Przeglądając Internet, jesteśmy narażeni na wiele luk, które mogą narazić nasze dane na ataki. Ale z czasem technologia ewoluowała, aby chronić nas przed tymi atakami. Ale jednocześnie atakujący i ciągle próbują znaleźć luki w zabezpieczeniach i włamać się do naszych systemów. Luka, o której dzisiaj mówimy, tkwi w CSS strony internetowej i nazywa się CSS Exfil .

Nowoczesne^(Modern) strony internetowe w dużej mierze opierają się na CSS do stylizacji i nie ma mowy, abyś mógł sobie wyobrazić stronę bez CSS . CSS Exfil może być używany do kradzieży docelowych danych za pomocą kaskadowych arkuszy stylów^{(Cascading Style Sheets)} ( CSS ) jako wektora ataku. Naraża Twoje dane, takie jak nazwa użytkownika, hasła, e-maile na ryzyko. Istnieje wiele scenariuszy ataków, które opierają się na CSS Exfil . Obejmują one wstrzykiwanie kodu, śledzenie sieci, nielegalne reklamy, umieszczanie złośliwego kodu w DOM i kilka innych.

Ochrona przed tą luką jest konieczna, ale większość nowoczesnych przeglądarek, z których korzystamy, nie jest wyposażona w środki ochrony przed tą luką.

Jak sprawdzić, czy Twoja przeglądarka jest podatna na ataki CSS Exfil

Dostępny jest wspaniały tester podatności CSS Exfil ^{(CSS Exfil Vulnerability Tester)} ,^{(available here)} który może działać w dowolnej przeglądarce i potwierdzać stan ochrony. Narzędzie testuje przeglądarkę pod kątem tego samego pochodzenia i międzydomenowego kodu CSS^(CSS) . Strona będzie próbowała naśladować atak za pośrednictwem CSS Exfil i przyniesie wyniki, które zakończyły się sukcesem.

Rozszerzenie CSS Exfil Protection^{(CSS Exfil Protection Extension)} dla Chrome i Firefox

Jeśli Twoja przeglądarka okaże się podatna na ataki, powinieneś rozważyć dodanie do niej niewielkich zabezpieczeń. Dostępne jest rozszerzenie dla przeglądarki Chrome^(Chrome) i Firefox , które wykonuje tę pracę za Ciebie. Rozszerzenie nazywa się CSS Exfil Protection i można je również pobrać z Chrome Web Store i Firefox Store .

Po zainstalowaniu i włączeniu możesz ponownie przejść do testera luk w zabezpieczeniach, aby sprawdzić, czy Twoja przeglądarka jest chroniona, czy nie. Obrazy ataku nie powinny się wczytywać, a wszystkie testy powinny dać wynik pozytywny.

Ponadto będziesz mógł zauważyć licznik z ikoną rozszerzenia obok paska adresu. Liczba wskazuje, że ta strona próbowała wykorzystać lukę w zabezpieczeniach i została zablokowana. Jeśli więc zauważysz tę liczbę w innych witrynach, z których korzystasz, musisz zachować ostrożność w przypadku tych witryn.

Rozszerzenie CSS Exfil Protection^{(CSS Exfil Protection)} działa poprzez wstępne przetwarzanie CSS strony internetowej. Skanuje cały CSS i szuka wszelkich zdalnych wywołań wewnątrz wartości atrybutów CSS . Jeśli takie zdalne wywołanie istnieje, neutralizuje je i oczyszcza CSS . A liczba to prawdopodobnie liczba takich zdalnych wywołań znalezionych w CSS tej strony.

CSS Exfil może tworzyć całkiem sporo luk w zabezpieczeniach. Ochrona przed nimi jest koniecznością. To rozszerzenie to tylko jeden krok we właściwym kierunku i mamy nadzieję, że w przyszłości przeglądarki będą oferować większe bezpieczeństwo. CSS Exfil Protection jest oprogramowaniem typu open source i można go pobrać bezpłatnie. Możesz sprawdzić jego stronę GitHub lub bezpośrednio pobrać ją z magazynu rozszerzeń przeglądarki internetowej.

CSS Exfil Protection browser extension offers CSS Exfil vulnerability attack

As wе are browsing the internet, we are exposed to a lot of vulnerabilities that might expose our data to attackers. But with time, the technology has evolved in order to protect υs againѕt these attacks. But at thе same time, the attackers and constаntly trying to find vulnerabilities and hack into our systems. The vulnerability thаt we are talking about today lies in CSS of a webpage and it is called CSS Exfil.

Modern websites rely heavily on CSS for styling and there is no way you can imagine a website without CSS. CSS Exfil can be used to steal targeted data using Cascading Style Sheets (CSS) as an attack vector. It puts your information such as username, passwords, emails at risk. There are a variety of attack scenarios that rely on CSS Exfil. They include code injection, web tracking, illegitimate advertisements, malicious code placement in DOM and a few more.

Protection against this vulnerability is must but most of the modern browsers that we use do not come with protection measures against this vulnerability.

How to check if your browser is vulnerable to CSS Exfil attacks

There is a wonderful CSS Exfil Vulnerability Tester available here that can work on any browser and confirm the protection status. The tool tests a browser for the same origin and cross-domain CSS. The webpage would try to mimic the attack via CSS Exfil and will produce the results it was successful.

CSS Exfil Protection Extension for Chrome and Firefox

If your browser turns out to be vulnerable, then you should consider adding a little security to it. There is an extension available for both Chrome and Firefox that does this job for you. The extension is called CSS Exfil Protection and is available to download from Chrome Web Store and Firefox Store as well.

Once installed and enabled, you can head over to the vulnerability tester again to check if your browser is protected or not. The attack images should not load, and all the tests should produce a positive result.

Also, you will be able to notice a count with the extension’s icon beside the address bar. The count is the indication that this webpage tried to exploit a vulnerability and it has been blocked. So, if you notice this count on other websites that you use, you need to be careful around those websites.

CSS Exfil Protection extension works by pre-processing the CSS of a webpage. It scans the entire CSS and looks for any remote calls inside CSS attribute values. If any such remote call exists, it neutralizes it and makes the CSS clean. And the count is probably the number of such remote calls it found in the CSS of this webpage.

CSS Exfil can create quite a lot of vulnerabilities. Having protection against them is a must. This extension is just one step in the right direction, and we hope to see more security offered by the browsers natively in the future. CSS Exfil Protection is open source and free to download. You can check out its GitHub page or directly download it from the extension store of your web browser.

Related posts

• Jak ręcznie włączyć Retpoline w systemie Windows 10?

• Jak zgłosić błąd, problem lub lukę w zabezpieczeniach firmie Microsoft

• Ataki, zapobieganie i wykrywanie luk w zabezpieczeniach DLL Hijacking

• Skaner domowy Bitdefender: Skanuj swoją sieć domową w poszukiwaniu luk

• SecPod Saner Personal: bezpłatny zaawansowany skaner luk w zabezpieczeniach

• Co to jest funkcja Tamper Protection w systemie Windows 11/10?

• Adres funkcji spowodował błąd ochrony - błąd drukowania

• Napraw zadania w tle ochrony systemu SrTasks.exe Wysokie użycie dysku

• Co to jest spear phishing? Wyjaśnienie, przykłady, ochrona

• Bezpieczeństwo dla każdego — Przejrzyj Panda Gold Protection —

• Bezpieczeństwo dla wszystkich — przejrzyj McAfee Total Protection

• Włącz lub wyłącz ochronę przed manipulacją za pomocą usługi Intune, REGEDIT, interfejsu użytkownika

• Lockwise, Monitor, Facebook Container, Ochrona przed śledzeniem w Firefoksie

• Co to jest zapora i ochrona sieci w systemie Windows 10 i jak ukryć tę sekcję

• Co to jest Program Ochrony zaawansowanej Google?

• Ataki ransomware, definicja, przykłady, ochrona, usuwanie

• Jak skonfigurować Ochronę folderów dla konta OneDrive

• Jak naprawić błąd „Ochrona zasobów systemu Windows nie może wykonać żądanej operacji”?

• Włącz i skonfiguruj ochronę przed ransomware w Windows Defender

• Włącz ochronę potencjalnie niechcianych programów: GPO, Regedit, PowerShell