您的位置:極速下載站→ 資訊首頁 → 軟件教程 → 軟件資訊 → 谷歌瀏覽器測試內(nèi)部網(wǎng)絡(luò)保護(hù)功能 禁止跨站點(diǎn)訪問127.0.0.1等內(nèi)網(wǎng)地址
時(shí)間:2024-02-19 13:52:17 作者:泰龍 瀏覽量:59
要說清楚 Chrome 測試的這個(gè)內(nèi)部網(wǎng)絡(luò)保護(hù)功能我們得先舉個(gè)例子 (簡要說明,不是完整流程,具體可以參考 CSRF 即跨站請求偽造)幫助大家理解,比如說藍(lán)點(diǎn)網(wǎng)使用的內(nèi)網(wǎng)環(huán)境中有一臺存在漏洞路由器,這個(gè)漏洞可以通過本地代碼執(zhí)行(比如注入之類的),但我長期沒有升級固件修復(fù)這個(gè)漏洞。
黑客要想利用這個(gè)漏洞入侵的話并不容易,但可以通過瀏覽器進(jìn)行中轉(zhuǎn),比如在某個(gè)網(wǎng)站上嵌入一段執(zhí)行這段惡意代碼的內(nèi)容,當(dāng)我瀏覽這個(gè)網(wǎng)頁時(shí),這段惡意代碼就可以執(zhí)行。
以此類推,黑客可以尋找大量的已知漏洞并制作惡意代碼然后放在一些熱門網(wǎng)站上,這樣在大家瀏覽時(shí),總有一定的概率碰到內(nèi)網(wǎng)中恰巧有受漏洞影響的設(shè)備,進(jìn)而被入侵。
內(nèi)部網(wǎng)絡(luò)保護(hù)功能:
Chrome 新推出的內(nèi)部網(wǎng)絡(luò)功能就是用來攔截此類攻擊的,谷歌給出的說明是:為了防止惡意網(wǎng)站通過用戶代理的網(wǎng)絡(luò)位置來攻擊設(shè)備和服務(wù),這些設(shè)備和服務(wù)合理地架設(shè)它們駐留在用戶的本地內(nèi)聯(lián)網(wǎng)或用戶計(jì)算機(jī)上,無法從整個(gè)互聯(lián)網(wǎng)訪問。
為此谷歌推出內(nèi)部網(wǎng)絡(luò)保護(hù)功能,禁止從公網(wǎng)訪問的跨站點(diǎn)訪問專用網(wǎng)絡(luò)地址,例如 127.0.0.1 或 192.168.1.1 這類地址。
Chrome 將在加載網(wǎng)頁時(shí)進(jìn)行預(yù)檢查驗(yàn)證請求是否來自安全的上下文以及發(fā)送初步請求檢測要訪問的站點(diǎn)是否為內(nèi)部地址 (例如內(nèi)網(wǎng)搭建的 HTTP 服務(wù)器,路由器這類可以通過本地 IP 訪問的都算)。
比如下面這個(gè)嵌入的 iframe 框架可以用來執(zhí)行 CSRF 攻擊從而修改本地網(wǎng)絡(luò)上的路由器 DNS: