Filteret som brukes i uBlock Origin lagt til regler for blokkering av typiske nettverksportskanningsskript på brukerens lokale system. La oss minne deg på det i mai skanner lokale porter når du åpner eBay.com. Det viste seg at denne praksisen ikke er begrenset til eBay og mange (Citibank, TD Bank, Sky, GumTree, WePay, etc.) bruker portskanning av brukerens lokale system når de åpner sidene deres, og bruker kode for å oppdage tilgangsforsøk fra hackede datamaskiner levert av ThreatMetrix-tjenesten.
Når det gjelder eBay, ble 14 nettverksporter knyttet til fjerntilgangsservere som VNC, TeamViewer, Anyplace Control, Aeroadmin, Ammy Admin og RDP sjekket. Sjekker sannsynligvis pågår tilstedeværelse av spor etter systemskade av skadelig programvare for å forhindre uredelige kjøp ved bruk av botnett. Skanning kan også brukes til å innhente data for indirekte .
En teknikk som brukes for skanning er basert på forsøk på å etablere tilkoblinger til ulike nettverksporter til verten 127.0.0.1 (localhost) via . Tilstedeværelsen av en åpen nettverksport bestemmes indirekte basert på forskjellen i feilhåndtering for tilkoblinger til aktive og ubrukte nettverksporter. WebSocket lar deg sende bare HTTP-forespørsler, men en slik forespørsel om en inaktiv nettverksport mislykkes umiddelbart, og for en aktiv port først etter at det har brukt litt tid på å prøve å forhandle tilkoblingen. I tillegg, i tilfelle av en inaktiv port, utsteder WebSocket en tilkoblingsfeilkode (ERR_CONNECTION_REFUSED), og i tilfelle en aktiv port, en feilkode for tilkoblingsforhandling.
I tillegg til portskanning kan WebSockets også for angrep på systemene til webutviklere som kjører WebSocket-behandlere for React-applikasjoner på det lokale systemet. Et eksternt nettsted kan søke gjennom nettverksporter, fastslå tilstedeværelsen av en slik behandler og koble til den. Hvis utvikleren gjør en feil, kan en angriper få tak i innholdet i feilsøkingsdataene, som kan inneholde skissert sensitiv informasjon.
Kilde: opennet.ru