ตัวกรองที่ใช้ใน uBlock Origin เพิ่มกฎสำหรับการบล็อกสคริปต์การสแกนพอร์ตเครือข่ายทั่วไปบนระบบภายในของผู้ใช้ เราขอเตือนคุณว่าในเดือนพฤษภาคม สแกนพอร์ตในเครื่องเมื่อเปิด eBay.com ปรากฎว่าแนวปฏิบัตินี้ไม่ได้จำกัดอยู่เพียง eBay และอีกหลายรายการเท่านั้น (Citibank, TD Bank, Sky, GumTree, WePay ฯลฯ) ใช้การสแกนพอร์ตของระบบท้องถิ่นของผู้ใช้เมื่อเปิดหน้าเว็บ โดยใช้โค้ดเพื่อตรวจจับความพยายามในการเข้าถึงจากคอมพิวเตอร์ที่ถูกแฮ็กซึ่งให้บริการ ThreatMetrix
ในกรณีของ eBay มีการตรวจสอบพอร์ตเครือข่าย 14 พอร์ตที่เกี่ยวข้องกับเซิร์ฟเวอร์การเข้าถึงระยะไกล เช่น VNC, TeamViewer, Anyplace Control, Aeroadmin, Ammy Admin และ RDP คงจะอยู่ระหว่างการตรวจสอบ มีร่องรอยความเสียหายของระบบจากมัลแวร์เพื่อป้องกันการซื้อที่ฉ้อโกงโดยใช้บอทเน็ต การสแกนยังสามารถใช้เพื่อรับข้อมูลทางอ้อมได้ .
เทคนิคที่ใช้ในการสแกนขึ้นอยู่กับการพยายามสร้างการเชื่อมต่อกับพอร์ตเครือข่ายต่างๆ ของโฮสต์ 127.0.0.1 (localhost) ผ่าน . การมีอยู่ของพอร์ตเครือข่ายแบบเปิดถูกกำหนดโดยอ้อมตามความแตกต่างในการจัดการข้อผิดพลาดสำหรับการเชื่อมต่อกับพอร์ตเครือข่ายที่ใช้งานอยู่และไม่ได้ใช้ WebSocket อนุญาตให้คุณส่งเฉพาะคำขอ HTTP แต่คำขอดังกล่าวสำหรับพอร์ตเครือข่ายที่ไม่ได้ใช้งานจะล้มเหลวทันที และสำหรับพอร์ตที่ใช้งานอยู่หลังจากใช้เวลาไประยะหนึ่งในการพยายามเจรจาการเชื่อมต่อเท่านั้น นอกจากนี้ ในกรณีของพอร์ตที่ไม่ได้ใช้งาน WebSocket จะออกรหัสข้อผิดพลาดในการเชื่อมต่อ (ERR_CONNECTION_REFUSED) และในกรณีของพอร์ตที่ใช้งานอยู่ จะออกรหัสข้อผิดพลาดในการเจรจาการเชื่อมต่อ
นอกจากการสแกนพอร์ตแล้ว WebSockets ยังสามารถ สำหรับการโจมตีระบบของนักพัฒนาเว็บที่ใช้ตัวจัดการ WebSocket สำหรับแอปพลิเคชัน React บนระบบโลคัล ไซต์ภายนอกสามารถค้นหาผ่านพอร์ตเครือข่าย ตรวจสอบการมีอยู่ของตัวจัดการดังกล่าว และเชื่อมต่อกับไซต์นั้น หากนักพัฒนาทำผิดพลาด ผู้โจมตีสามารถรับเนื้อหาของข้อมูลการแก้ไขข้อบกพร่อง ซึ่งอาจรวมถึงข้อมูลที่ละเอียดอ่อนโดยสรุป
ที่มา: opennet.ru