您的位置：極速下載站→ 資訊首頁(yè) → 軟件教程 → 軟件資訊 → 谷歌瀏覽器測(cè)試內(nèi)部網(wǎng)絡(luò)保護(hù)功能禁止跨站點(diǎn)訪問(wèn)127.0.0.1等內(nèi)網(wǎng)地址

谷歌瀏覽器測(cè)試內(nèi)部網(wǎng)絡(luò)保護(hù)功能禁止跨站點(diǎn)訪問(wèn)127.0.0.1等內(nèi)網(wǎng)地址

時(shí)間：2024-02-19 13:52:17 作者：泰龍瀏覽量：59

要說(shuō)清楚 Chrome 測(cè)試的這個(gè)內(nèi)部網(wǎng)絡(luò)保護(hù)功能我們得先舉個(gè)例子 (簡(jiǎn)要說(shuō)明，不是完整流程，具體可以參考 CSRF 即跨站請(qǐng)求偽造)幫助大家理解，比如說(shuō)藍(lán)點(diǎn)網(wǎng)使用的內(nèi)網(wǎng)環(huán)境中有一臺(tái)存在漏洞路由器，這個(gè)漏洞可以通過(guò)本地代碼執(zhí)行(比如注入之類的)，但我長(zhǎng)期沒有升級(jí)固件修復(fù)這個(gè)漏洞。

進(jìn)入下載

谷歌瀏覽器 120.0.6099.63
大�。�118.2 MB
日期：2024/2/19 13:52:17
環(huán)境：WinXP,Win7,

黑客要想利用這個(gè)漏洞入侵的話并不容易，但可以通過(guò)瀏覽器進(jìn)行中轉(zhuǎn)，比如在某個(gè)網(wǎng)站上嵌入一段執(zhí)行這段惡意代碼的內(nèi)容，當(dāng)我瀏覽這個(gè)網(wǎng)頁(yè)時(shí)，這段惡意代碼就可以執(zhí)行。

以此類推，黑客可以尋找大量的已知漏洞并制作惡意代碼然后放在一些熱門網(wǎng)站上，這樣在大家瀏覽時(shí)，總有一定的概率碰到內(nèi)網(wǎng)中恰巧有受漏洞影響的設(shè)備，進(jìn)而被入侵。

圖：谷歌瀏覽器測(cè)試內(nèi)部網(wǎng)絡(luò)保護(hù)功能禁止跨站點(diǎn)訪問(wèn)127.0.0.1等內(nèi)網(wǎng)地址

內(nèi)部網(wǎng)絡(luò)保護(hù)功能：

Chrome 新推出的內(nèi)部網(wǎng)絡(luò)功能就是用來(lái)攔截此類攻擊的，谷歌給出的說(shuō)明是：為了防止惡意網(wǎng)站通過(guò)用戶代理的網(wǎng)絡(luò)位置來(lái)攻擊設(shè)備和服務(wù)，這些設(shè)備和服務(wù)合理地架設(shè)它們駐留在用戶的本地內(nèi)聯(lián)網(wǎng)或用戶計(jì)算機(jī)上，無(wú)法從整個(gè)互聯(lián)網(wǎng)訪問(wèn)。

為此谷歌推出內(nèi)部網(wǎng)絡(luò)保護(hù)功能，禁止從公網(wǎng)訪問(wèn)的跨站點(diǎn)訪問(wèn)專用網(wǎng)絡(luò)地址，例如 127.0.0.1 或 192.168.1.1 這類地址。

Chrome 將在加載網(wǎng)頁(yè)時(shí)進(jìn)行預(yù)檢查驗(yàn)證請(qǐng)求是否來(lái)自安全的上下文以及發(fā)送初步請(qǐng)求檢測(cè)要訪問(wèn)的站點(diǎn)是否為內(nèi)部地址 (例如內(nèi)網(wǎng)搭建的 HTTP 服務(wù)器，路由器這類可以通過(guò)本地 IP 訪問(wèn)的都算)。

比如下面這個(gè)嵌入的 iframe 框架可以用來(lái)執(zhí)行 CSRF 攻擊從而修改本地網(wǎng)絡(luò)上的路由器 DNS：