Filter yang digunakan di uBlock Origin menambahkan aturan untuk memblokir skrip pemindaian port jaringan pada sistem lokal pengguna. Izinkan kami mengingatkan Anda hal itu di bulan Mei memindai port lokal saat membuka eBay.com. Ternyata praktik ini tidak terbatas pada eBay dan banyak lainnya (Citibank, TD Bank, Sky, GumTree, WePay, dll.) menggunakan pemindaian port sistem lokal pengguna saat membuka halaman mereka, menggunakan kode untuk mendeteksi upaya akses dari komputer yang diretas yang disediakan oleh layanan ThreatMetrix.
Dalam kasus eBay, 14 port jaringan yang terkait dengan server akses jarak jauh seperti VNC, TeamViewer, Anyplace Control, Aeroadmin, Ammy Admin, dan RDP telah diperiksa. Mungkin pemeriksaan sedang berlangsung adanya jejak kerusakan sistem oleh malware untuk mencegah pembelian palsu menggunakan botnet. Pemindaian juga dapat digunakan untuk memperoleh data secara tidak langsung .
Teknik yang digunakan untuk pemindaian didasarkan pada upaya membuat koneksi ke berbagai port jaringan host 127.0.0.1 (localhost) melalui . Adanya port jaringan yang terbuka ditentukan secara tidak langsung berdasarkan perbedaan penanganan error koneksi ke port jaringan yang aktif dan tidak terpakai. WebSocket memungkinkan Anda mengirim hanya permintaan HTTP, tetapi permintaan untuk port jaringan yang tidak aktif akan langsung gagal, dan untuk port yang aktif hanya setelah beberapa waktu dihabiskan untuk mencoba menegosiasikan koneksi. Selain itu, jika port tidak aktif, WebSocket mengeluarkan kode kesalahan koneksi (ERR_CONNECTION_REFUSED), dan jika port aktif, kode kesalahan negosiasi koneksi.
Selain pemindaian port, WebSockets juga bisa untuk serangan terhadap sistem pengembang web yang menjalankan penangan WebSocket untuk aplikasi React di sistem lokal. Situs eksternal dapat mencari melalui port jaringan, menentukan keberadaan pengendali tersebut, dan menyambung ke sana. Jika pengembang membuat kesalahan, penyerang dapat memperoleh konten data debug, yang mungkin berisi informasi sensitif yang tidak jelas.
Sumber: opennet.ru