Докато сърфираме в интернет, ние сме изложени на много уязвимости, които могат да изложат данните ни на нападатели. Но с времето технологията се е развила, за да ни предпази от тези атаки. Но в същото време нападателите непрекъснато се опитват да намерят уязвимости и да проникнат в нашите системи. Уязвимостта, за която говорим днес, се крие в CSS на уеб страница и се нарича CSS Exfil .

Съвременните^(Modern) уебсайтове разчитат в голяма степен на CSS за стилизиране и няма начин да си представите уебсайт без CSS . CSS Exfil може да се използва за кражба на целеви данни с помощта на каскадни стилови таблици^{(Cascading Style Sheets)} ( CSS ) като вектор на атака. Това излага на риск вашата информация като потребителско име, пароли, имейли. Има различни сценарии за атака, които разчитат на CSS Exfil . Те включват инжектиране на код, уеб проследяване, нелегитимни реклами, поставяне на злонамерен код в DOM и още няколко.

Защитата срещу тази уязвимост е задължителна, но повечето от съвременните браузъри, които използваме, не се предлагат с мерки за защита срещу тази уязвимост.

Как да проверите дали вашият браузър е уязвим към CSS Exfil атаки

Тук е наличен прекрасен CSS ^{(available here)}Exfil тестер на уязвимости^{(CSS Exfil Vulnerability Tester)} , който може да работи във всеки браузър и да потвърди състоянието на защитата. Инструментът тества браузър за същия произход и CSS между домейни . Уеб страницата ще се опита да имитира атаката чрез CSS Exfil и ще даде успешните резултати.

Разширение за защита на CSS Exfil^{(CSS Exfil Protection Extension)} за Chrome и Firefox

Ако браузърът ви се окаже уязвим, тогава трябва да помислите за добавяне на малко сигурност към него. Има налично разширение както за Chrome , така и за Firefox , което върши тази работа вместо вас. Разширението се нарича CSS Exfil Protection и е достъпно за изтегляне от Chrome Web Store и Firefox Store .

След като инсталирате и активирате, можете отново да отидете на тестера за уязвимости, за да проверите дали браузърът ви е защитен или не. Изображенията за атака не трябва да се зареждат и всички тестове трябва да дадат положителен резултат.

Освен това ще можете да забележите преброяване с иконата на разширението до адресната лента. Броят е индикация, че тази уеб страница се е опитала да използва уязвимост и е била блокирана. Така че, ако забележите този брой на други уебсайтове, които използвате, трябва да внимавате около тези уебсайтове.

Разширението CSS Exfil Protection^{(CSS Exfil Protection)} работи чрез предварителна обработка на CSS на уеб страница. Той сканира целия CSS и търси всякакви отдалечени повиквания в стойностите на CSS атрибута. Ако съществува такова дистанционно повикване, то го неутрализира и прави CSS чист. И броят вероятно е броят на такива отдалечени обаждания, които е намерил в CSS на тази уеб страница.

CSS Exfil може да създаде доста уязвимости. Защитата срещу тях е задължителна. Това разширение е само една стъпка в правилната посока и се надяваме в бъдеще да видим повече сигурност, предлагана от браузърите. CSS Exfil Protection е с отворен код и е безплатна за изтегляне. Можете да разгледате страницата на GitHub или директно да я изтеглите от магазина за разширения на вашия уеб браузър.

CSS Exfil Protection browser extension offers CSS Exfil vulnerability attack

As we are browsing the internet, we are exposed to a lot of vulnerabilities that might expose our data to attackers. But with time, the technology has evolved in order to protect us against these attacks. But at the samе time, the attackers and сonstantly trying to find vulnerabilities and hack into our ѕуstems. The vulnerability that we are talking аbоut today lies in CSS of a webpagе and it іs called CSS Exfil.

Modern websites rely heavily on CSS for styling and there is no way you can imagine a website without CSS. CSS Exfil can be used to steal targeted data using Cascading Style Sheets (CSS) as an attack vector. It puts your information such as username, passwords, emails at risk. There are a variety of attack scenarios that rely on CSS Exfil. They include code injection, web tracking, illegitimate advertisements, malicious code placement in DOM and a few more.

Protection against this vulnerability is must but most of the modern browsers that we use do not come with protection measures against this vulnerability.

How to check if your browser is vulnerable to CSS Exfil attacks

There is a wonderful CSS Exfil Vulnerability Tester available here that can work on any browser and confirm the protection status. The tool tests a browser for the same origin and cross-domain CSS. The webpage would try to mimic the attack via CSS Exfil and will produce the results it was successful.

CSS Exfil Protection Extension for Chrome and Firefox

If your browser turns out to be vulnerable, then you should consider adding a little security to it. There is an extension available for both Chrome and Firefox that does this job for you. The extension is called CSS Exfil Protection and is available to download from Chrome Web Store and Firefox Store as well.

Once installed and enabled, you can head over to the vulnerability tester again to check if your browser is protected or not. The attack images should not load, and all the tests should produce a positive result.

Also, you will be able to notice a count with the extension’s icon beside the address bar. The count is the indication that this webpage tried to exploit a vulnerability and it has been blocked. So, if you notice this count on other websites that you use, you need to be careful around those websites.

CSS Exfil Protection extension works by pre-processing the CSS of a webpage. It scans the entire CSS and looks for any remote calls inside CSS attribute values. If any such remote call exists, it neutralizes it and makes the CSS clean. And the count is probably the number of such remote calls it found in the CSS of this webpage.

CSS Exfil can create quite a lot of vulnerabilities. Having protection against them is a must. This extension is just one step in the right direction, and we hope to see more security offered by the browsers natively in the future. CSS Exfil Protection is open source and free to download. You can check out its GitHub page or directly download it from the extension store of your web browser.

Related posts

• Как ръчно да активирате Retpoline в Windows 10

• Как да докладвате за грешка, проблем или уязвимост на Microsoft

• Атаки на уязвимост при отвличане на DLL, предотвратяване и откриване

• Домашен скенер на Bitdefender: Сканирайте вашата домашна мрежа за уязвимости

• SecPod Saner Personal: Безплатен разширен скенер за уязвимости

• Как да деактивирате или активирате защитата от проследяване на пренасочване (ETP 2.0) във Firefox

• Сигурност за всички - прегледайте Bullguard Premium Protection

• Защитата на ресурсите на Windows откри повредени файлове, но не успя да поправи някои от тях

• Какво е атака на студено зареждане и как можете да останете в безопасност?

• Коригирайте Malwarebytes, уеб защитата в реално време няма да се включва

• Сигурност за всички - прегледайте McAfee Total Protection

• Рецензия на книга: Създайте свой собствен уебсайт: Комикс ръководство за HTML, CSS и Wordpress

• Какво е защитна стена и мрежова защита в Windows 10 и как да скриете този раздел

• Активирайте и конфигурирайте защитата от Ransomware в Windows Defender

• Онлайн кражба на самоличност: съвети за превенция и защита

• Активирайте или деактивирайте защитата от запис за диск в Windows 10

• Как да добавите или изключите приложение в защитата от експлоатиране на Windows 10

• Какво представлява защитата на акаунта в Windows 11/10 и как да скриете този раздел

• Безфайлови злонамерени атаки, защита и откриване

• Активирайте защитата без проследяване и проследяване в IE 11 и Edge