谷歌浏览器测试内部网络保护功能 禁止跨站点访问127.0.0.1等内网地址
作者:Melody 日期:2024-02-20 18:55:38 浏览:222 分类:综合资讯
要说清楚 Chrome 测试的这个内部网络保护功能我们得先举个例子 (简要说明,不是完整流程,具体可以参考 CSRF 即跨站请求伪造) 帮助大家理解,比如说蓝点网使用的内网环境中有一台存在漏洞路由器,这个漏洞可以通过本地代码执行 (比如注入之类的),但我长期没有升级固件修复这个漏洞。
黑客要想利用这个漏洞入侵的话并不容易,但可以通过浏览器进行中转,比如在某个网站上嵌入一段执行这段恶意代码的内容,当我浏览这个网页时,这段恶意代码就可以执行。
以此类推,黑客可以寻找大量的已知漏洞并制作恶意代码然后放在一些热门网站上,这样在大家浏览时,总有一定的概率碰到内网中恰巧有受漏洞影响的设备,进而被入侵。
内部网络保护功能:
Chrome 新推出的内部网络功能就是用来拦截此类攻击的,谷歌给出的说明是:为了防止恶意网站通过用户代理的网络位置来攻击设备和服务,这些设备和服务合理地架设它们驻留在用户的本地内联网或用户计算机上,无法从整个互联网访问。
为此谷歌推出内部网络保护功能,禁止从公网访问的跨站点访问专用网络地址,例如 127.0.0.1 或 192.168.1.1 这类地址。
Chrome 将在加载网页时进行预检查验证请求是否来自安全的上下文以及发送初步请求检测要访问的站点是否为内部地址 (例如内网搭建的 HTTP 服务器,路由器这类可以通过本地 IP 访问的都算)。
比如下面这个嵌入的 iframe 框架可以用来执行 CSRF 攻击从而修改本地网络上的路由器 DNS:
<iframe href="https://admin:admin@router.local/set_dns?server1=123.123.123.123">
其中 admin:admin 代表账号和密码,router.local 代表路由器地址,后面就是设定的黑客的 DNS 地址,从而将用户的请求劫持到黑客控制的 DNS 中,进而可以解析到恶意网站进行钓鱼。
新的错误消息:
对于此类访问请求被拦截时,Chrome 将会显示错误消息:BLOCKED_BY_PRIVATE_NETWORK_ACCESS_CHECKS
这就代表当前访问的网站尝试访问内部地址,当用户看到此类提示的时候就应该提高警惕,当心这个网站本身就存在某些问题。
最后,此功能目前尚未正式推出,接下来会在 Chrome 各个通道中逐渐测试。
猜你还喜欢
- 06-30 每日更新 热舞小姐姐 韩国热舞
- 05-11 【合集】国内外短信接码平台
- 02-20 谷歌浏览器测试内部网络保护功能 禁止跨站点访问127.0.0.1等内网地址
- 02-20 [国行版] 小米再次更新Bootloader规则 缩短至仅限每周二/四申请解锁
- 02-20 [技巧] 追加启动命令禁用Microsoft Edge浏览器不可关闭的侧边栏
- 02-07 支付宝灰度测试国内/国际版 可隐藏理财/视频等导航按钮
- 02-06 不少开发者和企业抗议JetBrains中集成的AI编程助手 认为有泄露风险
- 02-06 谷歌计划将Bard更名为Gemini并推出独立应用程序以及将推出Gemini Ultra版
- 02-05 扎克伯格称不会为iOS推出应用商店 因为苹果的政策让开发替代商店非常困难
- 02-05 百度输入法推出VIP会员 每月22.8元提供AI内容创作和皮肤特权等
- 02-05 统计显示比特币挖矿消耗美国2%的电力供应 甚至有矿场搬到核电站旁
- 02-05 传阿里巴巴计划出售盒马鲜生和大润发等消费资产 重新将重点转回电商业务
- 最近发表