梆梆安全小程序加固保护系统_VMP虚拟化加固

梆梆安全小程序加固保护系统

梆梆安全小程序加固保护系统对小程序JS代码中的结构化控制流进行扁平化混淆，以及JSVMP，JavaScript Virtual Machine Protect，JS代码虚拟化保护技术等，针对热度的小程序就会被黑灰产盯上，迅速逆向、复制代码级业务逻辑，通过替换UI的形式，输出同内容的小程序以及易被篡改后用于伪装和诈骗，影响企业形式和声誉这一问题进行加固保护。

立即咨询

首页 > 产品中心 > 应用安全 > 梆梆安全小程序加固保护系统

小程序面临的安全风险 icon

核心业务的小程序化，带来了更多的安全风险：

代码逆向分析
小程序代码的主体为JS，属于WEB脚本类语言，任何攻击者可以直接阅读源代码，无任何保护措施。

敏感信息提取
业务前端化将会使得包括用户名、密码、卡号、手机号、密钥、VIP标识等业务敏感信息暴露给攻击者。

接口定位及滥用
小程序的主要业务形态使得数据信息交互将基于各种API接口进行，大量的业务调用接口直接暴露在JS代码内，给攻击带来极大的便利。

核心代码盗用
由于大量小程序的零保护，导致小程序核心代码轻易泄漏，出现大量的山寨、仿冒小程序，给开发者的利益造成严重影响。

动态调试与数据篡改
攻击者通过对JS代码的调试、注入攻击，可以定位关键业务并篡改数据。

病毒木马植入
攻击者通过逆向小程序代码，植入病毒、木马，打包后进行小程序仿冒、钓鱼诈骗。

小程序渗透攻击 – 微信小程序逆向分析 icon

针对小程序的逆向攻击：混合编排

1、获取小程序文件包 .wxapk

安装XX模拟器，安装微信，在微信中打开需要的小程序完全加载完以后去模拟器的目录下找到 .wxapk文件。

2、逆向还原小程序代码

通过wxappUnpacker或其向逆向工具还原小程序代码。

3、代码分析及利用

混合编排逆向后的小程序代码就是裸露着的源代码，所有信息、逻辑、注释可以直接分析、利用。

小程序渗透攻击 – 仿冒、山寨 icon

仿冒、山寨对小程序开发者的困扰：

只要有热度的小程序，就会被黑灰产盯上，迅速逆向、复制代码级业务逻辑，通过替换UI的形式，输出同内容的小程序。

山寨、仿冒的侵权投诉取证困难、周期长、维权成功率低创新型的小程序开发企业，核心发展模式被复制，用户被分流、收益受损。

金融、教育、政企等服务类小程序，易被篡改后用于伪装和诈骗，影响企业形式和声誉。

产品功能架构图

小程序加固保护体系

小程序加固使用方式

API 使用方式

支持通过API接口调用H5应用加固服务，满足客户自动化开发环境集成使用。

WEB 使用方式

支持通过浏览器访问WEB页面使用小程序加固服务。

控制流扁平化混淆功能 icon

对小程序JS代码中的结构化控制流进行扁平化混淆；使清晰的结构化代码流程，变成复杂且不可阅读、调试分析代码；采用随机混淆算法，增加攻击者静态分析难度。

VMP虚拟化加固功能 icon

JSVMP，JavaScript Virtual Machine Protect，JS代码虚拟化保护技术。国内独家实现，以梆梆安全自定义“JS语言”替代原有“JS语言”，将客户的JS代码转换为梆梆JS语言代码，只有通过“Bangcle JS虚拟机”才能够理解并运行被保护的代码。

VMPV虚拟化加固效果 icon

左侧为源代码，没有任何保护右侧为虚拟化加固后的代码。

右侧为虚拟加固后的代码，攻击者无法理解和使用原JS指令进行调试分析，同时代码注释会在加固过程中去掉，防止被恶意利用。

函数混淆加固功能

对函数名、变量名、常量名等关键字随机化命名混淆，增加代码分析难度；

可指定代码中关键字过滤策略。

防调试保护功能

在小程序JS代码内插入调试行为监测卫兵；当攻击者进行调试分析时，将触发调试监测卫兵，立即终止调试行为，使攻击者无法进一步调试分析；关闭调试信息日志直接输出到浏览器控制台，增加调试分析难度。

小程序加固技术优势

VMP虚拟化技术
独有JSVMP保护技术，有效保护小程序核心代码安全。

多重方案知识产权
代码VMP保护、控制流平坦化混淆、字符串加密、函数名混淆等多重安全措施保护核心代码安全。

更高的加固性能
最小细粒度加固+灵活可配加固策略化，确保加固性能表现最佳。

支持主流小程序
支持微信小程序；支持支付宝小程序；支持华为快应用；支持百度小程序。

一键式加固
全自动加固处理，无需人工协同；支持批量加固服务；简便、易用，无学习成本。

“0”成本使用
无需修改代码和任何开发投入；无需任何额外的部署投入；无需任何集成投入。

安全不能存在短板、盲区 icon

无论涉及到的业务轻重，小程序代码都应该进行加固保护；裸奔的代码，就是敞开着让黑客随意攻击；对于Android、iOS应用开发者，更应该三位一体，做好小程序的加固保护。

H5代码的监管会越来越急迫 icon

国家/上级主管单位

国家机构监管要求；银监会、人行等上级监管机构的强制合规性要求；各行业标准委员会的安全合规性标准；集团企业安全部门要求。

各级检测机构

国家测评中心；公安三所；地方级检测机构；公众媒体安全问题曝光。

典型客户

产品推荐查看更多>>

邮件防泄漏系统

邮件防泄漏系统帮助企业保障核心数据资产通过邮件传播的安全，实现企业数据的治理。

安安可靠

高效稳定

立即咨询查看详情

McAfee Web保护

McAfee Web Protection 是一个安全的 Web 网关保护通向互联网的每条渠道安全，能够保护每一台设备、每一名用户和每一个位置免受复杂的互联网威胁的侵扰。

高效稳定

安全可靠

立即咨询查看详情

网页防篡改

天清Web应用安全网关网页防篡改系统是基于Web 安全防护与应用交付类应用层安全产品，具备最先进的网页防篡改技术，用于保护站点内容安全，防止黑客非法篡改网页，保护公众形象。

安全可靠

高效稳定

立即咨询查看详情

数字化社区查看更多>>