顶象学院首页>文章详情

H5 缘何成为黑灰产攻击重点?

2022-12-19|小象 2601

近几年,在数字化与疫情的推动下,越来越多的企业开辟了线上业务,在互联网上通过各种方式开展业务。线上业务不仅使得企业效率提升,同时也面临着被黑灰产攻击的风险。黑灰产通过各种业务漏洞,能够攫取大量利益,各企业和用户带来不可估量的损失。

比如,2017年5月,某App H5 页面被植入色情内容广告在安全圈引起了轰动。后经排查基本确定为用户当地运营商http劫持导致H5页面被插入广告,给该App 造成极大影响。

今天我们就从黑灰产的分布角度和大家聊聊如何防御此类黑灰产。

黑灰产最喜欢从哪里“下手”?

目前主要的线上渠道主要有App、H5、PC端、小程序等4种线上渠道。

以爬虫问题为例,结合顶象防御云的统计数据,我们对众多行业的爬虫数据做了一些渠道分布统计。

分析发现,H5最多,约为51%;其次是小程序,约为29%;然后是PC 端约为18%,App 约为2%。

undefined

从数据分布可以看出,H5和小程序是黑灰产攻击的重点,尤其是H5。在各渠道业务都相同的情况下,H5几乎是黑灰产的首选。

 

值得一提的是,除爬虫场景外,在薅羊毛,垃圾注册,撞库攻击等风险场景H5相比其他平台也是高发区。

问题来了,黑灰产为何选中了H5呢?

 

为什么H5是黑灰产高发区?

 

从顶象多年的防控经验来看,H5面临的风险相对较多是有其原因的。

1、JavaScript代码特性。

H5平台开发语言是JavaScript,所有的业务逻辑代码都是直接在客户端以某种“明文”方式执行。代码的安全防护主要依靠混淆,混淆效果直接决定了客户端的安全程度。不过对于技术能力较强的黑产,仍然可以通过调试还原出核心业务处理流程。

 

undefined

undefined

2、企业营销推广需求追求简单快捷。

首先,相比其他平台,很多公司在H5平台的开放业务往往会追求简单,快捷。比如在营销推广场景,很多企业的H5页面只需从微信点击链接直接跳转到一个H5页面,点击页面按钮即可完成活动,获取积分或者小红包。

一方面确实提升了用户体验,有助于拉新推广;但另一方面简便的前端业务逻辑,往往也会对应简单的代码,这也给黑灰产提供了便利,相比去破解App,H5或者小程序的破解难度要低一些。

数据显示,如果企业在营销时不做风险控制,黑产比例一般在20%以上,甚至有一些高达50%。这就意味着品牌主在营销中相当一部分费用被浪费了。

3、H5平台自动化工具众多。

核心流程被逆向后,攻击者则可以实现“脱机”,即不再依赖浏览器来执行前端代码。攻击者可以自行构造参数,使用脚本提交请求,即实现完全自动化,如selenium,autojs,Puppeteer等。这些工具可以在不逆向JS代码的情况下有效实现页面自动化,完成爬虫或者薅羊毛的目的。

4、防护能力相对薄弱。

从客观层面来看,H5平台无论是代码保护强度还是风险识别能力,都要弱于App。这是现阶段的框架导致,并不是技术能力问题。JavaScript数据获取能力受限于浏览器,出于隐私保护,浏览器限制了很多数据获取,这种限制从某种程度上也削弱了JavaScript在业务安全层面的能力。

以电商App为例,出于安全考虑,很多核心业务只在App上支持。如果H5和App完全是一样的参数逻辑和加密防护,对于攻击者,破解了H5也就等于破解了App。

5、用户对H5缺乏系统认识。

最后,大部分用户对H5的安全缺乏系统性的认识,线上业务追求短平快,没有在H5渠道构建完善的防护体系情况下就上线涉及资金的营销业务。

 

H5平台业务如何防护?

1、H5混淆

针对H5的风险问题,普通的JS代码压缩工具已经无法满足需求,需要专门的代码混淆工具来提升破解难度。尽管混淆后的JS代码仍有可能会被逆向和调试,但H5的混淆仍然必不可少,高强度的混淆能够有效提升攻击者的破解成本。

2、参数加密

业务接口参数务必需要加密传输,如果参数没有加密,那么代码混淆的防护效果也会大大减弱。如果可以的话,加密算法最好能定期更新,高频率的更新加密算法+混淆能够有效保障JS的安全。

3、设备指纹

虽然相比于App,H5平台能够采集到的信息较少,但通过这些信息采集来标识设备和识别风险仍然是必要的。一个相对完整的终端环境监测能够有效提升黑产的“脱机”成本,也能够有效识别黑产所使用的工具。

4、人机验证码 

人机验证码可以说是H5防控上极其重要的一个点,实际上相当一部分H5平台的安全问题最终都是人机问题。目前传统的字符识别输入等类型验证码仍然大量存在于互联网,这类验证码基本不具备防护能力,破解成本极低。现阶段的互联网人机安全需要新的基于验证行为的智能验证码。

5、风控系统

除了人机问题,业务上还需要风控系统来对业务做全面的安全判断。这里包括账户维度,设备维度,IP黑名单,账户黑名单,手机号黑名单等,这些也都是传统的反爬,反薅羊毛手段。风控系统不仅能从各维度补充H5的安全防护能力,还能灵活应对各种突发风险情况,及时把风险降到最低。

顶象防御云H5防护方案

顶象H5代码混淆⼯具,通过顶象的加密混淆引擎,对H5代码进⾏加密、混淆、压缩,可以⼤⼤增加H5代码的安全性,有效防⽌产品被⿊灰产复制、破解。

除了字符串加密、字符串拆分、变量名混淆、控制流混淆、常量提取等多种混淆手段外,还提供域名绑定、防调试等多种安全功能;并且可兼容安卓、iOS、公众号、小程序、Web页面等多种H5代码运行环境,提供命令行工具、webpack/gulp等打包插件,无缝对接各种打包流程。

以下图为例:

普通代码混淆工具的效果

undefined

顶象H5混淆效果

undefined

设备指纹和验证码作为顶象防御云的一部分,集成了业务安全情报、云策略和数据模型,覆盖安卓、iOS、H5、小程序,可有效识别模拟器、刷机改机、Root、越狱、劫持注入等风险,可有效应对机器攻击,新一代设备指纹能够有效识别模拟器、调试等JS 攻击行为,大大提升了黑灰产的破解成本,提升H5 页面的安全性。

QQ扫码
获取方案价格

微信扫码
获取方案价格

加入社群

扫码进群领
【业务安全】资料礼包

在线咨询
400-878-6123