ala Security今天發(fā)布的一份web安全報告顯示，全球Web安全狀況急劇惡化，99%的網(wǎng)站JavaScript插件面臨攻擊風(fēng)險。該報告跟蹤了Alexa前1000名網(wǎng)站的安全狀況，發(fā)現(xiàn)平均每個網(wǎng)站包含來自32個不同的第三方的JavaScript程序，比2019年略有增加。而諸如Google Analytics（分析）和其他插件之類的第三方程序會將網(wǎng)站暴露于Magecart、formjacking、跨站腳本、信用卡劫持和其他攻擊。

這類攻擊利用了在全球約99％的網(wǎng)站上運行的易受攻擊的JavaScript組件。盡管有30％的網(wǎng)站實施了新的安全策略，比2019年增加了10％，但只有1.1％的網(wǎng)站具有有效的安全措施，比2019年反而下降了11％。

Tala Security的創(chuàng)始人兼首席執(zhí)行官Aanand Krishnan表示：“這表明，盡管網(wǎng)站安全措施的部署增加了，但效率卻急劇下降。”“攻擊者占據(jù)上風(fēng)，主要是因為我們沒有發(fā)揮有效的防御作用。”

報告指出，如果沒有有效的策略控制，大多數(shù)網(wǎng)站上運行的每一段代碼都可能通過JavaScript執(zhí)行的客戶端攻擊來修改、竊取或泄漏信息。這些攻擊對黑客而言意義重大，因為一旦他們攻擊了第三方工具，他們便可以在部署該工具的任何其他網(wǎng)站上利用它。

報告發(fā)現(xiàn)，數(shù)據(jù)風(fēng)險無處不在，很少有網(wǎng)站部署真正應(yīng)有效的控制措施。“在許多情況下，這些數(shù)據(jù)泄漏是通過白名單上的合法應(yīng)用程序進(jìn)行的，而網(wǎng)站所有者卻不知道。”

值得高度關(guān)注的是：盡管引人注目的違規(guī)事件不斷增加，但用于完成92％網(wǎng)站上的訂單的表單腳本仍將數(shù)據(jù)平均暴露給17個域。

“因此，數(shù)據(jù)不僅會在主要網(wǎng)站，托管網(wǎng)站或支付平臺中公開，平均還會暴露其他15個域，這極大地暴露了風(fēng)險，”報告指出，“我們已經(jīng)看到了黑客更改代碼，甚至關(guān)閉了整個網(wǎng)站的案例。”

Lookout安全解決方案高級經(jīng)理Hank Schless指出，數(shù)據(jù)顯示，向第三方開放公司平臺會帶來更多風(fēng)險，尤其是在暴露于GDPR和CCPA方面。

Schless指出：“如今，隱私已成為主要關(guān)注點，安全團(tuán)隊需要適當(dāng)評估任何第三方集成商的安全狀況，然后才能允許他們訪問客戶數(shù)據(jù)。”

SaltStack的聯(lián)合創(chuàng)始人兼首席技術(shù)官Thomas Hatch說，他對有效的web安全管理水平下滑的報道感到擔(dān)憂。

Hatch說：“如此嚴(yán)重的下滑，表明當(dāng)今網(wǎng)站的網(wǎng)絡(luò)安全管理存在根本問題。”“這些類型的攻擊和漏洞并不是什么新事物，但卻比以往任何時候都普遍。如果要克服這些問題，我們需要重新考慮如何部署應(yīng)用程序，重新考慮如何保護(hù)應(yīng)用程序，重新考慮如何安全管理，以及如何支持用于構(gòu)建現(xiàn)代Web站點的大量開源項目。”

合作電話：18311333376

合作微信：aqniu001

投稿郵箱：editor@aqniu.com

們經(jīng)常見到各類H5海報，產(chǎn)品展示、活動促銷、招聘啟事等。H5不僅能夠無縫地嵌入App、小程序，還可以作為一個擁有獨立鏈接地址的頁面，直接在PC端打開，可以說良好跨平臺適配。H5可以制作文字、圖形、音頻、視頻，因此可以用于PC網(wǎng)站、手機(jī)網(wǎng)站、微站、Web App、輕應(yīng)用、Web VR（虛擬現(xiàn)實大眾化）。由于技術(shù)成熟，開發(fā)周期短，投入和維護(hù)成本低，兼容性好，因此被廣泛應(yīng)用于展示、營銷、調(diào)查、游戲等等。

H5在給用戶帶來便利體驗的同時，也讓企業(yè)面臨鏈接偽造、頁面篡改、信息泄露、賬號被破解、惡意劫持、薅羊毛等各類業(yè)務(wù)風(fēng)險。頂象防御云業(yè)務(wù)安全情報中心的一項數(shù)據(jù)顯示，在惡意爬蟲盜取數(shù)據(jù)攻擊中，H5頁面遭遇攻擊占到總攻擊量的46%，其次是小程序29%，然后是Web端占18%；App端占5%，其他平臺占2%。

除惡意爬蟲盜取數(shù)據(jù)外，薅羊毛、虛假賬號注冊和撞庫攻擊等攻擊中，H5遭遇的攻擊也是高發(fā)區(qū)。

H5是泄露賬號和數(shù)據(jù)的重要渠道

H5為什么成為黑灰產(chǎn)攻擊的首選平臺？頂象防御云業(yè)務(wù)安全情報中心分析，主要是H5代碼、結(jié)構(gòu)、面臨的風(fēng)險以及運營安全意識不足等問題。

1、頁面代碼多為“明文”方式。H5平臺開發(fā)語言是JavaScript，所有的業(yè)務(wù)邏輯代碼都是直接在客戶端以某種“明文”方式執(zhí)行。

2、自身架構(gòu)存在安全缺陷。瀏覽器對H5的開發(fā)語言JavaScript有諸多限制，從某種程度上也削弱了H5在業(yè)務(wù)安全層面的防護(hù)能力。

3、自動化攻擊工具多。H5的頁面結(jié)構(gòu)透明，攻擊者可以自行構(gòu)造參數(shù)，使用腳本提交請求，即實現(xiàn)完全自動化。這些工具可以在不逆向JS代碼的情況下有效實現(xiàn)頁面自動化，完成爬蟲或者薅羊毛的目的。

4、運營方安全意識淡薄。大部分其他野對H5的安全缺乏系統(tǒng)性的認(rèn)識，線上業(yè)務(wù)追求短平快，沒有在H5渠道構(gòu)建完善的防護(hù)體系情況下就上線涉及資金的營銷業(yè)務(wù)。

代碼混淆是最佳的安全保護(hù)手段

針對H5的風(fēng)險問題，需要專門的代碼混淆工具來提升破解難度，以有效提升攻擊者的破解成本。

H5代碼混淆是H5安全保護(hù)的重要手段，能夠?qū)π枰Ｗo(hù)核心代碼和敏感數(shù)據(jù)的H5應(yīng)用是指對H5代碼進(jìn)行修改，使其難以閱讀和理解，從而增加惡意攻擊者進(jìn)行逆向分析的難度。同時有效保護(hù)H5應(yīng)用的安全，防止惡意攻擊者竊取核心代碼和敏感數(shù)據(jù)。

H5代碼混淆的常見方法主要有四類，分別是將代碼中的標(biāo)識符（如變量名、函數(shù)名等）進(jìn)行修改，使其難以識別的標(biāo)識符混淆；將代碼中的控制流結(jié)構(gòu)進(jìn)行修改，使其難以理解的控制流混淆；將代碼中的數(shù)據(jù)結(jié)構(gòu)進(jìn)行修改，使其難以識別的數(shù)據(jù)結(jié)構(gòu)混淆；將代碼進(jìn)行壓縮，使其難以閱讀的代碼壓縮。

頂象H5代碼混淆通過對代碼中的字符串、數(shù)字、正則表達(dá)式等統(tǒng)一轉(zhuǎn)為字符串，然后對字符串進(jìn)行隨機(jī)拆分，并對拆分后的字符串進(jìn)行倒序/隨機(jī)密鑰進(jìn)行函數(shù)加密的隨機(jī)加密。同時，打亂函數(shù)順序，并自動更新混淆算法并更新JS到CDN，由此保障H5頁面的安全。

頂象H5代碼混淆支持字符串加密、字符串拆分、變量名混淆、控制流混淆、常量提取等多種混淆，還提供域名綁定、防調(diào)試等多種安全功能；其可兼容安卓、iOS、公眾號、小程序、Web頁面等多種H5代碼運行環(huán)境，提供命令行工具、webpack/gulp等打包插件，無縫對接各種打包流程。

基于AI的自適應(yīng)代碼混淆

作為頂象H5代碼混淆的最新升級，頂象AI自適應(yīng)代碼混淆基于圖神經(jīng)網(wǎng)絡(luò)技術(shù)，通過深度分析并提取代碼的特征，能夠根據(jù)不同代碼塊的特點，自動選擇適合的方法進(jìn)行混淆。大幅提升提高代碼的逆向分析難度，有效降低50%的計算性能消耗。通過加密混淆引擎，對H5代碼進(jìn)?加密、混淆、壓縮，可以??增加H5代碼的安全性，有效防?產(chǎn)品被?灰產(chǎn)復(fù)制、破解。

傳統(tǒng)的H5代碼混淆方法往往是通用的，擁有統(tǒng)一的結(jié)構(gòu)和邏輯，對所有類型的H5代碼都適用。只要被逆向工具破解，整套H5頁面就被破解入侵。頂象AI自適應(yīng)代碼混淆能夠?qū)Σ煌a塊進(jìn)行混淆，短代碼塊、長代碼塊、簡單代碼塊、復(fù)雜代碼塊等，基于深度分析并提取代碼的特征，自動選擇適合的方法進(jìn)行混淆，大幅提高代碼的逆向分析難度。

此外，傳統(tǒng)的H5代碼混淆中，為了混淆效果可能要犧牲掉計算性能。例如，對于一小段代碼來說，使用指令替換混淆方法，就能達(dá)到較好的混淆效果，而且混淆后的代碼對計算性能消耗也比較低；但對于一整段長代碼來說，混淆程度比較低的方法整體的混淆效果往往不佳，因此常常被迫選擇混淆程度比較高的混淆方法，比如虛假控制流+代碼塊分割混淆方法，但這些方法往往對計算性能消耗非常大，也就導(dǎo)致了代碼運行效率低下。頂象AI自適應(yīng)代碼混淆，在保證混淆效果基礎(chǔ)上，與傳統(tǒng)混淆方法相比，降低約50%的計算性能消耗。

綜合來看，頂象AI自適應(yīng)代碼混淆的優(yōu)勢主要體現(xiàn)在以下幾個方面：

更高級的混淆效果。頂象AI自適應(yīng)代碼混淆能夠根據(jù)不同代碼塊的特點，自動選擇適合的方法進(jìn)行混淆，大幅提高代碼的逆向分析難度。

更低的計算性能消耗。頂象AI自適應(yīng)代碼混淆在保證混淆效果的基礎(chǔ)上，有效降低了計算性能消耗，提高了H5的運行效率。

更高的兼容性。頂象AI自適應(yīng)代碼混淆支持安卓、iOS、公眾號、小程序、Web頁面等多種H5代碼運行環(huán)境，具備極高的兼容性。

頂象AI自適應(yīng)代碼混淆可廣泛應(yīng)用于各類H5頁面，尤其是金融、電商、游戲等行業(yè)，有效防止惡意攻擊者進(jìn)行逆向分析，保護(hù)H5應(yīng)用的核心代碼和敏感數(shù)據(jù)，從而保障業(yè)務(wù)安全。