近几年，在数字化与疫情的推动下，越来越多的企业开辟了线上业务，在互联网上通过各种方式开展业务。线上业务不仅使得企业效率提升，同时也面临着被黑灰产攻击的风险。黑灰产通过各种业务漏洞，能够攫取大量利益，各企业和用户带来不可估量的损失。

比如，2017年5月，某App H5 页面被植入色情内容广告在安全圈引起了轰动。后经排查基本确定为用户当地运营商http劫持导致H5页面被插入广告，给该App 造成极大影响。

今天我们就从黑灰产的分布角度和大家聊聊如何防御此类黑灰产。

---

黑灰产最喜欢从哪里“下手”？

目前主要的线上渠道主要有App、H5、PC端、小程序等4种线上渠道。

以爬虫问题为例，结合顶象防御云的统计数据，我们对众多行业的爬虫数据做了一些渠道分布统计。

分析发现，H5最多，约为51%；其次是小程序，约为29%；然后是PC 端约为18%，App 约为2%。

从数据分布可以看出，H5和小程序是黑灰产攻击的重点，尤其是H5。在各渠道业务都相同的情况下，H5几乎是黑灰产的首选。

值得一提的是，除爬虫场景外，在薅羊毛，垃圾注册，撞库攻击等风险场景H5相比其他平台也是高发区。

问题来了，黑灰产为何选中了H5呢？

---

为什么H5是黑灰产高发区？

从顶象多年的防控经验来看，H5面临的风险相对较多是有其原因的。

1、JavaScript代码特性。

H5平台开发语言是JavaScript，所有的业务逻辑代码都是直接在客户端以某种“明文”方式执行。代码的安全防护主要依靠混淆，混淆效果直接决定了客户端的安全程度。不过对于技术能力较强的黑产，仍然可以通过调试还原出核心业务处理流程。

2、企业营销推广需求追求简单快捷。

首先，相比其他平台，很多公司在H5平台的开放业务往往会追求简单，快捷。比如在营销推广场景，很多企业的H5页面只需从微信点击链接直接跳转到一个H5页面，点击页面按钮即可完成活动，获取积分或者小红包。

一方面确实提升了用户体验，有助于拉新推广；但另一方面简便的前端业务逻辑，往往也会对应简单的代码，这也给黑灰产提供了便利，相比去破解App，H5或者小程序的破解难度要低一些。

数据显示，如果企业在营销时不做风险控制，黑产比例一般在20%以上，甚至有一些高达50%。这就意味着品牌主在营销中相当一部分费用被浪费了。

3、H5平台自动化工具众多。

核心流程被逆向后，攻击者则可以实现“脱机”，即不再依赖浏览器来执行前端代码。攻击者可以自行构造参数，使用脚本提交请求，即实现完全自动化，如selenium，autojs，Puppeteer等。这些工具可以在不逆向JS代码的情况下有效实现页面自动化，完成爬虫或者薅羊毛的目的。

4、防护能力相对薄弱。

从客观层面来看，H5平台无论是代码保护强度还是风险识别能力，都要弱于App。这是现阶段的框架导致，并不是技术能力问题。JavaScript数据获取能力受限于浏览器，出于隐私保护，浏览器限制了很多数据获取，这种限制从某种程度上也削弱了JavaScript在业务安全层面的能力。

以电商App为例，出于安全考虑，很多核心业务只在App上支持。如果H5和App完全是一样的参数逻辑和加密防护，对于攻击者，破解了H5也就等于破解了App。

5、用户对H5缺乏系统认识。

最后，大部分用户对H5的安全缺乏系统性的认识，线上业务追求短平快，没有在H5渠道构建完善的防护体系情况下就上线涉及资金的营销业务。

---

H5平台业务如何防护？

1、H5混淆

针对H5的风险问题，普通的JS代码压缩工具已经无法满足需求，需要专门的代码混淆工具来提升破解难度。尽管混淆后的JS代码仍有可能会被逆向和调试，但H5的混淆仍然必不可少，高强度的混淆能够有效提升攻击者的破解成本。

2、参数加密

业务接口参数务必需要加密传输，如果参数没有加密，那么代码混淆的防护效果也会大大减弱。如果可以的话，加密算法最好能定期更新，高频率的更新加密算法+混淆能够有效保障JS的安全。

3、设备指纹

虽然相比于App，H5平台能够采集到的信息较少，但通过这些信息采集来标识设备和识别风险仍然是必要的。一个相对完整的终端环境监测能够有效提升黑产的“脱机”成本，也能够有效识别黑产所使用的工具。

4、人机验证码

人机验证码可以说是H5防控上极其重要的一个点，实际上相当一部分H5平台的安全问题最终都是人机问题。目前传统的字符识别输入等类型验证码仍然大量存在于互联网，这类验证码基本不具备防护能力，破解成本极低。现阶段的互联网人机安全需要新的基于验证行为的智能验证码。

5、风控系统

除了人机问题，业务上还需要风控系统来对业务做全面的安全判断。这里包括账户维度，设备维度，IP黑名单，账户黑名单，手机号黑名单等，这些也都是传统的反爬，反薅羊毛手段。风控系统不仅能从各维度补充H5的安全防护能力，还能灵活应对各种突发风险情况，及时把风险降到最低。

---

顶象防御云H5防护方案

顶象H5代码混淆⼯具，通过顶象的加密混淆引擎，对H5代码进⾏加密、混淆、压缩，可以⼤⼤增加H5代码的安全性，有效防⽌产品被⿊灰产复制、破解。

除了字符串加密、字符串拆分、变量名混淆、控制流混淆、常量提取等多种混淆手段外，还提供域名绑定、防调试等多种安全功能；并且可兼容安卓、iOS、公众号、小程序、Web页面等多种H5代码运行环境，提供命令行工具、webpack/gulp等打包插件，无缝对接各种打包流程。

以下图为例：

普通代码混淆工具的效果

顶象H5混淆效果

设备指纹和验证码作为顶象防御云的一部分，集成了业务安全情报、云策略和数据模型，覆盖安卓、iOS、H5、小程序，可有效识别模拟器、刷机改机、Root、越狱、劫持注入等风险，可有效应对机器攻击，新一代设备指纹能够有效识别模拟器、调试等JS 攻击行为，大大提升了黑灰产的破解成本，提升H5 页面的安全性。