Cloudflare發表可預防線上側錄的Page Shield服務

提供內容遞送網路與網站安全服務的Cloudflare，於本周發表了新的Page Shield服務，該服務主要用來避免網站被植入惡意JavaScript，造成使用者金融卡或機密資訊被側錄，目前該服務仍為測試版，凡是Cloudflare的商用或企業用戶皆可登入試用。

資安社群把線上側錄的攻擊行動統稱為Magecart，這類的駭客集團通常先以惡意程式感染購物網站的第三方相依程式，且是使用者的瀏覽器會請求的程式，執行時便可存取使用者於網頁上所輸入的資訊，例如金融卡資訊等，再於黑市銷售或執行身分竊盜。

例如英國航空（British Airways，BA）在2018年發生的資料外洩事件，便是駭客竄改了BA官網上的第三方JavaScript函式庫，進而盜走了43萬名乘客與員工的付款資訊、管理員憑證及個人資料。

Cloudflare表示，光是撰寫組織所使用的程式碼就夠累人了，遑論還要擔心第三方業者的程式碼，此外，許多軟體即服務（SaaS）平台所提供的程式碼，可能一次供應數百萬個網站，代表只要有一組程式碼出錯，後果便不堪設想，而Page Shield即可協助客戶端解決此事。

Page Shield的首個功能為Script Monitor，它能偵測與紀錄網站上所使用的JavaScript相依套件，一旦有新的JavaScript相依套件出現，就會送出提醒，以協助網站辨識該新檔案是否合法；未來Page Shield還會新增JavaScript檔案的智慧分析功能，比對市場上已知的惡意JavaScript樣本，直接針對惡意樣本提出警告。