Filtret som används i uBlock Origin tillagda regler för att blockera typiska nätverksportsskanningsskript på användarens lokala system. Låt oss påminna dig om det i maj skanna lokala portar när du öppnar eBay.com. Det visade sig att denna praxis inte är begränsad till eBay och många (Citibank, TD Bank, Sky, GumTree, WePay, etc.) använder portskanning av användarens lokala system när de öppnar sina sidor och använder kod för att upptäcka åtkomstförsök från hackade datorer som tillhandahålls av ThreatMetrix-tjänsten.
När det gäller eBay kontrollerades 14 nätverksportar associerade med fjärråtkomstservrar som VNC, TeamViewer, Anyplace Control, Aeroadmin, Ammy Admin och RDP. Förmodligen incheckning pågår förekomst av spår av systemskador av skadlig programvara för att förhindra bedrägliga köp med botnät. Skanning kan också användas för att erhålla data för indirekt .
En teknik som används för skanning är baserad på att försöka upprätta anslutningar till olika nätverksportar hos värden 127.0.0.1 (localhost) via . Förekomsten av en öppen nätverksport bestäms indirekt baserat på skillnaden i felhantering för anslutningar till aktiva och oanvända nätverksportar. WebSocket låter dig bara skicka HTTP-förfrågningar, men en sådan begäran om en inaktiv nätverksport misslyckas omedelbart, och för en aktiv port först efter att en viss tid har använts för att försöka förhandla anslutningen. Dessutom, i fallet med en inaktiv port, utfärdar WebSocket en anslutningsfelkod (ERR_CONNECTION_REFUSED), och i fallet med en aktiv port, en anslutningsförhandlingsfelkod.
Förutom portskanning kan WebSockets också för attacker på system hos webbutvecklare som kör WebSocket-hanterare för React-applikationer på det lokala systemet. En extern webbplats kan söka genom nätverksportar, fastställa närvaron av en sådan hanterare och ansluta till den. Om utvecklaren gör ett misstag kan en angripare erhålla innehållet i felsökningsdata, vilket kan innehålla skissartad känslig information.
Källa: opennet.ru