Nesen tas tika atklāts populārais reklāmu bloķētājs «Adblock Plus »ir ievainojamība, kas ļauj organizēt JavaScript koda izpildi vietnēs, ja tiek izmantoti trešo personu sagatavoti nepārbaudīti filtri ar ļaunprātīgu nodomu (piemēram, savienojot trešo pušu noteikumu kopas vai ar noteikumu aizstāšanu MITM uzbrukuma laikā).
Uzskaitiet autorus ar filtru kopām var organizēt sava koda izpildi vietnēm, kas pieejamas lietotājs pievieno likumus ar operatoru »$ rewrite«, kas ļauj aizstāt daļu no URL.
Kā šī koda izpilde ir iespējama?
Deklarācija $ rewrite neļauj aizstāt resursdatoru URL, bet tas dod iespēju brīvi manipulēt ar argumentiem pieprasījuma.
Tomēr var panākt koda izpildi. Dažas vietnes, piemēram, Google Maps, Gmail un Google attēli, viņi izmanto paņēmienu, kā dinamiski ielādēt izpildāmos JavaScript blokus, kas pārsūtīti vienkārša teksta veidā.
Ja serveris ļauj novirzīt pieprasījumus, tad tos var pārsūtīt citam resursdatoram, mainot URL parametrus (piemēram, Google kontekstā novirzīšanu var veikt, izmantojot API »google.com/search«). .
Además de resursdatorus, kas ļauj novirzīt, jūs varat arī veikt uzbrukumu pret pakalpojumiem, kas ļauj atrast lietotāja saturu (kodu mitināšana, rakstu izvietošanas platforma utt.).
Metode Piedāvātais uzbrukums ietekmē tikai lapas, kurās dinamiski tiek ielādētas virknes ar JavaScript kodu (piemēram, izmantojot XMLHttpRequest vai Fetch) un pēc tam palaidiet tos.
Vēl viens būtisks ierobežojums ir nepieciešamība izmantot novirzīšanu vai patvaļīgus datus ievietot izcelsmes servera pusē, kas nodrošina resursu.
Tomēr, kā uzbrukuma nozīmīguma demonstrāciju, tas parāda, kā organizēt koda izpildi, atverot maps.google.com, izmantojot novirzīšanu, izmantojot vietni "google.com/search".
Faktiski pieprasījumi izmantot XMLHttpRequest vai Fetch, lai lejupielādētu attālos skriptus, neizdosies, ja tiek izmantota opcija $ pārrakstīt.
Arī atvērtais novirzīšana ir tikpat svarīga, jo tā ļauj XMLHttpRequest lasīt skriptu no attālās vietnes, kaut arī šķiet, ka tas ir no tā paša avota.
Viņi jau strādā pie problēmas risināšanas
Risinājums joprojām tiek gatavots. Problēma ietekmē arī AdBlock un uBlock blokatorus. UBlock Origin Blocker nav uzņēmīgs pret problēmu, jo tas neatbalsta operatoru »$ pārrakstīt».
Vienā brīdī uBlock Origin autors atteicās pievienot $ pārrakstīšanas atbalstu, atsaucoties uz iespējamām drošības problēmām un nepietiekamiem resursdatora līmeņa ierobežojumiem (pārrakstīšanas vietā tika piedāvāta opcija vaicājuma josla, lai notīrītu vaicājuma parametrus, nevis tos aizstātu).
Mūsu pienākums ir aizsargāt savus lietotājus.
Neskatoties uz ļoti zemo faktisko risku, mēs nolēmām noņemt opciju $ pārrakstīt. Tādēļ mēs pēc iespējas ātrāk izlaidīsim atjauninātu Adblock Plus versiju.
Mēs to darām kā piesardzību. Netika mēģināts ļaunprātīgi izmantot pārrakstīšanas iespēju, un mēs darīsim visu iespējamo, lai tas nenotiktu.
Tas nozīmē, ka neviens Adblock Plus lietotājs nav apdraudēts.
DAdblock Plus izstrādātāji faktiskos uzbrukumus uzskata par maz ticamiem, jo visas izmaiņas parasto kārtulu sarakstos tiek pārskatītas un trešo pušu sarakstu savienošanu lietotāji praktizē ļoti reti.
Noteikumu aizstāšana, izmantojot MITM, pēc noklusējuma noņem HTTPS izmantošanu lai ielādētu regulārus bloku sarakstus (atlikušajiem sarakstiem plānots aizliegt HTTP lejupielādi nākamajā laidienā).
Lai bloķētu uzbrukumus vietnes pusē, Var piemērot CSP direktīvas (Satura drošības politika), ar kuras palīdzību jūs varat skaidri noteikt resursdatorus, no kuriem var ielādēt ārējos resursus.
Fuente: https://adblockplus.org, https://armin.dev