顶象技术 · 2022年04月24日

H5常见的业务风险分析及安全防护思路

我们经常见到各类H5海报,比如,产品展示、活动促销、招聘启示、乃至小游戏等。H5不仅能够无缝的嵌入App、小程序,还可以作为一个拥有独立链接地址的页面,直接在PC端打开,可以说良好跨平台适配。

H5技术成熟,开发周期短,投入和维护成本低,兼容性好。根据需求,H5可以制作文字、图形、音频、视频,因此可以用于PC网站、手机网站、微站、Web App、轻应用,甚至,开发目前最火的元宇宙概念——Web VR(虚拟现实大众化)。因此被广泛应用于展示、营销、调查、游戏等等。

作为重要的移动互联网服务载体,H5在给用户带来便利体验的同时,也让企业面临信息泄露、恶意劫持、薅羊毛等各类业务风险。

到底什么是H5?

H5是基于HTML5的网页文件。HTML(全称,Hyper Text Markup Language),即超文本标记语言,由Web(World Wide Web,即全球广域网、万维网)的发明者 Tim Berners-Lee和同事 Daniel W. Connolly创立。

作为一种标记语言,HTML是标准通用化标记语言(SGML,是一种定义电子文档结构和描述其内容的国际标准语言)的应用。用HTML编写的超文本文档,能独立于各种操作系统平台使用。也就是,将所需要表达的信息写成HTML文件,通过浏览器就能展现为普通人能够识别,即现在所见到的网页。

每一个HTML文档都是一种静态的网页文件,这个文件里面包含了HTML指令代码,这些指令代码并不是一种程序语言,只是一种排版网页中资料显示位置的标记结构语言,易学易懂,非常简单。能够通过标记式的指令(Tag),将影像、声音、图片、文字动画、影视等内容显示出来。

所以,自1990年以来,HTML就一直被用作万维网的信息表示语言。

1995年,HTML2发布;1997年,HTML3.2和HTML 4发布;2012 年,HTML5形成了稳定的版本。HTML5是公认的下一代Web语言,极大地提升了Web在富媒体、富内容和富应用等方面的能力,能够良好适配PC、移动等平台。我们平常所说的“H5”就是基于HTML5的网页文件。

由于HTML5不仅支持文字、图片、音频和视频,还能够支持地里定位,并拥有单独的数据存储方式,因此被广泛包到移动端,很多企业用HTML5做手机网页、网站、游戏,更用于制作App。

H5有哪些业务风险

链接伪造风险。 攻击者通过伪造的H5网页链接,入侵破坏业务系统乃至内网,窃取重要信息、账户密码等。

页面篡改风险。 H5网页代码遭篡改复制,做成钓鱼页面,盗取用户账户密码和信息等。

信息泄露风险。 H5网页被植入恶意代码,盗取访问者的账号密码、隐私信息等。

账号破解风险。 H5往往是App或小程序应用服务的延伸,与平台账户体系关联,很容易成为攻击者盗取账号、破解密码的重要目标。

“薅羊毛”风险。 通过H5网页举办的各类优惠活动企业主要的拓客手段,“薅羊毛”不仅破坏了正常的营销规则,白白消耗大量活动资金,更无法保障新注册用户的精准性,导致营销活动效果功亏一篑。

顶象的H5安全防护方案

顶象H5代码混淆能够页面进行加密保护,防止攻击者进行恶意攻击,防止页面遭恶意篡改,防止页面被泄露等。H5代码混淆⼯具支持H5网页、H5网站、基于H5的App,以及各类小程序。

顶象H5代码混淆通过对代码中的字符串,数字,正则表达式等统一转为字符串。然后对字符串进行随机拆分,并对拆分后的字符串进行倒序/随机密钥进行轮函数加密的随机加密。同时,打乱函数顺序,并自动更新混淆算法并更新JS到CDN,由此保障H5页面的安全。

H5常见的业务风险分析及安全防护思路1.png

安全性高。 顶象H5代码混淆集成顶象特有的多层加密体系,加密、混淆、压缩等手段相结合,而且混淆算法定期更换,有效防范攻攻击破解。

操作简单。 顶象H5代码混淆只需一键操作,即可获得加密后链接。

提升访问体验。 经过顶象H5代码混淆加密后的H5链接,将被分发到各个CDN节点,极大提高用户H5页面的访问速度。

顶象是国内领先的业务安全公司,自主研发了全链路的风控中台产品矩阵体系,包括设备指纹、第四代验证码、实时决策平台、端加固、数据采集保护、工业系统保护、模型平台、关联网络平台、知识图谱等风控、安全和人工智能产品,有效保障了企业的业务应用和基础设施安全。通过在金融、零售、航旅、电力、互联网、工业制造、石油石化等行业积累了丰富的实战经验,沉淀了数万条业务策略和数百个场景化应用方案,能够为企业提供风险预警与评估、反欺诈、安全防护、营销推荐、分层运营等服务,构建起覆盖事前、事中、事后全生命周期的安全体系,让业务更加安全、智能、稳定,助力企业创新与增长。截止2022年,顶象已服务10多个行业,3000多家企业。

推荐阅读
关注数
2
文章数
21
业务安全引领者,让数字世界无风险
目录
极术微信服务号
关注极术微信号
实时接收点赞提醒和评论通知
安谋科技学堂公众号
关注安谋科技学堂
实时获取安谋科技及 Arm 教学资源
安谋科技招聘公众号
关注安谋科技招聘
实时获取安谋科技中国职位信息