产品解决方案安全专区定价 WeTest生态支持与服务关于WeTest

客户案例研究：五等级安全加固，守护互联网金融小程序代码安全

安全专区 2024-07-09 18:16 226

WeTest安全加固方案在不改变应用源代码的情况下，全面提升小程序安全性。

一、综述：

通过采用WeTest安全加固方案，该知名互联网金融客户，为其多个小程序购买了小程序加固专业版年包。在不改变应用源代码的情况下，深度保护小程序应用逻辑，提升攻击者窃取或篡改用户敏感数据的难度，全面提升小程序安全性。

二、客户介绍：

该客户是知名互联网金融品牌，致力于为大众和各种小微企业提供线上开户、账户管理、存款、理财、信贷和支付等全方位服务。其小程序承载了无数用户的个人信息、交易记录、资产状况等敏感信息。为了保护自身业务、版权和敏感数据，客户决定对其小程序进行加固。

三、业务痛点：

小程序破解难度低：未加固的小程序易被破解，植入恶意代码，可能会造成敏感信息、核心算法逻辑、版本内容等内容泄露，用户财产安全无从保障。用户在使用应用期间，会出现广告和恶意病毒、支付异常等问题，严重影响用户安全与体验，甚至可能面临法律诉讼和巨额罚款。
黑灰产攻击频繁：市场黑灰产对金融应用的攻击不断，需要提前防范。不法分子为了减省研发成本，通过破解正版小程序获得重要算法模型、代码库等核心数据，二次开发后进行非法变卖，容易导致品牌知识产权被侵犯，公司经济被迫受损。

客户需要寻找一款配置灵活，破解难度大的安全加固解决方案。

四、WeTest解决方案：

灵活配置加固等级：WeTest向客户提供了一套符合各类应用场景的小程序安全加固方案，方案生成加固工具包（二进制文件、命令行加固工具、环境搭建与使用说明）。加固工具支持五等级加固，客户可以按照业务需求对不同文件代码安全性的要求进行设置，选择使用不同加固等级。五个加固等级由一级至五级加固强度逐渐增加，强度越高，破解难度越大。

加固等级	加固强度及特性
一级	开启代码混淆、代码压缩、代码反调试保护、函数内存地址保护、代码防逆向
二级	开启代码膨胀，随机插入冗余代码；开启代码控制流平坦化，保证业务逻辑正常前提下，扁平化代码逻辑分支，破坏代码简单的线性结构
三级	开启数字标识符生成、静态字符串保护；开启字符串编码和代码变换，对函数、变量、类、属性、数组等结构的调用关系进行变换
四级	开启代码加密，对字符串、函数、变量、属性、类、数组等结构进行加密保护，多种加密算法随机使用
五级	开启代码虚拟化，最高权限保障代码安全

SaaS平台即刻加固：客户也可以直接在WeTest平台上填写小程序名称、版本号并上传代码包，即可提交加固。SaaS平台会进行进行加固并提高代码难度，生成加固包。

安全专家指导加固：实施过程中，WeTest安全团队时刻跟进客户加固问题和需求。如该客户遇到如下问题：“忽略文件的路径是正斜杠，导致加固过滤文件失败，加固不成功”；“加固之后包的大小超过限制，无法分包，需按等级加固”；“客户按照建议加固等级加固后，在编译界面卡住“等等，WeTest安全工程师第一时间帮客户排查清楚问题原因，并给出针对每个问题的解决方案，最后远程协助客户成功加固。

五、业务结果：

代码隐藏和混淆：加固前代码中的关键逻辑、字段名可见；加固后原代码被隐藏与混淆，无法查看原来的代码逻辑，有效提高了代码被逆向分析的难度，防止代码被调试、篡改等。
反编译难度提升：加固后wxappUnpacker/chrome devtool等小程序反编译工具无法对加固后代码进行分析，JS Beautifier等美化工具无法还原加固后代码。
小程序性能影响极低：加固后小程序性能几乎未受影响，代码膨胀率只有23%。采用Google V8 Benchmark 中的 Octane 测试套件评估，WeTest代码三级加固后的性能评分高于友商加固产品。
行业高标准服务：客户行业的特殊性导致对SLA和服务要求比较严格。WeTest加固方案及安全团队服务完美的满足客户所有的要求，除提升了小程序安全性外，服务上也得到了客户的认可。