സംശയാസ്പദമായ ഫിൽട്ടറുകൾ ഉപയോഗിക്കുമ്പോൾ കോഡ് എക്‌സിക്യൂഷൻ അനുവദിക്കുന്ന Adblock Plus-ലെ ദുർബലത

Adblock Plus പരസ്യ ബ്ലോക്കറിൽ തിരിച്ചറിഞ്ഞു ദുർബലത, അനുവദിക്കുന്നത് ആക്രമണകാരികൾ തയ്യാറാക്കിയ പരിശോധിച്ചുറപ്പിക്കാത്ത ഫിൽട്ടറുകൾ ഉപയോഗിക്കുന്ന സാഹചര്യത്തിൽ (ഉദാഹരണത്തിന്, മൂന്നാം കക്ഷി നിയമങ്ങൾ ബന്ധിപ്പിക്കുമ്പോൾ അല്ലെങ്കിൽ MITM ആക്രമണ സമയത്ത് നിയമങ്ങൾ മാറ്റിസ്ഥാപിക്കുമ്പോൾ) സൈറ്റുകളുടെ പശ്ചാത്തലത്തിൽ JavaScript കോഡിന്റെ നിർവ്വഹണം സംഘടിപ്പിക്കുക.

ഒരു കൂട്ടം ഫിൽട്ടറുകളുള്ള ലിസ്റ്റുകളുടെ രചയിതാക്കൾക്ക് ഓപ്പറേറ്ററുമായി നിയമങ്ങൾ ചേർത്ത് ഉപയോക്താവ് തുറന്ന സൈറ്റുകളുടെ പശ്ചാത്തലത്തിൽ അവരുടെ കോഡിന്റെ നിർവ്വഹണം സംഘടിപ്പിക്കാൻ കഴിയും "മാറ്റിയെഴുതുക", ഇത് URL-ന്റെ ഭാഗം മാറ്റിസ്ഥാപിക്കാൻ നിങ്ങളെ അനുവദിക്കുന്നു. URL-ൽ ഹോസ്റ്റ് മാറ്റിസ്ഥാപിക്കാൻ റീറൈറ്റ് ഓപ്പറേറ്റർ നിങ്ങളെ അനുവദിക്കുന്നില്ല, എന്നാൽ അഭ്യർത്ഥന ആർഗ്യുമെന്റുകൾ സ്വതന്ത്രമായി കൈകാര്യം ചെയ്യാൻ ഇത് നിങ്ങളെ അനുവദിക്കുന്നു. മാറ്റിസ്ഥാപിക്കാനുള്ള മാസ്‌കായി ടെക്‌സ്‌റ്റ് മാത്രമേ ഉപയോഗിക്കാനാകൂ, സ്‌ക്രിപ്റ്റ്, ഒബ്‌ജക്റ്റ്, സബ്‌ഡോക്യുമെന്റ് ടാഗുകൾ എന്നിവയ്‌ക്ക് പകരം വയ്ക്കുന്നത് അനുവദനീയമാണ് തടഞ്ഞു.

എന്നിരുന്നാലും, ഒരു പരിഹാരത്തിൽ കോഡ് നിർവ്വഹണം നേടാനാകും.
ഗൂഗിൾ മാപ്‌സ്, ജിമെയിൽ, ഗൂഗിൾ ഇമേജുകൾ എന്നിവയുൾപ്പെടെയുള്ള ചില സൈറ്റുകൾ, നഗ്നമായ ടെക്‌സ്‌റ്റിന്റെ രൂപത്തിൽ കൈമാറ്റം ചെയ്യപ്പെടുന്ന എക്‌സിക്യൂട്ടബിൾ ജാവാസ്‌ക്രിപ്റ്റ് ബ്ലോക്കുകൾ ചലനാത്മകമായി ലോഡുചെയ്യുന്ന സാങ്കേതികത ഉപയോഗിക്കുന്നു. സെർവർ അഭ്യർത്ഥന റീഡയറക്‌ട് അനുവദിക്കുകയാണെങ്കിൽ, URL പാരാമീറ്ററുകൾ മാറ്റുന്നതിലൂടെ മറ്റൊരു ഹോസ്റ്റിലേക്ക് ഫോർവേഡ് ചെയ്യാവുന്നതാണ് (ഉദാഹരണത്തിന്, Google-ന്റെ പശ്ചാത്തലത്തിൽ, API " വഴി ഒരു റീഡയറക്‌ട് നടത്താംgoogle.com/search"). റീഡയറക്ഷൻ അനുവദിക്കുന്ന ഹോസ്റ്റുകൾക്ക് പുറമേ, ഉപയോക്തൃ ഉള്ളടക്കം (കോഡ് ഹോസ്റ്റിംഗ്, ലേഖനം പോസ്റ്റിംഗ് പ്ലാറ്റ്‌ഫോമുകൾ മുതലായവ) പോസ്റ്റുചെയ്യാൻ അനുവദിക്കുന്ന സേവനങ്ങൾക്കെതിരെയും ആക്രമണം നടത്താം.

നിർദ്ദിഷ്ട ആക്രമണ രീതി, JavaScript കോഡിന്റെ സ്ട്രിംഗുകൾ ചലനാത്മകമായി ലോഡ് ചെയ്യുന്ന പേജുകളെ മാത്രമേ ബാധിക്കുകയുള്ളൂ (ഉദാഹരണത്തിന്, XMLHttpRequest അല്ലെങ്കിൽ Fetch വഴി) തുടർന്ന് അവ നടപ്പിലാക്കുക. മറ്റൊരു പ്രധാന പരിമിതി ഒരു റീഡയറക്‌ട് ഉപയോഗിക്കേണ്ടതിന്റെ ആവശ്യകതയാണ് അല്ലെങ്കിൽ ഉറവിടം നൽകുന്ന യഥാർത്ഥ സെർവറിന്റെ വശത്ത് അനിയന്ത്രിതമായ ഡാറ്റ സ്ഥാപിക്കുക എന്നതാണ്. എന്നിരുന്നാലും, ആക്രമണത്തിന്റെ പ്രസക്തി വ്യക്തമാക്കുന്നതിന്, "google.com/search" വഴി ഒരു റീഡയറക്‌ട് ഉപയോഗിച്ച് maps.google.com തുറക്കുമ്പോൾ നിങ്ങളുടെ കോഡിന്റെ നിർവ്വഹണം എങ്ങനെ സംഘടിപ്പിക്കാമെന്ന് കാണിക്കുന്നു.

പരിഹരിക്കാനുള്ള തയ്യാറെടുപ്പിലാണ്. പ്രശ്നം തടയുന്നവരെയും ബാധിക്കുന്നു AdBlock и uBlock. uBlock ഒറിജിൻ ബ്ലോക്കറിനെ പ്രശ്നം ബാധിക്കില്ല, കാരണം അത് "റൈറ്റ്" ഓപ്പറേറ്ററെ പിന്തുണയ്ക്കുന്നില്ല. ഒരു കാലത്ത് uBlock ഉത്ഭവത്തിന്റെ രചയിതാവ്
നിരസിച്ചു സാധ്യതയുള്ള സുരക്ഷാ പ്രശ്‌നങ്ങളും മതിയായ ഹോസ്റ്റ്-ലെവൽ നിയന്ത്രണങ്ങളും ഉദ്ധരിച്ച് റീറൈറ്റിനുള്ള പിന്തുണ ചേർക്കുക (അന്വേഷണ പാരാമീറ്ററുകൾ മാറ്റിസ്ഥാപിക്കുന്നതിന് പകരം റീറൈറ്റുചെയ്യുന്നതിന് പകരം ഒരു ക്വറിസ്ട്രിപ്പ് ഓപ്ഷൻ നിർദ്ദേശിക്കപ്പെട്ടു).

നിയമങ്ങളുടെ സ്റ്റാൻഡേർഡ് ലിസ്റ്റുകളിലെ എല്ലാ മാറ്റങ്ങളും അവലോകനം ചെയ്യപ്പെടുന്നതിനാൽ, ഉപയോക്താക്കൾക്കിടയിൽ മൂന്നാം കക്ഷി ലിസ്റ്റുകൾ ബന്ധിപ്പിക്കുന്നത് വളരെ വിരളമായതിനാൽ, യഥാർത്ഥ ആക്രമണങ്ങൾക്ക് സാധ്യതയില്ലെന്ന് Adblock Plus ഡവലപ്പർമാർ കരുതുന്നു. സ്റ്റാൻഡേർഡ് ബ്ലോക്ക് ലിസ്റ്റുകൾ ഡൗൺലോഡ് ചെയ്യുന്നതിനായി HTTPS-ന്റെ ഡിഫോൾട്ട് ഉപയോഗം വഴി MITM വഴിയുള്ള നിയമങ്ങൾ മാറ്റിസ്ഥാപിക്കുന്നത് തടയുന്നു (മറ്റ് ലിസ്റ്റുകൾക്ക് ഭാവി പതിപ്പിൽ HTTP വഴി ഡൗൺലോഡ് ചെയ്യുന്നത് നിരോധിക്കാൻ പദ്ധതിയിട്ടിരിക്കുന്നു). സൈറ്റിന്റെ ഭാഗത്ത് ആക്രമണം തടയാൻ നിർദ്ദേശങ്ങൾ ഉപയോഗിക്കാം സോഷ്യലിസ്റ്റ് (ഉള്ളടക്ക സുരക്ഷാ നയം), ഇതിലൂടെ നിങ്ങൾക്ക് ബാഹ്യ ഉറവിടങ്ങൾ ലോഡ് ചെയ്യാൻ കഴിയുന്ന ഹോസ്റ്റുകളെ വ്യക്തമായി നിർണ്ണയിക്കാനാകും.

അവലംബം: opennet.ru