Phenquestions
Pri prehľadávaní internetu sme vystavení mnohým zraniteľnostiam, ktoré by mohli naše údaje vystaviť útočníkom. Postupom času sa však technológia vyvinula, aby nás chránila pred týmito útokmi. Ale zároveň, útočníci a neustále sa snaží nájsť zraniteľné miesta a nabúrať do našich systémov. Zraniteľnosť, o ktorej dnes hovoríme, spočíva v CSS webovej stránky, ktorá sa nazýva CSS Exfil.
Moderné webové stránky sa pri stylingu vo veľkej miere spoliehajú na CSS a bez CSS si neexistuje web. CSS Exfil možno použiť na odcudzenie zacielených údajov pomocou kaskádových štýlov (CSS) ako vektoru útoku. Ohrozuje vaše informácie, ako sú používateľské meno, heslá, e-mailové adresy. Existuje celý rad útočných scenárov, ktoré sa spoliehajú na CSS Exfil. Zahŕňajú vkladanie kódu, sledovanie webu, nelegitímne reklamy, umiestňovanie škodlivého kódu do DOM a niekoľko ďalších.
Ochrana pred touto chybou je nevyhnutná, ale väčšina moderných prehľadávačov, ktoré používame, neprichádza s ochrannými opatreniami proti tejto chybe.
Ako skontrolovať, či je váš prehliadač zraniteľný voči útokom CSS Exfil
K dispozícii je nádherný CSS Exfil Vulnerability Tester, ktorý dokáže pracovať s ľubovoľným prehliadačom a potvrdiť stav ochrany. Nástroj testuje prehliadač s rovnakým pôvodom a doménami CSS viacerých domén. Webová stránka sa pokúsi napodobniť útok pomocou CSS Exfil a prinesie výsledky, ktoré boli úspešné.
Rozšírenie ochrany CSS Exfil pre Chrome a Firefox
Ak sa ukáže, že váš prehliadač je zraniteľný, mali by ste zvážiť jeho zvýšenie bezpečnosti. Pre Chrome a Firefox je k dispozícii rozšírenie, ktoré túto prácu urobí za vás. Prípona sa volá Ochrana CSS Exfil a je k dispozícii na stiahnutie z Internetový obchod Chrome a Obchod Firefox tiež.
Po nainštalovaní a povolení môžete znova prejsť na testovač zraniteľností a skontrolovať, či je váš prehliadač chránený alebo nie. Útočné obrázky by sa nemali načítať a všetky testy by mali priniesť pozitívny výsledok.
Budete si tiež môcť všimnúť počet s ikonou rozšírenia vedľa panela s adresou. Počet je údaj, že táto webová stránka sa pokúsila zneužiť chybu zabezpečenia a bola zablokovaná. Ak si teda všimnete tento počet na iných webových stránkach, ktoré používate, musíte byť pri týchto webových stránkach opatrní.
Rozšírenie CSS Exfil Protection funguje tak, že predbežne spracuje CSS webovej stránky. Naskenuje celý CSS a hľadá akékoľvek vzdialené volania v hodnotách atribútov CSS. Ak takéto vzdialené volanie existuje, neutralizuje ho a vyčistí CSS. A počet je pravdepodobne počet takýchto vzdialených hovorov, ktoré sa našli v CSS tejto webovej stránky.
CSS Exfil dokáže vytvoriť pomerne veľa zraniteľností. Ochrana proti nim je nevyhnutnosťou. Toto rozšírenie je iba jedným krokom správnym smerom a dúfame, že sa v budúcnosti dočkáme väčšej bezpečnosti, ktorú budú prehliadače ponúkať natívne. CSS Exfil Protection je otvorený zdroj a je zadarmo na stiahnutie. Môžete sa pozrieť na jeho stránku GitHub alebo si ju priamo stiahnuť z úložiska rozšírení vášho webového prehliadača.
