国密算法五级小程序加固,兼顾反破解能力与流畅体验

WeTest为小程序提供灵活的多层次的安全保障。支持国密算法,实现防调试、防逆向、代码混淆等多项保护措施,提高攻击者分析小程序代码逻辑的难度,从而保护小程序安全。
小程序作为轻量级应用,以其便捷的开发流程和优质的潜在客源,成为众多企业重要的业务渠道和营销工具,包含了越来越丰富的服务和功能模块。然而,程序代码被黑灰产逆向破解始终是商业风险的源头之一。隐藏在小程序代码中的隐私数据,无论是私有算法、用户数据,或者是加解密秘钥,都可能被攻击者破解读取,并形成对运营主体的商业利益或知识产权侵犯。近年来,多起由于小程序被非法破解导致的企业损失公共事件引发业界对小程序代码安全的重视。在激烈的市场竞争中,代码泄露导致的负面影响可能远超想象,常见的风险包括但不限于:

 

  • 用户信息泄露:小程序中存储的用户隐私信息,如手机号码、身份证号码、地址等遭到不法分子盗取、甚至恶意使用,为用户和企业造成巨大的经济和声誉损失。
  • 核心代码盗用:意图山寨仿冒小程序的攻击者通过盗用核心代码,伪造小程序,不仅导致用户流失,还可能会破坏原小程序品牌市场形象。
  • 接口暴露:攻击者利用前端代码中大量暴露的接口漏洞,在小程序中薅羊毛、非法获取优惠券或积分;插入病毒、广告或恶意代码,影响小程序正常功能;骚扰用户,甚至引导用户至非法网站,造成经济损失。

 

通常情况下,未加固的小程序代码标识符通过字符串明文表示,未经压缩且未采用控制流扁平化处理,数据结构清晰,易于破解。当小程序面临被逆向破解风险时,若代码未经过混淆加密,极有可能导致代码泄露,造成企业商业利益和知识产权受损。WeTest为小程序提供灵活的多层次的安全保障。支持国密算法,通过对HTML和Javascript进行加密服务,实现防调试、防逆向、代码混淆等多项保护措施,提高攻击者分析小程序代码逻辑的难度,从而保护小程序安全。

 

WeTest小程序加固所采用的国密算法加固,为用户的小程序提供更为合规的安全防护。国密算法是中国国家商用密码算法的简称。国密算法下的SM2/SM3/SM4算法被全球工业界和学术界认可在现阶段是安全的密码算法。腾讯TSM目前已取得国家密码管理局的商用密码认证,满足强监管行业加密合规的监管要求。在国密算法下,小程序加固后对性能方面的影响显著降低,保证小程序安全的同时依然保证小程序运行时的流畅体验。

 

安全防护和性能兼顾

WeTest通过国密算法增加不法分子破解难度和攻击成本的同时,兼顾小程序的运行效率和体积,减少由于小程序响应缓慢导致的用户流失。WeTest小程序安全加固服务致力实现代码安全与代码体积之间的平衡。根据加密需求,客户可以灵活选择不同等级的加固方式。基础版(三等级)加固服务基于WeTest公有云SaaS平台,包含12项加固项,客户可以在线对小程序所有js文件进行一键批量加固,屏蔽部分代码,以低成本快速高效完成加固操作。对于涉及支付相关业务的小程序,WeTest推荐 专家版(五等级)加固服务。相较于基础版加固,专家版加固包含针对支付、金融相关场景的众多加固项目,深度保障代码安全。同时,客户可以根据需要,通过命令行工具对代码进行灵活的自定义层级加固操作,平衡代码安全与体积。WeTest也提供小程序专家版(五等级)加固的私有化平台,满足大体量小程序的加固需求。

 

代码膨胀率表现优异

WeTest小程序加固可显著降低由于代码膨胀导致的的用户接入成本上升。既往实测数据显示,WeTest小程序三级加固的平均膨胀率约为1.31倍,四级加固约为1.58倍,五级加固约为1.6~4倍。依据Google V8 Benchmark中的Octane测试套件评估,经过WeTest小程序三级加固后的小程序,性能几乎无下降,且其性能评分领先于众多经其他模式加固后的小程序版本。

 

金融级小程序加固强度

在加固强度上,WeTest小程序加固通过加密字符串循环错乱排序、代码压缩和控制流扁平化处理等技术,显著提高代码安全性,使其不易被破解。在WeTest既往的服务案例中,不乏对代码安全性要求极高的金融小程序。以某互联网金融客户为例,其小程序为用户提供线上开户、账户管理、存款、理财、信贷和支付等服务,包含大量用户的个人信息、交易记录、资产状况等敏感信息。出于对产品业务、版权和敏感数据的风险抵御意识,客户决定对其小程序采用WeTest专家版安全加固服务。

【加固前】

【加固后】

金融行业的代码数据始终是黑灰产的重点攻击对象。通过破解正版小程序获得重要算法模型、代码库等核心数据,二次开发后进行非法销售是典型的黑灰产获利手段。由此导致的代码数据泄露将导致知识产权被侵犯,企业竞争力降低。此外,敏感信息、核心算法逻辑等内容的泄露,也会导致用户财产安全风险。广告、恶意病毒、支付异常等问题,将严重影响用户安全与体验。在该次服务中,WeTest专家团队在客户指定的行业SLA标准下,隐藏混淆其小程序代码,使其反编译难度提升,并将代码膨胀率控制在23%,领先于友商加固结果,获得客户的高度认可。

 

“开箱即用”的兼容性

WeTest面向主流的小程序开发者提供“开箱即用”产品服务,相对缺乏安全技术储备的开发者无需再投入精力、资源深入研究开源的加固工具。WeTest代码加固在虚拟化的同时兼顾小程序运行时兼容性,对小程序支持的语法做了最新的兼容,比如分包引用,云函数,云版本控制文件,代码块,node_modules编译后的包等均有定制保护。工具兼容性表现优秀,通过Top300+主流机型正常运行验证。

 

作为WeTest小程序安全系列服务的传统优势项目,小程序安全加固具备以下服务亮点;

  • 国密算法支持:WeTest小程序加固运用了经国家密码管理局认证的商用加密算法,从而为加固提供更强的加密保护。
  • 丰富灵活的加固选择:针对专家版加固及私有化平台,客户可根据业务需求灵活选择加固等级,平衡代码安全与运行效率,保障核心需求和用户体验。
  • 一键在线提测:基础版加固客户可在WeTest公有云SaaS平台自助一键提测,只需填写小程序名称、版本号并上传代码包,即可自动化快速生成加固包。
  • 更高的加固强度:除虚拟化、随机自定义映射关系,WeTest小程序加固还使用存储加密、禁用代码Console等手段,深度保障代码安全。
  • 性能负面影响低:五等级加固下,小程序平均代码膨胀率在1.6~4倍之间,领先于友商加固产品,且对小程序性能影响极低。三等级加固下的代码膨胀率低至1.31倍。
  • 跨平台兼容性:支持微信、支付宝、百度、抖音等多个平台下的小程序以及基于mpvue、uniapp、taro等跨平台框架开发的各平台小程序。同时支持对H5和公众号同步加固。
  • 更优质的服务质量:WeTest 专业的安全工程师,支持售前、售中、售后专业的答疑和技术支持,有任何问题即可快速得到一对一的专业指导。

 

*目前仅专家版本支持国密算法;专家版加固及私有化加固平台暂不支持公有云提测,如有需求请联系客服。

了解更多小程序安全加固服务细节,欢迎前往小程序安全加固产品页,或咨询WeTest客服。

最新文章
1逐点半导体与PerfDog达成合作 为游戏性能测评提供多维度数据支撑 业内首发帧生成可视化评测标准 打通游戏流畅度优化闭环
2WeTest携PC&主机游戏质量保障服务和性能测试平台PerfDog亮相Gamescom 2024 以全场景游戏质量保障服务及性能测试解决方案,助力全球游戏行业的创新与发展
3一张图带你了解小程序隐私合规检测 快速了解小程序隐私合规检测如何防范黑灰产风险,守护用户数据安全
4防范小程序隐私合规风险,筑牢用户信任防线 了解隐私合规检测如何帮助小程序规避数据安全风险
5WeTest 海外测试需求有奖问卷活动中奖名单公布 近日,WeTest 海外测试需求有奖问卷活动圆满结束,经过紧张的统计与筛选,以下朋友们中奖,成功获得了我们的门票礼品。
购买
客服
反馈