Phenquestions
Naršydami internete susiduriame su daugybe pažeidžiamumų, kurie gali atskleisti mūsų duomenis užpuolikams. Tačiau laikui bėgant technologija tobulėjo, kad apsaugotų mus nuo šių išpuolių. Tačiau tuo pačiu metu užpuolikai nuolat bando rasti pažeidžiamumą ir įsilaužti į mūsų sistemas. Pažeidžiamumas, apie kurį šiandien kalbame, yra tinklalapio CSS ir jis vadinamas CSS Exfil.
Šiuolaikinės svetainės stilingai remiasi CSS ir niekaip negalite įsivaizduoti svetainės be CSS. „CSS Exfil“ gali būti naudojamas tiksliniams duomenims pavogti naudojant „Cascading Style Sheets“ (CSS) kaip atakos vektorių. Tai kelia pavojų jūsų informacijai, tokiai kaip vartotojo vardas, slaptažodžiai, el. Laiškai. Yra įvairių atakų scenarijų, kurie remiasi CSS Exfil. Jie apima kodo įvedimą, žiniatinklio stebėjimą, neteisėtą reklamą, kenkėjiško kodo talpinimą DOM ir dar kelis.
Apsauga nuo šio pažeidžiamumo yra būtina, tačiau daugumai šiuolaikinių naršyklių, kurias naudojame, nėra apsaugos priemonių nuo šio pažeidžiamumo.
Kaip patikrinti, ar jūsų naršyklė yra pažeidžiama CSS Exfil atakų
Čia yra nuostabus CSS „Exfil“ pažeidžiamumo testeris, galintis veikti bet kurioje naršyklėje ir patvirtinti apsaugos būseną. Įrankis tikrina, ar naršyklėje nėra tos pačios kilmės ir kelių domenų CSS. Tinklalapis bandys imituoti ataką per CSS Exfil ir pateiks sėkmingus rezultatus.
CSS „Exfil“ apsaugos plėtinys, skirtas „Chrome“ ir „Firefox“
Jei jūsų naršyklė pasirodo pažeidžiama, turėtumėte apsvarstyti galimybę jai šiek tiek apsaugoti. Tiek „Chrome“, tiek „Firefox“ yra plėtinys, kuris atlieka šį darbą už jus. Pratęsimas vadinamas CSS „Exfil Protection“ ir ją galima atsisiųsti iš „Chrome“ internetinė parduotuvė ir „Firefox“ parduotuvė taip pat.
Įdiegę ir įgalinę, galite dar kartą apsilankyti pažeidžiamumo tikrintuve ir patikrinti, ar jūsų naršyklė yra apsaugota. Atakos vaizdai neturėtų būti įkeliami, o visi bandymai turėtų būti teigiami.
Taip pat galėsite pastebėti skaičių su plėtinio piktograma šalia adreso juostos. Skaičius rodo, kad šis tinklalapis bandė išnaudoti pažeidžiamumą ir jis buvo užblokuotas. Taigi, jei pastebite šį skaičių kitose naudojamose svetainėse, turite būti atsargūs tose svetainėse.
CSS „Exfil Protection“ plėtinys veikia iš anksto apdorojant tinklalapio CSS. Jis nuskaito visą CSS ir ieško nuotolinių skambučių, esančių CSS atributų reikšmėse. Jei yra toks nuotolinis skambutis, jis jį neutralizuoja ir CSS išvalo. Skaičius tikriausiai yra tokių nuotolinių skambučių, kuriuos jis rado šio tinklalapio CSS, skaičius.
CSS Exfil gali sukurti gana daug pažeidžiamumų. Apsauga nuo jų yra būtina. Šis plėtinys yra tik vienas žingsnis teisinga linkme, ir mes tikimės, kad ateityje pamatysime daugiau naršyklių siūlomo saugumo. „CSS Exfil Protection“ yra atviras šaltinis, kurį galima nemokamai atsisiųsti. Galite patikrinti jo „GitHub“ puslapį arba tiesiogiai atsisiųsti jį iš savo žiniatinklio naršyklės plėtinių parduotuvės.
