Adblock Plus жарнама блокаторында осалдық, шабуылдаушылар дайындаған тексерілмеген сүзгілерді пайдаланған жағдайда (мысалы, үшінші тарап ережелер жиынын қосқанда немесе MITM шабуылы кезінде ережелерді ауыстыру арқылы) сайттар контекстінде JavaScript кодын орындауды ұйымдастыру.
Сүзгілер жиынтығы бар тізімдердің авторлары оператормен ережелерді қосу арқылы пайдаланушы ашқан сайттар контексінде өз кодының орындалуын ұйымдастыра алады.", бұл URL мекенжайының бір бөлігін ауыстыруға мүмкіндік береді. Қайта жазу операторы URL мекенжайындағы хостты ауыстыруға мүмкіндік бермейді, бірақ ол сұрау аргументтерін еркін өңдеуге мүмкіндік береді. Ауыстыру маскасы ретінде тек мәтінді пайдалануға болады және сценарий, нысан және ішкі құжат тегтерін ауыстыруға рұқсат етіледі .
Дегенмен, кодтың орындалуына уақытша шешімде қол жеткізуге болады.
Кейбір сайттар, соның ішінде Google Maps, Gmail және Google Images, бос мәтін түрінде жіберілетін орындалатын JavaScript блоктарын динамикалық жүктеу техникасын пайдаланады. Егер сервер сұрауды қайта бағыттауға рұқсат берсе, онда басқа хостқа қайта бағыттауға URL параметрлерін өзгерту арқылы қол жеткізуге болады (мысалы, Google контекстінде, қайта бағыттауды API арқылы жасауға болады "«). Қайта бағыттауға мүмкіндік беретін хосттардан басқа, пайдаланушы мазмұнын (кодтарды орналастыру, мақалаларды жариялау платформалары және т.б.) орналастыруға мүмкіндік беретін қызметтерге шабуыл жасалуы мүмкін.
Ұсынылған шабуыл әдісі JavaScript кодының жолдарын динамикалық түрде жүктейтін беттерге ғана әсер етеді (мысалы, XMLHttpRequest немесе Fetch арқылы), содан кейін оларды орындайды. Тағы бір маңызды шектеу - қайта бағыттауды пайдалану немесе ресурсты шығаратын бастапқы сервердің жағында ерікті деректерді орналастыру қажеттілігі. Дегенмен, шабуылдың өзектілігін көрсету үшін maps.google.com сайтын ашқанда, «google.com/search» арқылы қайта бағыттау арқылы кодтың орындалуын қалай ұйымдастыру керектігі көрсетілген.
Түзету әлі дайындық үстінде. Мәселе блокаторларға да әсер етеді и . uBlock Origin блокаторына мәселе әсер етпейді, өйткені ол «қайта жазу» операторын қолдамайды. Бір кездері uBlock Origin авторы
ықтимал қауіпсіздік мәселелеріне және хост деңгейіндегі жеткіліксіз шектеулерге сілтеме жасай отырып, қайта жазуға қолдау қосыңыз (сұрау параметрлерін ауыстырудың орнына тазалау үшін қайта жазудың орнына сұрау жолағы опциясы ұсынылды).
Adblock Plus әзірлеушілері нақты шабуылдарды екіталай деп санайды, өйткені стандартты ережелер тізімдеріндегі барлық өзгерістер қаралады және пайдаланушылар арасында үшінші тарап тізімдерін қосу өте сирек кездеседі. MITM арқылы ережелерді ауыстыру стандартты блоктау тізімдерін жүктеу үшін HTTPS әдепкі пайдалануымен болдырмайды (басқа тізімдер үшін болашақ шығарылымда HTTP арқылы жүктеуге тыйым салу жоспарлануда). Директиваларды сайт жағындағы шабуылды блоктау үшін пайдалануға болады (Мазмұн қауіпсіздігі саясаты), ол арқылы сыртқы ресурстарды жүктеуге болатын хосттарды нақты анықтауға болады.
Ақпарат көзі: opennet.ru