近几年，在数字化与疫情的推动下，越来越多的企业开辟了线上业务，在互联网上通过各种方式开展业务。线上业务不仅使得企业效率提升，同时也面临着被黑灰产攻击的风险。黑灰产通过各种业务漏洞，能够攫取大量利益，各企业和用户带来不可估量的损失。

比如，2017年5月，某App H5 页面被植入色情内容广告在安全圈引起了轰动。后经排查基本确定为用户当地运营商http劫持导致H5页面被插入广告，给该App 造成极大影响。

今天我们就从黑灰产的分布角度和大家聊聊如何防御此类黑灰产。

黑灰产最喜欢从哪里“下手”？

目前主要的线上渠道主要有App、H5、PC端、小程序等4种线上渠道。

以爬虫问题为例，结合顶象防御云的统计数据，我们对众多行业的爬虫数据做了一些渠道分布统计。

分析发现，H5最多，约为51%；其次是小程序，约为29%；然后是PC 端约为18%，App 约为2%。

从数据分布可以看出，H5和小程序是黑灰产攻击的重点，尤其是H5。在各渠道业务都相同的情况下，H5几乎是黑灰产的首选。

值得一提的是，除爬虫场景外，在薅羊毛，垃圾注册，撞库攻击等风险场景H5相比其他平台也是高发区。

问题来了，黑灰产为何选中了H5呢？

为什么H5是黑灰产高发区？

从顶象多年的防控经验来看，H5面临的风险相对较多是有其原因的。

1、JavaScript代码特性。

H5平台开发语言是JavaScript，所有的业务逻辑代码都是直接在客户端以某种“明文”方式执行。代码的安全防护主要依靠混淆，混淆效果直接决定了客户端的安全程度。不过对于技术能力较强的黑产，仍然可以通过调试还原出核心业务处理流程。

2、企业营销推广需求追求简单快捷。

首先，相比其他平台，很多公司在H5平台的开放业务往往会追求简单，快捷。比如在营销推广场景，很多企业的H5页面只需从微信点击链接直接跳转到一个H5页面，点击页面按钮即可完成活动，获取积分或者小红包。

一方面确实提升了用户体验，有助于拉新推广；但另一方面简便的前端业务逻辑，往往也会对应简单的代码，这也给黑灰产提供了便利，相比去破解App，H5或者小程序的破解难度要低一些。

数据显示，如果企业在营销时不做风险控制，黑产比例一般在20%以上，甚至有一些高达50%。这就意味着品牌主在营销中相当一部分费用被浪费了。

3、H5平台自动化工具众多。

核心流程被逆向后，攻击者则可以实现“脱机”，即不再依赖浏览器来执行前端代码。攻击者可以自行构造参数，使用脚本提交请求，即实现完全自动化，如selenium，autojs，Puppeteer等。这些工具可以在不逆向JS代码的情况下有效实现页面自动化，完成爬虫或者薅羊毛的目的。

4、防护能力相对薄弱。

从客观层面来看，H5平台无论是代码保护强度还是风险识别能力，都要弱于App。这是现阶段的框架导致，并不是技术能力问题。JavaScript数据获取能力受限于浏览器，出于隐私保护，浏览器限制了很多数据获取，这种限制从某种程度上也削弱了JavaScript在业务安全层面的能力。

以电商App为例，出于安全考虑，很多核心业务只在App上支持。如果H5和App完全是一样的参数逻辑和加密防护，对于攻击者，破解了H5也就等于破解了App。

5、用户对H5缺乏系统认识。

最后，大部分用户对H5的安全缺乏系统性的认识，线上业务追求短平快，没有在H5渠道构建完善的防护体系情况下就上线涉及资金的营销业务。

H5平台业务如何防护？

1、H5混淆

针对H5的风险问题，普通的JS代码压缩工具已经无法满足需求，需要专门的代码混淆工具来提升破解难度。尽管混淆后的JS代码仍有可能会被逆向和调试，但H5的混淆仍然必不可少，高强度的混淆能够有效提升攻击者的破解成本。

2、参数加密

业务接口参数务必需要加密传输，如果参数没有加密，那么代码混淆的防护效果也会大大减弱。如果可以的话，加密算法最好能定期更新，高频率的更新加密算法+混淆能够有效保障JS的安全。

3、设备指纹

虽然相比于App，H5平台能够采集到的信息较少，但通过这些信息采集来标识设备和识别风险仍然是必要的。一个相对完整的终端环境监测能够有效提升黑产的“脱机”成本，也能够有效识别黑产所使用的工具。

4、人机验证码

人机验证码可以说是H5防控上极其重要的一个点，实际上相当一部分H5平台的安全问题最终都是人机问题。目前传统的字符识别输入等类型验证码仍然大量存在于互联网，这类验证码基本不具备防护能力，破解成本极低。现阶段的互联网人机安全需要新的基于验证行为的智能验证码。

5、风控系统

除了人机问题，业务上还需要风控系统来对业务做全面的安全判断。这里包括账户维度，设备维度，IP黑名单，账户黑名单，手机号黑名单等，这些也都是传统的反爬，反薅羊毛手段。风控系统不仅能从各维度补充H5的安全防护能力，还能灵活应对各种突发风险情况，及时把风险降到最低。

顶象防御云H5防护方案

顶象H5代码混淆⼯具，通过顶象的加密混淆引擎，对H5代码进⾏加密、混淆、压缩，可以⼤⼤增加H5代码的安全性，有效防⽌产品被⿊灰产复制、破解。

除了字符串加密、字符串拆分、变量名混淆、控制流混淆、常量提取等多种混淆手段外，还提供域名绑定、防调试等多种安全功能；并且可兼容安卓、iOS、公众号、小程序、Web页面等多种H5代码运行环境，提供命令行工具、webpack/gulp等打包插件，无缝对接各种打包流程。

以下图为例：

普通代码混淆工具的效果

顶象H5混淆效果

设备指纹和验证码作为顶象防御云的一部分，集成了业务安全情报、云策略和数据模型，覆盖安卓、iOS、H5、小程序，可有效识别模拟器、刷机改机、Root、越狱、劫持注入等风险，可有效应对机器攻击，新一代设备指纹能够有效识别模拟器、调试等JS 攻击行为，大大提升了黑灰产的破解成本，提升H5 页面的安全性。

没想到H5也是黑灰产的攻击重点？相关推荐

为什么H5是黑灰产高发区？一文说明白
为什么H5是黑灰产高发区? 从我们多年的防控经验来看,H5面临的风险相对较多是有其原因的. 1.JavaScript代码特性. H5平台开发语言是JavaScript,所有的业务逻辑代码都是直接在客户 ...
极验：验证码在黑灰产对抗中的角色和实践
导读:随着互联网技术的发展,网络上的黑灰产对抗也日益激烈.在黑灰产攻防双方你追我赶的动态博弈中,验证码扮演着提高攻击门槛.处置恶意流量.辅助风险判别等重要角色.今天将和大家分享验证码的诞生与发展过程. ...
【黑灰产犯罪研究】Web应用攻击
1.概念 Web应用攻击是指扫描探测器.WebShell上传与通信.跨站点请求伪造 (CSRF). SOL注入攻击.跨站脚本攻击(XSS攻击).钓鱼网站等所有网络上存在的攻击合集,简称Web攻击. ...
QA特辑 | 以万变钳制黑灰产之变的验证码产品设计逻辑的答案，都在这里
1月12 日下午,就验证码的攻防对抗问题,顶象反欺诈专家大卫从验证码的破解手段讲起,从防御角度深度剖析如何应对黑灰产的攻击以及验证码在产品能力设计层面应该考虑哪些问题. 直播也吸引了众多关注验证码的观 ...
跨境电商看不到另一面：商家刷单、平台封号、黑灰产牟利
2022年5月,顶象防御云业务安全情报中心监测到,某大型跨境电商平台出现大量虚假刷单欺诈.基于编号为BSI-2022-145业务安全情报显示:黑灰产通过作弊软件批量下单.真人众包分发的方式,帮助商家快 ...
腾讯抗黑灰产——自监督发现行话黑词识别一词多义
本文作者:lorenzwang ,腾讯 TEG 安全工程师常见的中文 NLP 下游任务一般都是以分词作为起点(以 transformer 为核心的算法除外),对每个词取 embedding,作为模型 ...
超千人围观，普及 “反诈” 常见场景及应对手段，还有黑灰产攻防手段
10 月 26 日,由软件绿色联盟举办的 "反诈" 主题直播活动已圆满落幕.本次直播我们特邀了两位 360 的资深技术专家,对<电信网络诈骗趋势解读与应对>.<黑 ...
第十四期 | ETC车主收到的诈骗短信原来是黑灰产在搞鬼？
目录互联网+时代,车企的安全挑战黑灰产的两种攻击方式:撞库攻击&密码爆破攻击 1.撞库攻击: 2.密码爆破攻击黑灰产变现方式 1.贩卖数据 2.直接变现 3.电信诈骗防控建议 1.终端 ...
安全学习概览——恶意软件分析、web渗透、漏洞利用和挖掘、内网渗透、IoT安全分析、区块链、黑灰产对抗...
1 基础知识 1.1 网络熟悉常见网络协议: https://www.ietf.org/standards/rfcs/ 1.2 操作系统 1.3 编程 2 恶意软件分析 2.1 分类 2.1.1 木 ...

没想到H5也是黑灰产的攻击重点？

黑灰产最喜欢从哪里“下手”？

为什么H5是黑灰产高发区？

H5平台业务如何防护？

顶象防御云H5防护方案

没想到H5也是黑灰产的攻击重点？相关推荐

最新文章

热门文章