CSSExfilProtectionブラウザ拡張機能はCSSExfil脆弱性攻撃を提供します

インターネットを閲覧しているときに、攻撃者にデータを公開する可能性のある多くの脆弱性にさらされています。しかし、時間の経過とともに、これらの攻撃から私たちを保護するためにテクノロジーが進化してきました。しかし同時に、攻撃者は常に脆弱性を見つけてシステムをハッキングしようとしています。今日話している脆弱性は、WebページのCSSにあり、 (CSS)CSSExfilと呼ばれます。

最近のWebサイトは、スタイル設定を(Modern)CSSに大きく依存しており、CSSなしでWebサイトを想像する方法はありません。CSS Exfilは、攻撃ベクトルとしてカスケードスタイルシート(Cascading Style Sheets)CSS )を使用してターゲットデータを盗むために使用できます。ユーザー名、パスワード、電子メールなどの情報が危険にさらされます。CSSExfilに依存するさまざまな攻撃シナリオがあります。これには、コードインジェクション、Webトラッキング、不正な広告、DOMでの悪意のあるコードの配置などが含まれます。

この脆弱性に対する保護は必須ですが、私たちが使用している最新のブラウザのほとんどには、この脆弱性に対する保護対策が付属していません。

ブラウザがCSSExfil攻撃に対して脆弱かどうかを確認する方法

ここには、どのブラウザでも動作し、保護ステータスを確認できるすばらしいCSS ExfilVulnerabilityTesterが(CSS Exfil Vulnerability Tester) あります。(available here)このツールは、同じオリジンとクロスドメインCSSについてブラウザーをテストします。Webページは、 CSS Exfil(CSS Exfil)を介した攻撃を模倣しようとし、成功した結果を生成します。

(CSS Exfil Protection Extension)ChromeおよびFirefox用のCSSExfilProtection Extension

ブラウザが脆弱であることが判明した場合は、ブラウザに少しセキュリティを追加することを検討する必要があります。この仕事をしてくれるChromeFirefoxの両方で利用できる拡張機能があります。この拡張機能はCSSExfilProtectionと呼ばれ、 (CSS Exfil Protection)Chromeウェブストア(Chrome Web Store)Firefoxストア(Firefox Store)からもダウンロードできます。

インストールして有効にしたら、脆弱性テスターに​​再度アクセスして、ブラウザーが保護されているかどうかを確認できます。攻撃イメージは読み込まれず、すべてのテストで肯定的な結果が得られるはずです。

また、アドレスバーの横にある拡張機能のアイコンでカウントを確認できます。カウントは、このWebページが脆弱性を悪用しようとし、ブロックされたことを示しています。したがって、使用している他のWebサイトでこのカウントに気付いた場合は、それらのWebサイトの周囲に注意する必要があります。

CSSExfil保護

CSS Exfil Protection拡張機能は、WebページのCSSを前処理することによって機能します。CSS全体をスキャンし、CSS属性値内のリモート呼び出しを探します。そのようなリモート呼び出しが存在する場合、それはそれを無効にし、CSSをクリーンにします。そして、その数はおそらく、このWebページのCSSで見つかったそのようなリモート呼び出しの数です。(CSS)

CSS Exfilは、非常に多くの脆弱性を生み出す可能性があります。それらに対する保護を持つことは必須です。この拡張機能は正しい方向への一歩に過ぎず、将来的にはブラウザによってネイティブに提供されるセキュリティが強化されることを期待しています。CSS Exfil Protectionはオープンソースであり、無料でダウンロードできます。GitHubページを確認するか、Webブラウザの拡張機能ストアから直接ダウンロードできます。



太一 中津川

About the author

私は Firefox と Google Docs の経験を持つ Web 開発者です。私はフロリダ大学で経営学の学位を取得しています。私のスキルには、Web サイト開発、コンテンツ管理システム (CMS)、データ分析、およびユーザー インターフェイス設計が含まれます。私は経験豊富なコンサルタントであり、チームが効果的な Web サイトとアプリケーションを構築するのを支援できます。


Related posts