فیلتر مورد استفاده در uBlock Origin قوانینی برای مسدود کردن اسکریپت های اسکن پورت شبکه معمولی در سیستم محلی کاربر اضافه شده است. یادآوری می کنیم که در ماه می اسکن پورت های محلی هنگام باز کردن eBay.com. معلوم شد که این عمل به eBay و بسیاری محدود نمی شود (سیتی بانک، بانک TD، Sky، GumTree، WePay، و غیره) هنگام باز کردن صفحات کاربر، از اسکن پورت سیستم محلی کاربر استفاده می کنند و از کد برای شناسایی تلاش های دسترسی از رایانه های هک شده ارائه شده توسط سرویس ThreatMetrix استفاده می کنند.
در مورد eBay، 14 پورت شبکه مرتبط با سرورهای دسترسی از راه دور مانند VNC، TeamViewer، Anyplace Control، Aeroadmin، Ammy Admin و RDP بررسی شدند. احتمالاً در حال بررسی است وجود آثاری از آسیب سیستم توسط بدافزار به منظور جلوگیری از خریدهای جعلی با استفاده از باتنت. همچنین می توان از اسکن برای به دست آوردن داده های غیر مستقیم استفاده کرد .
تکنیک مورد استفاده برای اسکن مبتنی بر تلاش برای ایجاد اتصالات به پورت های شبکه مختلف میزبان 127.0.0.1 (localhost) از طریق . وجود یک پورت شبکه باز به طور غیر مستقیم بر اساس تفاوت در رسیدگی به خطا برای اتصال به پورت های شبکه فعال و استفاده نشده تعیین می شود. WebSocket به شما امکان می دهد فقط درخواست های HTTP ارسال کنید، اما چنین درخواستی برای یک پورت شبکه غیرفعال بلافاصله با شکست مواجه می شود و برای یک پورت فعال تنها پس از مدتی تلاش برای مذاکره برای اتصال صرف می شود. علاوه بر این، در مورد یک پورت غیر فعال، WebSocket یک کد خطای اتصال (ERR_CONNECTION_REFUSED) و در مورد یک پورت فعال، یک کد خطای مذاکره اتصال را صادر می کند.
علاوه بر اسکن پورت، WebSockets همچنین می تواند برای حملات به سیستم های توسعه دهندگان وب که از کنترل کننده های WebSocket برای برنامه های React در سیستم محلی استفاده می کنند. یک سایت خارجی می تواند از طریق پورت های شبکه جستجو کند، وجود چنین کنترل کننده ای را تعیین کرده و به آن متصل شود. اگر توسعهدهنده اشتباه کند، مهاجم میتواند محتویات دادههای اشکال زدایی را که ممکن است شامل اطلاعات حساس کلی باشد، به دست آورد.
منبع: opennet.ru