一、电商类APP业务风险类型二、设备指纹在业务中的应用三、整体框架四、初始化流程分析五、反爬虫mtgsig签名六、设备指纹分析七、设备指纹攻击八、黑产工具特征检测九、总结一、电商类APP业务风险类型电商行业的各个业务场景面临不同的风险种类：客户端漏洞利用、协议逆向、注册小号、商品信息被抓取、推广渠道作弊、营销活动被薅羊毛、商品秒杀等。大多的防御方案是通过端上安全、链路安全、接口和数据传输安全保护，再借助设备安全核验技术、人机识别及时发现各种模拟行为和异操作风险、同时集合风控策略实现多节点防护。二、设备指纹在业务中的应用设备指纹技术是使用更多的信息来完成对终端设备的唯一性识别，在业务中可以有效辨别设备是真实用户还是机器在注册、登录，及时检测出单设备登入多帐号、防止批量注册、登录等操作行为。三、整体框架因为框架流程过于复杂，我将框架分为两个部分，一是初始化，二是设备指纹，这样会更清楚些，如图3-1与3-2所示：

目录:一、背景与应用场景介绍二、企业APP面临的问题三、个人面临的问题四、解决方案五、未来展望与总结一、背景与应用场景介绍1.1、国家对个人隐私保护越来越重视2019年初，中央网信办、工信部、公安部及市场监管总局四部门联合发布了《关于开展App违法违规收集使用个人信息专项治理的公告》，预示着我国在APP隐私层面的治理进入了一个新的高度，期间部分APP采集隐私数据受到了严重处罚。如图1-1所示，每年各部门发布的相关个人信息范围规定文件可以看出个人信息安全和用户权益保护越来越被重视。图1-1各监管部门不断开展APP专项治理工作及核查通报，不合规的APP通知整改或直接下架。1.2、应用场景企业：针对企业开发的移动应用中收集个人信息行为是否存在违法违规进行认定并提供参考，为企业APP运营者自查自纠提供指引，移动应用个人信息安全提供多方位全面体检，APP是否合规等问题的深度检测，及时发现应用存在的潜在风险与不合规之处，帮助企业对APP隐私、过度收集、滥用等行为进行检测，高效、低成本地做APP合规自查形成专业并易理解的检测报告，为移动应用运营者提供专业的合规、安全提供整改依据。个人：现在我们的日常工作生活基本都离不开手机，无论是购物、点外卖、工作还是娱乐，都需要用到各种互联网公司开发的APP，但是其中的用户安全隐私问题，悄然的浮现了出来，很多APP能监听用户内容上传到服务器，然后发放精准广告，没有隐私可言。所以普通人如果要发现自己使用的APP是否有问题就需要借助能检测出问题的工具或平台。二、企业APP面临的问题2.1、来自多方面的风险企业APP的直接开发者：自研企业移动应用第三方业务应用多方协同开发业务应用基于第三方开源应用。第三方SDK引用:推送类SDK地图类SDK认证识别SDK登录分享SDK短信验证SDK即时通讯SDK支付类SDK自动更新SDK直播类SDK音视频多媒体SDK安全键盘SDK埋点统计SDK开发框架SDK游戏SDK······风险分类风险主要为三类：个人隐私、安全漏洞过度收集用户个人信息:无论是第三方SDK，还是是企业自研移动应用，均存在对个人信息过度获取、泄露、滥用等安全

目录:一、为什么要对JS代码进行保护？二、js代码保护前世今生三、js虚拟保护方案与技术原理四、总结一、为什么要对JS代码进行保护？1.1、H5应用场景由于H5的跨平台优势，大大提高了用户体验，无需下载，只需要点开就可以观看，不需要下载后占据内存，简化流程。在传播的效率上也得到了很大的提升，可以通过微信平台的朋友圈、微信群、公众号等渠道得到了最大化的曝光，收获爆火的热度和话题度。但是在一定程度上，H5要实现以上各种应用功能，其实是JavaScript赋予了它更强大的能力。1.2、目前存在的风险JavaScript（简称“JS”）是一种具有函数优先的轻量级，解释型或即时编译型的高级编程语言。虽然它是作为开发Web页面的脚本语言而出名的，但是它也被用到了很多非浏览器环境中，JavaScript基于原型编程、多范式的动态脚本语言，并且支持面向对象、命令式和声明式（如函数式编程）风格。如今各种h5应用场景越来越多也变得越来越复杂，满足了用户的各种需求，但是也存在一些安全方面的问题，比如：电商、金融、小游戏、小程序、招聘网站、旅游都存在登录、注册、支付、交易、信息展示等功能，如果这些业务所依赖的js代码被人轻易的破解、哪么应用将面临的安全问题有，商品信息被恶意爬取、价格、评分、评论信息盗取、原创内容盗取、羊毛党实现商品自动秒杀、批量注册小号领取优惠券，黄牛恶意占座，广告点击欺诈等等。由于js脚本语言特性，代码是公开透明，由于这个原因，至使JS代码是不安全的，任何人都可以直接获取源代码阅读、分析、复制、盗用，甚至篡改。如果不想让js代码被恶意篡改攻击，保障业务的安全。那么使用JS保护是必需的。1.3、如何对JS代码进行保护？目前主流的方式是使JS代码不可读，增加攻击者理解代码功能复杂度，代码变得难也阅读之后，攻击者往往会进行动态跟踪调试，通过逆向还原出原始代码，或分析出程序功能。因此，使JS代码不可分析，增加反调式从防破解角度来看效果不佳。随着浏览器技术的发展，动态调试器的功能越来越完善，把代码变得难也阅读这些保护方法很难起到很好的保护效果。