-
-
[原创]H5常见的业务风险分析及安全防护思路
-
发表于: 2022-4-24 15:44 5157
-
我们经常见到各类H5海报,比如,产品展示、活动促销、招聘启示、乃至小游戏等。H5不仅能够无缝的嵌入App、小程序,还可以作为一个拥有独立链接地址的页面,直接在PC端打开,可以说良好跨平台适配。
H5技术成熟,开发周期短,投入和维护成本低,兼容性好。根据需求,H5可以制作文字、图形、音频、视频,因此可以用于PC网站、手机网站、微站、Web App、轻应用,甚至,开发目前最火的元宇宙概念——Web VR(虚拟现实大众化)。因此被广泛应用于展示、营销、调查、游戏等等。
作为重要的移动互联网服务载体,H5在给用户带来便利体验的同时,也让企业面临信息泄露、恶意劫持、薅羊毛等各类业务风险。
到底什么是H5?
H5是基于HTML5的网页文件。HTML(全称,Hyper Text Markup Language),即超文本标记语言,由Web(World Wide Web,即全球广域网、万维网)的发明者 Tim Berners-Lee和同事 Daniel W. Connolly创立。
作为一种标记语言,HTML是标准通用化标记语言(SGML,是一种定义电子文档结构和描述其内容的国际标准语言)的应用。用HTML编写的超文本文档,能独立于各种操作系统平台使用。也就是,将所需要表达的信息写成HTML文件,通过浏览器就能展现为普通人能够识别,即现在所见到的网页。
每一个HTML文档都是一种静态的网页文件,这个文件里面包含了HTML指令代码,这些指令代码并不是一种程序语言,只是一种排版网页中资料显示位置的标记结构语言,易学易懂,非常简单。能够通过标记式的指令(Tag),将影像、声音、图片、文字动画、影视等内容显示出来。
所以,自1990年以来,HTML就一直被用作万维网的信息表示语言。
1995年,HTML2发布;1997年,HTML3.2和HTML 4发布;2012 年,HTML5形成了稳定的版本。HTML5是公认的下一代Web语言,极大地提升了Web在富媒体、富内容和富应用等方面的能力,能够良好适配PC、移动等平台。我们平常所说的“H5”就是基于HTML5的网页文件。
由于HTML5不仅支持文字、图片、音频和视频,还能够支持地里定位,并拥有单独的数据存储方式,因此被广泛包到移动端,很多企业用HTML5做手机网页、网站、游戏,更用于制作App。
H5有哪些业务风险
链接伪造风险。攻击者通过伪造的H5网页链接,入侵破坏业务系统乃至内网,窃取重要信息、账户密码等。
页面篡改风险。H5网页代码遭篡改复制,做成钓鱼页面,盗取用户账户密码和信息等。
信息泄露风险。H5网页被植入恶意代码,盗取访问者的账号密码、隐私信息等。
账号破解风险。H5往往是App或小程序应用服务的延伸,与平台账户体系关联,很容易成为攻击者盗取账号、破解密码的重要目标。
“薅羊毛”风险。通过H5网页举办的各类优惠活动企业主要的拓客手段,“薅羊毛”不仅破坏了正常的营销规则,白白消耗大量活动资金,更无法保障新注册用户的精准性,导致营销活动效果功亏一篑。
H5安全防护方案
H5代码混淆能够页面进行加密保护,防止攻击者进行恶意攻击,防止页面遭恶意篡改,防止页面被泄露等。H5代码混淆⼯具支持H5网页、H5网站、基于H5的App,以及各类小程序。
H5代码混淆通过对代码中的字符串,数字,正则表达式等统一转为字符串。然后对字符串进行随机拆分,并对拆分后的字符串进行倒序/随机密钥进行轮函数加密的随机加密。同时,打乱函数顺序,并自动更新混淆算法并更新JS到CDN,由此保障H5页面的安全。
安全性高。H5代码混淆集成顶象特有的多层加密体系,加密、混淆、压缩等手段相结合,而且混淆算法定期更换,有效防范攻攻击破解。
操作简单。H5代码混淆只需一键操作,即可获得加密后链接。
提升访问体验。经过H5代码混淆加密后的H5链接,将被分发到各个CDN节点,极大提高用户H5页面的访问速度。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课