ala Security今天发布的一份web安全报告显示，全球Web安全状况急剧恶化，99%的网站JavaScript插件面临攻击风险。该报告跟踪了Alexa前1000名网站的安全状况，发现平均每个网站包含来自32个不同的第三方的JavaScript程序，比2019年略有增加。而诸如Google Analytics（分析）和其他插件之类的第三方程序会将网站暴露于Magecart、formjacking、跨站脚本、信用卡劫持和其他攻击。

这类攻击利用了在全球约99％的网站上运行的易受攻击的JavaScript组件。尽管有30％的网站实施了新的安全策略，比2019年增加了10％，但只有1.1％的网站具有有效的安全措施，比2019年反而下降了11％。

Tala Security的创始人兼首席执行官Aanand Krishnan表示：“这表明，尽管网站安全措施的部署增加了，但效率却急剧下降。”“攻击者占据上风，主要是因为我们没有发挥有效的防御作用。”

报告指出，如果没有有效的策略控制，大多数网站上运行的每一段代码都可能通过JavaScript执行的客户端攻击来修改、窃取或泄漏信息。这些攻击对黑客而言意义重大，因为一旦他们攻击了第三方工具，他们便可以在部署该工具的任何其他网站上利用它。

报告发现，数据风险无处不在，很少有网站部署真正应有效的控制措施。“在许多情况下，这些数据泄漏是通过白名单上的合法应用程序进行的，而网站所有者却不知道。”

值得高度关注的是：尽管引人注目的违规事件不断增加，但用于完成92％网站上的订单的表单脚本仍将数据平均暴露给17个域。

“因此，数据不仅会在主要网站，托管网站或支付平台中公开，平均还会暴露其他15个域，这极大地暴露了风险，”报告指出，“我们已经看到了黑客更改代码，甚至关闭了整个网站的案例。”

Lookout安全解决方案高级经理Hank Schless指出，数据显示，向第三方开放公司平台会带来更多风险，尤其是在暴露于GDPR和CCPA方面。

Schless指出：“如今，隐私已成为主要关注点，安全团队需要适当评估任何第三方集成商的安全状况，然后才能允许他们访问客户数据。”

SaltStack的联合创始人兼首席技术官Thomas Hatch说，他对有效的web安全管理水平下滑的报道感到担忧。

Hatch说：“如此严重的下滑，表明当今网站的网络安全管理存在根本问题。”“这些类型的攻击和漏洞并不是什么新事物，但却比以往任何时候都普遍。如果要克服这些问题，我们需要重新考虑如何部署应用程序，重新考虑如何保护应用程序，重新考虑如何安全管理，以及如何支持用于构建现代Web站点的大量开源项目。”

合作电话：18311333376

合作微信：aqniu001

投稿邮箱：editor@aqniu.com

们经常见到各类H5海报，产品展示、活动促销、招聘启事等。H5不仅能够无缝地嵌入App、小程序，还可以作为一个拥有独立链接地址的页面，直接在PC端打开，可以说良好跨平台适配。H5可以制作文字、图形、音频、视频，因此可以用于PC网站、手机网站、微站、Web App、轻应用、Web VR（虚拟现实大众化）。由于技术成熟，开发周期短，投入和维护成本低，兼容性好，因此被广泛应用于展示、营销、调查、游戏等等。

H5在给用户带来便利体验的同时，也让企业面临链接伪造、页面篡改、信息泄露、账号被破解、恶意劫持、薅羊毛等各类业务风险。顶象防御云业务安全情报中心的一项数据显示，在恶意爬虫盗取数据攻击中，H5页面遭遇攻击占到总攻击量的46%，其次是小程序29%，然后是Web端占18%；App端占5%，其他平台占2%。

除恶意爬虫盗取数据外，薅羊毛、虚假账号注册和撞库攻击等攻击中，H5遭遇的攻击也是高发区。

H5是泄露账号和数据的重要渠道

H5为什么成为黑灰产攻击的首选平台？顶象防御云业务安全情报中心分析，主要是H5代码、结构、面临的风险以及运营安全意识不足等问题。

1、页面代码多为“明文”方式。H5平台开发语言是JavaScript，所有的业务逻辑代码都是直接在客户端以某种“明文”方式执行。

2、自身架构存在安全缺陷。浏览器对H5的开发语言JavaScript有诸多限制，从某种程度上也削弱了H5在业务安全层面的防护能力。

3、自动化攻击工具多。H5的页面结构透明，攻击者可以自行构造参数，使用脚本提交请求，即实现完全自动化。这些工具可以在不逆向JS代码的情况下有效实现页面自动化，完成爬虫或者薅羊毛的目的。

4、运营方安全意识淡薄。大部分其他野对H5的安全缺乏系统性的认识，线上业务追求短平快，没有在H5渠道构建完善的防护体系情况下就上线涉及资金的营销业务。

代码混淆是最佳的安全保护手段

针对H5的风险问题，需要专门的代码混淆工具来提升破解难度，以有效提升攻击者的破解成本。

H5代码混淆是H5安全保护的重要手段，能够对需要保护核心代码和敏感数据的H5应用是指对H5代码进行修改，使其难以阅读和理解，从而增加恶意攻击者进行逆向分析的难度。同时有效保护H5应用的安全，防止恶意攻击者窃取核心代码和敏感数据。

H5代码混淆的常见方法主要有四类，分别是将代码中的标识符（如变量名、函数名等）进行修改，使其难以识别的标识符混淆；将代码中的控制流结构进行修改，使其难以理解的控制流混淆；将代码中的数据结构进行修改，使其难以识别的数据结构混淆；将代码进行压缩，使其难以阅读的代码压缩。

顶象H5代码混淆通过对代码中的字符串、数字、正则表达式等统一转为字符串，然后对字符串进行随机拆分，并对拆分后的字符串进行倒序/随机密钥进行函数加密的随机加密。同时，打乱函数顺序，并自动更新混淆算法并更新JS到CDN，由此保障H5页面的安全。

顶象H5代码混淆支持字符串加密、字符串拆分、变量名混淆、控制流混淆、常量提取等多种混淆，还提供域名绑定、防调试等多种安全功能；其可兼容安卓、iOS、公众号、小程序、Web页面等多种H5代码运行环境，提供命令行工具、webpack/gulp等打包插件，无缝对接各种打包流程。

基于AI的自适应代码混淆

作为顶象H5代码混淆的最新升级，顶象AI自适应代码混淆基于图神经网络技术，通过深度分析并提取代码的特征，能够根据不同代码块的特点，自动选择适合的方法进行混淆。大幅提升提高代码的逆向分析难度，有效降低50%的计算性能消耗。通过加密混淆引擎，对H5代码进?加密、混淆、压缩，可以??增加H5代码的安全性，有效防?产品被?灰产复制、破解。

传统的H5代码混淆方法往往是通用的，拥有统一的结构和逻辑，对所有类型的H5代码都适用。只要被逆向工具破解，整套H5页面就被破解入侵。顶象AI自适应代码混淆能够对不同代码块进行混淆，短代码块、长代码块、简单代码块、复杂代码块等，基于深度分析并提取代码的特征，自动选择适合的方法进行混淆，大幅提高代码的逆向分析难度。

此外，传统的H5代码混淆中，为了混淆效果可能要牺牲掉计算性能。例如，对于一小段代码来说，使用指令替换混淆方法，就能达到较好的混淆效果，而且混淆后的代码对计算性能消耗也比较低；但对于一整段长代码来说，混淆程度比较低的方法整体的混淆效果往往不佳，因此常常被迫选择混淆程度比较高的混淆方法，比如虚假控制流+代码块分割混淆方法，但这些方法往往对计算性能消耗非常大，也就导致了代码运行效率低下。顶象AI自适应代码混淆，在保证混淆效果基础上，与传统混淆方法相比，降低约50%的计算性能消耗。

综合来看，顶象AI自适应代码混淆的优势主要体现在以下几个方面：

更高级的混淆效果。顶象AI自适应代码混淆能够根据不同代码块的特点，自动选择适合的方法进行混淆，大幅提高代码的逆向分析难度。

更低的计算性能消耗。顶象AI自适应代码混淆在保证混淆效果的基础上，有效降低了计算性能消耗，提高了H5的运行效率。

更高的兼容性。顶象AI自适应代码混淆支持安卓、iOS、公众号、小程序、Web页面等多种H5代码运行环境，具备极高的兼容性。

顶象AI自适应代码混淆可广泛应用于各类H5页面，尤其是金融、电商、游戏等行业，有效防止恶意攻击者进行逆向分析，保护H5应用的核心代码和敏感数据，从而保障业务安全。