ಆಡ್ಬ್ಲಾಕ್ ಪ್ಲಸ್ ಜಾಹೀರಾತು ಬ್ಲಾಕರ್ನಲ್ಲಿ ದುರ್ಬಲತೆ, ದಾಳಿಕೋರರು ಸಿದ್ಧಪಡಿಸಿದ ಪರಿಶೀಲಿಸದ ಫಿಲ್ಟರ್ಗಳನ್ನು ಬಳಸುವ ಸಂದರ್ಭದಲ್ಲಿ (ಉದಾಹರಣೆಗೆ, ಮೂರನೇ ವ್ಯಕ್ತಿಯ ನಿಯಮಗಳ ಸೆಟ್ಗಳನ್ನು ಸಂಪರ್ಕಿಸುವಾಗ ಅಥವಾ MITM ದಾಳಿಯ ಸಮಯದಲ್ಲಿ ನಿಯಮಗಳ ಪರ್ಯಾಯದ ಮೂಲಕ) ಸೈಟ್ಗಳ ಸಂದರ್ಭದಲ್ಲಿ JavaScript ಕೋಡ್ನ ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆಯನ್ನು ಆಯೋಜಿಸಿ.
ಫಿಲ್ಟರ್ಗಳ ಸೆಟ್ಗಳನ್ನು ಹೊಂದಿರುವ ಪಟ್ಟಿಗಳ ಲೇಖಕರು ಆಪರೇಟರ್ನೊಂದಿಗೆ ನಿಯಮಗಳನ್ನು ಸೇರಿಸುವ ಮೂಲಕ ಬಳಕೆದಾರರು ತೆರೆದ ಸೈಟ್ಗಳ ಸಂದರ್ಭದಲ್ಲಿ ತಮ್ಮ ಕೋಡ್ನ ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆಯನ್ನು ಆಯೋಜಿಸಬಹುದು "", ಇದು URL ನ ಭಾಗವನ್ನು ಬದಲಾಯಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಪುನಃ ಬರೆಯುವ ಆಪರೇಟರ್ ನಿಮಗೆ URL ನಲ್ಲಿ ಹೋಸ್ಟ್ ಅನ್ನು ಬದಲಾಯಿಸಲು ಅನುಮತಿಸುವುದಿಲ್ಲ, ಆದರೆ ವಿನಂತಿಯ ಆರ್ಗ್ಯುಮೆಂಟ್ಗಳನ್ನು ಮುಕ್ತವಾಗಿ ಕುಶಲತೆಯಿಂದ ನಿರ್ವಹಿಸಲು ಇದು ನಿಮ್ಮನ್ನು ಅನುಮತಿಸುತ್ತದೆ. ಬದಲಿ ಮುಖವಾಡವಾಗಿ ಪಠ್ಯವನ್ನು ಮಾತ್ರ ಬಳಸಬಹುದು ಮತ್ತು ಸ್ಕ್ರಿಪ್ಟ್, ಆಬ್ಜೆಕ್ಟ್ ಮತ್ತು ಸಬ್ಡಾಕ್ಯುಮೆಂಟ್ ಟ್ಯಾಗ್ಗಳ ಪರ್ಯಾಯವನ್ನು ಅನುಮತಿಸಲಾಗಿದೆ .
ಆದಾಗ್ಯೂ, ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ ಅನ್ನು ಪರಿಹಾರದಲ್ಲಿ ಸಾಧಿಸಬಹುದು.
ಗೂಗಲ್ ನಕ್ಷೆಗಳು, ಜಿಮೇಲ್ ಮತ್ತು ಗೂಗಲ್ ಚಿತ್ರಗಳು ಸೇರಿದಂತೆ ಕೆಲವು ಸೈಟ್ಗಳು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಬ್ಲಾಕ್ಗಳನ್ನು ಕ್ರಿಯಾತ್ಮಕವಾಗಿ ಲೋಡ್ ಮಾಡುವ ತಂತ್ರವನ್ನು ಬಳಸುತ್ತವೆ, ಇದನ್ನು ಬೇರ್ ಪಠ್ಯದ ರೂಪದಲ್ಲಿ ರವಾನಿಸಲಾಗುತ್ತದೆ. ಸರ್ವರ್ ವಿನಂತಿಯ ಮರುನಿರ್ದೇಶನವನ್ನು ಅನುಮತಿಸಿದರೆ, URL ನಿಯತಾಂಕಗಳನ್ನು ಬದಲಾಯಿಸುವ ಮೂಲಕ ಮತ್ತೊಂದು ಹೋಸ್ಟ್ಗೆ ಫಾರ್ವರ್ಡ್ ಮಾಡುವುದನ್ನು ಸಾಧಿಸಬಹುದು (ಉದಾಹರಣೆಗೆ, Google ನ ಸಂದರ್ಭದಲ್ಲಿ, API ಮೂಲಕ ಮರುನಿರ್ದೇಶನವನ್ನು ಮಾಡಬಹುದು "") ಮರುನಿರ್ದೇಶನವನ್ನು ಅನುಮತಿಸುವ ಹೋಸ್ಟ್ಗಳ ಜೊತೆಗೆ, ಬಳಕೆದಾರರ ವಿಷಯವನ್ನು ಪೋಸ್ಟ್ ಮಾಡಲು ಅನುಮತಿಸುವ ಸೇವೆಗಳ ವಿರುದ್ಧವೂ ದಾಳಿಯನ್ನು ನಡೆಸಬಹುದು (ಕೋಡ್ ಹೋಸ್ಟಿಂಗ್, ಲೇಖನ ಪೋಸ್ಟ್ ಮಾಡುವ ವೇದಿಕೆಗಳು, ಇತ್ಯಾದಿ.).
ಪ್ರಸ್ತಾವಿತ ದಾಳಿ ವಿಧಾನವು JavaScript ಕೋಡ್ನ ಸ್ಟ್ರಿಂಗ್ಗಳನ್ನು ಕ್ರಿಯಾತ್ಮಕವಾಗಿ ಲೋಡ್ ಮಾಡುವ ಪುಟಗಳ ಮೇಲೆ ಮಾತ್ರ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ (ಉದಾಹರಣೆಗೆ, XMLHttpRequest ಅಥವಾ Fetch ಮೂಲಕ) ಮತ್ತು ನಂತರ ಅವುಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುತ್ತದೆ. ಸಂಪನ್ಮೂಲವನ್ನು ನೀಡುವ ಮೂಲ ಸರ್ವರ್ನ ಬದಿಯಲ್ಲಿ ಮರುನಿರ್ದೇಶನ ಅಥವಾ ಅನಿಯಂತ್ರಿತ ಡೇಟಾವನ್ನು ಬಳಸುವ ಅಗತ್ಯವು ಮತ್ತೊಂದು ಪ್ರಮುಖ ಮಿತಿಯಾಗಿದೆ. ಆದಾಗ್ಯೂ, ದಾಳಿಯ ಪ್ರಸ್ತುತತೆಯನ್ನು ಪ್ರದರ್ಶಿಸಲು, "google.com/search" ಮೂಲಕ ಮರುನಿರ್ದೇಶನವನ್ನು ಬಳಸಿಕೊಂಡು maps.google.com ಅನ್ನು ತೆರೆಯುವಾಗ ನಿಮ್ಮ ಕೋಡ್ನ ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆಯನ್ನು ಹೇಗೆ ಸಂಘಟಿಸಬೇಕು ಎಂಬುದನ್ನು ತೋರಿಸಲಾಗಿದೆ.
ಫಿಕ್ಸ್ ಇನ್ನೂ ತಯಾರಿಯಲ್ಲಿದೆ. ಸಮಸ್ಯೆ ಬ್ಲಾಕರ್ಗಳ ಮೇಲೂ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ и . uBlock ಮೂಲ ಬ್ಲಾಕರ್ ಸಮಸ್ಯೆಯಿಂದ ಪ್ರಭಾವಿತವಾಗಿಲ್ಲ, ಏಕೆಂದರೆ ಇದು "ಮರುಬರಹ" ಆಪರೇಟರ್ ಅನ್ನು ಬೆಂಬಲಿಸುವುದಿಲ್ಲ. ಒಂದು ಸಮಯದಲ್ಲಿ uBlock ಮೂಲದ ಲೇಖಕ
ಸಂಭಾವ್ಯ ಭದ್ರತಾ ಸಮಸ್ಯೆಗಳು ಮತ್ತು ಸಾಕಷ್ಟು ಹೋಸ್ಟ್-ಮಟ್ಟದ ನಿರ್ಬಂಧಗಳನ್ನು ಉಲ್ಲೇಖಿಸಿ ಪುನಃ ಬರೆಯಲು ಬೆಂಬಲವನ್ನು ಸೇರಿಸಿ (ಪ್ರಶ್ನೆ ಪ್ಯಾರಾಮೀಟರ್ಗಳನ್ನು ಬದಲಿಸುವ ಬದಲು ಪುನಃ ಬರೆಯುವ ಬದಲು ಕ್ವೆರಿಸ್ಟ್ರಿಪ್ ಆಯ್ಕೆಯನ್ನು ಪ್ರಸ್ತಾಪಿಸಲಾಗಿದೆ).
ಆಡ್ಬ್ಲಾಕ್ ಪ್ಲಸ್ ಡೆವಲಪರ್ಗಳು ನೈಜ ದಾಳಿಗಳು ಅಸಂಭವವೆಂದು ಪರಿಗಣಿಸುತ್ತಾರೆ, ಏಕೆಂದರೆ ನಿಯಮಗಳ ಪ್ರಮಾಣಿತ ಪಟ್ಟಿಗಳಲ್ಲಿನ ಎಲ್ಲಾ ಬದಲಾವಣೆಗಳನ್ನು ಪರಿಶೀಲಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಪಟ್ಟಿಗಳನ್ನು ಸಂಪರ್ಕಿಸುವುದು ಬಳಕೆದಾರರಲ್ಲಿ ಅತ್ಯಂತ ಅಪರೂಪ. ಪ್ರಮಾಣಿತ ಬ್ಲಾಕ್ ಪಟ್ಟಿಗಳನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡಲು HTTPS ನ ಡೀಫಾಲ್ಟ್ ಬಳಕೆಯಿಂದ MITM ಮೂಲಕ ನಿಯಮಗಳ ಪರ್ಯಾಯವನ್ನು ತಡೆಯಲಾಗುತ್ತದೆ (ಇತರ ಪಟ್ಟಿಗಳಿಗೆ ಭವಿಷ್ಯದ ಬಿಡುಗಡೆಯಲ್ಲಿ HTTP ಮೂಲಕ ಡೌನ್ಲೋಡ್ ಮಾಡುವುದನ್ನು ನಿಷೇಧಿಸಲು ಯೋಜಿಸಲಾಗಿದೆ). ಸೈಟ್ ಭಾಗದಲ್ಲಿ ದಾಳಿಯನ್ನು ನಿರ್ಬಂಧಿಸಲು ನಿರ್ದೇಶನಗಳನ್ನು ಬಳಸಬಹುದು (ವಿಷಯ ಭದ್ರತಾ ನೀತಿ), ಇದರ ಮೂಲಕ ನೀವು ಬಾಹ್ಯ ಸಂಪನ್ಮೂಲಗಳನ್ನು ಲೋಡ್ ಮಾಡಬಹುದಾದ ಹೋಸ್ಟ್ಗಳನ್ನು ಸ್ಪಷ್ಟವಾಗಿ ನಿರ್ಧರಿಸಬಹುದು.
ಮೂಲ: opennet.ru