Rozszerzenie przeglądarki CSS Exfil Protection oferuje atak podatności CSS Exfil

Przeglądając Internet, jesteśmy narażeni na wiele luk, które mogą narazić nasze dane na ataki. Ale z czasem technologia ewoluowała, aby chronić nas przed tymi atakami. Ale jednocześnie atakujący i ciągle próbują znaleźć luki w zabezpieczeniach i włamać się do naszych systemów. Luka, o której dzisiaj mówimy, tkwi w CSS strony internetowej i nazywa się CSS Exfil .

Nowoczesne(Modern) strony internetowe w dużej mierze opierają się na CSS do stylizacji i nie ma mowy, abyś mógł sobie wyobrazić stronę bez CSS . CSS Exfil może być używany do kradzieży docelowych danych za pomocą kaskadowych arkuszy stylów(Cascading Style Sheets) ( CSS ) jako wektora ataku. Naraża Twoje dane, takie jak nazwa użytkownika, hasła, e-maile na ryzyko. Istnieje wiele scenariuszy ataków, które opierają się na CSS Exfil . Obejmują one wstrzykiwanie kodu, śledzenie sieci, nielegalne reklamy, umieszczanie złośliwego kodu w DOM i kilka innych.

Ochrona przed tą luką jest konieczna, ale większość nowoczesnych przeglądarek, z których korzystamy, nie jest wyposażona w środki ochrony przed tą luką.

Jak sprawdzić, czy Twoja przeglądarka jest podatna na ataki CSS Exfil

Dostępny jest wspaniały tester podatności CSS Exfil (CSS Exfil Vulnerability Tester) ,(available here) który może działać w dowolnej przeglądarce i potwierdzać stan ochrony. Narzędzie testuje przeglądarkę pod kątem tego samego pochodzenia i międzydomenowego kodu CSS(CSS) . Strona będzie próbowała naśladować atak za pośrednictwem CSS Exfil i przyniesie wyniki, które zakończyły się sukcesem.

Rozszerzenie CSS Exfil Protection(CSS Exfil Protection Extension) dla Chrome i Firefox

Jeśli Twoja przeglądarka okaże się podatna na ataki, powinieneś rozważyć dodanie do niej niewielkich zabezpieczeń. Dostępne jest rozszerzenie dla przeglądarki Chrome(Chrome) i Firefox , które wykonuje tę pracę za Ciebie. Rozszerzenie nazywa się CSS Exfil Protection i można je również pobrać z Chrome Web Store i Firefox Store .

Po zainstalowaniu i włączeniu możesz ponownie przejść do testera luk w zabezpieczeniach, aby sprawdzić, czy Twoja przeglądarka jest chroniona, czy nie. Obrazy ataku nie powinny się wczytywać, a wszystkie testy powinny dać wynik pozytywny.

Ponadto będziesz mógł zauważyć licznik z ikoną rozszerzenia obok paska adresu. Liczba wskazuje, że ta strona próbowała wykorzystać lukę w zabezpieczeniach i została zablokowana. Jeśli więc zauważysz tę liczbę w innych witrynach, z których korzystasz, musisz zachować ostrożność w przypadku tych witryn.

Ochrona Exfil CSS

Rozszerzenie CSS Exfil Protection(CSS Exfil Protection) działa poprzez wstępne przetwarzanie CSS strony internetowej. Skanuje cały CSS i szuka wszelkich zdalnych wywołań wewnątrz wartości atrybutów CSS . Jeśli takie zdalne wywołanie istnieje, neutralizuje je i oczyszcza CSS . A liczba to prawdopodobnie liczba takich zdalnych wywołań znalezionych w CSS tej strony.

CSS Exfil może tworzyć całkiem sporo luk w zabezpieczeniach. Ochrona przed nimi jest koniecznością. To rozszerzenie to tylko jeden krok we właściwym kierunku i mamy nadzieję, że w przyszłości przeglądarki będą oferować większe bezpieczeństwo. CSS Exfil Protection jest oprogramowaniem typu open source i można go pobrać bezpłatnie. Możesz sprawdzić jego stronę GitHub lub bezpośrednio pobrać ją z magazynu rozszerzeń przeglądarki internetowej.



About the author

Jestem inżynierem Windows, ios, pdf, błędów, gadżetów z ponad 10-letnim doświadczeniem. Pracowałem nad wieloma wysokiej jakości aplikacjami i frameworkami Windows, takimi jak OneDrive dla Firm, Office 365 i nie tylko. Moja ostatnia praca obejmowała opracowanie czytnika PDF dla platformy Windows i pracę nad tym, aby komunikaty o błędach były bardziej zrozumiałe dla użytkowników. Dodatkowo od kilku lat jestem zaangażowany w rozwój platformy ios i dobrze znam zarówno jej funkcje, jak i dziwactwa.



Related posts