uBlock Originis kasutatav filter lisatud reeglid tüüpiliste võrgupordi skannimise skriptide blokeerimiseks kasutaja kohalikus süsteemis. Tuletame meelde, et mais kohalike portide skannimine saidi eBay.com avamisel. Selgus, et see tava ei piirdu eBay ja paljudega (Citibank, TD Bank, Sky, GumTree, WePay jne) kasutavad lehtede avamisel kasutaja kohaliku süsteemi pordi skannimist, kasutades koodi, et tuvastada ThreatMetrixi teenuse pakutavad sissemurdmiskatsed sissemurtud arvutitest.
eBay puhul kontrolliti 14 võrguporti, mis olid seotud kaugjuurdepääsu serveritega nagu VNC, TeamViewer, Anyplace Control, Aeroadmin, Ammy Admin ja RDP. Tõenäoliselt on kontrollimine pooleli pahavara poolt tekitatud süsteemikahjustuste jälgede olemasolu, et vältida petturlikke oste botnettide abil. Skaneerimist saab kasutada ka kaudsete andmete saamiseks .
Skaneerimiseks kasutatav tehnika põhineb katsel luua ühendusi hosti 127.0.0.1 (localhost) erinevate võrguportidega. . Avatud võrgupordi olemasolu määratakse kaudselt, lähtudes aktiivsete ja kasutamata võrguportidega ühenduste veakäsitluse erinevusest. WebSocket võimaldab saata ainult HTTP päringuid, kuid selline mitteaktiivse võrgupordi päring nurjub kohe ja aktiivse pordi puhul alles pärast seda, kui ühenduse loomiseks kulub aega. Lisaks väljastab WebSocket mitteaktiivse pordi korral ühenduse veakoodi (ERR_CONNECTION_REFUSED) ja aktiivse pordi puhul ühenduse läbirääkimiste veakoodi.
Lisaks pordi skaneerimisele saab ka WebSockets rünnakuteks veebiarendajate süsteemide vastu, kes kasutavad kohalikus süsteemis Reacti rakenduste jaoks mõeldud WebSocket-käitlejaid. Väline sait saab otsida võrguportide kaudu, määrata sellise käitleja olemasolu ja sellega ühenduse luua. Kui arendaja teeb vea, saab ründaja hankida silumisandmete sisu, mis võib sisaldada tundlikku teavet.
Allikas: opennet.ru