共计 3516 个字符,预计需要花费 9 分钟才能阅读完成。
H5 目前的技术曾经趋于成熟。它开发周期短开发周期短,投入和保护成本低,兼容性好。依据需要,H5 能够制作文字、图形、音频、视频,因而能够用于 PC 网站、手机网站、微站、Web App、轻利用。而且因为最近 AIGC 的大火,它的制作老本变得更低。
H5 的利用场景次要包含展现、营销、考察、游戏等等。
不过作为重要的挪动互联网服务载体,H5 在给用户带来便当体验的同时,也让企业面临信息泄露、歹意劫持、薅羊毛等各类业务危险。
明天咱们就来看看怎么去防护 H5。
常见业务危险
链接伪造危险。 攻击者通过伪造的 H5 网页链接,入侵毁坏业务零碎乃至内网,窃取重要信息、账户明码等。
页面篡改危险。H5 网页代码遭篡改复制,做成钓鱼页面,盗取用户账户明码和信息等。
信息泄露危险。H5 网页被植入恶意代码,盗取访问者的账号密码、隐衷信息等。
账号破解危险。H5 往往是 App 或小程序应用服务的延长,与平台账户体系关联,很容易成为攻击者盗取账号、破解明码的重要指标。
“薅羊毛”危险。 通过 H5 网页举办的各类优惠活动企业次要的拓客伎俩,“薅羊毛”不仅毁坏了失常的营销规定,白白耗费大量流动资金,更无奈保障新注册用户的精准性,导致营销流动成果功亏一篑。
业务防护思路
咱们次要从业务平安的角度来进行防护,具体包含以下几个点(代码只是简略提供思路,仅供参考):
数据安全防护: 因为 H5 业务中会波及到用户数据的收集和存储,因而必须采取紧密的数据安全防护措施,例如数据加密、数据备份、访问控制等。
- 数据加密示例代码
| import hashlib | |
| import base64 | |
| # 数据加密函数 | |
| def encrypt(data): | |
| # 对数据进行 SHA256 哈希解决 | |
| sha256 = hashlib.sha256() | |
| sha256.update(data.encode('utf-8')) | |
| hashed_data = sha256.digest() | |
| # 对哈希后的数据进行 Base64 编码解决 | |
| encoded_data = base64.b64encode(hashed_data) | |
| # 返回加密后的数据 | |
| return encoded_data.decode('utf-8') |
- 数据备份示例代码
| import shutil | |
| # 数据备份函数 | |
| def backup_data(src_path, dst_path): | |
| # 应用 shutil 库的 copytree 函数进行数据备份 | |
| shutil.copytree(src_path, dst_path) | |
| print('数据备份胜利') |
- 访问控制示例代码
| # 用户列表 | |
| users = [{'username': 'admin', 'password': '123456'}, {'username': 'user1', 'password': 'password1'}] | |
| # 登录函数 | |
| def login(username, password): | |
| # 遍历用户列表进行登录验证 | |
| for user in users: | |
| if user['username'] == username and user['password'] == password: | |
| print('登录胜利') | |
| return True | |
| # 登录失败 | |
| print('登录失败') | |
| return False | |
| # 访问控制装璜器 | |
| def require_login(func): | |
| def wrapper(*args, **kwargs): | |
| # 判断用户是否登录 | |
| if 'username' in kwargs and 'password' in kwargs: | |
| username = kwargs['username'] | |
| password = kwargs['password'] | |
| if login(username, password): | |
| # 登录胜利,执行原函数 | |
| return func(*args, **kwargs) | |
| # 用户未登录,返回错误信息 | |
| return '请登录后再进行操作' | |
| return wrapper | |
| # 须要进行登录验证的函数 | |
| @require_login | |
| def secret_info(): | |
| return '这是一些机密信息' | |
| # 应用示例 | |
| if __name__ == '__main__': | |
| # 备份数据 | |
| backup_data('/path/to/data', '/path/to/backup') | |
| # 拜访受限的函数 | |
| print(secret_info(username='admin', password='123456')) | |
| # 拜访受限的函数(未登录)print(secret_info()) |
网络安全防护:H5 业务通常波及到数据传输和网络交互,因而必须采取有效的网络安全防护措施,例如 SSL/TLS 加密、防火墙、反向代理等。
简略给一个 SSL/TLS 的代码:
| import socket | |
| import ssl | |
| # 服务器地址和端口号 | |
| server_address = ('localhost', 8888) | |
| # 创立 socket 对象 | |
| sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM) | |
| # 将 socket 包装成 SSL socket | |
| ssl_sock = ssl.wrap_socket(sock, ssl_version=ssl.PROTOCOL_TLSv1_2, ciphers='ECDHE-RSA-AES256-SHA384') | |
| # 连贯服务器 | |
| ssl_sock.connect(server_address) | |
| # 发送数据 | |
| ssl_sock.sendall('Hello, World!'.encode()) | |
| # 接收数据 | |
| data = ssl_sock.recv(1024) | |
| # 敞开连贯 | |
| ssl_sock.close() |
代码平安防护:H5 业务开发过程中须要编写大量的代码,因而必须采取有效的代码平安防护措施,例如代码审计、代码加密、进攻 XSS 和 CSRF 等攻打。
挨个来看看示例代码:
- 代码审计
| # 破绽代码 | |
| def execute_sql(user_id): | |
| sql = "SELECT * FROM users WHERE user_id='%s'" % user_id | |
| cursor.execute(sql) | |
| results = cursor.fetchall() | |
| return results | |
| # 修复代码 | |
| def execute_sql(user_id): | |
| sql = "SELECT * FROM users WHERE user_id=%s" | |
| cursor.execute(sql, (user_id,)) | |
| results = cursor.fetchall() | |
| return results |
- 代码加密
| import py_compile | |
| # 加密代码 | |
| py_compile.compile('main.py') | |
| # 运行加密后的代码 | |
| import main | |
| main.main() |
- 防护 XSS
| <!-- 原始代码 --> | |
| <script> | |
| var name = '{{name}}'; | |
| document.write('Hello,' + name + '!'); | |
| </script> | |
| <!-- 修复后的代码 --> | |
| <script> | |
| var name = '{{name|escapejs}}'; | |
| document.write('Hello,' + name + '!'); | |
| </script> |
- 防护 CSRF
| # 原始代码 | |
| @app.route('/transfer_money') | |
| def transfer_money(): | |
| from_account = request.args.get('from_account') | |
| to_account = request.args.get('to_account') | |
| amount = request.args.get('amount') | |
| # 转账操作 | |
| # 修复后的代码 | |
| @app.route('/transfer_money') | |
| def transfer_money(): | |
| from_account = request.args.get('from_account') | |
| to_account = request.args.get('to_account') | |
| amount = request.args.get('amount') | |
| # 校验 Referer 字段 | |
| referer = request.headers.get('Referer') | |
| if referer and 'example.com' in referer: | |
| # 转账操作 | |
| else: | |
| abort(403) |
结语
因为 H5 的凋谢的网络环境、跨平台个性(H5 利用能够运行在不同的操作系统和浏览器中,因而,对于黑客来说,他们能够抉择攻打不同的平台和浏览器来获取用户的信息和数据)以及 H5 利用的平安防护措施有余,导致 H5 极容易导致攻打,所以在 H5 的防护上,要思考诸多因素。
以上的示例仅供参考,后期的防护和前期的安全监控同样重要,因而,也必须重点关注风控这块。
以上。
业务平安产品:收费试用
