uBlock Origin 中使用的过滤器 添加了用于阻止用户本地系统上典型网络端口扫描脚本的规则。 让我们提醒您,五月 打开 eBay.com 时扫描本地端口。 事实证明,这种做法不仅限于eBay,还有很多 (花旗银行、道明银行、Sky、GumTree、WePay 等)在打开页面时对用户的本地系统进行端口扫描,使用代码检测来自 ThreatMetrix 服务提供的被黑计算机的访问尝试。
以 eBay 为例,检查了与远程访问服务器(例如 VNC、TeamViewer、Anyplace Control、Aeroadmin、Ammy Admin 和 RDP)相关的 14 个网络端口。 可能正在检查中 存在恶意软件损坏系统的痕迹,以防止使用僵尸网络进行欺诈性购买。 扫描还可用于获取间接数据 .
用于扫描的技术基于尝试通过以下方式与主机 127.0.0.1 (localhost) 的各个网络端口建立连接 。 开放网络端口的存在是根据活动和未使用网络端口连接的错误处理差异来间接确定的。 WebSocket 允许您仅发送 HTTP 请求,但对非活动网络端口的此类请求会立即失败,而对活动端口的此类请求仅在花费一些时间尝试协商连接后才会失败。 此外,在非活动端口的情况下,WebSocket 会发出连接错误代码 (ERR_CONNECTION_REFUSED),在活动端口的情况下,会发出连接协商错误代码。
除了端口扫描之外,WebSockets 还可以 针对在本地系统上为 React 应用程序运行 WebSocket 处理程序的 Web 开发人员的系统进行的攻击。 外部站点可以搜索网络端口,确定此类处理程序是否存在,并连接到它。 如果开发人员犯了错误,攻击者就可以获得调试数据的内容,其中可能包含粗略的敏感信息。
来源: opennet.ru