您的位置：極速下載站→ 資訊首頁 → 軟件教程 → 軟件資訊 → 谷歌瀏覽器測試內(nèi)部網(wǎng)絡(luò)保護(hù)功能禁止跨站點(diǎn)訪問127.0.0.1等內(nèi)網(wǎng)地址

谷歌瀏覽器測試內(nèi)部網(wǎng)絡(luò)保護(hù)功能禁止跨站點(diǎn)訪問127.0.0.1等內(nèi)網(wǎng)地址

時(shí)間：2024-02-19 13:52:17 作者：泰龍瀏覽量：59

要說清楚 Chrome 測試的這個(gè)內(nèi)部網(wǎng)絡(luò)保護(hù)功能我們得先舉個(gè)例子 (簡要說明，不是完整流程，具體可以參考 CSRF 即跨站請求偽造)幫助大家理解，比如說藍(lán)點(diǎn)網(wǎng)使用的內(nèi)網(wǎng)環(huán)境中有一臺存在漏洞路由器，這個(gè)漏洞可以通過本地代碼執(zhí)行(比如注入之類的)，但我長期沒有升級固件修復(fù)這個(gè)漏洞。

進(jìn)入下載

谷歌瀏覽器 120.0.6099.63
大�。�118.2 MB
日期：2024/2/19 13:52:17
環(huán)境：WinXP,Win7,

黑客要想利用這個(gè)漏洞入侵的話并不容易，但可以通過瀏覽器進(jìn)行中轉(zhuǎn)，比如在某個(gè)網(wǎng)站上嵌入一段執(zhí)行這段惡意代碼的內(nèi)容，當(dāng)我瀏覽這個(gè)網(wǎng)頁時(shí)，這段惡意代碼就可以執(zhí)行。

以此類推，黑客可以尋找大量的已知漏洞并制作惡意代碼然后放在一些熱門網(wǎng)站上，這樣在大家瀏覽時(shí)，總有一定的概率碰到內(nèi)網(wǎng)中恰巧有受漏洞影響的設(shè)備，進(jìn)而被入侵。

圖：谷歌瀏覽器測試內(nèi)部網(wǎng)絡(luò)保護(hù)功能禁止跨站點(diǎn)訪問127.0.0.1等內(nèi)網(wǎng)地址

內(nèi)部網(wǎng)絡(luò)保護(hù)功能：

Chrome 新推出的內(nèi)部網(wǎng)絡(luò)功能就是用來攔截此類攻擊的，谷歌給出的說明是：為了防止惡意網(wǎng)站通過用戶代理的網(wǎng)絡(luò)位置來攻擊設(shè)備和服務(wù)，這些設(shè)備和服務(wù)合理地架設(shè)它們駐留在用戶的本地內(nèi)聯(lián)網(wǎng)或用戶計(jì)算機(jī)上，無法從整個(gè)互聯(lián)網(wǎng)訪問。

為此谷歌推出內(nèi)部網(wǎng)絡(luò)保護(hù)功能，禁止從公網(wǎng)訪問的跨站點(diǎn)訪問專用網(wǎng)絡(luò)地址，例如 127.0.0.1 或 192.168.1.1 這類地址。

Chrome 將在加載網(wǎng)頁時(shí)進(jìn)行預(yù)檢查驗(yàn)證請求是否來自安全的上下文以及發(fā)送初步請求檢測要訪問的站點(diǎn)是否為內(nèi)部地址 (例如內(nèi)網(wǎng)搭建的 HTTP 服務(wù)器，路由器這類可以通過本地 IP 訪問的都算)。

比如下面這個(gè)嵌入的 iframe 框架可以用來執(zhí)行 CSRF 攻擊從而修改本地網(wǎng)絡(luò)上的路由器 DNS：