客户案例研究:五等级安全加固,守护互联网金融小程序代码安全

WeTest安全加固方案在不改变应用源代码的情况下,全面提升小程序安全性。

一、综述:

通过采用WeTest安全加固方案,该知名互联网金融客户,为其多个小程序购买了小程序加固专业版年包。在不改变应用源代码的情况下,深度保护小程序应用逻辑,提升攻击者窃取或篡改用户敏感数据的难度,全面提升小程序安全性。  

 

二、客户介绍:

该客户是知名互联网金融品牌,致力于为大众和各种小微企业提供线上开户、账户管理、存款、理财、信贷和支付等全方位服务。其小程序承载了无数用户的个人信息、交易记录、资产状况等敏感信息。为了保护自身业务、版权和敏感数据,客户决定对其小程序进行加固。  

 

三、业务痛点:

  • 小程序破解难度低:未加固的小程序易被破解,植入恶意代码,可能会造成敏感信息、核心算法逻辑、版本内容等内容泄露,用户财产安全无从保障。用户在使用应用期间,会出现广告和恶意病毒、支付异常等问题,严重影响用户安全与体验,甚至可能面临法律诉讼和巨额罚款。
  • 黑灰产攻击频繁:市场黑灰产对金融应用的攻击不断,需要提前防范。不法分子为了减省研发成本,通过破解正版小程序获得重要算法模型、代码库等核心数据,二次开发后进行非法变卖,容易导致品牌知识产权被侵犯,公司经济被迫受损。

 

客户需要寻找一款配置灵活,破解难度大的安全加固解决方案。

 

四、WeTest解决方案:

  • 灵活配置加固等级:WeTest向客户提供了一套符合各类应用场景的小程序安全加固方案,方案生成加固工具包(二进制文件、命令行加固工具、环境搭建与使用说明)。加固工具支持五等级加固,客户可以按照业务需求对不同文件代码安全性的要求进行设置,选择使用不同加固等级。五个加固等级由一级至五级加固强度逐渐增加,强度越高,破解难度越大。

加固等级

加固强度及特性

一级

开启代码混淆、代码压缩、代码反调试保护、函数内存地址保护、代码防逆向

二级

开启代码膨胀,随机插入冗余代码;开启代码控制流平坦化,保证业务逻辑正常前提下,扁平化代码逻辑分支,破坏代码简单的线性结构

三级

开启数字标识符生成、静态字符串保护;开启字符串编码和代码变换,对函数、变量、类、属性、数组等结构的调用关系进行变换

四级

开启代码加密,对字符串、函数、变量、属性、类、数组等结构进行加密保护,多种加密算法随机使用

五级

开启代码虚拟化,最高权限保障代码安全

 

  • SaaS平台即刻加固:客户也可以直接在WeTest平台上填写小程序名称、版本号并上传代码包,即可提交加固。SaaS平台会进行进行加固并提高代码难度,生成加固包。

  • 安全专家指导加固:实施过程中,WeTest安全团队时刻跟进客户加固问题和需求。如该客户遇到如下问题:“忽略文件的路径是正斜杠,导致加固过滤文件失败,加固不成功”;“加固之后包的大小超过限制,无法分包,需按等级加固”;“客户按照建议加固等级加固后,在编译界面卡住“等等,WeTest安全工程师第一时间帮客户排查清楚问题原因,并给出针对每个问题的解决方案,最后远程协助客户成功加固。
 

五、业务结果:

  • 代码隐藏和混淆:加固前代码中的关键逻辑、字段名可见;加固后原代码被隐藏与混淆,无法查看原来的代码逻辑,有效提高了代码被逆向分析的难度,防止代码被调试、篡改等。

  • 反编译难度提升:加固后wxappUnpacker/chrome devtool等小程序反编译工具无法对加固后代码进行分析,JS Beautifier等美化工具无法还原加固后代码。

  • 小程序性能影响极低:加固后小程序性能几乎未受影响,代码膨胀率只有23%。采用Google V8 Benchmark 中的 Octane 测试套件评估,WeTest代码三级加固后的性能评分高于友商加固产品。

  • 行业高标准服务:客户行业的特殊性导致对SLA和服务要求比较严格。WeTest加固方案及安全团队服务完美的满足客户所有的要求,除提升了小程序安全性外,服务上也得到了客户的认可。

 

六、使用的WeTest产品或服务:

小程序安全-渗透测试-腾讯WeTest

 

七、客户评价:

“WeTest小程序加固产品配置很方便,加固等级也比较高。同时感谢WeTest团队的专业服务和高效支持,长达数月的服务中,只要遇到问题都能在专属群中得到解答。有几位安全专家多次在晚间实时为我们提供远程帮助,他们的加固建议十分专业且实用,所以我们续购了年包。”

----------------------------------------------------------------

WeTest安全加固是在不改变应用源代码的情况下,将加固保护技术集成到应用各层,提升应用的整体安全水平

  • 各加固等级特性说明    (各等级包含加固项向下兼并)
  • 一级加固    代码压缩、函数内存地址保护、代码混淆、代码防逆向、代码防调试
  • 二级加固    代码控制流平坦化、代码膨胀
  • 三级加固    防篡改、数字标识符生成、静态字符串保护、代码编码式加密
  • 四级加固    代码算法式加密
  • 五级加固    代码虚拟化保护,最高权限保障代码安全

 

欢迎点击平台右下角客服按钮,进一步了解和体验腾讯WeTest小程序安全解决方案。您也可以扫描下方加入WeTest官方测试交流群,第一时间了解更多服务资讯。

最新文章
1客户案例研究:小程序资产排查,助力政务机构属地网络安全监管 排查全部小程序/公众号资产清单,摸清资产底数,确保信息资产安全。
2WeTest MTSC赠票活动中奖名单公布 近日,WeTest MTSC赠票活动圆满结束,经过紧张的统计与筛选,以下朋友们中奖,成功获得了我们的门票礼品。
3海外本地化测试的全生命周期服务 第一期 深入案例,探讨Wetest本地化网络测试、支付测试、功能测试为各行业出海客户带来的价值
4文档解析:WeTest安全扫描白皮书前瞻 近期,WeTest安全扫描白皮书正式发布,旨在全面介绍应用安全扫描产品。本文将带您快速前瞻白皮书的核心内容。
5一张图了解WeTest PC&主机游戏测试服务 WeTest PC&主机游戏测试服务是提供游戏兼容、性能、合规、X-Automator等服务的一站式解决方案,精准解决游戏开发者的四大焦虑。
购买
客服
反馈