Page Shield現(xiàn)可監(jiān)測(cè)第三方JavaScript代碼發(fā)起的惡意出站連接

Page Shield現(xiàn)可監(jiān)測(cè)第三方JavaScript代碼發(fā)起的惡意出站連接

許多網(wǎng)站使用第三方JavaScript庫(kù)，通過(guò)使用預(yù)建功能來(lái)減少開(kāi)發(fā)時(shí)間。常見(jiàn)示例包括結(jié)賬服務(wù)、分析工具，或?qū)崟r(shí)聊天集成。任何JavaScript庫(kù)都可能將網(wǎng)站訪問(wèn)者的數(shù)據(jù)發(fā)送到未知地點(diǎn)。

如果您管理著一個(gè)網(wǎng)站，曾想知道最終用戶的數(shù)據(jù)可能去了哪里、哪些人可以訪問(wèn)。從今天開(kāi)始，您可以使用Page Shield的Connection Monitor找到答案。

Page Shield是我們的客戶端安全解決方案，旨在檢測(cè)直接影響瀏覽器環(huán)境的惡意行為和破壞行為，例如利用第三方JavaScript庫(kù)中的漏洞。

今天上市的Connection Monitor是Page Shield最新補(bǔ)充的功能，讓您可以看到用戶瀏覽器上由您網(wǎng)站上添加的第三方JavaScript發(fā)起的出站連接。然后，您可以審查這些信息，確保只有合適的第三方收到敏感數(shù)據(jù)。

借助Connection Monitor，Business和Enterprise計(jì)劃的客戶可以獲得對(duì)出站連接的可見(jiàn)性。如果您使用了我們的Page Shield Enterprise附加組件，每發(fā)現(xiàn)一個(gè)潛在的惡意連接，您都會(huì)收到通知。

使用Connection Monitor覆蓋更多攻擊面

Connection Monitor擴(kuò)大了捕捉用戶瀏覽器中可能發(fā)生的惡意行為的機(jī)會(huì)網(wǎng)，與此前Page Shield的核心功能——Script Monitor所提供的可見(jiàn)性相輔相成。

Script Monitor專(zhuān)注于分析JavaScript代碼，以發(fā)現(xiàn)惡意信號(hào)，而Connection Monitor則旨在研究數(shù)據(jù)去向。這兩項(xiàng)功能完美結(jié)合，相輔相成。

事實(shí)上，在Web應(yīng)用程序環(huán)境中，客戶端破壞經(jīng)常導(dǎo)致數(shù)據(jù)外泄。最有名的示例是Magecart式攻擊惡意行為者試圖直接從應(yīng)用程序的結(jié)賬流程（通常是在電子商務(wù)網(wǎng)站上）中泄漏信用卡數(shù)據(jù)而不改變應(yīng)用程序的行為。

由于這些攻擊利用的是不由您直接控制的JavaScript（例如嵌入式小部件），因此通常很難檢測(cè)到，而且操作起來(lái)對(duì)用戶體驗(yàn)沒(méi)有任何明顯的影響。

補(bǔ)充內(nèi)容安全策略

Page Shield使用內(nèi)容安全策略（CSP）來(lái)接收瀏覽器的數(shù)據(jù)，但通過(guò)關(guān)注核心問(wèn)題——檢測(cè)惡意行為（CSP開(kāi)箱時(shí)沒(méi)有的功能）進(jìn)行補(bǔ)充。

內(nèi)容安全策略使用廣泛，讓您（作為網(wǎng)站管理員）告訴瀏覽器可以加載哪些內(nèi)容，以及從哪里加載。這在原則上是有用的，但在實(shí)踐中，對(duì)于大型應(yīng)用程序來(lái)說(shuō)，CSP很難維護(hù)，而且最終往往使用太廣泛，導(dǎo)致效率低下。更重要的是，CSP沒(méi)有提供內(nèi)置機(jī)制來(lái)檢測(cè)惡意行為。這就是Page Shield的作用。

此前，借助Script Monitor，Page Shield通過(guò)只關(guān)注JavaScript文件，運(yùn)行我們的JavaScript代碼分類(lèi)器等工具來(lái)檢測(cè)惡意行為。從今天開(kāi)始，借助Connection Monitor，我們還可以對(duì)連接的URL端點(diǎn)進(jìn)行威脅情報(bào)饋送查詢，讓我們能夠快速發(fā)現(xiàn)潛在的可疑數(shù)據(jù)泄漏。

Connection Monitor：底層實(shí)現(xiàn)

Connection Monitor使用內(nèi)容安全策略（CSP）的connect-src指令接收來(lái)自瀏覽器的出站連接信息。

然后將這些信息存儲(chǔ)起來(lái)以便訪問(wèn)，并通過(guò)連接狀態(tài)、連接頁(yè)面來(lái)源、域名信息以及威脅饋送信息（如果能訪問(wèn)我們的Enterprise附加組件）等額外洞察力進(jìn)行完善。

要使用Connection Monitor，您需要通過(guò)Cloudflare代理您的應(yīng)用程序。開(kāi)啟時(shí)，它將僅根據(jù)抽樣的HTML頁(yè)面加載比例插入以下HTTP響應(yīng)標(biāo)頭，實(shí)施用于接收數(shù)據(jù)的內(nèi)容安全策略：

該HTTP響應(yīng)標(biāo)頭要求瀏覽器將有關(guān)腳本（script-src）和連接（connect-src）的信息發(fā)送到指定端點(diǎn)。默認(rèn)情況下，端點(diǎn)的主機(jī)名為csp-reporting.cloudflare.com，但如果使用我們的Enterprise附加組件，您可將其修改，與您網(wǎng)站的主機(jī)名相同。

使用上述CSP，瀏覽器將報(bào)告由以下頁(yè)面發(fā)起的任何連接：

·<a>ping、

·fetch（）、

·XMLHttpRequest、

·WebSocket,

·EventSource和

·Navigator.sendBeacon（）

連接報(bào)告示例如下：

使用上面這種報(bào)告，我們可以創(chuàng)建一個(gè)出站連接URL清單及其發(fā)起頁(yè)面。然后可通過(guò)儀表板使用這些數(shù)據(jù)，并包括以下信息進(jìn)行完善：

·連接狀態(tài)：如果最近見(jiàn)到過(guò)該連接，則為活動(dòng)狀態(tài)

·時(shí)間戳：第一次見(jiàn)到和最后一次見(jiàn)到的時(shí)間

·元數(shù)據(jù)：WHOIS信息、SSL證書(shū)信息（如有）、域名注冊(cè)信息

·惡意信號(hào)：威脅饋送域名和URL查詢

URL饋送查詢只有在存儲(chǔ)了完整的連接路徑時(shí)才可用。

隱私說(shuō)明

在Cloudflare，我們希望同時(shí)確保直接客戶和終端客戶的隱私性。因此，默認(rèn)情況下，Connection Monitor只存儲(chǔ)和收集連接URL的方案和主機(jī)部分，例如，如果瀏覽器向以下端點(diǎn)發(fā)送數(shù)據(jù)：

https://connection.example.com/session/abc

Connection Monitor將只存儲(chǔ)https://connection.example.com，舍棄路徑/session/abc。這確保我們最大程度降低存儲(chǔ)會(huì)話ID或完整URL中可能發(fā)現(xiàn)的其他敏感數(shù)據(jù)的風(fēng)險(xiǎn)。

不存儲(chǔ)路徑則確實(shí)意味著，在某些特定情況下，我們無(wú)法從我們的威脅情報(bào)中進(jìn)行完整的URL饋送查詢。為此，如果您知道沒(méi)有在連接路徑中插入敏感數(shù)據(jù)，您可以輕松地從儀表板上開(kāi)啟路徑存儲(chǔ)。按預(yù)期計(jì)劃，將繼續(xù)支持域名查詢。今后還將進(jìn)一步支持存儲(chǔ)查詢字符串。

下一步

Script Monitor和Connection Monitor只是CSP提供的眾多指令中的，我們計(jì)劃在Page Shield中支持的兩項(xiàng)功能。下一步，我們已經(jīng)在開(kāi)發(fā)一些其他功能，包括直接從儀表板建議和實(shí)施積極和消極的策略。

Connection Monitor額外提供對(duì)應(yīng)用程序行為的可見(jiàn)性，我們?yōu)榇藗涓信d奮，并期待其下一步發(fā)展。