Cloudflare發(fā)布新功能，惡意腳本能夠被預(yù)警

來源： 51CTO

作者：Alpha_h4ck

時間：2021-04-26

近期，Cloudflare發(fā)布了一項新功能，旨在保護(hù)網(wǎng)站免受Magecart和其他基于JavaScript的惡意攻擊。

惡意腳本攻擊就在我們身邊

近期，Cloudflare發(fā)布了一項新功能，旨在保護(hù)網(wǎng)站免受Magecart和其他基于JavaScript的惡意攻擊。

通過在目標(biāo)網(wǎng)站中引入惡意JavaScript腳本并將網(wǎng)站用戶重定向至惡意網(wǎng)站，這是一種很常見的網(wǎng)絡(luò)攻擊手段。目標(biāo)用戶在被重定向至惡意網(wǎng)站后，攻擊者將能夠顯示釣魚表單、利用漏洞實(shí)施攻擊或竊取用戶提交的支付信息等等。

為了在網(wǎng)站中引入惡意腳本，攻擊者往往會將惡意內(nèi)聯(lián)JavaScript添加到網(wǎng)頁中，在其控制下添加外部惡意JavaScript依賴文件，或者在供應(yīng)鏈攻擊中破壞現(xiàn)有的第三方腳本。

當(dāng)JavaScript作為依賴項從外部位置加載時，在許多情況下，它們一般都不會有人去注意，特別是當(dāng)站點(diǎn)的用戶體驗沒有外部變化時，就更不會有人去關(guān)注它們了。

比如說，Magecart攻擊是通過引入惡意JavaScript來進(jìn)行的，它可以竊取用戶在網(wǎng)站上提交的信用卡信息。由于這些數(shù)據(jù)被悄悄地傳輸?shù)竭h(yuǎn)程位置，而用戶的購買行為不會被打斷，用戶不會注意到任何奇怪的東西，因此也不會向網(wǎng)站報告異常發(fā)生。

這樣一來，Magecart攻擊活動

(https://www.bleepingcomputer.com/tag/magecart/page/4/)就可以悄悄地從目標(biāo)用戶那里竊取到信用卡信息，而幾個月甚至幾年之后，攻擊早就已經(jīng)發(fā)生了

(https://www.bleepingcomputer.com/news/security/oxo-breach-involved-magecart-attack-that-targeted-customer-data/)，一切都已經(jīng)來不及了。

Page Shield-保護(hù)網(wǎng)站免受惡意腳本攻擊

就在前幾天，Cloudflare宣布了一個新的安全特性，即Page Shield，這個新功能可以檢測由惡意JavaScript依賴引起的針對終端用戶瀏覽器的攻擊。

Cloudflare表示：“我們的使命是幫助建立一個更好的互聯(lián)網(wǎng)，其中也涉及到終端用戶的瀏覽器。在過去的幾年里，我們發(fā)現(xiàn)針對終端用戶瀏覽器的攻擊活動日趨頻繁。有了Page Shield，我們將幫助應(yīng)用程序檢測并緩解這些難以捉摸的攻擊，以確保用戶敏感信息的安全?！?/p>

隨著Page Shield的發(fā)布，Cloudflare開始使用一個“腳本監(jiān)視器”工具，每當(dāng)受保護(hù)站點(diǎn)上的訪問者在瀏覽器中執(zhí)行JavaScript依賴文件時，該工具都會向Cloudflare報告。

在這些報告的幫助下，Cloudflare將構(gòu)建站點(diǎn)上使用的已知腳本的歷史記錄。當(dāng)檢測到一個新的腳本時，便會提醒網(wǎng)站的管理員，以便他們可以進(jìn)一步調(diào)查。

通過使用腳本監(jiān)視器，Web管理員可以發(fā)現(xiàn)訪問者在其網(wǎng)站上加載的可疑JavaScript文件，并快速調(diào)查這些文件是否具備惡意行為。

但值得一提的是，它并不能保護(hù)訪問者不受在供應(yīng)鏈攻擊中修改的現(xiàn)有JavaScript依賴項的影響。

比如說，一個網(wǎng)站曾經(jīng)加載過一個來自于https://www.example.com/js/harmless.js的JavaScript文件，而攻擊者又曾經(jīng)修改過example.com上的文件，那么腳本監(jiān)視器將無法檢測到這種修改行為，因此惡意代碼將被允許在供應(yīng)鏈攻擊中執(zhí)行。

為此Cloudflare也表示，他們計劃在將來添加更多的功能，以實(shí)現(xiàn)在腳本內(nèi)容發(fā)生更改或包含惡意簽名時發(fā)出警報。