小程序都存放在微信自己的框架內(nèi)，某個(gè)小程序一旦被添加就會(huì)下載暫存在用戶手機(jī)上，能夠快速裝載打開；微信的整體框架讓小程序使用的體驗(yàn)非常流暢，一切以簡(jiǎn)潔、快捷、便捷為主；
小程序的開發(fā)技術(shù)相比APP的開發(fā)簡(jiǎn)單許多，能為企業(yè)節(jié)省下大量時(shí)間成本與人力成本，特別是對(duì)于初創(chuàng)公司來(lái)說，在品牌宣傳與市場(chǎng)營(yíng)銷上可以節(jié)省下一大筆開支；

在被分發(fā)機(jī)制慣壞的受眾體系下，如此麻煩的尋找方式也是另一種形式的“定位精準(zhǔn)用戶”。沒有粉絲數(shù)、沒有打開率、沒有KPI，讓一切體驗(yàn)更純粹；

特定的開發(fā)語(yǔ)言（需要特別為小程序而學(xué)習(xí)）、嚴(yán)格的審核、私有的發(fā)布渠道（沒有分發(fā)途徑），幾乎是形成了一個(gè)封閉的展示環(huán)境；

從目前得到的消息而言，小程序無(wú)法群發(fā)消息、無(wú)法分享到朋友圈，小程序之間亦無(wú)法關(guān)聯(lián)，而且對(duì)營(yíng)銷號(hào)、廣告位的行為嚴(yán)令禁止。未來(lái)如何發(fā)展也就是說如何盈利，拭目以待。

風(fēng)險(xiǎn)都是我們很討厭的東西，他總是在最不恰當(dāng)?shù)臅r(shí)候到來(lái)，比如正要下班回家被一通電話叫回單位，或是剛剛發(fā)布了個(gè)新版本準(zhǔn)備出去散個(gè)心，火車上接到電話要處理問題。風(fēng)險(xiǎn)就像撕不開甩不走的狗皮膏藥，讓人不論做什么事情的時(shí)候心里總是懸著，總感覺做點(diǎn)什么大事業(yè)為什么就那么難。

其實(shí)我在做了這么多年的業(yè)務(wù)風(fēng)控后，有一個(gè)非常直接的感受，盡管處理風(fēng)險(xiǎn)的人總是苦口婆心的講：任何業(yè)務(wù)的變動(dòng)都等同的伴隨著機(jī)遇和風(fēng)險(xiǎn)，做任何業(yè)務(wù)改動(dòng)一定要謹(jǐn)慎，多跟安全來(lái)討論，但業(yè)務(wù)角度來(lái)講往往眼睛只看著機(jī)遇，而選擇性忽略風(fēng)險(xiǎn)。

小程序的上線就可以看作是一個(gè)業(yè)務(wù)上的變動(dòng)，有了一個(gè)新的入口，所有人都在高喊小程序要改變行業(yè)格局的時(shí)候，筆者默默的打開了幾個(gè)小程序檢查一下，結(jié)果不出所料發(fā)現(xiàn)了幾例非常常見的撞庫(kù)風(fēng)險(xiǎn)：

在今天上線的眾多小程序登錄頁(yè)面中我們都需要面對(duì)一個(gè)選項(xiàng)——是否同意小程序“獲得你的公開信息（昵稱、頭像等）”、是否同意小程序“獲取你的地理位置”。如果不同意，部分小程序就無(wú)法進(jìn)行體驗(yàn)或使用了。

而在選擇同意并進(jìn)入頁(yè)面之后，一些存在注冊(cè)、登錄、綁定操作的小程序，是否能夠保證我們帳號(hào)的安全？是否會(huì)讓有心人士有利可圖？

什么是撞庫(kù)？
撞庫(kù)是黑客通過收集互聯(lián)網(wǎng)已泄露的用戶和密碼信息，生成對(duì)應(yīng)的字典表，嘗試批量登陸其他網(wǎng)站后，得到一系列可以登錄的用戶。很多用戶在不同網(wǎng)站使用的是相同的帳號(hào)密碼，因此黑客可以通過獲取用戶在A網(wǎng)站的賬戶從而嘗試登錄B網(wǎng)址，這就可以理解為撞庫(kù)攻擊。

有一定技術(shù)了解的人應(yīng)該比較清楚，首先這個(gè)某家公司的小程序登錄接口用了http，導(dǎo)致我們可以簡(jiǎn)單的通過代理抓包提取這個(gè)登錄接口的請(qǐng)求內(nèi)容，然后構(gòu)造不同的手機(jī)號(hào)碼和密碼組合就可以嘗試撞庫(kù)了，發(fā)現(xiàn)類似問題的公司到對(duì)應(yīng)的手機(jī)APP和官網(wǎng)上看，其實(shí)都已經(jīng)做了比較完善的風(fēng)控措施，但因?yàn)橐粋€(gè)新登錄入口的引入而又沒有考慮周詳，原本堅(jiān)固的風(fēng)控體系一下子就變的形同虛設(shè)了。

如果你的產(chǎn)品已經(jīng)不再迭代了、不出新功能了、外部大環(huán)境也基本不動(dòng)了，那么出現(xiàn)風(fēng)險(xiǎn)的概率是很低的。風(fēng)險(xiǎn)這個(gè)東西特別喜歡人們倉(cāng)促匆忙的做一些事情，互聯(lián)網(wǎng)時(shí)代需求瞬息萬(wàn)變，用戶忠誠(chéng)度低，一個(gè)趨勢(shì)跟不上就有被淘汰的危險(xiǎn)，BAT都不敢松懈，小體量的公司更是舉著業(yè)務(wù)優(yōu)先的大旗一路高歌猛進(jìn)，安全往往只是停留在一個(gè)概念上，甚至連概念都沒有，等業(yè)務(wù)量上來(lái)了再說唄。

但國(guó)內(nèi)的互聯(lián)網(wǎng)業(yè)務(wù)現(xiàn)狀我只能用一個(gè)字：亂 來(lái)形容，原因也很簡(jiǎn)單，我們的產(chǎn)品打磨周期實(shí)在是太短了，留給產(chǎn)品研發(fā)上線的時(shí)間是按天來(lái)計(jì)的，造成的結(jié)果就是往往面上的工作做好了，該有的概念都有，結(jié)果引擎蓋下面各種亂七八糟的拼湊，看著外觀挺炫，能不能用穩(wěn)不穩(wěn)定真要打個(gè)大大的問號(hào)。

這種亂給了黑灰產(chǎn)生存的必要條件，不斷的侵蝕企業(yè)的利潤(rùn)空間，甚至有能力把一些抵抗能力比較低的企業(yè)扼殺在早期，比如那些個(gè)使用條件多到令人發(fā)指的優(yōu)惠卷，普通消費(fèi)者永遠(yuǎn)是理不清楚的，但黃牛卻能把各種折扣優(yōu)惠理個(gè)門清，直接告訴消費(fèi)者我比官網(wǎng)便宜多少，到最后消費(fèi)者拿到了實(shí)惠，企業(yè)缺只留下了一堆黃牛帳號(hào)，當(dāng)無(wú)力繼續(xù)燒錢的時(shí)候草草關(guān)張。

互聯(lián)網(wǎng)的草莽時(shí)代早已經(jīng)過去了，筆者曾經(jīng)做過這樣的預(yù)測(cè)，接下來(lái)的市場(chǎng)拼的是精細(xì)化運(yùn)營(yíng)能力和風(fēng)險(xiǎn)抵御能力，誰(shuí)更能從地板縫里扣錢出來(lái)，就能活的更久更長(zhǎng)，而黑灰產(chǎn)鏈條的形成，意味著任何粗暴的生長(zhǎng)模式都會(huì)被他們啃干凈，什么都留不下。

無(wú)論對(duì)于互聯(lián)網(wǎng)企業(yè)、用戶還是黑灰產(chǎn)業(yè)鏈條上的人，微信小程序無(wú)疑都是一個(gè)嶄新的、巨大的入口，也是每個(gè)使用者需要去面對(duì)、去規(guī)避可能存在的風(fēng)險(xiǎn)。

反爬蟲
文章來(lái)源：http://bigsec.com/