Adblock Plus reklama blokerida zaiflik, tajovuzkorlar tomonidan tayyorlangan tekshirilmagan filtrlardan foydalanganda (masalan, uchinchi tomon qoidalar to'plamini ulashda yoki MITM hujumi paytida qoidalarni almashtirishda) saytlar kontekstida JavaScript kodini bajarilishini tashkil qilish.
Filtrlar to'plamiga ega ro'yxatlar mualliflari operator bilan qoidalar qo'shish orqali foydalanuvchi tomonidan ochilgan saytlar kontekstida o'z kodlarining bajarilishini tashkil qilishlari mumkin.", bu URLning bir qismini almashtirish imkonini beradi. Qayta yozish operatori URL manzilidagi xostni almashtirishga ruxsat bermaydi, lekin so'rov argumentlarini erkin boshqarish imkonini beradi. O'zgartirish niqobi sifatida faqat matnga ruxsat beriladi va skript, ob'ekt va subhujjat teglarini almashtirishga ruxsat beriladi .
Biroq, kodning bajarilishiga vaqtinchalik hal qilish orqali erishish mumkin.
Ba'zi saytlar, jumladan, Google Maps, Gmail va Google Images, yalang'och matn shaklida uzatiladigan bajariladigan JavaScript bloklarini dinamik ravishda yuklash texnikasidan foydalanadi. Agar server so'rovni qayta yo'naltirishga ruxsat bersa, u holda boshqa xostga yo'naltirishga URL parametrlarini o'zgartirish orqali erishish mumkin (masalan, Google kontekstida API orqali qayta yo'naltirish mumkin ""). Qayta yo'naltirishga ruxsat beruvchi xostlardan tashqari, foydalanuvchi kontentini joylashtirishga ruxsat beruvchi xizmatlarga ham hujum qilish mumkin (kod hosting, maqola joylashtirish platformalari va boshqalar).
Tavsiya etilgan hujum usuli faqat JavaScript kodining satrlarini dinamik ravishda yuklaydigan (masalan, XMLHttpRequest yoki Fetch orqali) va keyin ularni bajaradigan sahifalarga ta'sir qiladi. Yana bir muhim cheklov - qayta yo'naltirishdan foydalanish yoki o'zboshimchalik bilan ma'lumotlarni manbani beruvchi asl server tomoniga joylashtirish zarurati. Biroq, hujumning dolzarbligini ko'rsatish uchun maps.google.com saytini ochishda "google.com/search" orqali qayta yo'naltirishdan foydalangan holda kodingiz bajarilishini qanday tashkil qilish kerakligi ko'rsatilgan.
Tuzatish hali ham tayyorlanmoqda. Muammo blokerlarga ham ta'sir qiladi ΠΈ . uBlock Origin blokeriga muammo ta'sir qilmaydi, chunki u "qayta yozish" operatorini qo'llab-quvvatlamaydi. Bir vaqtlar uBlock Origin muallifi
potentsial xavfsizlik muammolari va xost darajasidagi cheklovlar etarli emasligini ko'rsatib, qayta yozishni qo'llab-quvvatlang (so'rov parametrlarini almashtirish o'rniga ularni tozalash uchun qayta yozish o'rniga so'rovlar chizig'i opsiyasi taklif qilingan).
Adblock Plus ishlab chiquvchilari haqiqiy hujumlarni dargumon deb hisoblashadi, chunki standart qoidalar ro'yxatidagi barcha o'zgarishlar ko'rib chiqiladi va uchinchi tomon ro'yxatlarini ulash foydalanuvchilar orasida juda kam uchraydi. MITM orqali qoidalarni almashtirish standart bloklar ro'yxatini yuklab olish uchun HTTPS dan sukut bo'yicha foydalanish bilan to'sqinlik qiladi (boshqa ro'yxatlar uchun kelgusi versiyada HTTP orqali yuklab olishni taqiqlash rejalashtirilgan). Direktivlar sayt tomonidagi hujumni blokirovka qilish uchun ishlatilishi mumkin (Kontent xavfsizligi siyosati), bu orqali siz tashqi resurslarni yuklash mumkin bo'lgan xostlarni aniq belgilashingiz mumkin.
Manba: opennet.ru