uBlock Origin で使用されるフィルター ユーザーのローカル システム上の一般的なネットワーク ポート スキャン スクリプトをブロックするためのルールが追加されました。 XNUMX月に思い出させてください eBay.com を開くときにローカル ポートをスキャンします。 この慣行は eBay に限定されず、多くの企業で行われていることが判明しました。 (Citibank、TD Bank、Sky、GumTree、WePay など) は、ThreatMetrix サービスが提供するハッキングされたコンピューターからのアクセス試行を検出するコードを使用して、ページを開くときにユーザーのローカル システムのポート スキャンを使用します。
eBay の場合、VNC、TeamViewer、Anyplace Control、Aeroadmin、Ammy Admin、RDP などのリモート アクセス サーバーに関連付けられた 14 個のネットワーク ポートがチェックされました。 おそらくチェック中です ボットネットを利用した不正購入を防ぐため、マルウェアによるシステム損傷の痕跡の存在を確認します。 スキャンは間接的なデータの取得にも使用できます。 .
スキャンに使用される手法は、ホスト 127.0.0.1 (localhost) のさまざまなネットワーク ポートへの接続の確立を試行することに基づいています。 。 オープン ネットワーク ポートの存在は、アクティブなネットワーク ポートと未使用のネットワーク ポートへの接続のエラー処理の違いに基づいて間接的に判断されます。 WebSocket では HTTP リクエストのみを送信できますが、非アクティブなネットワーク ポートに対するそのようなリクエストはすぐに失敗し、アクティブなポートに対するリクエストは接続のネゴシエーションに時間がかかるまで失敗します。 さらに、WebSocket は、非アクティブなポートの場合は接続エラー コード (ERR_CONNECTION_REFUSED) を発行し、アクティブなポートの場合は接続ネゴシエーション エラー コードを発行します。
WebSocket はポート スキャンに加えて、次のことも行うことができます。 ローカル システム上で React アプリケーションの WebSocket ハンドラーを実行している Web 開発者のシステムに対する攻撃。 外部サイトは、ネットワーク ポートを介して検索し、そのようなハンドラーの存在を確認して、それに接続できます。 開発者がミスをすると、攻撃者がデバッグ データの内容を取得する可能性があり、これには大まかな機密情報が含まれる可能性があります。
出所: オープンネット.ru