Браузерное расширение CSS Exfil Protection предлагает атаку через уязвимость CSS Exfil

Когда мы просматриваем Интернет, мы подвергаемся множеству уязвимостей, которые могут раскрыть наши данные злоумышленникам. Но со временем технология эволюционировала, чтобы защитить нас от этих атак. Но в то же время злоумышленники постоянно пытаются найти уязвимости и взломать наши системы. Уязвимость, о которой мы сегодня говорим, заключается в CSS веб-страницы и называется она CSS Exfil .

Современные(Modern) веб-сайты в значительной степени зависят от стилей CSS , и невозможно представить веб-сайт без CSS . CSS Exfil можно использовать для кражи целевых данных с использованием каскадных таблиц стилей(Cascading Style Sheets) ( CSS ) в качестве вектора атаки. Это подвергает риску вашу информацию, такую ​​​​как имя пользователя, пароли, электронные письма. Существует множество сценариев атак, основанных на CSS Exfil . Они включают в себя внедрение кода, веб-отслеживание, незаконную рекламу, размещение вредоносного кода в DOM и некоторые другие.

Защита от этой уязвимости обязательна, но большинство современных браузеров, которые мы используем, не имеют мер защиты от этой уязвимости.

Как проверить, уязвим ли ваш браузер для атак CSS Exfil

Здесь доступен(available here) замечательный CSS Exfil Vulnerability Tester , который может работать в любом браузере и подтверждать статус защиты. Инструмент проверяет браузер на наличие того же источника и междоменного CSS . Веб-страница попытается имитировать атаку через CSS Exfil и даст успешные результаты.

Расширение защиты CSS Exfil(CSS Exfil Protection Extension) для Chrome и Firefox

Если ваш браузер окажется уязвимым, вам следует подумать о том, чтобы добавить в него немного защиты. Для Chrome и Firefox доступно расширение , которое сделает эту работу за вас. Расширение называется CSS Exfil Protection и доступно для загрузки в Chrome Web Store и Firefox Store .

После установки и включения вы можете снова обратиться к тестировщику уязвимостей, чтобы проверить, защищен ли ваш браузер или нет. Образы атаки не должны загружаться, а все тесты должны давать положительный результат.

Кроме того, вы сможете заметить счетчик со значком расширения рядом с адресной строкой. Количество указывает на то, что эта веб-страница пыталась использовать уязвимость и была заблокирована. Итак, если вы заметили этот счетчик на других веб-сайтах, которые вы используете, вам нужно быть осторожным с этими веб-сайтами.

Защита от эксфильтрации CSS

Расширение CSS Exfil Protection(CSS Exfil Protection) работает путем предварительной обработки CSS веб-страницы. Он сканирует весь CSS и ищет любые удаленные вызовы внутри значений атрибутов CSS . Если такой удаленный вызов существует, он нейтрализует его и очищает CSS . И подсчет, вероятно, является количеством таких удаленных вызовов, которые он нашел в CSS этой веб-страницы.

CSS Exfil может создать довольно много уязвимостей. Защита от них обязательна. Это расширение — всего лишь один шаг в правильном направлении, и мы надеемся, что в будущем браузеры будут предлагать больше безопасности. CSS Exfil Protection имеет открытый исходный код и может быть загружен бесплатно. Вы можете проверить его страницу GitHub или загрузить его напрямую из магазина расширений вашего веб-браузера.



About the author

Я инженер-программист с более чем 10-летним опытом работы с Apple iOS и периферийными устройствами. Мой опыт в разработке аппаратного обеспечения заставляет меня стремиться к тому, чтобы устройства наших клиентов были максимально надежными и плавными. Последние несколько лет я пишу код и научился использовать Git, Vim и Node.js.



Related posts