Filteret brugt i uBlock Origin tilføjede regler for blokering af typiske netværksportscanningsscripts på brugerens lokale system. Lad os minde dig om det i maj scanning af lokale porte, når du åbner eBay.com. Det viste sig, at denne praksis ikke er begrænset til eBay og mange (Citibank, TD Bank, Sky, GumTree, WePay osv.) bruger portscanning af brugerens lokale system, når de åbner deres sider, ved at bruge kode til at opdage adgangsforsøg fra hackede computere, der leveres af ThreatMetrix-tjenesten.
I tilfælde af eBay blev 14 netværksporte forbundet med fjernadgangsservere som VNC, TeamViewer, Anyplace Control, Aeroadmin, Ammy Admin og RDP kontrolleret. Tjekker sandsynligvis i gang tilstedeværelse af spor af systemskade fra malware for at forhindre svigagtige køb ved hjælp af botnets. Scanning kan også bruges til at indhente data til indirekte .
En teknik, der bruges til scanning, er baseret på forsøg på at etablere forbindelser til forskellige netværksporte på værten 127.0.0.1 (localhost) via . Tilstedeværelsen af en åben netværksport bestemmes indirekte baseret på forskellen i fejlhåndtering for forbindelser til aktive og ubrugte netværksporte. WebSocket giver dig mulighed for kun at sende HTTP-anmodninger, men en sådan anmodning om en inaktiv netværksport mislykkes med det samme, og for en aktiv port først efter nogen tid er brugt på at forsøge at forhandle forbindelsen. I tilfælde af en inaktiv port udsteder WebSocket desuden en forbindelsesfejlkode (ERR_CONNECTION_REFUSED), og i tilfælde af en aktiv port en fejlkode for forbindelsesforhandling.
Udover portscanning kan WebSockets også for angreb på systemer hos webudviklere, der kører WebSocket-handlere til React-applikationer på det lokale system. Et eksternt websted kan søge gennem netværksporte, bestemme tilstedeværelsen af en sådan handler og oprette forbindelse til den. Hvis udvikleren laver en fejl, kan en angriber få fat i indholdet af fejlretningsdataene, som kan indeholde skitserede følsomme oplysninger.
Kilde: opennet.ru