立即咨询

电话咨询

微信咨询

立即试用
商务合作
免费试用

梆梆安全小程序加固保护系统

梆梆安全小程序加固保护系统对小程序JS代码中的结构化控制流进行扁平化混淆,以及JSVMP,JavaScript Virtual Machine Protect,JS代码虚拟化保护技术等,针对热度的小程序就会被黑灰产盯上,迅速逆向、复制代码级业务逻辑,通过替换UI的形式,输出同内容的小程序以及易被篡改后用于伪装和诈骗,影响企业形式和声誉这一问题进行加固保护。
立即咨询
数字化产品代码安全合规梆梆安全小程序加固保护系统
icon小程序面临的安全风险 icon

核心业务的小程序化,带来了更多的安全风险:

代码逆向分析
小程序代码的主体为JS,属于WEB脚本类语言,任何攻击者可以直接阅读源代码,无任何保护措施。
敏感信息提取
业务前端化将会使得包括用户名、密码、卡号、手机号、密钥、VIP标识等业务敏感信息暴露给攻击者。
接口定位及滥用
小程序的主要业务形态使得数据信息交互将基于各种API接口进行,大量的业务调用接口直接暴露在JS代码内,给攻击带来极大的便利。
核心代码盗用
由于大量小程序的零保护,导致小程序核心代码轻易泄漏,出现大量的山寨、仿冒小程序,给开发者的利益造成严重影响。
动态调试与数据篡改
攻击者通过对JS代码的调试、注入攻击,可以定位关键业务并篡改数据。
病毒木马植入
攻击者通过逆向小程序代码,植入病毒、木马,打包后进行小程序仿冒、钓鱼诈骗。
icon小程序渗透攻击 – 微信小程序逆向分析 icon
针对小程序的逆向攻击:混合编排
1、获取小程序文件包 .wxapk
安装XX模拟器,安装微信,在微信中打开需要的小程序完全加载完以后去模拟器的目录下找到 .wxapk文件。
 
2、逆向还原小程序代码
通过wxappUnpacker或其向逆向工具还原小程序代码。
 
3、代码分析及利用
混合编排逆向后的小程序代码就是裸露着的源代码,所有信息、逻辑、注释可以直接分析、利用。
icon小程序渗透攻击 – 仿冒、山寨icon
仿冒、山寨对小程序开发者的困扰:
只要有热度的小程序,就会被黑灰产盯上,迅速逆向、复制代码级业务逻辑,通过替换UI的形式,输出同内容的小程序。
山寨、仿冒的侵权投诉取证困难、周期长、维权成功率低 创新型的小程序开发企业,核心发展模式被复制,用户被分流、收益受损。
金融、教育、政企等服务类小程序,易被篡改后用于伪装和诈骗,影响企业形式和声誉。
icon产品功能架构图 icon
icon小程序加固保护体系 icon
icon小程序加固使用方式icon
API 使用方式
支持通过API接口调用H5应用加固服务,满足客户自动化开发环境集成使用。
WEB 使用方式
支持通过浏览器访问WEB页面使用小程序加固服务。
icon控制流扁平化混淆功能 icon

对小程序JS代码中的结构化控制流进行扁平化混淆;使清晰的结构化代码流程,变成复杂且不可阅读、调试分析代码;采用随机混淆算法,增加攻击者静态分析难度。

iconVMP虚拟化加固功能 icon

JSVMP,JavaScript Virtual Machine Protect,JS代码虚拟化保护技术。国内独家实现,以梆梆安全自定义“JS语言”替代原有“JS语言”,将客户的JS代码转换为梆梆JS语言代码,只有通过“Bangcle JS虚拟机”才能够理解并运行被保护的代码。

iconVMPV虚拟化加固效果 icon

左侧为源代码,没有任何保护右侧为虚拟化加固后的代码。

右侧为虚拟加固后的代码,攻击者无法理解和使用原JS指令进行调试分析,同时代码注释会在加固过程中去掉,防止被恶意利用。

 
icon函数混淆加固功能 icon

对函数名、变量名、常量名等关键字随机化命名混淆,增加代码分析难度;

可指定代码中关键字过滤策略。

icon防调试保护功能 icon

在小程序JS代码内插入调试行为监测卫兵;当攻击者进行调试分析时,将触发调试监测卫兵,立即终止调试行为,使攻击者无法进一步调试分析;关闭调试信息日志直接输出到浏览器控制台,增加调试分析难度。

icon小程序加固技术优势 icon
VMP虚拟化技术
独有JSVMP保护技术,有效保护小程序核心代码安全。
多重方案知识产权
代码VMP保护、控制流平坦化混淆、字符串加密、函数名混淆等多重安全措施保护核心代码安全。
更高的加固性能
最小细粒度加固+灵活可配加固策略化,确保加固性能表现最佳。
支持主流小程序
支持微信小程序;支持支付宝小程序;支持华为快应用;支持百度小程序。
一键式加固
全自动加固处理,无需人工协同;支持批量加固服务;简便、易用,无学习成本。
“0”成本使用
无需修改代码和任何开发投入;无需任何额外的部署投入;无需任何集成投入。
icon安全不能存在短板、盲区 icon

无论涉及到的业务轻重,小程序代码都应该进行加固保护;裸奔的代码,就是敞开着让黑客随意攻击;对于Android、iOS应用开发者,更应该三位一体,做好小程序的加固保护。

iconH5代码的监管会越来越急迫 icon
国家/上级主管单位
国家机构监管要求;银监会、人行等上级监管机构的强制合规性要求;各行业标准委员会的安全合规性标准;集团企业安全部门要求。
各级检测机构
国家测评中心;公安三所;地方级检测机构;公众媒体安全问题曝光。
icon典型客户 icon

产品推荐

美迪索科智慧物业作业管理解决方案
美迪索科智慧物业作业管理解决方案,iBeacon定位技术,广播蓝牙信号,将定位精度控制在2米以内;人员携带,将扫描到的蓝牙数据通过窄带通信回传至室内通基站;通过窄带通信接收定位标签上传的数据,并通过WiFi或POE网线回传至服务器。
免费试用
查看详情
道一云智能OA办公系统
道一云一站式智能办公平台以业务搭建为核心的APaaS低代码开发平台可通过表单、工作流、自定义页面、用户角色权限、 报表等组件建模引擎实现积木式应用搭建快速实现业务需求,全面覆盖管理场景便捷的零代码开发+开放的低代码开发能力集约化管理零散应用,让轻量级管理协同应用“长”在一个平台 。
免费试用
查看详情
反洗钱监测平台
针对金融机构以及监管机构,提供反洗钱现场检查能力,包括可疑交易的风险识别以及自定义反洗钱模型,发现非法集资,地下钱庄,涉毒涉赌,恐怖融资,走私等风险.
免费试用
查看详情
数字认证电子合同签署系统
数字认证电子合同签署系统,集“电子印章、电子合同、 电子签约”于一体,可无缝对接到企业各个业务系统,实现电子印章的统一管控、各类合同文件的全生命周期管理,覆盖各类签署场景,高效驱动企业内外部合同数据流转;依托数字认证一体化电子签约解决方案,企业可以实现电子印章的统一管控,各类合同文件的全生命周期管理,全面覆盖企业内部及对外的各类签署场景,安全高效,合法合规。
免费试用
查看详情