Adblock Plus reklāmu bloķētājā
Sarakstu ar filtru komplektiem autori var organizēt sava koda izpildi lietotāja atvērto vietņu kontekstā, pievienojot noteikumus ar operatoru "
Tomēr koda izpildi var panākt, izmantojot risinājumu.
Dažas vietnes, tostarp Google Maps, Gmail un Google attēli, izmanto izpildāmu JavaScript bloku dinamiskas ielādes paņēmienu, kas tiek pārraidīts tukša teksta veidā. Ja serveris atļauj pieprasījuma pāradresāciju, pārsūtīšanu uz citu resursdatoru var panākt, mainot URL parametrus (piemēram, Google kontekstā novirzīšanu var veikt caur API "
Piedāvātā uzbrukuma metode ietekmē tikai tās lapas, kurās dinamiski tiek ielādētas JavaScript koda virknes (piemēram, izmantojot XMLHttpRequest vai Fetch) un pēc tam tās tiek izpildītas. Vēl viens svarīgs ierobežojums ir nepieciešamība izmantot novirzīšanu vai ievietot patvaļīgus datus sākotnējā servera pusē, kas izsniedz resursu. Tomēr, lai parādītu uzbrukuma nozīmīgumu, ir parādīts, kā organizēt koda izpildi, atverot maps.google.com, izmantojot novirzīšanu caur “google.com/search”.
Labojums joprojām tiek gatavots. Problēma skar arī blokatorus
Adblock Plus izstrādātāji reālus uzbrukumus uzskata par maz ticamiem, jo tiek pārskatītas visas izmaiņas standarta noteikumu sarakstos, un trešo pušu sarakstu savienošana lietotāju vidū ir ārkārtīgi reti sastopama. Noteikumu aizstāšanu, izmantojot MITM, novērš noklusējuma HTTPS izmantošana standarta bloķēšanas sarakstu lejupielādei (citiem sarakstiem nākotnē plānots aizliegt lejupielādi, izmantojot HTTP). Norādījumus var izmantot, lai bloķētu uzbrukumu vietnes pusē
Avots: opennet.ru