目录
H5是泄露账号和数据的重要渠道
代码混淆是最佳的安全保护手段
基于AI的自适应代码混淆
我们经常见到各类H5海报,产品展示、活动促销、招聘启事等。H5不仅能够无缝地嵌入App、小程序,还可以作为一个拥有独立链接地址的页面,直接在PC端打开,可以说良好跨平台适配。H5可以制作文字、图形、音频、视频,因此可以用于PC网站、手机网站、微站、Web App、轻应用、Web VR(虚拟现实大众化)。由于技术成熟,开发周期短,投入和维护成本低,兼容性好,因此被广泛应用于展示、营销、调查、游戏等等。
H5在给用户带来便利体验的同时,也让企业面临链接伪造、页面篡改、信息泄露、账号被破解、恶意劫持、薅羊毛等各类业务风险。顶象防御云业务安全情报中心的一项数据显示,在恶意爬虫盗取数据攻击中,H5页面遭遇攻击占到总攻击量的46%,其次是小程序29%,然后是Web端占18%;App端占5%,其他平台占2%。
除恶意爬虫盗取数据外,薅羊毛、虚假账号注册和撞库攻击等攻击中,H5遭遇的攻击也是高发区。
H5是泄露账号和数据的重要渠道
H5为什么成为黑灰产攻击的首选平台?顶象防御云业务安全情报中心分析,主要是H5代码、结构、面临的风险以及运营安全意识不足等问题。
1、页面代码多为“明文”方式。H5平台开发语言是JavaScript,所有的业务逻辑代码都是直接在客户端以某种“明文”方式执行。
2、自身架构存在安全缺陷。浏览器对H5的开发语言JavaScript有诸多限制,从某种程度上也削弱了H5在业务安全层面的防护能力。
3、自动化攻击工具多。H5的页面结构透明,攻击者可以自行构造参数,使用脚本提交请求,即实现完全自动化。这些工具可以在不逆向JS代码的情况下有效实现页面自动化,完成爬虫或者薅羊毛的目的。
4、运营方安全意识淡薄。大部分其他野对H5的安全缺乏系统性的认识,线上业务追求短平快,没有在H5渠道构建完善的防护体系情况下就上线涉及资金的营销业务。
代码混淆是最佳的安全保护手段
针对H5的风险问题,需要专门的代码混淆工具来提升破解难度,以有效提升攻击者的破解成本。
H5代码混淆是H5安全保护的重要手段,能够对需要保护核心代码和敏感数据的H5应用是指对H5代码进行修改,使其难以阅读和理解,从而增加恶意攻击者进行逆向分析的难度。同时有效保护H5应用的安全,防止恶意攻击者窃取核心代码和敏感数据。
H5代码混淆的常见方法主要有四类,分别是将代码中的标识符(如变量名、函数名等)进行修改,使其难以识别的标识符混淆;将代码中的控制流结构进行修改,使其难以理解的控制流混淆;将代码中的数据结构进行修改,使其难以识别的数据结构混淆;将代码进行压缩,使其难以阅读的代码压缩。
顶象H5代码混淆通过对代码中的字符串、数字、正则表达式等统一转为字符串,然后对字符串进行随机拆分,并对拆分后的字符串进行倒序/随机密钥进行函数加密的随机加密。同时,打乱函数顺序,并自动更新混淆算法并更新JS到CDN,由此保障H5页面的安全。
顶象H5代码混淆支持字符串加密、字符串拆分、变量名混淆、控制流混淆、常量提取等多种混淆,还提供域名绑定、防调试等多种安全功能;其可兼容安卓、iOS、公众号、小程序、Web页面等多种H5代码运行环境,提供命令行工具、webpack/gulp等打包插件,无缝对接各种打包流程。
基于AI的自适应代码混淆
作为顶象H5代码混淆的最新升级,顶象AI自适应代码混淆基于图神经网络技术,通过深度分析并提取代码的特征,能够根据不同代码块的特点,自动选择适合的方法进行混淆。大幅提升提高代码的逆向分析难度,有效降低50%的计算性能消耗。通过加密混淆引擎,对H5代码进⾏加密、混淆、压缩,可以⼤⼤增加H5代码的安全性,有效防⽌产品被⿊灰产复制、破解。
传统的H5代码混淆方法往往是通用的,拥有统一的结构和逻辑,对所有类型的H5代码都适用。只要被逆向工具破解,整套H5页面就被破解入侵。顶象AI自适应代码混淆能够对不同代码块进行混淆,短代码块、长代码块、简单代码块、复杂代码块等,基于深度分析并提取代码的特征,自动选择适合的方法进行混淆,大幅提高代码的逆向分析难度。
此外,传统的H5代码混淆中,为了混淆效果可能要牺牲掉计算性能。例如,对于一小段代码来说,使用指令替换混淆方法,就能达到较好的混淆效果,而且混淆后的代码对计算性能消耗也比较低;但对于一整段长代码来说,混淆程度比较低的方法整体的混淆效果往往不佳,因此常常被迫选择混淆程度比较高的混淆方法,比如虚假控制流+代码块分割混淆方法,但这些方法往往对计算性能消耗非常大,也就导致了代码运行效率低下。顶象AI自适应代码混淆,在保证混淆效果基础上,与传统混淆方法相比,降低约50%的计算性能消耗。
综合来看,顶象AI自适应代码混淆的优势主要体现在以下几个方面:
更高级的混淆效果。顶象AI自适应代码混淆能够根据不同代码块的特点,自动选择适合的方法进行混淆,大幅提高代码的逆向分析难度。
更低的计算性能消耗。顶象AI自适应代码混淆在保证混淆效果的基础上,有效降低了计算性能消耗,提高了H5的运行效率。
更高的兼容性。顶象AI自适应代码混淆支持安卓、iOS、公众号、小程序、Web页面等多种H5代码运行环境,具备极高的兼容性。
顶象AI自适应代码混淆可广泛应用于各类H5页面,尤其是金融、电商、游戏等行业,有效防止恶意攻击者进行逆向分析,保护H5应用的核心代码和敏感数据,从而保障业务安全。