Когда мы просматриваем Интернет, мы подвергаемся множеству уязвимостей, которые могут раскрыть наши данные злоумышленникам. Но со временем технология эволюционировала, чтобы защитить нас от этих атак. Но в то же время злоумышленники постоянно пытаются найти уязвимости и взломать наши системы. Уязвимость, о которой мы сегодня говорим, заключается в CSS веб-страницы и называется она CSS Exfil .

Современные^(Modern) веб-сайты в значительной степени зависят от стилей CSS , и невозможно представить веб-сайт без CSS . CSS Exfil можно использовать для кражи целевых данных с использованием каскадных таблиц стилей^{(Cascading Style Sheets)} ( CSS ) в качестве вектора атаки. Это подвергает риску вашу информацию, такую как имя пользователя, пароли, электронные письма. Существует множество сценариев атак, основанных на CSS Exfil . Они включают в себя внедрение кода, веб-отслеживание, незаконную рекламу, размещение вредоносного кода в DOM и некоторые другие.

Защита от этой уязвимости обязательна, но большинство современных браузеров, которые мы используем, не имеют мер защиты от этой уязвимости.

Как проверить, уязвим ли ваш браузер для атак CSS Exfil

Здесь доступен^{(available here)} замечательный CSS Exfil Vulnerability Tester , который может работать в любом браузере и подтверждать статус защиты. Инструмент проверяет браузер на наличие того же источника и междоменного CSS . Веб-страница попытается имитировать атаку через CSS Exfil и даст успешные результаты.

Расширение защиты CSS Exfil^{(CSS Exfil Protection Extension)} для Chrome и Firefox

Если ваш браузер окажется уязвимым, вам следует подумать о том, чтобы добавить в него немного защиты. Для Chrome и Firefox доступно расширение , которое сделает эту работу за вас. Расширение называется CSS Exfil Protection и доступно для загрузки в Chrome Web Store и Firefox Store .

После установки и включения вы можете снова обратиться к тестировщику уязвимостей, чтобы проверить, защищен ли ваш браузер или нет. Образы атаки не должны загружаться, а все тесты должны давать положительный результат.

Кроме того, вы сможете заметить счетчик со значком расширения рядом с адресной строкой. Количество указывает на то, что эта веб-страница пыталась использовать уязвимость и была заблокирована. Итак, если вы заметили этот счетчик на других веб-сайтах, которые вы используете, вам нужно быть осторожным с этими веб-сайтами.

Защита от эксфильтрации CSS

Расширение CSS Exfil Protection^{(CSS Exfil Protection)} работает путем предварительной обработки CSS веб-страницы. Он сканирует весь CSS и ищет любые удаленные вызовы внутри значений атрибутов CSS . Если такой удаленный вызов существует, он нейтрализует его и очищает CSS . И подсчет, вероятно, является количеством таких удаленных вызовов, которые он нашел в CSS этой веб-страницы.

CSS Exfil может создать довольно много уязвимостей. Защита от них обязательна. Это расширение — всего лишь один шаг в правильном направлении, и мы надеемся, что в будущем браузеры будут предлагать больше безопасности. CSS Exfil Protection имеет открытый исходный код и может быть загружен бесплатно. Вы можете проверить его страницу GitHub или загрузить его напрямую из магазина расширений вашего веб-браузера.

CSS Exfil Protection browser extension offers CSS Exfil vulnerability attack

As we are browsing the internet, we are exposed to а lot of vulnerabilities that might expose our data to attackers. But with time, the technology hаs evolved in order to protect us against these attacks. But at the same time, the attackers and constantly trying to find vulnerabіlities and hack into our systems. The νulnerability that wе are talking about today lies in CSS of a webpage and it is called CSS Exfil.

Modern websites rely heavily on CSS for styling and there is no way you can imagine a website without CSS. CSS Exfil can be used to steal targeted data using Cascading Style Sheets (CSS) as an attack vector. It puts your information such as username, passwords, emails at risk. There are a variety of attack scenarios that rely on CSS Exfil. They include code injection, web tracking, illegitimate advertisements, malicious code placement in DOM and a few more.

Protection against this vulnerability is must but most of the modern browsers that we use do not come with protection measures against this vulnerability.

How to check if your browser is vulnerable to CSS Exfil attacks

There is a wonderful CSS Exfil Vulnerability Tester available here that can work on any browser and confirm the protection status. The tool tests a browser for the same origin and cross-domain CSS. The webpage would try to mimic the attack via CSS Exfil and will produce the results it was successful.

CSS Exfil Protection Extension for Chrome and Firefox

If your browser turns out to be vulnerable, then you should consider adding a little security to it. There is an extension available for both Chrome and Firefox that does this job for you. The extension is called CSS Exfil Protection and is available to download from Chrome Web Store and Firefox Store as well.

Once installed and enabled, you can head over to the vulnerability tester again to check if your browser is protected or not. The attack images should not load, and all the tests should produce a positive result.

Also, you will be able to notice a count with the extension’s icon beside the address bar. The count is the indication that this webpage tried to exploit a vulnerability and it has been blocked. So, if you notice this count on other websites that you use, you need to be careful around those websites.

CSS Exfil Protection

CSS Exfil Protection extension works by pre-processing the CSS of a webpage. It scans the entire CSS and looks for any remote calls inside CSS attribute values. If any such remote call exists, it neutralizes it and makes the CSS clean. And the count is probably the number of such remote calls it found in the CSS of this webpage.

CSS Exfil can create quite a lot of vulnerabilities. Having protection against them is a must. This extension is just one step in the right direction, and we hope to see more security offered by the browsers natively in the future. CSS Exfil Protection is open source and free to download. You can check out its GitHub page or directly download it from the extension store of your web browser.

Кристина Бунина

About the author

Я инженер-программист с более чем 10-летним опытом работы с Apple iOS и периферийными устройствами. Мой опыт в разработке аппаратного обеспечения заставляет меня стремиться к тому, чтобы устройства наших клиентов были максимально надежными и плавными. Последние несколько лет я пишу код и научился использовать Git, Vim и Node.js.

Браузерное расширение CSS Exfil Protection предлагает атаку через уязвимость CSS Exfil

Как проверить, уязвим ли ваш браузер для атак CSS Exfil

Расширение защиты CSS Exfil^{(CSS Exfil Protection Extension)} для Chrome и Firefox

CSS Exfil Protection browser extension offers CSS Exfil vulnerability attack

How to check if your browser is vulnerable to CSS Exfil attacks

CSS Exfil Protection Extension for Chrome and Firefox

Кристина Бунина

About the author

Related posts

Как вручную включить Retpoline на Windows 10

Как сообщать Bug, Issue or Vulnerability до Microsoft

DLL Hijacking Vulnerability Attacks, Prevention & Detection

Bitdefender Home Scanner: Сканировать свой Home Network для уязвимостей

SecPod Saner Personal: Free Advanced Vulnerability Scanner

Что такое холодный Boot Attack и как вы можете оставаться в безопасности?

Кибербезопасность через образование: Kaspersky Interactive Protection Simulation

Online Identity Theft: Prevention and Protection tips

Windows Information Protection (WIP) автоматически защищает классифицированные файлы

Включить или отключить защиту от записи для диска в Windows 10

Безопасность для всех - Обзор Panda Gold Protection -

Что такое Virus and Threat Protection в Windows 10? Как скрыть это?

Как отключить или включить Redirect Tracking Protection (ETP 2.0) в Firefox

Software Protection Platform Service Sppsvc.exe, вызывающий High CPU usage

Windows Resource Protection не мог начать repair service

[ИСПРАВЛЕНО] Защита ресурсов Windows не могла выполнить запрошенную операцию

Что такое Account Protection в Windows 10 и как скрыть этот раздел

Что такое Google Advanced Protection Program?

Lockwise, Monitor, Facebook Container, Tracking Protection на Firefox

Предотвратите пользователей из модификации Exploit Protection в Windows Security

Браузерное расширение CSS Exfil Protection предлагает атаку через уязвимость CSS Exfil

Как проверить, уязвим ли ваш браузер для атак CSS Exfil

Расширение защиты CSS Exfil(CSS Exfil Protection Extension) для Chrome и Firefox

CSS Exfil Protection browser extension offers CSS Exfil vulnerability attack

How to check if your browser is vulnerable to CSS Exfil attacks

CSS Exfil Protection Extension for Chrome and Firefox

Кристина Бунина

About the author

Related posts

Как вручную включить Retpoline на Windows 10

Как сообщать Bug, Issue or Vulnerability до Microsoft

DLL Hijacking Vulnerability Attacks, Prevention & Detection

Bitdefender Home Scanner: Сканировать свой Home Network для уязвимостей

SecPod Saner Personal: Free Advanced Vulnerability Scanner

Что такое холодный Boot Attack и как вы можете оставаться в безопасности?

Кибербезопасность через образование: Kaspersky Interactive Protection Simulation

Online Identity Theft: Prevention and Protection tips

Windows Information Protection (WIP) автоматически защищает классифицированные файлы

Включить или отключить защиту от записи для диска в Windows 10

Безопасность для всех - Обзор Panda Gold Protection -

Что такое Virus and Threat Protection в Windows 10? Как скрыть это?

Как отключить или включить Redirect Tracking Protection (ETP 2.0) в Firefox

Software Protection Platform Service Sppsvc.exe, вызывающий High CPU usage

Windows Resource Protection не мог начать repair service

[ИСПРАВЛЕНО] Защита ресурсов Windows не могла выполнить запрошенную операцию

Что такое Account Protection в Windows 10 и как скрыть этот раздел

Что такое Google Advanced Protection Program?

Lockwise, Monitor, Facebook Container, Tracking Protection на Firefox

Предотвратите пользователей из модификации Exploit Protection в Windows Security

Расширение защиты CSS Exfil^{(CSS Exfil Protection Extension)} для Chrome и Firefox