Καθώς περιηγούμαστε στο Διαδίκτυο, είμαστε εκτεθειμένοι σε πολλά τρωτά σημεία που μπορεί να εκθέσουν τα δεδομένα μας σε επιτιθέμενους. Αλλά με τον καιρό, η τεχνολογία έχει εξελιχθεί για να μας προστατεύει από αυτές τις επιθέσεις. Αλλά την ίδια στιγμή, οι εισβολείς και συνεχώς προσπαθούν να βρουν τρωτά σημεία και να χακάρουν τα συστήματά μας. Η ευπάθεια για την οποία μιλάμε σήμερα βρίσκεται στο CSS μιας ιστοσελίδας και ονομάζεται CSS Exfil .

Οι σύγχρονοι^(Modern) ιστότοποι βασίζονται σε μεγάλο βαθμό στο CSS για το στυλ και δεν υπάρχει περίπτωση να φανταστείτε έναν ιστότοπο χωρίς CSS . Το CSS Exfil^{(CSS Exfil)} μπορεί να χρησιμοποιηθεί για την κλοπή στοχευμένων δεδομένων χρησιμοποιώντας Cascading Style Sheets ( CSS ) ως διάνυσμα επίθεσης. Θέτει σε κίνδυνο τις πληροφορίες σας, όπως όνομα χρήστη, κωδικούς πρόσβασης, email. Υπάρχουν διάφορα σενάρια επίθεσης που βασίζονται στο CSS Exfil . Περιλαμβάνουν ένεση κώδικα, παρακολούθηση ιστού, παράνομες διαφημίσεις, κακόβουλη τοποθέτηση κώδικα στο DOM και μερικά ακόμη.

Η προστασία από αυτήν την ευπάθεια είναι απαραίτητη, αλλά τα περισσότερα από τα σύγχρονα προγράμματα περιήγησης που χρησιμοποιούμε δεν διαθέτουν μέτρα προστασίας έναντι αυτής της ευπάθειας.

Πώς να ελέγξετε εάν το πρόγραμμα περιήγησής σας είναι ευάλωτο σε επιθέσεις CSS Exfil

Υπάρχει ένα υπέροχο CSS Exfil Vulnerability Tester διαθέσιμο εδώ^{(available here)} που μπορεί να λειτουργήσει σε οποιοδήποτε πρόγραμμα περιήγησης και να επιβεβαιώσει την κατάσταση προστασίας. Το εργαλείο δοκιμάζει ένα πρόγραμμα περιήγησης για την ίδια προέλευση και CSS^(CSS) μεταξύ τομέων . Η ιστοσελίδα θα προσπαθήσει να μιμηθεί την επίθεση μέσω του CSS Exfil και θα παράγει τα αποτελέσματα που ήταν επιτυχής.

Επέκταση προστασίας CSS Exfil^{(CSS Exfil Protection Extension)} για Chrome και Firefox

Εάν το πρόγραμμα περιήγησής σας αποδειχθεί ευάλωτο, τότε θα πρέπει να σκεφτείτε να προσθέσετε λίγη ασφάλεια σε αυτό. Υπάρχει μια επέκταση διαθέσιμη τόσο για το Chrome όσο και για τον Firefox που κάνει αυτή τη δουλειά για εσάς. Η επέκταση ονομάζεται CSS Exfil Protection και είναι διαθέσιμη για λήψη από το Chrome Web Store και το Firefox Store επίσης.

Αφού εγκατασταθεί και ενεργοποιηθεί, μπορείτε να μεταβείτε ξανά στον ελεγκτή ευπάθειας για να ελέγξετε εάν το πρόγραμμα περιήγησής σας είναι προστατευμένο ή όχι. Οι εικόνες επίθεσης δεν πρέπει να φορτώνονται και όλες οι δοκιμές θα πρέπει να έχουν θετικό αποτέλεσμα.

Επίσης, θα μπορείτε να παρατηρήσετε μια καταμέτρηση με το εικονίδιο της επέκτασης δίπλα στη γραμμή διευθύνσεων. Η καταμέτρηση είναι η ένδειξη ότι αυτή η ιστοσελίδα προσπάθησε να εκμεταλλευτεί μια ευπάθεια και έχει αποκλειστεί. Επομένως, εάν παρατηρήσετε αυτό το πλήθος σε άλλους ιστότοπους που χρησιμοποιείτε, πρέπει να είστε προσεκτικοί γύρω από αυτούς τους ιστότοπους.

Η επέκταση CSS Exfil Protection^{(CSS Exfil Protection)} λειτουργεί με την προεπεξεργασία του CSS μιας ιστοσελίδας. Σαρώνει ολόκληρο το CSS και αναζητά τυχόν απομακρυσμένες κλήσεις εντός των τιμών των χαρακτηριστικών CSS . Εάν υπάρχει κάποια τέτοια απομακρυσμένη κλήση, την εξουδετερώνει και κάνει το CSS καθαρό. Και ο αριθμός είναι πιθανώς ο αριθμός τέτοιων απομακρυσμένων κλήσεων που βρέθηκε στο CSS αυτής της ιστοσελίδας.

Το CSS Exfil^{(CSS Exfil)} μπορεί να δημιουργήσει πολλά τρωτά σημεία. Η προστασία από αυτά είναι απαραίτητη. Αυτή η επέκταση είναι μόνο ένα βήμα προς τη σωστή κατεύθυνση και ελπίζουμε να δούμε περισσότερη ασφάλεια που θα προσφέρεται από τα προγράμματα περιήγησης εγγενώς στο μέλλον. Το CSS Exfil Protection^{(CSS Exfil Protection)} είναι ανοιχτού κώδικα και δωρεάν λήψη. Μπορείτε να ελέγξετε τη σελίδα του στο GitHub ή να το κατεβάσετε απευθείας από το κατάστημα επεκτάσεων του προγράμματος περιήγησής σας.

CSS Exfil Protection browser extension offers CSS Exfil vulnerability attack

As we are browsing the internet, we are exposed to a lot of vulnerabilities that might exроse our data to attackers. But with time, the technology has evolved in order to protect us against these attacks. But at the same time, the attackers and constantly trying to find vulnerabilities and hack into our systems. The vulnerability thаt we are talking about today lies in CSS of a webpage and it is called CSS Exfil.

Modern websites rely heavily on CSS for styling and there is no way you can imagine a website without CSS. CSS Exfil can be used to steal targeted data using Cascading Style Sheets (CSS) as an attack vector. It puts your information such as username, passwords, emails at risk. There are a variety of attack scenarios that rely on CSS Exfil. They include code injection, web tracking, illegitimate advertisements, malicious code placement in DOM and a few more.

Protection against this vulnerability is must but most of the modern browsers that we use do not come with protection measures against this vulnerability.

How to check if your browser is vulnerable to CSS Exfil attacks

There is a wonderful CSS Exfil Vulnerability Tester available here that can work on any browser and confirm the protection status. The tool tests a browser for the same origin and cross-domain CSS. The webpage would try to mimic the attack via CSS Exfil and will produce the results it was successful.

CSS Exfil Protection Extension for Chrome and Firefox

If your browser turns out to be vulnerable, then you should consider adding a little security to it. There is an extension available for both Chrome and Firefox that does this job for you. The extension is called CSS Exfil Protection and is available to download from Chrome Web Store and Firefox Store as well.

Once installed and enabled, you can head over to the vulnerability tester again to check if your browser is protected or not. The attack images should not load, and all the tests should produce a positive result.

Also, you will be able to notice a count with the extension’s icon beside the address bar. The count is the indication that this webpage tried to exploit a vulnerability and it has been blocked. So, if you notice this count on other websites that you use, you need to be careful around those websites.

CSS Exfil Protection extension works by pre-processing the CSS of a webpage. It scans the entire CSS and looks for any remote calls inside CSS attribute values. If any such remote call exists, it neutralizes it and makes the CSS clean. And the count is probably the number of such remote calls it found in the CSS of this webpage.

CSS Exfil can create quite a lot of vulnerabilities. Having protection against them is a must. This extension is just one step in the right direction, and we hope to see more security offered by the browsers natively in the future. CSS Exfil Protection is open source and free to download. You can check out its GitHub page or directly download it from the extension store of your web browser.

Related posts

• Πώς να ενεργοποιήσετε με μη αυτόματο τρόπο το Retpoline στα Windows 10

• Πώς να αναφέρετε Bug, Issue ή Vulnerability στη Microsoft

• Επιθέσεις ευπάθειας, πρόληψη και ανίχνευση κατά της πειρατείας DLL

• Bitdefender Home Scanner: Σαρώστε το οικιακό σας δίκτυο για τρωτά σημεία

• SecPod Saner Personal: Δωρεάν προηγμένος σαρωτής ευπάθειας

• Τι είναι το Cold Boot Attack και πώς μπορείτε να παραμείνετε ασφαλείς;

• Ασφάλεια για όλους - Κριτική Panda Gold Protection -

• Πώς να απενεργοποιήσετε ή να ενεργοποιήσετε την Προστασία παρακολούθησης ανακατεύθυνσης (ETP 2.0) στον Firefox

• Κριτική βιβλίου: Δημιουργήστε τον δικό σας ιστότοπο: Ένας οδηγός κόμικ για HTML, CSS και Wordpress

• Ενεργοποιήστε την δυνητικά ανεπιθύμητη προστασία προγράμματος: GPO, Regedit, PowerShell

• Η υπηρεσία πλατφόρμας προστασίας λογισμικού Sppsvc.exe προκαλεί υψηλή χρήση της CPU

• Ασφάλεια για όλους - Δείτε το McAfee Total Protection

• Η διεύθυνση λειτουργίας προκάλεσε σφάλμα προστασίας - σφάλμα εκτύπωσης

• Τι είναι η Προστασία λογαριασμού στα Windows 11/10 και πώς να αποκρύψετε αυτήν την ενότητα

• Τι είναι η βελτιωμένη προστασία στο Google Chrome και πώς να την ενεργοποιήσετε

• Lockwise, Monitor, Facebook Container, Tracking Protection στον Firefox

• Τι είναι η προστασία από ιούς και απειλές στα Windows; Πώς να το κρύψω;

• Ρύθμιση βελτιωμένης παρακολούθησης, ειδοποιήσεων παραβίασης προστασίας, Lockwise στον Firefox

• Νόμος της ΕΕ για την Προστασία Δεδομένων - Δικαίωμα στη λήθη

• Ασφάλεια για όλους - Ελέγξτε την Προστασία Bullguard Premium