Phenquestions
Når vi surfer på internettet, udsættes vi for mange sårbarheder, der kan udsætte vores data for angribere. Men med tiden har teknologien udviklet sig for at beskytte os mod disse angreb. Men på samme tid, angriberne og konstant forsøger at finde sårbarheder og hack ind i vores systemer. Den sårbarhed, som vi taler om i dag, ligger i CSS på en webside, og den kaldes CSS Exfil.
Moderne websteder er stærkt afhængige af CSS til styling, og du kan ikke forestille dig et websted uden CSS. CSS Exfil kan bruges til at stjæle målrettede data ved hjælp af Cascading Style Sheets (CSS) som en angrebsvektor. Det sætter dine oplysninger som brugernavn, adgangskoder, e-mails i fare. Der er en række angrebsscenarier, der er afhængige af CSS Exfil. De inkluderer kodeindsprøjtning, websporing, ulovlige reklamer, ondsindet kodeplacering i DOM og et par mere.
Beskyttelse mod denne sårbarhed er must, men de fleste af de moderne browsere, som vi bruger, kommer ikke med beskyttelsesforanstaltninger mod denne sårbarhed.
Sådan kontrolleres, om din browser er sårbar over for CSS Exfil-angreb
Der er en vidunderlig CSS Exfil Sårbarhedstester tilgængelig her, der kan arbejde på enhver browser og bekræfte beskyttelsesstatus. Værktøjet tester en browser for den samme oprindelse og cross-domain CSS. Websiden vil forsøge at efterligne angrebet via CSS Exfil og vil producere de resultater, det var vellykket.
CSS Exfil Protection Extension til Chrome og Firefox
Hvis din browser viser sig at være sårbar, skal du overveje at tilføje lidt sikkerhed til den. Der er en udvidelse tilgængelig til både Chrome og Firefox, der gør dette job for dig. Udvidelsen kaldes CSS Exfil-beskyttelse og kan downloades fra Chrome Webshop og Firefox Store såvel.
Når du er installeret og aktiveret, kan du gå over til sårbarhedstesteren igen for at kontrollere, om din browser er beskyttet eller ej. Angrebsbillederne bør ikke indlæses, og alle testene skal give et positivt resultat.
Du vil også være i stand til at bemærke en optælling med udvidelsesikonet ved siden af adresselinjen. Optællingen er indikationen for, at denne webside forsøgte at udnytte en sårbarhed, og at den er blevet blokeret. Så hvis du bemærker dette antal på andre websteder, du bruger, skal du være forsigtig omkring disse websteder.
CSS Exfil Protection-udvidelse fungerer ved forbehandling af CSS på en webside. Det scanner hele CSS og ser efter eventuelle fjernopkald inden for CSS-attributværdier. Hvis der findes et sådant fjernopkald, neutraliserer det det og gør CSS ren. Og optællingen er sandsynligvis antallet af sådanne fjernopkald, den findes i CSS på denne webside.
CSS Exfil kan skabe en hel del sårbarheder. At have beskyttelse mod dem er et must. Denne udvidelse er kun et skridt i den rigtige retning, og vi håber at se mere sikkerhed, der tilbydes af browserne i fremtiden. CSS Exfil Protection er open source og gratis at downloade. Du kan tjekke dens GitHub-side eller downloade den direkte fra udvidelsesbutikken i din webbrowser.
