这种网页要小心！注意你的账号密码泄露！-编程知识

目录

H5是泄露账号和数据的重要渠道

代码混淆是最佳的安全保护手段

基于AI的自适应代码混淆

我们经常见到各类H5海报，产品展示、活动促销、招聘启事等。H5不仅能够无缝地嵌入App、小程序，还可以作为一个拥有独立链接地址的页面，直接在PC端打开，可以说良好跨平台适配。H5可以制作文字、图形、音频、视频，因此可以用于PC网站、手机网站、微站、Web App、轻应用、Web VR（虚拟现实大众化）。由于技术成熟，开发周期短，投入和维护成本低，兼容性好，因此被广泛应用于展示、营销、调查、游戏等等。

H5在给用户带来便利体验的同时，也让企业面临链接伪造、页面篡改、信息泄露、账号被破解、恶意劫持、薅羊毛等各类业务风险。顶象防御云业务安全情报中心的一项数据显示，在恶意爬虫盗取数据攻击中，H5页面遭遇攻击占到总攻击量的46%，其次是小程序29%，然后是Web端占18%；App端占5%，其他平台占2%。

除恶意爬虫盗取数据外，薅羊毛、虚假账号注册和撞库攻击等攻击中，H5遭遇的攻击也是高发区。

H5是泄露账号和数据的重要渠道

H5为什么成为黑灰产攻击的首选平台？顶象防御云业务安全情报中心分析，主要是H5代码、结构、面临的风险以及运营安全意识不足等问题。

1、页面代码多为“明文”方式。H5平台开发语言是JavaScript，所有的业务逻辑代码都是直接在客户端以某种“明文”方式执行。

2、自身架构存在安全缺陷。浏览器对H5的开发语言JavaScript有诸多限制，从某种程度上也削弱了H5在业务安全层面的防护能力。

3、自动化攻击工具多。H5的页面结构透明，攻击者可以自行构造参数，使用脚本提交请求，即实现完全自动化。这些工具可以在不逆向JS代码的情况下有效实现页面自动化，完成爬虫或者薅羊毛的目的。

4、运营方安全意识淡薄。大部分其他野对H5的安全缺乏系统性的认识，线上业务追求短平快，没有在H5渠道构建完善的防护体系情况下就上线涉及资金的营销业务。

代码混淆是最佳的安全保护手段

针对H5的风险问题，需要专门的代码混淆工具来提升破解难度，以有效提升攻击者的破解成本。

H5代码混淆是H5安全保护的重要手段，能够对需要保护核心代码和敏感数据的H5应用是指对H5代码进行修改，使其难以阅读和理解，从而增加恶意攻击者进行逆向分析的难度。同时有效保护H5应用的安全，防止恶意攻击者窃取核心代码和敏感数据。

H5代码混淆的常见方法主要有四类，分别是将代码中的标识符（如变量名、函数名等）进行修改，使其难以识别的标识符混淆；将代码中的控制流结构进行修改，使其难以理解的控制流混淆；将代码中的数据结构进行修改，使其难以识别的数据结构混淆；将代码进行压缩，使其难以阅读的代码压缩。

顶象H5代码混淆通过对代码中的字符串、数字、正则表达式等统一转为字符串，然后对字符串进行随机拆分，并对拆分后的字符串进行倒序/随机密钥进行函数加密的随机加密。同时，打乱函数顺序，并自动更新混淆算法并更新JS到CDN，由此保障H5页面的安全。

顶象H5代码混淆支持字符串加密、字符串拆分、变量名混淆、控制流混淆、常量提取等多种混淆，还提供域名绑定、防调试等多种安全功能；其可兼容安卓、iOS、公众号、小程序、Web页面等多种H5代码运行环境，提供命令行工具、webpack/gulp等打包插件，无缝对接各种打包流程。

基于AI的自适应代码混淆

作为顶象H5代码混淆的最新升级，顶象AI自适应代码混淆基于图神经网络技术，通过深度分析并提取代码的特征，能够根据不同代码块的特点，自动选择适合的方法进行混淆。大幅提升提高代码的逆向分析难度，有效降低50%的计算性能消耗。通过加密混淆引擎，对H5代码进⾏加密、混淆、压缩，可以⼤⼤增加H5代码的安全性，有效防⽌产品被⿊灰产复制、破解。

传统的H5代码混淆方法往往是通用的，拥有统一的结构和逻辑，对所有类型的H5代码都适用。只要被逆向工具破解，整套H5页面就被破解入侵。顶象AI自适应代码混淆能够对不同代码块进行混淆，短代码块、长代码块、简单代码块、复杂代码块等，基于深度分析并提取代码的特征，自动选择适合的方法进行混淆，大幅提高代码的逆向分析难度。

此外，传统的H5代码混淆中，为了混淆效果可能要牺牲掉计算性能。例如，对于一小段代码来说，使用指令替换混淆方法，就能达到较好的混淆效果，而且混淆后的代码对计算性能消耗也比较低；但对于一整段长代码来说，混淆程度比较低的方法整体的混淆效果往往不佳，因此常常被迫选择混淆程度比较高的混淆方法，比如虚假控制流+代码块分割混淆方法，但这些方法往往对计算性能消耗非常大，也就导致了代码运行效率低下。顶象AI自适应代码混淆，在保证混淆效果基础上，与传统混淆方法相比，降低约50%的计算性能消耗。

综合来看，顶象AI自适应代码混淆的优势主要体现在以下几个方面：

更高级的混淆效果。顶象AI自适应代码混淆能够根据不同代码块的特点，自动选择适合的方法进行混淆，大幅提高代码的逆向分析难度。

更低的计算性能消耗。顶象AI自适应代码混淆在保证混淆效果的基础上，有效降低了计算性能消耗，提高了H5的运行效率。

更高的兼容性。顶象AI自适应代码混淆支持安卓、iOS、公众号、小程序、Web页面等多种H5代码运行环境，具备极高的兼容性。

顶象AI自适应代码混淆可广泛应用于各类H5页面，尤其是金融、电商、游戏等行业，有效防止恶意攻击者进行逆向分析，保护H5应用的核心代码和敏感数据，从而保障业务安全。