U Adblock Plus blokatoru oglasa
Autori lista sa skupovima filtera mogu organizirati izvršavanje svog koda u kontekstu stranica koje je korisnik otvorio dodavanjem pravila s operatorom "
Međutim, izvršenje koda može se postići zaobilaznim putem.
Neke web stranice, uključujući Google Maps, Gmail i Google Images, koriste tehniku dinamičkog učitavanja izvršnih JavaScript blokova, koji se prenose u obliku golog teksta. Ako server dozvoljava preusmjeravanje zahtjeva, tada se prosljeđivanje na drugi host može postići promjenom URL parametara (na primjer, u kontekstu Google-a, preusmjeravanje se može izvršiti preko API-ja "
Predložena metoda napada utiče samo na stranice koje dinamički učitavaju nizove JavaScript koda (na primjer, putem XMLHttpRequest ili Fetch) i zatim ih izvršavaju. Još jedno važno ograničenje je potreba za korištenjem preusmjeravanja ili stavljanjem proizvoljnih podataka na stranu originalnog servera koji izdaje resurs. Međutim, da bi se demonstrirala relevantnost napada, pokazano je kako organizirati izvršavanje vašeg koda prilikom otvaranja maps.google.com, koristeći preusmjeravanje preko “google.com/search”.
Popravak je još u pripremi. Problem pogađa i blokatore
Programeri Adblock Plus-a smatraju da su pravi napadi malo vjerovatni, jer se sve promjene standardnih lista pravila pregledaju, a povezivanje lista trećih strana je izuzetno rijetko među korisnicima. Zamjena pravila putem MITM-a je onemogućena zadanim korištenjem HTTPS-a za preuzimanje standardnih blok lista (za ostale liste je planirano zabraniti preuzimanje putem HTTP-a u budućem izdanju). Smjernice se mogu koristiti za blokiranje napada na strani stranice
izvor: opennet.ru