uBlock Originissa käytetty suodatin lisätty sääntöjä tyypillisten verkkoporttien tarkistuskomentosarjojen estämiseksi käyttäjän paikallisessa järjestelmässä. Muistutetaan tästä toukokuussa paikallisten porttien skannaus avattaessa eBay.com. Kävi ilmi, että tämä käytäntö ei rajoitu eBayhin ja moniin (Citibank, TD Bank, Sky, GumTree, WePay jne.) käyttävät käyttäjän paikallisen järjestelmän porttiskannausta sivuja avattaessa, käyttämällä koodia tunnistaakseen ThreatMetrix-palvelun tarjoamat pääsyyritykset hakkeroitujen tietokoneiden kautta.
eBayn tapauksessa tarkastettiin 14 verkkoporttia, jotka liittyvät etäkäyttöpalvelimiin, kuten VNC, TeamViewer, Anyplace Control, Aeroadmin, Ammy Admin ja RDP. Luultavasti tarkistus käynnissä haittaohjelmien aiheuttamien järjestelmävaurioiden jälkien esiintyminen, jotta estetään petolliset ostot bottiverkkojen avulla. Skannausta voidaan käyttää myös epäsuoran tiedon saamiseksi .
Skannaukseen käytetty tekniikka perustuu siihen, että yritetään muodostaa yhteyksiä isäntäkoneen 127.0.0.1 (localhost) eri verkkoportteihin . Avoimen verkkoportin olemassaolo määritetään epäsuorasti aktiivisten ja käyttämättömien verkkoporttien yhteyksien virheenkäsittelyn erojen perusteella. WebSocketin avulla voit lähettää vain HTTP-pyyntöjä, mutta tällainen pyyntö ei-aktiivisesta verkkoportista epäonnistuu välittömästi ja aktiivisen portin osalta vasta sen jälkeen, kun yhteyden neuvottelemiseen on käytetty jonkin aikaa. Lisäksi, jos portti ei ole aktiivinen, WebSocket antaa yhteysvirhekoodin (ERR_CONNECTION_REFUSED) ja aktiivisen portin tapauksessa yhteysneuvottelun virhekoodin.
Porttiskannauksen lisäksi WebSockets voi myös hyökkäyksille verkkokehittäjien järjestelmiin, jotka käyttävät WebSocket-käsittelijöitä React-sovelluksille paikallisessa järjestelmässä. Ulkoinen sivusto voi etsiä verkkoporttien kautta, määrittää tällaisen käsittelijän olemassaolon ja muodostaa yhteyden siihen. Jos kehittäjä tekee virheen, hyökkääjä voi saada virheenkorjaustietojen sisällön, joka voi sisältää luonnollisia arkaluonteisia tietoja.
Lähde: opennet.ru