Cloudflare发表可预防线上侧录的Page Shield服务

提供内容递送网络与网站安全服务的Cloudflare，于本周发表了新的Page Shield服务，该服务主要用来避免网站被植入恶意JavaScript，造成使用者金融卡或机密资讯被侧录，目前该服务仍为测试版，凡是Cloudflare的商用或企业用户皆可登入试用。

资安社群把线上侧录的攻击行动统称为Magecart，这类的骇客集团通常先以恶意程式感染购物网站的第三方相依程式，且是使用者的浏览器会请求的程式，执行时便可存取使用者于网页上所输入的资讯，例如金融卡资讯等，再于黑市销售或执行身份窃盗。

例如英国航空（British Airways，BA）在2018年发生的资料外泄事件，便是骇客窜改了BA官网上的第三方JavaScript函式库，进而盗走了43万名乘客与员工的付款资讯、管理员凭证及个人资料。

Cloudflare表示，光是撰写组织所使用的程式码就够累人了，遑论还要担心第三方业者的程式码，此外，许多软件即服务（SaaS）平台所提供的程式码，可能一次供应数百万个网站，代表只要有一组程式码出错，后果便不堪设想，而Page Shield即可协助客户端解决此事。

Page Shield的首个功能为Script Monitor，它能侦测与纪录网站上所使用的JavaScript相依套件，一旦有新的JavaScript相依套件出现，就会送出提醒，以协助网站辨识该新档案是否合法；未来Page Shield还会新增JavaScript档案的智慧分析功能，比对市场上已知的恶意JavaScript样本，直接针对恶意样本提出警告。