Cloudflare發(fā)布新功能，惡意腳本能夠被預(yù)警

惡意腳本攻擊就在我們身邊

近期，Cloudflare發(fā)布了一項(xiàng)新功能，旨在保護(hù)網(wǎng)站免受Magecart和其他基于JavaScript的惡意攻擊。

通過在目標(biāo)網(wǎng)站中引入惡意JavaScript腳本并將網(wǎng)站用戶重定向至惡意網(wǎng)站，這是一種很常見的網(wǎng)絡(luò)攻擊手段。目標(biāo)用戶在被重定向至惡意網(wǎng)站后，攻擊者將能夠顯示釣魚表單、利用漏洞實(shí)施攻擊或竊取用戶提交的支付信息等等。

為了在網(wǎng)站中引入惡意腳本，攻擊者往往會(huì)將惡意內(nèi)聯(lián)JavaScript添加到網(wǎng)頁(yè)中，在其控制下添加外部惡意JavaScript依賴文件，或者在供應(yīng)鏈攻擊中破壞現(xiàn)有的第三方腳本。

當(dāng)JavaScript作為依賴項(xiàng)從外部位置加載時(shí)，在許多情況下，它們一般都不會(huì)有人去注意，特別是當(dāng)站點(diǎn)的用戶體驗(yàn)沒有外部變化時(shí)，就更不會(huì)有人去關(guān)注它們了。

比如說，Magecart攻擊是通過引入惡意JavaScript來進(jìn)行的，它可以竊取用戶在網(wǎng)站上提交的信用卡信息。由于這些數(shù)據(jù)被悄悄地傳輸?shù)竭h(yuǎn)程位置，而用戶的購(gòu)買行為不會(huì)被打斷，用戶不會(huì)注意到任何奇怪的東西，因此也不會(huì)向網(wǎng)站報(bào)告異常發(fā)生。

這樣一來，Magecart攻擊活動(dòng)

(https://www.bleepingcomputer.com/tag/magecart/page/4/)就可以悄悄地從目標(biāo)用戶那里竊取到信用卡信息，而幾個(gè)月甚至幾年之后，攻擊早就已經(jīng)發(fā)生了

(https://www.bleepingcomputer.com/news/security/oxo-breach-involved-magecart-attack-that-targeted-customer-data/)，一切都已經(jīng)來不及了。

Page Shield-保護(hù)網(wǎng)站免受惡意腳本攻擊

就在前幾天，Cloudflare宣布了一個(gè)新的安全特性，即Page Shield，這個(gè)新功能可以檢測(cè)由惡意JavaScript依賴引起的針對(duì)終端用戶瀏覽器的攻擊。

Cloudflare表示：“我們的使命是幫助建立一個(gè)更好的互聯(lián)網(wǎng)，其中也涉及到終端用戶的瀏覽器。在過去的幾年里，我們發(fā)現(xiàn)針對(duì)終端用戶瀏覽器的攻擊活動(dòng)日趨頻繁。有了Page Shield，我們將幫助應(yīng)用程序檢測(cè)并緩解這些難以捉摸的攻擊，以確保用戶敏感信息的安全?！?/p>

隨著Page Shield的發(fā)布，Cloudflare開始使用一個(gè)“腳本監(jiān)視器”工具，每當(dāng)受保護(hù)站點(diǎn)上的訪問者在瀏覽器中執(zhí)行JavaScript依賴文件時(shí)，該工具都會(huì)向Cloudflare報(bào)告。

在這些報(bào)告的幫助下，Cloudflare將構(gòu)建站點(diǎn)上使用的已知腳本的歷史記錄。當(dāng)檢測(cè)到一個(gè)新的腳本時(shí)，便會(huì)提醒網(wǎng)站的管理員，以便他們可以進(jìn)一步調(diào)查。

通過使用腳本監(jiān)視器，Web管理員可以發(fā)現(xiàn)訪問者在其網(wǎng)站上加載的可疑JavaScript文件，并快速調(diào)查這些文件是否具備惡意行為。

但值得一提的是，它并不能保護(hù)訪問者不受在供應(yīng)鏈攻擊中修改的現(xiàn)有JavaScript依賴項(xiàng)的影響。

比如說，一個(gè)網(wǎng)站曾經(jīng)加載過一個(gè)來自于https://www.example.com/js/harmless.js的JavaScript文件，而攻擊者又曾經(jīng)修改過example.com上的文件，那么腳本監(jiān)視器將無法檢測(cè)到這種修改行為，因此惡意代碼將被允許在供應(yīng)鏈攻擊中執(zhí)行。

為此Cloudflare也表示，他們計(jì)劃在將來添加更多的功能，以實(shí)現(xiàn)在腳本內(nèi)容發(fā)生更改或包含惡意簽名時(shí)發(fā)出警報(bào)。

后話

總的來說，對(duì)于Cloudflare用戶來說，這是一個(gè)令人興奮的工具，可以幫助檢測(cè)您的站點(diǎn)是否被黑客入侵以加載惡意JavaScript文件。

但是，此功能僅適用于商業(yè)和企業(yè)訂閱，而那些處于Pro或Free服務(wù)級(jí)別的用戶將無法從該服務(wù)中獲益。

如果您對(duì)測(cè)試新的頁(yè)面屏蔽功能感興趣，可以注冊(cè)加入Cloudflare的Beta測(cè)試

(https://www.cloudflare.com/waf/page-shield/)。