 测试场景3:生活服务-洗衣店
测试结果:这家企业的小程序接口存在一个非常明显的漏洞:当消费者查询的订单号为空的时候,该接口就会返回数据库中所有订单的信息,这几乎让程序平台里的整个用户信息都存在极大的泄露风险。敏感信息包括手机号、姓名和居住地址。 测试场景4:酒店订房
测试结果:这个小程序的接口虽然做了一定的加密措施,但是由于生成的订单号非常有规律,专业人员可以根据规律构造查询指令,也可以很轻易地查看到指定日期的所有订单信息。 测试场景5:医疗信息
测试结果:该医院的小程序也属于查询接口授权机制不完善。查询所有患者的化验报告应该要管理员权限才能访问,但是通过这个接口,用普通账号也能查询,医院的小程序在权限等级识别上根本就没有设置任何障碍。 |
