这种网页要小心!注意你的账号密码泄露!

news2024/12/24 8:44:19

目录

H5是泄露账号和数据的重要渠道

代码混淆是最佳的安全保护手段

基于AI的自适应代码混淆


我们经常见到各类H5海报,产品展示、活动促销、招聘启事等。H5不仅能够无缝地嵌入App、小程序,还可以作为一个拥有独立链接地址的页面,直接在PC端打开,可以说良好跨平台适配。H5可以制作文字、图形、音频、视频,因此可以用于PC网站、手机网站、微站、Web App、轻应用、Web VR(虚拟现实大众化)。由于技术成熟,开发周期短,投入和维护成本低,兼容性好,因此被广泛应用于展示、营销、调查、游戏等等。

H5在给用户带来便利体验的同时,也让企业面临链接伪造、页面篡改、信息泄露、账号被破解、恶意劫持、薅羊毛等各类业务风险。顶象防御云业务安全情报中心的一项数据显示,在恶意爬虫盗取数据攻击中,H5页面遭遇攻击占到总攻击量的46%,其次是小程序29%,然后是Web端占18%;App端占5%,其他平台占2%。

图片

除恶意爬虫盗取数据外,薅羊毛、虚假账号注册和撞库攻击等攻击中,H5遭遇的攻击也是高发区。

图片


H5是泄露账号和数据的重要渠道

H5为什么成为黑灰产攻击的首选平台?顶象防御云业务安全情报中心分析,主要是H5代码、结构、面临的风险以及运营安全意识不足等问题。

1、页面代码多为“明文”方式。H5平台开发语言是JavaScript,所有的业务逻辑代码都是直接在客户端以某种“明文”方式执行。

2、自身架构存在安全缺陷。浏览器对H5的开发语言JavaScript有诸多限制,从某种程度上也削弱了H5在业务安全层面的防护能力。

3、自动化攻击工具多。H5的页面结构透明,攻击者可以自行构造参数,使用脚本提交请求,即实现完全自动化。这些工具可以在不逆向JS代码的情况下有效实现页面自动化,完成爬虫或者薅羊毛的目的。

4、运营方安全意识淡薄。大部分其他野对H5的安全缺乏系统性的认识,线上业务追求短平快,没有在H5渠道构建完善的防护体系情况下就上线涉及资金的营销业务。

图片


代码混淆是最佳的安全保护手段

针对H5的风险问题,需要专门的代码混淆工具来提升破解难度,以有效提升攻击者的破解成本。

H5代码混淆是H5安全保护的重要手段,能够对需要保护核心代码和敏感数据的H5应用是指对H5代码进行修改,使其难以阅读和理解,从而增加恶意攻击者进行逆向分析的难度。同时有效保护H5应用的安全,防止恶意攻击者窃取核心代码和敏感数据。

H5代码混淆的常见方法主要有四类,分别是将代码中的标识符(如变量名、函数名等)进行修改,使其难以识别的标识符混淆;将代码中的控制流结构进行修改,使其难以理解的控制流混淆;将代码中的数据结构进行修改,使其难以识别的数据结构混淆;将代码进行压缩,使其难以阅读的代码压缩。

顶象H5代码混淆通过对代码中的字符串、数字、正则表达式等统一转为字符串,然后对字符串进行随机拆分,并对拆分后的字符串进行倒序/随机密钥进行函数加密的随机加密。同时,打乱函数顺序,并自动更新混淆算法并更新JS到CDN,由此保障H5页面的安全。

顶象H5代码混淆支持字符串加密、字符串拆分、变量名混淆、控制流混淆、常量提取等多种混淆,还提供域名绑定、防调试等多种安全功能;其可兼容安卓、iOS、公众号、小程序、Web页面等多种H5代码运行环境,提供命令行工具、webpack/gulp等打包插件,无缝对接各种打包流程。

图片


基于AI的自适应代码混淆

作为顶象H5代码混淆的最新升级,顶象AI自适应代码混淆基于图神经网络技术,通过深度分析并提取代码的特征,能够根据不同代码块的特点,自动选择适合的方法进行混淆。大幅提升提高代码的逆向分析难度,有效降低50%的计算性能消耗。通过加密混淆引擎,对H5代码进⾏加密、混淆、压缩,可以⼤⼤增加H5代码的安全性,有效防⽌产品被⿊灰产复制、破解。

传统的H5代码混淆方法往往是通用的,拥有统一的结构和逻辑,对所有类型的H5代码都适用。只要被逆向工具破解,整套H5页面就被破解入侵。顶象AI自适应代码混淆能够对不同代码块进行混淆,短代码块、长代码块、简单代码块、复杂代码块等,基于深度分析并提取代码的特征,自动选择适合的方法进行混淆,大幅提高代码的逆向分析难度。

图片

此外,传统的H5代码混淆中,为了混淆效果可能要牺牲掉计算性能。例如,对于一小段代码来说,使用指令替换混淆方法,就能达到较好的混淆效果,而且混淆后的代码对计算性能消耗也比较低;但对于一整段长代码来说,混淆程度比较低的方法整体的混淆效果往往不佳,因此常常被迫选择混淆程度比较高的混淆方法,比如虚假控制流+代码块分割混淆方法,但这些方法往往对计算性能消耗非常大,也就导致了代码运行效率低下。顶象AI自适应代码混淆,在保证混淆效果基础上,与传统混淆方法相比,降低约50%的计算性能消耗。

综合来看,顶象AI自适应代码混淆的优势主要体现在以下几个方面:

更高级的混淆效果。顶象AI自适应代码混淆能够根据不同代码块的特点,自动选择适合的方法进行混淆,大幅提高代码的逆向分析难度。

更低的计算性能消耗。顶象AI自适应代码混淆在保证混淆效果的基础上,有效降低了计算性能消耗,提高了H5的运行效率。

更高的兼容性。顶象AI自适应代码混淆支持安卓、iOS、公众号、小程序、Web页面等多种H5代码运行环境,具备极高的兼容性。

顶象AI自适应代码混淆可广泛应用于各类H5页面,尤其是金融、电商、游戏等行业,有效防止恶意攻击者进行逆向分析,保护H5应用的核心代码和敏感数据,从而保障业务安全。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1395006.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

AIOps案例 | 携手擎创,中邮信科成功打造新一代IT智能运维平台,收益明显!

为推动邮政信息科技体制改革、提升信息科技自主供给能力,在原信息技术局、数据中心和软开中心基础上,中邮信息科技(北京)有限公司(简称“中邮信科公司”)经中国邮政集团有限公司于2019年5月被批准成立。 公司主要负责邮政各类信息…

[论文阅读]DeepFusion

DeepFusion Lidar-Camera Deep Fusion for Multi-Modal 3D Object Detection 用于多模态 3D 物体检测的激光雷达相机深度融合 论文网址:DeepFusion 论文代码:DeepFusion 摘要 激光雷达和摄像头是关键传感器,可为自动驾驶中的 3D 检测提供补…

通过OpenIddict设计一个授权服务器03-客户凭证流程

在本部分中,我们将把 OpenIddict 添加到项目中,并实施第一个授权流程:客户端凭证流。 添加 OpenIddict 软件包 首先,我们需要安装 OpenIddict NuGet 软件包 dotnet add package OpenIddict dotnet add package OpenIddict.AspN…

Android CarService源码分析

文章目录 一、CarService的基本架构1.1、Android Automative整体框架1.2、Framework CarService1.3、目录结构1.3.1、CarService1.3.2、Car APP 二、CarService的启动流程2.1、系统启动后在SystemServer进程中启动CarServiceHelperService2.2、CarService启动 三、CarService源…

浅聊雷池社区版(WAF)的tengine

雷池社区版是一个开源的免费Web应用防火墙(WAF),专为保护Web应用免受各种网络攻击而设计。基于强大的Tengine,雷池社区版提供了一系列先进的安全功能,适用于中小企业和个人用户。 Tengine的故事始于2011年,…

Android-三方框架的源码

ARouter Arouter的整体思路是moduelA通过中间人ARouter把路由信息的存到仓库WareHouse;moduleB发起路由时,再通过中间人ARouter从仓库WareHouse取出路由信息,这要就实现了没有依赖的两者之间的跳转与通信。其中涉及Activity的跳转、服务prov…

微信原生小程序上传与识别以及监听多个checkbox事件打开pdf

1.点击上传并识别 组件样式<van-field border"{{ false }}" placeholder"请输入银行卡卡号" model:value"{{bankNo}}" label"卡号"><van-icon bindtap"handleChooseImg" slot"right-icon" name"sca…

网工内推 | 运维工程师,最高10K*15薪,思科认证优先

01 乐歌股份 招聘岗位&#xff1a;服务器运维工程师 职责描述&#xff1a; 1、负责公司云上云下所有服务器的日常运维工作&#xff0c;包括应用部署、巡检、备份、日志、监控&#xff0c;故障处理&#xff0c;性能优化等&#xff0c;保障公司相关系统稳定运行。 2、为开发、测…

【linux】粘滞位.yum

粘滞位 1.为什么我们普通用户可以删掉别人的文件&#xff08;包括root&#xff09;?合理吗&#xff1f; 2.删除一个文件和目标文件有关系吗&#xff1f; 没关系&#xff0c;和所处的目录有关系。 1.我们先以root身份创建一个目录&#xff0c;接着在这个目录下创建一个文件 2…

LLM之幻觉(二):大语言模型LLM幻觉缓减技术综述

LLM幻觉缓减技术分为两大主流&#xff0c;梯度方法和非梯度方法。梯度方法是指对基本LLM进行微调&#xff1b;而非梯度方法主要是在推理时使用Prompt工程技术。LLM幻觉缓减技术&#xff0c;如下图所示&#xff1a; LLM幻觉缓减技术值得注意的是&#xff1a; 检索增强生成&…

【开发篇】五、文章内容审核接口的内存问题优化

文章目录 1、初始实现思路&#xff1a;Async注解新开一个线程去审核2、改进思路一&#xff1a;加LinkedBlockingQueue阻塞队列3、改进思路二&#xff1a;RabbitMQ4、总结 背景&#xff1a;文章微服务中有一个文章审核接口&#xff0c;接口内又调用阿里云的内容安全接口进行文字…

【运维】WSL1如何升级到WSL2

升级WSL1到WSL2&#xff1a;简便快捷版 在这篇博客中&#xff0c;我们将研究如何通过一种更简便的方式&#xff0c;将WSL1迅速升级到WSL2&#xff0c;避免官方文档的繁冗步骤。如果你觉得官方方法太过冗长&#xff0c;那么这里提供的步骤可能更适合你。 官网的办法是&#xf…

Cloudflare cdn 基本使用

个人版免费试用&#xff0c;一个邮箱账号只能缓存一个网站cdn。 地址&#xff1a;cloudflare.com 创建站点 在网站创建站点&#xff0c;填上你的域名 点击进入网站 缓存全局配置 可清除缓存&#xff0c;设置浏览器缓存时间 我设置了always online,防止服务器经常不稳定 缓…

Git学习笔记(第1章):Git概述

Git是一个免费的、开源的分布式版本控制系统&#xff0c;可以快速高效地处理从小型到大型的各种项目。 Git易于学习&#xff0c;占地面积小&#xff0c;性能极快。它具有廉价的本地库&#xff0c;方便的暂存区域和多个工作流分支等特性。其性能优于Subversion、CVS、Perforce 和…

Docker本地私有仓库搭建配置指导

一、说明 因内网主机需要拉取镜像进行Docker应用&#xff0c;因此需要一台带外主机作为内网私有仓库来提供内外其他docker业务主机使用。参考架构如下&#xff1a; 相关资源&#xff1a;加密、Distribution registry、Create and Configure Docker Registry、Registry部署、D…

Ivanti Connect Secure 曝两大零日漏洞,已被大规模利用

威胁情报公司Volexity发现&#xff0c;影响 Ivanti 的 Connect Secure VPN 和 Policy Secure 网络访问控制 (NAC) 设备的两个零日漏洞正在被大规模利用。自1月11日开始&#xff0c;多个威胁组织在大范围攻击中利用CVE-2023-46805身份验证绕过和CVE-2024-21887命令注入漏洞。 V…

Joern环境的安装(Windows版)

Joern环境的安装(Windows版) 网上很少有关于Windows下安装Joern的教程&#xff0c;而我最初使用也是装在Ubuntu虚拟机中&#xff0c;这样使用很占内存&#xff0c;影响体验感。在Windows下使用源码安装Joern也是非常简单的过程&#xff1a; 提前需要的本地环境&#xff1a; …

YOLOv5全网独家首发:DCNv4更快收敛、更高速度、更高性能,效果秒杀DCNv3、DCNv2等 ,助力检测实现暴力涨点

💡💡💡本文独家改进:DCNv4更快收敛、更高速度、更高性能,完美和YOLOv5结合,助力涨点 DCNv4优势:(1) 去除空间聚合中的softmax归一化,以增强其动态性和表达能力;(2) 优化存储器访问以最小化冗余操作以加速。这些改进显著加快了收敛速度,并大幅提高了处理速度,DCN…

vue:处理base64格式文件pdf、图片预览

一、需求&#xff1a;后端返回是base64数据&#xff0c;需要前端处理来展示文件。 二、实现方法&#xff1a; 解释一下这段代码的功能&#xff1a; &#xff09;preview(item) 是一个函数&#xff0c;接受一个参数 item&#xff0c;其中包含了文件的相关信息。 &#xff09;首…

SpringBoot的自定义starter和SpringBoot Starter机制,以及综合案例和通用模块-短信发送,基于AOP技术实现日志切面

目录 1.SpringBoot Starter机制 1.1.什么是SpringBoot Starter 1.2.为什么要使用SpringBoot Starter 1.3.应用场景 1.4.自动加载核心注解说明 2.综合案例 2.1.命名规范 2.2.通用模块-短信发送 2.2.1.创建配置类Properties 2.2.2.编写短信业务功能 2.2.3.创建自动配置…