检测到有程序正在访问网络_花旗银行、eBay等网站窃取访问者隐私信息 Behave可监测网站行为...
一个名为Behave!的新浏览器扩展。如果网站正在使用脚本对网络上的本地和私有IP地址执行扫描或攻击,则会发出警告。
浏览网页时,网页上嵌入的脚本不仅可以用于扫描访问者的计算机中是否存在开放的TCP端口,还可以对网络上的其他设备发起攻击。
今年5月,人们发现eBay,花旗银行,道明银行等知名网站将对访问者的计算机进行端口扫描,以识别在其上运行的Windows远程访问程序。
eBay端口扫描站点
此端口扫描是由LexisNexis的ThreatMetrix欺诈保护脚本执行的,该脚本用于检测试图使用该站点的潜在被黑客入侵的计算机。
尽管这样做是有充分理由的,但是正进行端口扫描的用户正确地发现他们具有侵入性并且侵犯了隐私。
更糟糕的是,恶意行为者还将使用嵌入在网站上的JavaScript来执行DNS重新绑定攻击。
DNS重新绑定攻击是通过简短的TTL操纵DNS解析,以使用受害者的计算机绕过同源起源策略(SOP)并对内部网络上的其他设备发起攻击的地方。
这些攻击通常用于攻击路由器,IoT设备,甚至其他已知运行漏洞软件的内部计算机。
Behave由首席技术官联合创始人兼MindedSecurity首席科学家Steefano Di Paola创建。浏览器扩展的诞生是一项实验,旨在警告那些滥用浏览器功能以对访问者的计算机执行本地攻击或扫描的网站的用户。
“ Behave!诞生于关于可能会滥用其中某些功能的网页行为的概念性实验,并且如果对Behave!的兴趣不断提高,那么希望该项目将是一个持久的项目,有助于提高人们的认识。”
Di Paola通过电子邮件告诉BleepingComputer:“例如本地端口扫描,跨协议攻击,DNS绑定是非常古老的攻击,由于它们滥用了Web生态系统的核心功能,因此仍然可能被浏览器供应商完全修复,并且难以完全修复。”
安装后,Behave将监视试图访问属于以下块的IP地址的脚本:
Loopback addresses IPv4 127.0.0.1/8Loopback addresses IPv6 ::1/128Private Networks IPv4 10.0.0.0/8 - 172.16.0.0/12 - 192.168.0.0/16Unique Local Addresses IPv6 fc00::/7如果检测到,该扩展程序的图标将显示一个红色指示器,并且在单击时将列出该站点进行的活动。
该扩展程序还可以配置为在检测到相关行为时显示浏览器通知。
浏览器通知
应该注意的是,扩展中的错误可能会导致DNS重新绑定警报出现误报,而Di Paola已修复了该错误,并等待Google对新版本的批准。
Behave扩展程序可用于Chrome和Firefox,Di Paola告诉我们,他希望为Edge和Safari发布它。
Di Paola希望将来增加的一些功能包括“白名单的网页/希望执行本地连接的主机名”和“回溯执行可疑行为的代码”的功能。