Phenquestions
Lorsque nous naviguons sur Internet, nous sommes exposés à de nombreuses vulnérabilités qui pourraient exposer nos données à des attaquants. Mais avec le temps, la technologie a évolué afin de nous protéger contre ces attaques. Mais en même temps, les attaquants et essayant constamment de trouver des vulnérabilités et de pirater nos systèmes. La vulnérabilité dont nous parlons aujourd'hui réside dans le CSS d'une page Web et elle s'appelle Exfil CSS.
Les sites Web modernes s'appuient fortement sur CSS pour le style et il est impossible d'imaginer un site Web sans CSS. CSS Exfil peut être utilisé pour voler des données ciblées en utilisant des feuilles de style en cascade (CSS) comme vecteur d'attaque. Il met en danger vos informations telles que nom d'utilisateur, mots de passe, e-mails. Il existe une variété de scénarios d'attaque qui reposent sur CSS Exfil. Ils incluent l'injection de code, le suivi Web, les publicités illégitimes, le placement de code malveillant dans le DOM et quelques autres.
La protection contre cette vulnérabilité est indispensable, mais la plupart des navigateurs modernes que nous utilisons ne sont pas dotés de mesures de protection contre cette vulnérabilité.
Comment vérifier si votre navigateur est vulnérable aux attaques CSS Exfil
Il existe un merveilleux testeur de vulnérabilité CSS Exfil disponible ici qui peut fonctionner sur n'importe quel navigateur et confirmer l'état de la protection. L'outil teste un navigateur pour la même origine et le CSS interdomaine. La page Web essaierait d'imiter l'attaque via CSS Exfil et produirait les résultats qu'elle a réussis.
Extension de protection CSS Exfil pour Chrome et Firefox
Si votre navigateur s'avère vulnérable, vous devriez envisager d'y ajouter un peu de sécurité. Il existe une extension disponible pour Chrome et Firefox qui fait ce travail pour vous. L'extension s'appelle Protection contre l'exfil CSS et est disponible en téléchargement sur Chrome Web Store et Boutique Firefox ainsi que.
Une fois installé et activé, vous pouvez à nouveau vous diriger vers le testeur de vulnérabilité pour vérifier si votre navigateur est protégé ou non. Les images d'attaque ne devraient pas se charger et tous les tests devraient produire un résultat positif.
En outre, vous pourrez remarquer un décompte avec l'icône de l'extension à côté de la barre d'adresse. Le nombre indique que cette page Web a tenté d'exploiter une vulnérabilité et qu'elle a été bloquée. Donc, si vous remarquez ce nombre sur d'autres sites Web que vous utilisez, vous devez faire attention à ces sites Web.
L'extension CSS Exfil Protection fonctionne en pré-traitant le CSS d'une page Web. Il analyse l'intégralité du CSS et recherche tous les appels distants dans les valeurs d'attribut CSS. Si un tel appel à distance existe, il le neutralise et rend le CSS propre. Et le nombre est probablement le nombre d'appels à distance qu'il a trouvés dans le CSS de cette page Web.
CSS Exfil peut créer pas mal de vulnérabilités. Avoir une protection contre eux est un must. Cette extension n'est qu'un pas dans la bonne direction, et nous espérons voir plus de sécurité offerte par les navigateurs nativement à l'avenir. CSS Exfil Protection est open source et téléchargeable gratuitement. Vous pouvez consulter sa page GitHub ou la télécharger directement depuis le magasin d'extensions de votre navigateur Web.
