Phenquestions
Při procházení internetu jsme vystaveni mnoha zranitelnostem, které by mohly naše data vystavit útočníkům. Ale postupem času se technologie vyvinula, aby nás chránila před těmito útoky. Ale zároveň, útočníci a neustále se snaží najít zranitelnost a proniknout do našich systémů. Zranitelnost, o které dnes mluvíme, spočívá v CSS webové stránky a nazývá se CSS Exfil.
Moderní webové stránky se při stylingu velmi spoléhají na CSS a neexistuje způsob, jak si dokážete představit web bez CSS. CSS Exfil lze použít ke krádeži cílených dat pomocí kaskádových stylů (CSS) jako vektoru útoku. Ohrožuje vaše informace, jako je uživatelské jméno, hesla, e-maily. Existuje řada scénářů útoku, které se spoléhají na CSS Exfil. Zahrnují vkládání kódu, sledování webu, nelegitimní reklamy, umístění škodlivého kódu v DOM a několik dalších.
Ochrana před touto chybou zabezpečení je nutná, ale většina moderních prohlížečů, které používáme, neobsahuje ochranná opatření proti této chybě zabezpečení.
Jak zkontrolovat, zda je váš prohlížeč zranitelný vůči útokům CSS Exfil
K dispozici je skvělý CSS Exfil Vulnerability Tester, který může pracovat v jakémkoli prohlížeči a potvrdit stav ochrany. Nástroj testuje prohlížeč se stejným původem a více doménami CSS. Webová stránka se pokusí napodobit útok pomocí CSS Exfil a přinese výsledky, které byly úspěšné.
CSS Exfil Protection Extension pro Chrome a Firefox
Pokud se váš prohlížeč ukáže být zranitelný, měli byste zvážit přidání malého zabezpečení. K dispozici je rozšíření pro Chrome i Firefox, které tuto práci provede za vás. Rozšíření se nazývá Ochrana CSS Exfil a je k dispozici ke stažení z Internetový obchod Chrome a Obchod Firefox také.
Po instalaci a povolení můžete znovu přejít k testeru zranitelnosti a zkontrolovat, zda je váš prohlížeč chráněn nebo ne. Útočné obrazy by se neměly načítat a všechny testy by měly přinést pozitivní výsledek.
Také si budete moci všimnout počtu s ikonou rozšíření vedle adresního řádku. Počet je známkou toho, že se tato webová stránka pokusila zneužít chybu zabezpečení a byla zablokována. Pokud si tedy všimnete tohoto počtu na jiných webových stránkách, které používáte, musíte být při jejich používání opatrní.
Rozšíření CSS Exfil Protection funguje tak, že předběžně zpracovává CSS webové stránky. Naskenuje celý CSS a hledá všechna vzdálená volání uvnitř hodnot atributů CSS. Pokud takové vzdálené volání existuje, neutralizuje ho a vyčistí CSS. A počet je pravděpodobně počet takových vzdálených hovorů, které našel v CSS této webové stránky.
CSS Exfil může vytvořit spoustu zranitelností. Ochrana proti nim je nutností. Toto rozšíření je jen jedním krokem správným směrem a doufáme, že v budoucnu uvidíme více zabezpečení nabízených nativními prohlížeči. CSS Exfil Protection je otevřený zdroj a zdarma ke stažení. Můžete se podívat na jeho stránku GitHub nebo si ji stáhnout přímo z úložiště rozšíření vašeho webového prohlížeče.
