近几年，在数字化与疫情的推进下，越来越多的企业开辟了线上业务，在互联网上经过各种方式展开业务。线上业务不只使得企业效率提升，同时也面临着被黑灰产攻击的风险。黑灰产经过各种业务漏洞，能够攫取大量利益，各企业和用户带来不可估量的损失。

好比，2017年5月，某App H5 页面被植入色情内容广告在保险圈惹起了惊动。后经排查基本肯定为用户当地运营商http劫持招致H5页面被插入广告，给该App 构成极大影响。

今天我们就从黑灰产的散布角度和大家聊聊如何防御此类黑灰产。

黑灰产最喜欢从哪里“下手”？

目前主要的线上渠道主要有App、H5、PC端、小程序等4种线上渠道。

以爬虫问题为例，分离顶象防御云的统计数据，我们对众多行业的爬虫数据做了一些渠道散布统计。

剖析发现，H5最多，约为51%；其次是小程序，约为29%；然后是PC 端约为18%，App 约为2%。

从数据散布能够看出，H5和小程序是黑灰产攻击的重点，特别是H5。在各渠道业务都相同的状况下，H5简直是黑灰产的首选。

值得一提的是，除爬虫场景外，在薅羊毛，渣滓注册，撞库攻击等风险场景H5相比其他平台也是高发区。

问题来了，黑灰产为何选中了H5呢？

为什么H5是黑灰产高发区？

从顶象多年的防控阅历来看，H5面临的风险相对较多是有其缘由的。

1、JavaScript代码特性。

H5平台开发言语是JavaScript，一切的业务逻辑代码都是直接在客户端以某种“明文”方式执行。代码的保险防护主要依托混杂，混杂效果直接决议了客户端的保险水平。不外关于技术才干较强的黑产，依旧能够经过调试恢复出中心业务处置流程。

2、企业营销推行需求追求简单快捷。

首先，相比其他平台，很多公司在H5平台的开放业务常常会追求简单，快捷。好比在营销推行场景，很多企业的H5页面只需从微信点击链接直接跳转到一个H5页面，点击页面按钮即可完成活动，获取积分或者小红包。

一方面的确提升了用户体验，有助于拉新推行；但另一方面烦琐的前端业务逻辑，常常也会对应简单的代码，这也给黑灰产提供了方便，相比去破解App，H5或者小程序的破解难度要低一些。

数据显现，假如企业在营销时不做风险控制，黑产比例普通在20%以上，以至有一些高达50%。这就意味着品牌主在营销中相当一部分费用被糜费了。

3、H5平台自动化工具众多。

中心流程被逆向后，攻击者则能够完成“脱机”，即不再依赖阅读器来执行前端代码。攻击者能够自行结构参数，运用脚本提交央求，即完成完整自动化，如selenium，autojs，Puppeteer等。这些工具能够在不逆向JS代码的状况下有效完成页面自动化，完成爬虫或者薅羊毛的目的。

4、防护才干相对单薄。

从客观层面来看，H5平台无论是代码维护强度还是风险辨认才干，都要弱于App。这是现阶段的框架招致，并不是技术才干问题。JavaScript数据获取才干受限于阅读器，出于隐私维护，阅读器限制了很多数据获取，这种限制从某种水平上也削弱了JavaScript在业务保险层面的才干。

以电商App为例，出于保险思索，很多中心业务只在App上支持。假如H5和App完整是一样的参数逻辑和加密防护，关于攻击者，破解了H5也就等于破解了App。

5、用户对H5缺乏系统认识。

最后，大部分用户对H5的保险缺乏系统性的认识，线上业务追求短平快，没有在H5渠道构建完善的防护体系状况下就上线触及资金的营销业务。

H5平台业务如何防护？

1、H5混杂

针对H5的风险问题，普通的JS代码紧缩工具曾经无法满足需求，需求特地的代码混杂工具来提升破解难度。固然混杂后的JS代码仍有可能会被逆向和调试，但H5的混杂依旧必不可少，高强度的混杂能够有效提升攻击者的破解成本。

2、参数加密

业务接口参数务必须求加密传输，假如参数没有加密，那么代码混杂的防护效果也会大大削弱。假如能够的话，加密算法最好能定期更新，高频率的更新加密算法+混杂能够有效保障JS的保险。

3、设备指纹

固然相比于App，H5平台能够采集到的信息较少，但经过这些信息采集来标识设备和辨认风险依旧是必要的。一个相对完好的终端环境监测能够有效提升黑产的“脱机”成本，也能够有效辨认黑产所运用的工具。

4、人机考证码

人机考证码能够说是H5防控上极端重要的一个点，实践上相当一部分H5平台的保险问题最终都是人机问题。目前传统的字符辨认输入等类型考证码依旧大量存在于互联网，这类考证码基本不具备防护才干，破解成本极低。现阶段的互联网人机保险需求新的基于考证行为的智能考证码。

5、风控系统

除了人机问题，业务上还需求风控系统来对业务做全面的保险判别。这里包含账户维度，设备维度，IP黑名单，账户黑名单，手机号黑名单等，这些也都是传统的反爬，反薅羊毛伎俩。风控系统不只能从各维度弥补H5的保险防护才干，还能灵活应对各种突发风险状况，及时把风险降到最低。

顶象防御云H5防护计划

顶象H5代码混杂具，经过顶象的加密混杂引擎，对H5代码进加密、混杂、紧缩，能够增加H5代码的保险性，有效防产品被灰产复制、破解。

除了字符串加密、字符串拆分、变量名混杂、控制流混杂、常量提取等多种混杂伎俩外，还提供域名绑定、防调试等多种保险功用；并且可兼容安卓、iOS、公众号、小程序、Web页面等多种H5代码运转环境，提供命令行工具、webpack/gulp等打包插件，无缝对接各种打包流程。

以下图为例：

普通代码混杂工具的效果

顶象H5混杂效果

设备指纹和考证码作为顶象防御云的一部分，集成了业务保险情报、云战略和数据模型，掩盖安卓、iOS、H5、小程序，可有效辨认模仿器、刷机改机、Root、越狱、劫持注入等风险，可有效应对机器攻击，新一代设备指纹能够有效辨认模仿器、调试等JS 攻击行为，大大提升了黑灰产的破解成本，提升H5 页面的保险性。

——————

业务保险产品：免费试用（https://user.dingxiang-inc.com/user/register#/）

业务保险交流群：参与畅聊（https://www.dingxiang-inc.com/blog/post/599）