Bộ lọc được sử dụng trong uBlock Origin đã thêm các quy tắc để chặn các tập lệnh quét cổng mạng điển hình trên hệ thống cục bộ của người dùng. Hãy để chúng tôi nhắc bạn rằng vào tháng Năm quét các cổng cục bộ khi mở eBay.com. Hóa ra hoạt động này không chỉ giới hạn ở eBay và nhiều (Citibank, TD Bank, Sky, GumTree, WePay, v.v.) sử dụng chức năng quét cổng của hệ thống cục bộ của người dùng khi mở trang của họ, sử dụng mã để phát hiện các nỗ lực truy cập từ các máy tính bị tấn công do dịch vụ ThreatMetrix cung cấp.
Trong trường hợp của eBay, 14 cổng mạng liên kết với các máy chủ truy cập từ xa như VNC, TeamViewer, Anyplace Control, Aeroadmin, Ammy Admin và RDP đã được kiểm tra. Chắc đang kiểm tra sự hiện diện của dấu vết hư hỏng hệ thống do phần mềm độc hại nhằm ngăn chặn việc mua hàng gian lận bằng cách sử dụng botnet. Quét cũng có thể được sử dụng để lấy dữ liệu gián tiếp .
Một kỹ thuật được sử dụng để quét dựa trên việc cố gắng thiết lập kết nối tới các cổng mạng khác nhau của máy chủ 127.0.0.1 (localhost) thông qua . Sự hiện diện của một cổng mạng mở được xác định gián tiếp dựa trên sự khác biệt trong cách xử lý lỗi đối với các kết nối đến cổng mạng đang hoạt động và không sử dụng. WebSocket cho phép bạn chỉ gửi các yêu cầu HTTP, nhưng yêu cầu như vậy đối với cổng mạng không hoạt động sẽ không thành công ngay lập tức và đối với cổng đang hoạt động chỉ sau một thời gian cố gắng đàm phán kết nối. Ngoài ra, trong trường hợp cổng không hoạt động, WebSocket sẽ đưa ra mã lỗi kết nối (ERR_CONNECTION_REFUSED) và trong trường hợp cổng đang hoạt động, mã lỗi đàm phán kết nối.
Ngoài việc quét cổng, WebSockets còn có thể để tấn công vào hệ thống của các nhà phát triển web chạy trình xử lý WebSocket cho các ứng dụng React trên hệ thống cục bộ. Một trang web bên ngoài có thể tìm kiếm thông qua các cổng mạng, xác định sự hiện diện của trình xử lý đó và kết nối với nó. Nếu nhà phát triển mắc lỗi, kẻ tấn công có thể lấy được nội dung của dữ liệu gỡ lỗi, có thể bao gồm thông tin nhạy cảm sơ sài.
Nguồn: opennet.ru