ايڊ بلاڪ پلس ۾ اشتهار بلاڪر ڪمزوري، سائيٽن جي حوالي سان جاوا اسڪرپٽ ڪوڊ جي عمل کي منظم ڪريو، حملي ڪندڙن پاران تيار ڪيل غير تصديق ٿيل فلٽر استعمال ڪرڻ جي صورت ۾ (مثال طور، جڏهن ٽئين پارٽي جي قاعدن جي سيٽ کي ڳنڍڻ يا MITM حملي دوران ضابطن جي متبادل ذريعي).
فلٽرن جي سيٽن سان لسٽن جا ليکڪ، صارف پاران کوليل سائيٽن جي سلسلي ۾ پنھنجي ڪوڊ جي عمل کي منظم ڪري سگھن ٿا."، جيڪو توهان کي URL جو حصو تبديل ڪرڻ جي اجازت ڏئي ٿو. ٻيهر لکڻ وارو آپريٽر توهان کي URL ۾ ميزبان کي تبديل ڪرڻ جي اجازت نٿو ڏئي، پر اهو توهان کي اجازت ڏئي ٿو ته درخواست جي دليلن کي آزاديء سان ترتيب ڏيو. صرف متن کي متبادل ماسڪ طور استعمال ڪري سگھجي ٿو، ۽ اسڪرپٽ، اعتراض ۽ سب ڊاڪيومينٽ ٽيگ جي متبادل جي اجازت آھي .
تنهن هوندي به، ڪوڊ جي عمل کي هڪ workaround ۾ حاصل ڪري سگهجي ٿو.
ڪجھ سائيٽون، بشمول گوگل ميپس، جي ميل، ۽ گوگل تصويرون، متحرڪ طور تي لوڊ ڪرڻ جي ٽيڪنڪ استعمال ڪن ٿيون ايگزيڪيوٽو جاوا اسڪرپٽ بلاڪ، جيڪي بيئر ٽيڪسٽ جي صورت ۾ منتقل ڪيا ويا آھن. جيڪڏهن سرور اجازت ڏئي ٿو ريڊائريڪشن جي درخواست، ته پوءِ ٻئي ميزبان ڏانهن فارورڊ ڪرڻ حاصل ڪري سگهجي ٿو URL پيٽرولر کي تبديل ڪرڻ سان (مثال طور، گوگل جي حوالي سان، هڪ ريڊائريڪيشن API ذريعي ڪري سگهجي ٿو""). ميزبانن کان علاوه جيڪي ريڊائريڪشن جي اجازت ڏين ٿا، هڪ حملو انهن خدمتن جي خلاف پڻ ٿي سگهي ٿو جيڪي صارف جي مواد جي پوسٽنگ جي اجازت ڏين ٿيون (ڪوڊ هوسٽنگ، آرٽيڪل پوسٽنگ پليٽ فارم، وغيره).
حملي جو تجويز ڪيل طريقو صرف انهن صفحن کي متاثر ڪري ٿو جيڪي متحرڪ طور تي جاوا اسڪرپٽ ڪوڊ جي تارن کي لوڊ ڪن ٿا (مثال طور، XMLHttpRequest يا Fetch ذريعي) ۽ پوءِ انهن تي عمل ڪريو. هڪ ٻي اهم حد هڪ ريڊائريڪٽ استعمال ڪرڻ جي ضرورت آهي يا وسيلن کي جاري ڪرڻ واري اصل سرور جي پاسي تي صوابديدي ڊيٽا رکي. بهرحال، حملي جي لاڳاپي کي ظاهر ڪرڻ لاءِ، اهو ڏيکاريو ويو آهي ته توهان جي ڪوڊ جي عمل کي ڪيئن منظم ڪجي جڏهن "google.com/search" ذريعي ريڊائريڪٽ استعمال ڪندي maps.google.com کولڻ.
فيڪس اڃا تياري ۾ آهي. مسئلو پڻ بلاڪرن کي متاثر ڪري ٿو и . uBlock Origin blocker مسئلي کان متاثر نه ٿيو آهي، ڇاڪاڻ ته اهو ”ري رائٽ“ آپريٽر کي سپورٽ نٿو ڪري. هڪ وقت ۾ uBlock Origin جو ليکڪ
ٻيهر لکڻ لاءِ سپورٽ شامل ڪريو، امڪاني حفاظتي مسئلن ۽ ميزبان سطح جي ناکافي پابندين جو حوالو ڏيندي (هڪ سوال اسٽريپ آپشن تجويز ڪيو ويو هو ٻيهر لکڻ جي بدران سوالن جي پيٽرولن کي صاف ڪرڻ لاءِ انهن کي تبديل ڪرڻ بدران).
Adblock پلس ڊولپرز حقيقي حملن کي ممڪن نه سمجهن ٿا، ڇاڪاڻ ته ضابطن جي معياري فهرستن ۾ سڀني تبديلين جو جائزو ورتو ويو آهي، ۽ ٽئين پارٽي جي لسٽن کي ڳنڍڻ صارفين جي وچ ۾ انتهائي ناياب آهي. MITM ذريعي ضابطن جي متبادل کي معياري بلاڪ لسٽن کي ڊائون لوڊ ڪرڻ لاءِ HTTPS جي ڊفالٽ استعمال کان روڪيو ويو آهي (ٻين لسٽن لاءِ اهو مستقبل جي رليز ۾ HTTP ذريعي ڊائون لوڊ ڪرڻ کان منع ڪرڻ جو منصوبو آهي). ھدايتون استعمال ڪري سگھجن ٿيون سائيٽ تي حملي کي روڪڻ لاءِ (Content Security Policy) جنهن جي ذريعي توهان انهن ميزبانن کي واضح طور تي طئي ڪري سگهو ٿا جن مان ٻاهرين وسيلن کي لوڊ ڪري سگهجي ٿو.
جو ذريعو: opennet.ru