H5业务面临的安全挑战和防护方案

德迅云安全李恒
576 阅读13分钟

我们经常见到各类H5海报,比如,产品展示、活动促销、招聘启示、乃至小游戏等。H5不仅能够无缝的嵌入App、小程序,还可以作为一个拥有独立链接地址的页面,直接在PC端打开,可以说良好跨平台适配。

H5技术成熟,开发周期短,投入和维护成本低,兼容性好。根据需求,H5可以制作文字、图形、音频、视频,因此可以用于PC网站、手机网站、微站、Web App、轻应用,甚至,开发目前最火的元宇宙概念——Web VR(虚拟现实大众化)。因此被广泛应用于展示、营销、调查、游戏等等。

作为重要的移动互联网服务载体,H5在给用户带来便利体验的同时,也让企业面临信息泄露、恶意劫持、薅羊毛等各类业务风险。

7b38424e01c35b598a385890a2ad3ed3_6796ddc1161c604401906711ffad3566.jpg

一、什么是H5

H5是基于HTML5的网页文件。HTML(Hyper Text Markup Language),即超文本标记语言,由Web(World Wide Web,即全球广域网、万维网)的发明者 Tim Berners-Lee和同事 Daniel W. Connolly创立。

作为一种标记语言,HTML是标准通用化标记语言(SGML,是一种定义电子文档结构和描述其内容的国际标准语言)的应用。用HTML编写的超文本文档,能独立于各种操作系统平台使用。也就是,将所需要表达的信息写成HTML文件,通过浏览器就能展现为普通人能够识别,即现在所见到的网页。

每一个HTML文档都是一种静态的网页文件,这个文件里面包含了HTML指令代码,这些指令代码并不是一种程序语言,只是一种排版网页中资料显示位置的标记结构语言,易学易懂,非常简单。能够通过标记式的指令(Tag),将影像、声音、图片、文字动画、影视等内容显示出来。

所以,自1990年以来,HTML就一直被用作万维网的信息表示语言。

1995年,HTML2发布;1997年,HTML3.2和HTML 4发布;2012 年,HTML5形成了稳定的版本。HTML5是公认的下一代Web语言,极大地提升了Web在富媒体、富内容和富应用等方面的能力,能够良好适配PC、移动等平台。我们平常所说的“H5”就是基于HTML5的网页文件。

由于HTML5支持文字、图片、音频和视频,还能够支持地理定位,并拥有单独的数据存储方式,因此被广泛应用到移动端,用于手机网站、微站、游戏、轻应用的制作,更用于制作Web App。

image.png

二、H5的前景方向和挑战

如今,人们对H5的认知往往在H5界面上,H5界面即利用H5技术进行设计的一些精美页面。H5页面开始成为国民手机中的一支骑兵:无论是各类基于H5页面开发的小游戏,还是当前较为流行的邀请函、招聘广告,等网络开发的H5新闻页面,均尝试以这种触碰和滑动作为页面技术的第一接触方式来将商品推荐给用户并发布消息。目前,H5页面也已成为各大商家及网络公关传播者的常见表现。时下,较火的H5页面制作软件具有将来运用等特点。

随着手机硬件的升级,H5技术的发展以及微信等平台的开放,H5的跨平台、低成本、快迭代等优势将会进一步凸显,而对于处在移动互联网浪潮下的企业主,品牌设计师以及开发者而言,这也会是最美好的年代。

H5之所以被人们广泛接纳,与其独特性密切相关。它拥有众多特点:

(1)开发成本低: :仅为开发客户端成本的1/5甚至1/10。

(2)免去适配多个平台的困扰, 跨平台使用:: 对于平台的跨越,减轻了平台障碍,便于开发应用。

(3)在维护方面: H5不需要象客户端一样需要频繁的升级,而是能够实时的更新并在出现问题时即时的做出反应。

(4)互动性强,便于产品的快速迭代: 移动互联网是一个"快鱼吃慢鱼"的时代,谁对用户的需求满足得更快,谁的试错成本更低,谁就拥有巨大的优势。

(5)无安装门槛,更容易推广、爆发且推广成本低: 对于用户来说,H5大大降低了用户的使用门槛,他们只需轻轻一点即可满足需求。而且H5应用导流非常容易,超级APP(如微信)、搜索引擎、应用市场、浏览器……到处都是H5的流量入口,而原生APP的流量入口只有应用市场,所以H5的推广成本更低。

(6)存储方面,H5中最酷的特性就是本地存储: 它支持多个Windows存储,具有较好的安全与性能,甚至在浏览器被关闭时仍能保存。由于这是一个客户端数据库,所以用户不需要担心会删掉什么cookie,而且主流浏览器均支持这个数据库。本地存储对于很多情况来说都不错,它是HTML5工具中一个不需要第三方插件**实现的。能够保存数据到用户的浏览器中,意味着你可以简单地创建一些应用特性,例如:保存用户信息、缓存数据、加载用户上一次的应用状态。

(7)开源生态系统发达 H5前端是开放的正反馈循环生态系统,大量的开源库可以使用,开发应用变得更轻松、更敏捷,当然这也体现在快速迭代和成本下降上,不过更重要的是,这种开放的正反馈循环生态系统未来的生命力比原生生态系统更强劲。

(8)开放的数据交换。 开发者能够使手机搜索引擎方便地对其数据进行检索,同时更加方便地通过跨应用协作满足用户的需求。

385958a68e618256ecf0ce853294cc00__url=http%3A%2F%2Fdingyue.ws.126.net%2F2021%2F0423%2F09df4f7bp00qrzy7o00dbc000vf00i9m.png&thumbnail=660x2147483647&quality=80&type=jpg.jpg

三、H5有哪些常见业务风险?

确实,H5页面凭借其开发周期短、投入和维护成本低、兼容性好的优势,可以为移动设备提供更好的用户体验,从而提高用户的留存和转化。但H5在给用户带来便利体验的同时,也让企业或者开发者面临信息泄露、恶意劫持、薅羊毛等各类业务风险。比如,某移动应用H5页面被植入色情内容广告在社会和行业内引起了轰动。后经排查基本确定为用户当地运营商http劫持导致H5页面被插入广告,给该企业造成极大影响。除了网页劫持这样的情况,H5还会面临哪些黑灰产攻击的风险?

链接伪造风险: 攻击者通过伪造的H5网页链接,入侵破坏业务系统乃至内网,窃取重要信息、账户密码等。

页面篡改风险: H5网页代码遭篡改复制,做成钓鱼页面,盗取用户账户密码和信息等。

信息泄露风险: H5网页被植入恶意代码,盗取访问者的账号密码、隐私信息等。

账号破解风险: H5往往是App或小程序应用服务的延伸,与平台账户体系关联,很容易成为攻击者盗取账号、破解密码的重要目标。

薅羊毛风险: 通过H5网页举办的各类优惠活动企业主要的拓客手段,“薅羊毛”不仅破坏了正常的营销规则,白白消耗大量活动资金,更无法保障新注册用户的精准性,导致营销活动效果功亏一篑。

CC攻击风险: 针对Web服务在 OSI 协议第七层协议发起的攻击,攻击者极力模仿正常用户的网页请求行为,发起方便、过滤困难,极其容易造成目标服务器资源耗尽无法提供服务。

DDOS攻击风险: 通过超载目标系统、服务或网络的资源,使其无法正常响应合法用户的请求。这类攻击通常涉及大量计算机或设备,这些设备被操纵成一个庞大的“僵尸网络”(botnet)。攻击者利用这个庞大的网络协同作战,向目标发动大规模攻击,使其陷入不堪重负的状态。

aa7c47719b99b7e16d641e0e2f511017_u=2008429929,197415152&fm=30&app=106&f=JPEG_w=640&h=443&s=38A2D8127EB257B51928A4850300F0E1.jpg

H5业务的安全防护方案

一、德迅安全加速SCDN

安全加速(Secure Content Delivery Network,SCDN)是德迅云安全推出的集分布式DDoS防护、CC防护、WAF防护、BOT行为分析为一体的安全加速解决方案。已使用内容分发网络(CDN)或全站加速网络(ECDN)的用户,可为加速域名一键开启安全防护相关配置,全方位保障业务内容分发。

产品功能

  • OWASP TOP 10威胁防护:有效防御 SQL注入、XSS攻击、命令/代码执行、文件包含、木马上传、路径穿越、恶意扫描等OWASP TOP 10攻击。专业的攻防团队7*24小时跟进0day漏洞,分析漏洞原理,并制定安全防护策略,及时进行防护。

  • AI检测和行为分析:通过对德迅云积累海量日志进行学习和训练输出多种Web安全防护模型,对用户多请求的多元因子进行智能分析,有效提高检出率,降低误报率;通过信息孤岛、行为检测分析,识别恶意攻击源,保护网站安全。

  • 智能语义解析引擎:提供智能语义解析功能,在漏洞防御的基础上,增强SQL注入和XXS攻击检测能力。

  • 应用层DDoS防护:CC、HTTP Flood攻击防御

  • 人机校验:当请求与网站正常访问基线不一致时,启动人机校验(如JS验证、META验证等)方式进行验证,拦截攻击。

  • 慢连接攻击防御:对Slow Headers攻击,通过检测请求头超时时间、最大包数量阈值进行防护。 对Slow Post攻击,通过检测请求小包数量阈值进行防护。

  • 网页防篡改:采用强制静态缓存锁定和更新机制,对网站特定页面进行保护,即使源站相关网页被篡改,依然能够返回给用户缓存页面。

  • 数据防泄漏:对response报文进行处理,对响应内容和响应进行识别和过滤,根据需要设置数据防泄漏规则,保护网站数据安全。

image.png

二、德迅云安全高防服务器

德迅云安全在浙江部署的T3级别数据中心,具备完善的机房设施,自建光纤网络,核心骨干网络有效保证高品质的网络环境和丰富的带宽资源,同时接入统一的系统管理平台,资源调配更轻松,使系统安全、可靠、稳定、高效运行。

  • 海量DDoS清洗:大防护带宽,平均延迟小于50ms,从容应对大流量攻击。

  • 全方位防护:全面支持SYN Flood、ACK Flood、ICMP Flood、UDP Flood、NTP Flood、DNS Flood、HTTP Flood、CC攻击等常见攻击类型的防护。

  • 全业务支持:支持TCP、UDP、HTTP/HTTPS等协议,满足游戏、APP、网站、金融等各种类型的业务需求。

  • 指纹式防御算法:防御游戏空连接、慢连接、恶意踢人攻击,采用IP信誉库、IP+Co-okie、IP+Key防御CC攻击,全球僵尸网络库攻击溯源

6697bdd600aac58e6724212029f3fde4_300.jpg

三、德迅Web防火墙(安全WAF)

Web应用防火墙(Web Application Firewall, 简称 WAF)基于云安全大数据能力,用于防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击,并过滤海量恶意CC攻击,避免您的网站资产数据泄露,保障网站的安全与可用性。

Web应用防火墙(WAF)帮助您轻松应对各类Web应用攻击,确保网站的Web安全与可用性。WAF使用核心攻防和大数据能力来驱动Web安全,具体支持以下功能:

(1)Web入侵防护

  • 自动防护漏洞0day web应用漏洞小时级自动防御,无需人工打补丁
  • 多重动态防御自研规则+AI深度学习+主动防御,搭配不断更新的全网威胁情报,扫除防御死角
  • 防扫描及探测根据扫描及探测的特征和行为,配合全网威胁情报、深度学习算法进行自动拦截,避免黑客发现可利用的系统弱点
  • 防护规则可自定义可根据业务实际需求,灵活自定义防护规则

(2)流量管理和爬虫防控

  • 灵活的流量管理功能支持对全量HTTP header和body特征进行自定义组合,从而实现满足业务个性化需求的访问控制和限速要求
  • CC攻击防护基于不同等级的默认防护策略及灵活的精准访问控制和限速策略,配合人机识别、封禁等处置手段有效缓解CC攻击(HTTP Flood
  • 精准识别爬虫基于指纹、行为、特征、情报等多维度数据,配合AI智能,精准识别爬虫并自动应对爬虫变异
  • 全场景防控适用于网站、H5、APP、小程序等各类型Web业务的爬虫风险防控,帮助企业防控业务作弊、薅羊毛等业务风险
  • 丰富的爬虫处置手段可根据实际业务场景需求,对流量进行包括拦截、人机识别、限流、欺骗等处置手段
  • 场景化配置场景化配置引导,帮助0经验快速上手德迅最佳实践

(3)数据安全防控

  • 保护API安全主动发现存在老旧、缺乏鉴权、数据过度暴露、敏感信息泄露等风险的API接口
  • 防敏感信息泄露检测并防护身份证、银行卡、手机号、敏感词等敏感信息泄露
  • 防页面篡改通过锁定重点页面的内容,保证即使页面被篡改,也能通过返回缓存的方式保证用户看到的页面内容不变
  • 检测账户风险自动识别撞库、暴力破解、弱口令等常见账号风险

6ac2efaebcbded9c8d20f5ae90309ff1_v2-5560a30ad715fddf6d671e2e0ed210a9_720w_source=1940ef5c.jpg

结语

H5游戏行业仍在不断发展。未来可能出现更多与虚拟现实(VR)和增强现实(AR)技术相结合的H5游戏,提供更沉浸式的体验。此外,随着5G技术的普及,游戏性能和画面质量将进一步提升,为H5游戏带来更广阔的发展前景。

综上所述,H5游戏在国际市场有着巨大的机遇,但也伴随着挑战。要成功进军国际市场,开发者需要充分发挥H5游戏的优势,制定切实可行的商业模式和精明的营销策略,同时不断关注市场趋势,以保持竞争力。只有保护好网络安全,才能在这个蓬勃发展的领域取得成功。

avatar
文章
阅读
粉丝