Η επέκταση προγράμματος περιήγησης CSS Exfil Protection προσφέρει επίθεση ευπάθειας CSS Exfil

Καθώς περιηγούμαστε στο Διαδίκτυο, είμαστε εκτεθειμένοι σε πολλά τρωτά σημεία που μπορεί να εκθέσουν τα δεδομένα μας σε επιτιθέμενους. Αλλά με τον καιρό, η τεχνολογία έχει εξελιχθεί για να μας προστατεύει από αυτές τις επιθέσεις. Αλλά την ίδια στιγμή, οι εισβολείς και συνεχώς προσπαθούν να βρουν τρωτά σημεία και να χακάρουν τα συστήματά μας. Η ευπάθεια για την οποία μιλάμε σήμερα βρίσκεται στο CSS μιας ιστοσελίδας και ονομάζεται CSS Exfil .

Οι σύγχρονοι(Modern) ιστότοποι βασίζονται σε μεγάλο βαθμό στο CSS για το στυλ και δεν υπάρχει περίπτωση να φανταστείτε έναν ιστότοπο χωρίς CSS . Το CSS Exfil(CSS Exfil) μπορεί να χρησιμοποιηθεί για την κλοπή στοχευμένων δεδομένων χρησιμοποιώντας Cascading Style Sheets ( CSS ) ως διάνυσμα επίθεσης. Θέτει σε κίνδυνο τις πληροφορίες σας, όπως όνομα χρήστη, κωδικούς πρόσβασης, email. Υπάρχουν διάφορα σενάρια επίθεσης που βασίζονται στο CSS Exfil . Περιλαμβάνουν ένεση κώδικα, παρακολούθηση ιστού, παράνομες διαφημίσεις, κακόβουλη τοποθέτηση κώδικα στο DOM και μερικά ακόμη.

Η προστασία από αυτήν την ευπάθεια είναι απαραίτητη, αλλά τα περισσότερα από τα σύγχρονα προγράμματα περιήγησης που χρησιμοποιούμε δεν διαθέτουν μέτρα προστασίας έναντι αυτής της ευπάθειας.

Πώς να ελέγξετε εάν το πρόγραμμα περιήγησής σας είναι ευάλωτο σε επιθέσεις CSS Exfil

Υπάρχει ένα υπέροχο CSS Exfil Vulnerability Tester διαθέσιμο εδώ(available here) που μπορεί να λειτουργήσει σε οποιοδήποτε πρόγραμμα περιήγησης και να επιβεβαιώσει την κατάσταση προστασίας. Το εργαλείο δοκιμάζει ένα πρόγραμμα περιήγησης για την ίδια προέλευση και CSS(CSS) μεταξύ τομέων . Η ιστοσελίδα θα προσπαθήσει να μιμηθεί την επίθεση μέσω του CSS Exfil και θα παράγει τα αποτελέσματα που ήταν επιτυχής.

Επέκταση προστασίας CSS Exfil(CSS Exfil Protection Extension) για Chrome και Firefox

Εάν το πρόγραμμα περιήγησής σας αποδειχθεί ευάλωτο, τότε θα πρέπει να σκεφτείτε να προσθέσετε λίγη ασφάλεια σε αυτό. Υπάρχει μια επέκταση διαθέσιμη τόσο για το Chrome όσο και για τον Firefox που κάνει αυτή τη δουλειά για εσάς. Η επέκταση ονομάζεται CSS Exfil Protection και είναι διαθέσιμη για λήψη από το Chrome Web Store και το Firefox Store επίσης.

Αφού εγκατασταθεί και ενεργοποιηθεί, μπορείτε να μεταβείτε ξανά στον ελεγκτή ευπάθειας για να ελέγξετε εάν το πρόγραμμα περιήγησής σας είναι προστατευμένο ή όχι. Οι εικόνες επίθεσης δεν πρέπει να φορτώνονται και όλες οι δοκιμές θα πρέπει να έχουν θετικό αποτέλεσμα.

Επίσης, θα μπορείτε να παρατηρήσετε μια καταμέτρηση με το εικονίδιο της επέκτασης δίπλα στη γραμμή διευθύνσεων. Η καταμέτρηση είναι η ένδειξη ότι αυτή η ιστοσελίδα προσπάθησε να εκμεταλλευτεί μια ευπάθεια και έχει αποκλειστεί. Επομένως, εάν παρατηρήσετε αυτό το πλήθος σε άλλους ιστότοπους που χρησιμοποιείτε, πρέπει να είστε προσεκτικοί γύρω από αυτούς τους ιστότοπους.

CSS Exfil Protection

Η επέκταση CSS Exfil Protection(CSS Exfil Protection) λειτουργεί με την προεπεξεργασία του CSS μιας ιστοσελίδας. Σαρώνει ολόκληρο το CSS και αναζητά τυχόν απομακρυσμένες κλήσεις εντός των τιμών των χαρακτηριστικών CSS . Εάν υπάρχει κάποια τέτοια απομακρυσμένη κλήση, την εξουδετερώνει και κάνει το CSS καθαρό. Και ο αριθμός είναι πιθανώς ο αριθμός τέτοιων απομακρυσμένων κλήσεων που βρέθηκε στο CSS αυτής της ιστοσελίδας.

Το CSS Exfil(CSS Exfil) μπορεί να δημιουργήσει πολλά τρωτά σημεία. Η προστασία από αυτά είναι απαραίτητη. Αυτή η επέκταση είναι μόνο ένα βήμα προς τη σωστή κατεύθυνση και ελπίζουμε να δούμε περισσότερη ασφάλεια που θα προσφέρεται από τα προγράμματα περιήγησης εγγενώς στο μέλλον. Το CSS Exfil Protection(CSS Exfil Protection) είναι ανοιχτού κώδικα και δωρεάν λήψη. Μπορείτε να ελέγξετε τη σελίδα του στο GitHub ή να το κατεβάσετε απευθείας από το κατάστημα επεκτάσεων του προγράμματος περιήγησής σας.



About the author

Είμαι μηχανικός υλικού και προγραμματιστής λογισμικού με πάνω από 10 χρόνια εμπειρίας στις πλατφόρμες Apple και Google. Οι δεξιότητές μου έγκεινται στην ανάπτυξη αποτελεσματικών, φιλικών προς τον χρήστη λύσεων σε δύσκολα προβλήματα μηχανικής. Είχα εμπειρία με συσκευές MacOS και iOS, καθώς και με χειριστήρια πληκτρολογίου και ποντικιού. Στον ελεύθερο χρόνο μου, μου αρέσει να κολυμπάω, να παρακολουθώ τένις και να ακούω μουσική.



Related posts