Когда мы просматриваем Интернет, мы подвержены множеству уязвимостей, которые могут раскрыть наши данные злоумышленникам.
Но со временем технологии также развивались, чтобы защитить нас от этих атак.
И в то же время злоумышленники постоянно пытаются найти уязвимости и взломать наши системы.
Уязвимость, о которой мы говорим сегодня, заключается в CSS веб-страницы и называется CSS Exfil.
Современные веб-сайты в значительной степени полагаются на CSS для стилизации, и вы не сможете сейчас представить сайт без CSS.
CSS Exfil можно использовать для кражи целевых данных с использованием каскадных таблиц стилей (CSS) в качестве вектора атаки.
Это ставит под угрозу вашу информацию, такую как имя пользователя, пароли, электронные письма.
Существует множество сценариев атак, основанных на CSS Exfil.
Они включают в себя внедрение кода, отслеживание в Интернете, незаконную рекламу, размещение вредоносного кода в DOM и многое другое.
Защита от этой уязвимости обязательна, но большинство современных браузеров, которые мы используем, не имеют мер защиты от этой уязвимости.
Как проверить, уязвим ли ваш браузер к атакам CSS Exfil
Есть замечательный инструмент для тестирования на уязвимости CSS Exfil, который может работать в любом браузере и подтверждать / отклонять статус защиты.
Инструмент проверяет браузер на наличие одного и того же источника и междоменного CSS.
Веб-страница будет пытаться имитировать атаку через CSS Exfil и предоставит результаты тестирования.
Расширение CSS Exfil Protection для Chrome и Firefox
Если ваш браузер оказывается уязвимым, то вам следует подумать о том, чтобы добавить в него немного безопасности.
Для Chrome и Firefox доступно расширение, которое сделает эту работу за вас.
Расширение называется CSS Exfil Protection и доступно для скачивания в Chrome Web Store и Firefox Store.
После установки и включения вы можете снова обратиться к тому же инструменту по поиску уязвимостей, чтобы проверить, защищен ли ваш браузер теперь.
Образы атаки не должны загружаться, и все тесты должны давать положительный результат.
Кроме того, вы сможете заметить некий счетчик с помощью значка расширения рядом с адресной строкой.
Количество указывает на то, что эта веб-страница пыталась использовать уязвимость и была заблокирована.
Таким образом, если вы заметили этот счетчик на каких-либо сайтах, вы должны быть осторожны с ними.
Расширение CSS Exfil Protection работает путем предварительной обработки CSS целевой веб-страницы.
Оно сканирует весь код CSS и ищет любые удаленные вызовы внутри значений атрибутов CSS.
Если такой удаленный вызов существует, он нейтрализует его и очищает CSS.
И счетчик, вероятно, является количеством таких удаленных вызовов, которые он нашел в CSS этой веб-страницы.
CSS Exfil может создать довольно много уязвимостей.
Наличие защиты от них является обязательным.
Это расширение – всего лишь один шаг в правильном направлении, и мы надеемся, что в будущем браузеры начнут обеспечивать больше безопасности пользователей.
CSS Exfil Protection является инструментом с открытым исходным кодом и бесплатным для скачивания.
Вы можете посетить страницу GitHub или напрямую скачать его из магазина расширений вашего веб-браузера.