Page Shield現(xiàn)可監(jiān)測第三方JavaScript代碼發(fā)起的惡意出站連接

Page Shield現(xiàn)可監(jiān)測第三方JavaScript代碼發(fā)起的惡意出站連接

許多網(wǎng)站使用第三方JavaScript庫，通過使用預(yù)建功能來減少開發(fā)時間。常見示例包括結(jié)賬服務(wù)、分析工具，或?qū)崟r聊天集成。任何JavaScript庫都可能將網(wǎng)站訪問者的數(shù)據(jù)發(fā)送到未知地點。

如果您管理著一個網(wǎng)站，曾想知道最終用戶的數(shù)據(jù)可能去了哪里、哪些人可以訪問。從今天開始，您可以使用Page Shield的Connection Monitor找到答案。

Page Shield是我們的客戶端安全解決方案，旨在檢測直接影響瀏覽器環(huán)境的惡意行為和破壞行為，例如利用第三方JavaScript庫中的漏洞。

今天上市的Connection Monitor是Page Shield最新補充的功能，讓您可以看到用戶瀏覽器上由您網(wǎng)站上添加的第三方JavaScript發(fā)起的出站連接。然后，您可以審查這些信息，確保只有合適的第三方收到敏感數(shù)據(jù)。

借助Connection Monitor，Business和Enterprise計劃的客戶可以獲得對出站連接的可見性。如果您使用了我們的Page Shield Enterprise附加組件，每發(fā)現(xiàn)一個潛在的惡意連接，您都會收到通知。

使用Connection Monitor覆蓋更多攻擊面

Connection Monitor擴大了捕捉用戶瀏覽器中可能發(fā)生的惡意行為的機會網(wǎng)，與此前Page Shield的核心功能——Script Monitor所提供的可見性相輔相成。

Script Monitor專注于分析JavaScript代碼，以發(fā)現(xiàn)惡意信號，而Connection Monitor則旨在研究數(shù)據(jù)去向。這兩項功能完美結(jié)合，相輔相成。

事實上，在Web應(yīng)用程序環(huán)境中，客戶端破壞經(jīng)常導致數(shù)據(jù)外泄。最有名的示例是Magecart式攻擊惡意行為者試圖直接從應(yīng)用程序的結(jié)賬流程（通常是在電子商務(wù)網(wǎng)站上）中泄漏信用卡數(shù)據(jù)而不改變應(yīng)用程序的行為。

由于這些攻擊利用的是不由您直接控制的JavaScript（例如嵌入式小部件），因此通常很難檢測到，而且操作起來對用戶體驗沒有任何明顯的影響。

補充內(nèi)容安全策略

Page Shield使用內(nèi)容安全策略（CSP）來接收瀏覽器的數(shù)據(jù)，但通過關(guān)注核心問題——檢測惡意行為（CSP開箱時沒有的功能）進行補充。

內(nèi)容安全策略使用廣泛，讓您（作為網(wǎng)站管理員）告訴瀏覽器可以加載哪些內(nèi)容，以及從哪里加載。這在原則上是有用的，但在實踐中，對于大型應(yīng)用程序來說，CSP很難維護，而且最終往往使用太廣泛，導致效率低下。更重要的是，CSP沒有提供內(nèi)置機制來檢測惡意行為。這就是Page Shield的作用。

此前，借助Script Monitor，Page Shield通過只關(guān)注JavaScript文件，運行我們的JavaScript代碼分類器等工具來檢測惡意行為。從今天開始，借助Connection Monitor，我們還可以對連接的URL端點進行威脅情報饋送查詢，讓我們能夠快速發(fā)現(xiàn)潛在的可疑數(shù)據(jù)泄漏。

Connection Monitor：底層實現(xiàn)

Connection Monitor使用內(nèi)容安全策略（CSP）的connect-src指令接收來自瀏覽器的出站連接信息。

然后將這些信息存儲起來以便訪問，并通過連接狀態(tài)、連接頁面來源、域名信息以及威脅饋送信息（如果能訪問我們的Enterprise附加組件）等額外洞察力進行完善。

要使用Connection Monitor，您需要通過Cloudflare代理您的應(yīng)用程序。開啟時，它將僅根據(jù)抽樣的HTML頁面加載比例插入以下HTTP響應(yīng)標頭，實施用于接收數(shù)據(jù)的內(nèi)容安全策略：

該HTTP響應(yīng)標頭要求瀏覽器將有關(guān)腳本（script-src）和連接（connect-src）的信息發(fā)送到指定端點。默認情況下，端點的主機名為csp-reporting.cloudflare.com，但如果使用我們的Enterprise附加組件，您可將其修改，與您網(wǎng)站的主機名相同。

使用上述CSP，瀏覽器將報告由以下頁面發(fā)起的任何連接：

·<a>ping、

·fetch（）、

·XMLHttpRequest、

·WebSocket,

·EventSource和

·Navigator.sendBeacon（）

連接報告示例如下：

使用上面這種報告，我們可以創(chuàng)建一個出站連接URL清單及其發(fā)起頁面。然后可通過儀表板使用這些數(shù)據(jù)，并包括以下信息進行完善：

·連接狀態(tài)：如果最近見到過該連接，則為活動狀態(tài)

·時間戳：第一次見到和最后一次見到的時間

·元數(shù)據(jù)：WHOIS信息、SSL證書信息（如有）、域名注冊信息

·惡意信號：威脅饋送域名和URL查詢

URL饋送查詢只有在存儲了完整的連接路徑時才可用。

隱私說明

在Cloudflare，我們希望同時確保直接客戶和終端客戶的隱私性。因此，默認情況下，Connection Monitor只存儲和收集連接URL的方案和主機部分，例如，如果瀏覽器向以下端點發(fā)送數(shù)據(jù)：

https://connection.example.com/session/abc

Connection Monitor將只存儲https://connection.example.com，舍棄路徑/session/abc。這確保我們最大程度降低存儲會話ID或完整URL中可能發(fā)現(xiàn)的其他敏感數(shù)據(jù)的風險。

不存儲路徑則確實意味著，在某些特定情況下，我們無法從我們的威脅情報中進行完整的URL饋送查詢。為此，如果您知道沒有在連接路徑中插入敏感數(shù)據(jù)，您可以輕松地從儀表板上開啟路徑存儲。按預(yù)期計劃，將繼續(xù)支持域名查詢。今后還將進一步支持存儲查詢字符串。

下一步

Script Monitor和Connection Monitor只是CSP提供的眾多指令中的，我們計劃在Page Shield中支持的兩項功能。下一步，我們已經(jīng)在開發(fā)一些其他功能，包括直接從儀表板建議和實施積極和消極的策略。

Connection Monitor額外提供對應(yīng)用程序行為的可見性，我們?yōu)榇藗涓信d奮，并期待其下一步發(fā)展。