梆梆安全小程序加固保护系统_VMP虚拟化加固

梆梆安全小程序加固保护系统

梆梆安全小程序加固保护系统对小程序JS代码中的结构化控制流进行扁平化混淆，以及JSVMP，JavaScript Virtual Machine Protect，JS代码虚拟化保护技术等，针对热度的小程序就会被黑灰产盯上，迅速逆向、复制代码级业务逻辑，通过替换UI的形式，输出同内容的小程序以及易被篡改后用于伪装和诈骗，影响企业形式和声誉这一问题进行加固保护。

立即咨询

首页 > 产品中心 > 应用安全 > 梆梆安全小程序加固保护系统

小程序面临的安全风险 icon

核心业务的小程序化，带来了更多的安全风险：

代码逆向分析
小程序代码的主体为JS，属于WEB脚本类语言，任何攻击者可以直接阅读源代码，无任何保护措施。

敏感信息提取
业务前端化将会使得包括用户名、密码、卡号、手机号、密钥、VIP标识等业务敏感信息暴露给攻击者。

接口定位及滥用
小程序的主要业务形态使得数据信息交互将基于各种API接口进行，大量的业务调用接口直接暴露在JS代码内，给攻击带来极大的便利。

核心代码盗用
由于大量小程序的零保护，导致小程序核心代码轻易泄漏，出现大量的山寨、仿冒小程序，给开发者的利益造成严重影响。

动态调试与数据篡改
攻击者通过对JS代码的调试、注入攻击，可以定位关键业务并篡改数据。

病毒木马植入
攻击者通过逆向小程序代码，植入病毒、木马，打包后进行小程序仿冒、钓鱼诈骗。

小程序渗透攻击 – 微信小程序逆向分析 icon

针对小程序的逆向攻击：混合编排

1、获取小程序文件包 .wxapk

安装XX模拟器，安装微信，在微信中打开需要的小程序完全加载完以后去模拟器的目录下找到 .wxapk文件。

2、逆向还原小程序代码

通过wxappUnpacker或其向逆向工具还原小程序代码。

3、代码分析及利用

混合编排逆向后的小程序代码就是裸露着的源代码，所有信息、逻辑、注释可以直接分析、利用。

小程序渗透攻击 – 仿冒、山寨 icon

仿冒、山寨对小程序开发者的困扰：

只要有热度的小程序，就会被黑灰产盯上，迅速逆向、复制代码级业务逻辑，通过替换UI的形式，输出同内容的小程序。

山寨、仿冒的侵权投诉取证困难、周期长、维权成功率低创新型的小程序开发企业，核心发展模式被复制，用户被分流、收益受损。

金融、教育、政企等服务类小程序，易被篡改后用于伪装和诈骗，影响企业形式和声誉。

产品功能架构图

小程序加固保护体系

小程序加固使用方式

API 使用方式

支持通过API接口调用H5应用加固服务，满足客户自动化开发环境集成使用。

WEB 使用方式

支持通过浏览器访问WEB页面使用小程序加固服务。

控制流扁平化混淆功能 icon

对小程序JS代码中的结构化控制流进行扁平化混淆；使清晰的结构化代码流程，变成复杂且不可阅读、调试分析代码；采用随机混淆算法，增加攻击者静态分析难度。

VMP虚拟化加固功能 icon

JSVMP，JavaScript Virtual Machine Protect，JS代码虚拟化保护技术。国内独家实现，以梆梆安全自定义“JS语言”替代原有“JS语言”，将客户的JS代码转换为梆梆JS语言代码，只有通过“Bangcle JS虚拟机”才能够理解并运行被保护的代码。

VMPV虚拟化加固效果 icon

左侧为源代码，没有任何保护右侧为虚拟化加固后的代码。

右侧为虚拟加固后的代码，攻击者无法理解和使用原JS指令进行调试分析，同时代码注释会在加固过程中去掉，防止被恶意利用。

函数混淆加固功能

对函数名、变量名、常量名等关键字随机化命名混淆，增加代码分析难度；

可指定代码中关键字过滤策略。

防调试保护功能

在小程序JS代码内插入调试行为监测卫兵；当攻击者进行调试分析时，将触发调试监测卫兵，立即终止调试行为，使攻击者无法进一步调试分析；关闭调试信息日志直接输出到浏览器控制台，增加调试分析难度。

小程序加固技术优势

VMP虚拟化技术
独有JSVMP保护技术，有效保护小程序核心代码安全。

多重方案知识产权
代码VMP保护、控制流平坦化混淆、字符串加密、函数名混淆等多重安全措施保护核心代码安全。

更高的加固性能
最小细粒度加固+灵活可配加固策略化，确保加固性能表现最佳。

支持主流小程序
支持微信小程序；支持支付宝小程序；支持华为快应用；支持百度小程序。

一键式加固
全自动加固处理，无需人工协同；支持批量加固服务；简便、易用，无学习成本。

“0”成本使用
无需修改代码和任何开发投入；无需任何额外的部署投入；无需任何集成投入。

安全不能存在短板、盲区 icon

无论涉及到的业务轻重，小程序代码都应该进行加固保护；裸奔的代码，就是敞开着让黑客随意攻击；对于Android、iOS应用开发者，更应该三位一体，做好小程序的加固保护。

H5代码的监管会越来越急迫 icon

国家/上级主管单位

国家机构监管要求；银监会、人行等上级监管机构的强制合规性要求；各行业标准委员会的安全合规性标准；集团企业安全部门要求。

各级检测机构

国家测评中心；公安三所；地方级检测机构；公众媒体安全问题曝光。

典型客户

产品推荐查看更多>>

移动安全邮件

指掌易移动安全邮件解决方案，面向BYOD环境，为Android、iOS提供标准的企业级邮件客户端，通过移动安全邮件帮助企业实现电子邮件正文、附件等数据泄露防护，简化不同邮件客户端的配置流程。

安全可靠

功能完备

立即咨询查看详情

火山引擎飞连身份权限管理

飞连，安全、便捷的数字化办公平台，基于字节跳动 10 万余人办公实践，为客户提供企业级身份、网络、终端管理方案，帮助员工随时随地，安全连接内部网络与应用。身份权限管理，通过企业员工数字化身份、应用权限与安全状态的打通管理，保障员工账号安全与应用登录安全。

搭建员工统一认证体系

远程办公与运维

立即咨询查看详情

默安科技软件供应链安全治理解决方案

默安科技软件供应链安全治理解决方案，全面覆盖所有场景，确保风险引入渠道查无遗漏。通过提升技术检测手段、同时加强规范管理制度建设，配合服务保障落地效果。从业务角度梳理软件供应链周期，帮助企业面向全周期各个环节实施安全治理，确保各环节向下的交付物安全可控，有效避免风险的扩散。

自主开发

全面覆盖

多手段加持

全周期管控

立即咨询查看详情

数字化社区查看更多>>