Phenquestions
Когда мы просматриваем Интернет, мы сталкиваемся с множеством уязвимостей, которые могут раскрыть наши данные злоумышленникам. Но со временем технология эволюционировала, чтобы защитить нас от этих атак. Но в то же время злоумышленники и постоянно пытаются найти уязвимости и взломать наши системы. Уязвимость, о которой мы сегодня говорим, заключается в CSS веб-страницы и называется CSS Exfil.
Современные веб-сайты в значительной степени полагаются на CSS для стилизации, и невозможно представить веб-сайт без CSS. CSS Exfil можно использовать для кражи целевых данных с использованием каскадных таблиц стилей (CSS) в качестве вектора атаки. Это подвергает риску вашу информацию, такую как имя пользователя, пароли, электронные письма. Существует множество сценариев атак, основанных на CSS Exfil. Они включают внедрение кода, веб-отслеживание, незаконную рекламу, размещение вредоносного кода в DOM и многое другое.
Защита от этой уязвимости обязательна, но в большинстве современных браузеров, которые мы используем, не предусмотрены меры защиты от этой уязвимости.
Как проверить, уязвим ли ваш браузер для атак CSS Exfil
Здесь доступен замечательный тестер уязвимостей CSS Exfil, который может работать в любом браузере и подтверждать статус защиты. Инструмент тестирует браузер на предмет того же происхождения и междоменного CSS. Веб-страница попытается имитировать атаку через CSS Exfil и даст результаты, которые были успешными.
Расширение защиты CSS Exfil для Chrome и Firefox
Если ваш браузер оказывается уязвимым, вам следует подумать о том, чтобы добавить в него немного безопасности. Для Chrome и Firefox доступно расширение, которое сделает эту работу за вас. Расширение называется CSS Exfil Protection и доступен для загрузки с Интернет-магазин Chrome а также Магазин Firefox также.
После установки и включения вы можете снова перейти к тестеру уязвимостей, чтобы проверить, защищен ли ваш браузер или нет. Образы атак не должны загружаться, а все тесты должны давать положительный результат.
Кроме того, вы сможете заметить счетчик со значком расширения рядом с адресной строкой. Счетчик указывает на то, что эта веб-страница пыталась использовать уязвимость и была заблокирована. Итак, если вы заметили это количество на других веб-сайтах, которые вы используете, вам нужно быть осторожными с этими веб-сайтами.
Расширение CSS Exfil Protection работает путем предварительной обработки CSS веб-страницы. Он сканирует весь CSS и ищет любые удаленные вызовы внутри значений атрибутов CSS. Если такой удаленный вызов существует, он нейтрализует его и очищает CSS. И это, вероятно, количество таких удаленных вызовов, обнаруженных в CSS этой веб-страницы.
CSS Exfil может создать довольно много уязвимостей. Обязательно наличие защиты от них. Это расширение - всего лишь один шаг в правильном направлении, и мы надеемся увидеть больше безопасности, предлагаемую браузерами в будущем. CSS Exfil Protection - это открытый исходный код, который можно загрузить бесплатно. Вы можете проверить его страницу на GitHub или загрузить ее напрямую из магазина расширений своего веб-браузера.
