Filter používaný v uBlock Origin pridané pravidlá na blokovanie typických skriptov skenovania sieťových portov v lokálnom systéme používateľa. Pripomeňme, že v máji skenovanie miestnych portov pri otvorení eBay.com. Ukázalo sa, že táto prax sa neobmedzuje len na eBay a mnohé ďalšie (Citibank, TD Bank, Sky, GumTree, WePay atď.) využívajú pri otváraní svojich stránok skenovanie portov lokálneho systému používateľa, pričom využívajú kód na detekciu pokusov o prístup z napadnutých počítačov poskytovaných službou ThreatMetrix.
V prípade eBay bolo skontrolovaných 14 sieťových portov spojených so servermi vzdialeného prístupu, ako sú VNC, TeamViewer, Anyplace Control, Aeroadmin, Ammy Admin a RDP. Pravdepodobne prebieha kontrola prítomnosť stôp po poškodení systému škodlivým softvérom, aby sa zabránilo podvodným nákupom pomocou botnetov. Skenovanie možno použiť aj na získanie údajov pre nepriame .
Technika používaná na skenovanie je založená na pokuse nadviazať spojenie s rôznymi sieťovými portami hostiteľa 127.0.0.1 (localhost) cez . Prítomnosť otvoreného sieťového portu sa určuje nepriamo na základe rozdielu v spracovaní chýb pri pripojení k aktívnym a nepoužívaným sieťovým portom. WebSocket vám umožňuje odosielať iba požiadavky HTTP, ale takáto požiadavka na neaktívny sieťový port zlyhá okamžite a na aktívny port až po určitom čase strávenom pokusmi o vyjednanie spojenia. Okrem toho v prípade neaktívneho portu WebSocket vydá kód chyby pripojenia (ERR_CONNECTION_REFUSED) a v prípade aktívneho portu kód chyby vyjednávania pripojenia.
Okrem skenovania portov môžu WebSockets tiež pre útoky na systémy webových vývojárov, ktorí používajú obslužné nástroje WebSocket pre aplikácie React na lokálnom systéme. Externá lokalita môže prehľadávať sieťové porty, určiť prítomnosť takéhoto handlera a pripojiť sa k nemu. Ak sa vývojár pomýli, útočník môže získať obsah ladiacich údajov, ktoré môžu obsahovať útržkovité citlivé informácie.
Zdroj: opennet.ru