همانطور که در حال مرور اینترنت هستیم، در معرض آسیب پذیری های زیادی قرار می گیریم که ممکن است داده های ما را در معرض مهاجمان قرار دهد. اما با گذشت زمان، فناوری به منظور محافظت از ما در برابر این حملات تکامل یافته است. اما در عین حال، مهاجمان و دائما در تلاش برای یافتن نقاط ضعف و هک سیستم های ما هستند. آسیب پذیری که امروز در مورد آن صحبت می کنیم در CSS یک صفحه وب نهفته است و CSS Exfil نامیده می شود .

وب سایت های مدرن برای طراحی به شدت به ^(Modern)CSS متکی هستند و هیچ راهی وجود ندارد که بتوانید وب سایتی را بدون CSS تصور کنید . CSS Exfil را می توان برای سرقت داده های هدفمند با استفاده از Cascading Style Sheets ( CSS ) به عنوان بردار حمله استفاده کرد. اطلاعات شما مانند نام کاربری، رمز عبور، ایمیل ها را در معرض خطر قرار می دهد. انواع مختلفی از سناریوهای حمله وجود دارد که به CSS Exfil متکی هستند . آنها شامل تزریق کد، ردیابی وب، تبلیغات نامشروع، قرار دادن کدهای مخرب در DOM و چند مورد دیگر هستند.

محافظت در برابر این آسیب‌پذیری ضروری است، اما اکثر مرورگرهای مدرنی که ما استفاده می‌کنیم، اقدامات حفاظتی در برابر این آسیب‌پذیری را ارائه نمی‌کنند.

چگونه بررسی کنیم که آیا مرورگر شما در برابر حملات CSS Exfil آسیب پذیر است یا خیر^{(CSS Exfil)}

یک آزمایش‌کننده آسیب‌پذیری فوق‌العاده CSS Exfil ^{(CSS Exfil Vulnerability Tester)} در اینجا موجود است^{(available here)} که می‌تواند روی هر مرورگری کار کند و وضعیت محافظت را تأیید کند. این ابزار یک مرورگر را برای CSS^(CSS) یکسان و بین دامنه‌ای آزمایش می‌کند. صفحه وب سعی می کند از طریق CSS Exfil^{(CSS Exfil)} از حمله تقلید کند و نتایج موفقیت آمیز را تولید کند.

پسوند CSS Exfil Protection^{(CSS Exfil Protection Extension)} برای کروم^(Chrome) و فایرفاکس^(Firefox)

اگر مشخص شد که مرورگر شما آسیب پذیر است، باید کمی امنیت به آن اضافه کنید. افزونه ای برای کروم^(Chrome) و فایرفاکس^(Firefox) موجود است که این کار را برای شما انجام می دهد. این برنامه افزودنی CSS Exfil Protection نام دارد و برای دانلود از فروشگاه وب کروم^{(Chrome Web Store)} و فروشگاه فایرفاکس^{(Firefox Store)} نیز در دسترس است.

پس از نصب و فعال کردن، می توانید دوباره به تست کننده آسیب پذیری مراجعه کنید تا بررسی کنید که آیا مرورگر شما محافظت شده است یا خیر. تصاویر حمله نباید بارگذاری شوند و همه آزمایشات باید نتیجه مثبتی داشته باشند.

همچنین، می‌توانید با نماد برنامه افزودنی در کنار نوار آدرس متوجه تعداد زیادی شوید. شمارش نشان می دهد که این صفحه وب سعی کرده از یک آسیب پذیری سوء استفاده کند و مسدود شده است. بنابراین، اگر متوجه این تعداد در سایر وب‌سایت‌هایی هستید که استفاده می‌کنید، باید مراقب آن وب‌سایت‌ها باشید.

CSS Exfil Protection

پسوند CSS Exfil Protection^{(CSS Exfil Protection)} با پیش پردازش CSS یک صفحه وب کار می کند. کل CSS را اسکن می کند و به دنبال تماس های راه دور در داخل مقادیر ویژگی CSS می گردد. ^(CSS)اگر چنین تماس از راه دور وجود داشته باشد، آن را خنثی می کند و CSS را تمیز می کند. و شمارش احتمالاً تعداد چنین تماس های راه دوری است که در CSS این صفحه وب پیدا کرده است.

CSS Exfil می تواند آسیب پذیری های بسیار زیادی ایجاد کند. داشتن محافظت در برابر آنها ضروری است. این افزونه تنها یک گام در مسیر درست است و امیدواریم در آینده شاهد ارائه امنیت بیشتر توسط مرورگرها به صورت بومی باشیم. CSS Exfil Protection منبع باز و رایگان برای دانلود است. می توانید صفحه GitHub آن را بررسی کنید یا مستقیماً آن را از فروشگاه افزونه مرورگر وب خود دانلود کنید.

CSS Exfil Protection browser extension offers CSS Exfil vulnerability attack

As wе are browsing the internet, we are exposed to a lot оf vulnerabilities that might expose our data to attackers. But with timе, the technology has evolved in order to protect us against these аttacks. But at the ѕame time, the attаckers and сonstantly trying to find vulnerabіlities and hack into our ѕystems. The vulnerability that we are talking about today lies in CSS of a wеbpage and it is called CSS Exfil.

Modern websites rely heavily on CSS for styling and there is no way you can imagine a website without CSS. CSS Exfil can be used to steal targeted data using Cascading Style Sheets (CSS) as an attack vector. It puts your information such as username, passwords, emails at risk. There are a variety of attack scenarios that rely on CSS Exfil. They include code injection, web tracking, illegitimate advertisements, malicious code placement in DOM and a few more.

Protection against this vulnerability is must but most of the modern browsers that we use do not come with protection measures against this vulnerability.

How to check if your browser is vulnerable to CSS Exfil attacks

There is a wonderful CSS Exfil Vulnerability Tester available here that can work on any browser and confirm the protection status. The tool tests a browser for the same origin and cross-domain CSS. The webpage would try to mimic the attack via CSS Exfil and will produce the results it was successful.

CSS Exfil Protection Extension for Chrome and Firefox

If your browser turns out to be vulnerable, then you should consider adding a little security to it. There is an extension available for both Chrome and Firefox that does this job for you. The extension is called CSS Exfil Protection and is available to download from Chrome Web Store and Firefox Store as well.

Once installed and enabled, you can head over to the vulnerability tester again to check if your browser is protected or not. The attack images should not load, and all the tests should produce a positive result.

Also, you will be able to notice a count with the extension’s icon beside the address bar. The count is the indication that this webpage tried to exploit a vulnerability and it has been blocked. So, if you notice this count on other websites that you use, you need to be careful around those websites.

CSS Exfil Protection

CSS Exfil Protection extension works by pre-processing the CSS of a webpage. It scans the entire CSS and looks for any remote calls inside CSS attribute values. If any such remote call exists, it neutralizes it and makes the CSS clean. And the count is probably the number of such remote calls it found in the CSS of this webpage.

CSS Exfil can create quite a lot of vulnerabilities. Having protection against them is a must. This extension is just one step in the right direction, and we hope to see more security offered by the browsers natively in the future. CSS Exfil Protection is open source and free to download. You can check out its GitHub page or directly download it from the extension store of your web browser.

تلیمان پارسی

About the author

من یک مهندس نرم افزار با بیش از 10 سال سابقه کار بر روی دستگاه های Apple iOS و edge هستم. تجربه من در مهندسی سخت افزار باعث شده است که مطمئن شوم دستگاه های مشتریانمان تا حد امکان قابل اعتماد و روان هستند. من در چند سال گذشته کد می نویسم و یاد گرفته ام از Git، Vim و Node.js استفاده کنم.

پسوند مرورگر CSS Exfil Protection حمله آسیب پذیری CSS Exfil را ارائه می دهد

چگونه بررسی کنیم که آیا مرورگر شما در برابر حملات CSS Exfil آسیب پذیر است یا خیر^{(CSS Exfil)}

پسوند CSS Exfil Protection^{(CSS Exfil Protection Extension)} برای کروم^(Chrome) و فایرفاکس^(Firefox)

CSS Exfil Protection browser extension offers CSS Exfil vulnerability attack

How to check if your browser is vulnerable to CSS Exfil attacks

CSS Exfil Protection Extension for Chrome and Firefox

تلیمان پارسی

About the author

Related posts

چگونه به صورت دستی فعال Retpoline در Windows 10

چگونه گزارش Bug، Issue or Vulnerability به Microsoft

DLL Hijacking Vulnerability Attacks، Prevention & Detection

Bitdefender Home Scanner: Home Network خود را برای آسیب پذیری ها اسکن کنید

SecPod Saner Personal: Free Advanced Vulnerability Scanner

Windows Resource Protection فایل های فاسد را یافت اما قادر به رفع برخی از آنها نبود

Google Advanced Protection Program چیست؟

Virus and Threat Protection در Windows 10 چیست؟ چگونه به پنهان کردن آن؟

Lockwise، Monitor، Facebook Container، Tracking Protection در Firefox

نحوه غیر فعال کردن یا فعال کردن Redirect Tracking Protection (ETP 2.0) در Firefox

بررسی کتاب: وب سایت خود را بسازید: راهنمای کمیک برای HTML، CSS و وردپرس

جلوگیری از تغییر Exploit Protection در Windows Security

نحوه فعال یا غیر فعال کردن رشوه دادن Protection در Windows 10

Boot Attack سرد چیست و چگونه می تواند به شما امن باقی بماند؟

حفاظت Intel Processor Machine Check Error vulnerability را فعال کنید

Fix Function address باعث شد protection fault - Printing error

چه Tamper Protection feature در Windows 10

Fileless Malware Attacks، Protection and Detection

EU Data Protection Act - حق به فراموشی سپرده

امنیت سایبری از طریق آموزش: شبیه سازی حفاظت تعاملی کسپرسکی

پسوند مرورگر CSS Exfil Protection حمله آسیب پذیری CSS Exfil را ارائه می دهد

چگونه بررسی کنیم که آیا مرورگر شما در برابر حملات CSS Exfil آسیب پذیر است یا خیر(CSS Exfil)

پسوند CSS Exfil Protection(CSS Exfil Protection Extension) برای کروم(Chrome) و فایرفاکس(Firefox)

CSS Exfil Protection browser extension offers CSS Exfil vulnerability attack

How to check if your browser is vulnerable to CSS Exfil attacks

CSS Exfil Protection Extension for Chrome and Firefox

تلیمان پارسی

About the author

Related posts

چگونه به صورت دستی فعال Retpoline در Windows 10

چگونه گزارش Bug، Issue or Vulnerability به Microsoft

DLL Hijacking Vulnerability Attacks، Prevention & Detection

Bitdefender Home Scanner: Home Network خود را برای آسیب پذیری ها اسکن کنید

SecPod Saner Personal: Free Advanced Vulnerability Scanner

Windows Resource Protection فایل های فاسد را یافت اما قادر به رفع برخی از آنها نبود

Google Advanced Protection Program چیست؟

Virus and Threat Protection در Windows 10 چیست؟ چگونه به پنهان کردن آن؟

Lockwise، Monitor، Facebook Container، Tracking Protection در Firefox

نحوه غیر فعال کردن یا فعال کردن Redirect Tracking Protection (ETP 2.0) در Firefox

بررسی کتاب: وب سایت خود را بسازید: راهنمای کمیک برای HTML، CSS و وردپرس

جلوگیری از تغییر Exploit Protection در Windows Security

نحوه فعال یا غیر فعال کردن رشوه دادن Protection در Windows 10

Boot Attack سرد چیست و چگونه می تواند به شما امن باقی بماند؟

حفاظت Intel Processor Machine Check Error vulnerability را فعال کنید

Fix Function address باعث شد protection fault - Printing error

چه Tamper Protection feature در Windows 10

Fileless Malware Attacks، Protection and Detection

EU Data Protection Act - حق به فراموشی سپرده

امنیت سایبری از طریق آموزش: شبیه سازی حفاظت تعاملی کسپرسکی

چگونه بررسی کنیم که آیا مرورگر شما در برابر حملات CSS Exfil آسیب پذیر است یا خیر^{(CSS Exfil)}

پسوند CSS Exfil Protection^{(CSS Exfil Protection Extension)} برای کروم^(Chrome) و فایرفاکس^(Firefox)