梆梆安全小程序加固保护系统_VMP虚拟化加固

梆梆安全小程序加固保护系统

梆梆安全小程序加固保护系统对小程序JS代码中的结构化控制流进行扁平化混淆，以及JSVMP，JavaScript Virtual Machine Protect，JS代码虚拟化保护技术等，针对热度的小程序就会被黑灰产盯上，迅速逆向、复制代码级业务逻辑，通过替换UI的形式，输出同内容的小程序以及易被篡改后用于伪装和诈骗，影响企业形式和声誉这一问题进行加固保护。

立即咨询

首页 > 产品中心 > 应用安全 > 梆梆安全小程序加固保护系统

小程序面临的安全风险 icon

核心业务的小程序化，带来了更多的安全风险：

代码逆向分析
小程序代码的主体为JS，属于WEB脚本类语言，任何攻击者可以直接阅读源代码，无任何保护措施。

敏感信息提取
业务前端化将会使得包括用户名、密码、卡号、手机号、密钥、VIP标识等业务敏感信息暴露给攻击者。

接口定位及滥用
小程序的主要业务形态使得数据信息交互将基于各种API接口进行，大量的业务调用接口直接暴露在JS代码内，给攻击带来极大的便利。

核心代码盗用
由于大量小程序的零保护，导致小程序核心代码轻易泄漏，出现大量的山寨、仿冒小程序，给开发者的利益造成严重影响。

动态调试与数据篡改
攻击者通过对JS代码的调试、注入攻击，可以定位关键业务并篡改数据。

病毒木马植入
攻击者通过逆向小程序代码，植入病毒、木马，打包后进行小程序仿冒、钓鱼诈骗。

小程序渗透攻击 – 微信小程序逆向分析 icon

针对小程序的逆向攻击：混合编排

1、获取小程序文件包 .wxapk

安装XX模拟器，安装微信，在微信中打开需要的小程序完全加载完以后去模拟器的目录下找到 .wxapk文件。

2、逆向还原小程序代码

通过wxappUnpacker或其向逆向工具还原小程序代码。

3、代码分析及利用

混合编排逆向后的小程序代码就是裸露着的源代码，所有信息、逻辑、注释可以直接分析、利用。

小程序渗透攻击 – 仿冒、山寨 icon

仿冒、山寨对小程序开发者的困扰：

只要有热度的小程序，就会被黑灰产盯上，迅速逆向、复制代码级业务逻辑，通过替换UI的形式，输出同内容的小程序。

山寨、仿冒的侵权投诉取证困难、周期长、维权成功率低创新型的小程序开发企业，核心发展模式被复制，用户被分流、收益受损。

金融、教育、政企等服务类小程序，易被篡改后用于伪装和诈骗，影响企业形式和声誉。

产品功能架构图

小程序加固保护体系

小程序加固使用方式

API 使用方式

支持通过API接口调用H5应用加固服务，满足客户自动化开发环境集成使用。

WEB 使用方式

支持通过浏览器访问WEB页面使用小程序加固服务。

控制流扁平化混淆功能 icon

对小程序JS代码中的结构化控制流进行扁平化混淆；使清晰的结构化代码流程，变成复杂且不可阅读、调试分析代码；采用随机混淆算法，增加攻击者静态分析难度。

VMP虚拟化加固功能 icon

JSVMP，JavaScript Virtual Machine Protect，JS代码虚拟化保护技术。国内独家实现，以梆梆安全自定义“JS语言”替代原有“JS语言”，将客户的JS代码转换为梆梆JS语言代码，只有通过“Bangcle JS虚拟机”才能够理解并运行被保护的代码。

VMPV虚拟化加固效果 icon

左侧为源代码，没有任何保护右侧为虚拟化加固后的代码。

右侧为虚拟加固后的代码，攻击者无法理解和使用原JS指令进行调试分析，同时代码注释会在加固过程中去掉，防止被恶意利用。

函数混淆加固功能

对函数名、变量名、常量名等关键字随机化命名混淆，增加代码分析难度；

可指定代码中关键字过滤策略。

防调试保护功能

在小程序JS代码内插入调试行为监测卫兵；当攻击者进行调试分析时，将触发调试监测卫兵，立即终止调试行为，使攻击者无法进一步调试分析；关闭调试信息日志直接输出到浏览器控制台，增加调试分析难度。

小程序加固技术优势

VMP虚拟化技术
独有JSVMP保护技术，有效保护小程序核心代码安全。

多重方案知识产权
代码VMP保护、控制流平坦化混淆、字符串加密、函数名混淆等多重安全措施保护核心代码安全。

更高的加固性能
最小细粒度加固+灵活可配加固策略化，确保加固性能表现最佳。

支持主流小程序
支持微信小程序；支持支付宝小程序；支持华为快应用；支持百度小程序。

一键式加固
全自动加固处理，无需人工协同；支持批量加固服务；简便、易用，无学习成本。

“0”成本使用
无需修改代码和任何开发投入；无需任何额外的部署投入；无需任何集成投入。

安全不能存在短板、盲区 icon

无论涉及到的业务轻重，小程序代码都应该进行加固保护；裸奔的代码，就是敞开着让黑客随意攻击；对于Android、iOS应用开发者，更应该三位一体，做好小程序的加固保护。

H5代码的监管会越来越急迫 icon

国家/上级主管单位

国家机构监管要求；银监会、人行等上级监管机构的强制合规性要求；各行业标准委员会的安全合规性标准；集团企业安全部门要求。

各级检测机构

国家测评中心；公安三所；地方级检测机构；公众媒体安全问题曝光。

典型客户

产品推荐查看更多>>

爱加密移动应用安全防护系统

爱加密移动应用安全加固平台是公司自主知识产权的核心产品，综合采用Android Dex加固技术、SO加固技术、SDK加固技术、输入输出信息保护技术、密钥白盒技术、C/C++/OC/swift源码混淆保护技术、Java2CPP保护技术以及SO Linker技术等，通过领先的第八代All-In VMP加密技术，为用户提供全面的移动应用加固和攻击防范解决方案。包括Android应用加固、iOS应用加固、SO加固、SDK加固、H5加固、安全软键盘SDK、安全清场SDK、通信协议加密SDK、密钥白盒 SDK等。

Android Dex加固技术

iOS应用加固

密钥白盒技术

输入输出信息保护技术

立即咨询查看详情

深信服零信任桌面云

深信服零信任桌面云，“5A+S”办公，一致性体验，实现任何时间，任何地点，任何设备，任何网络，任何云的办公接入，为数字化转型以及疫情持续等形势下的多态混合办公模式提供基础保障。轻松实现规模化远程办公，资源集中管理，统一运维，快速排障，切实提升人效比。

快速上线

无界办公

高安全

保护投资

立即咨询查看详情