Filtrs, ko izmanto uBlock Origin pievienoti noteikumi tipisku tīkla portu skenēšanas skriptu bloķēšanai lietotāja lokālajā sistēmā. Atgādināsim, ka maijā vietējo portu skenēšana, atverot vietni eBay.com. Izrādījās, ka šī prakse neaprobežojas tikai ar eBay un daudziem (Citibank, TD Bank, Sky, GumTree, WePay u.c.), atverot savas lapas, izmanto lietotāja lokālās sistēmas portu skenēšanu, izmantojot kodu, lai noteiktu ThreatMetrix pakalpojuma nodrošinātos piekļuves mēģinājumus no uzlauztiem datoriem.
eBay gadījumā tika pārbaudīti 14 tīkla porti, kas saistīti ar attālās piekļuves serveriem, piemēram, VNC, TeamViewer, Anyplace Control, Aeroadmin, Ammy Admin un RDP. Iespējams, notiek pārbaude ļaunprātīgas programmatūras radītu sistēmas bojājumu pēdu klātbūtne, lai novērstu krāpnieciskus pirkumus, izmantojot robottīklus. Skenēšanu var izmantot arī, lai iegūtu datus netiešai .
Skenēšanai izmantotā tehnika ir balstīta uz mēģinājumu izveidot savienojumus ar dažādiem resursdatora 127.0.0.1 (localhost) tīkla portiem, izmantojot . Atvērta tīkla porta esamība tiek noteikta netieši, pamatojoties uz atšķirībām kļūdu apstrādē savienojumiem ar aktīvajiem un neizmantotajiem tīkla portiem. WebSocket ļauj nosūtīt tikai HTTP pieprasījumus, taču šāds pieprasījums par neaktīvu tīkla portu neizdodas nekavējoties, bet aktīvam portam tikai pēc kāda laika, mēģinot sarunāt savienojumu. Turklāt neaktīva porta gadījumā WebSocket izdod savienojuma kļūdas kodu (ERR_CONNECTION_REFUSED) un aktīva porta gadījumā savienojuma sarunu kļūdas kodu.
Papildus portu skenēšanai WebSockets var arī veikt uzbrukumiem to tīmekļa izstrādātāju sistēmām, kuri vietējā sistēmā izmanto WebSocket apdarinātājus React lietojumprogrammām. Ārēja vietne var meklēt, izmantojot tīkla portus, noteikt šāda apstrādātāja klātbūtni un izveidot savienojumu ar to. Ja izstrādātājs pieļauj kļūdu, uzbrucējs var iegūt atkļūdošanas datu saturu, kurā var būt ietverta sensitīva informācija.
Avots: opennet.ru