极速下载站 —— 提供优质软件下载服务,感受全新的极速下载体验!

最近更新 | 软件专题 | 软件分类 | 软件排行

您的位置:极速下载站资讯首页软件教程软件资讯 → 谷歌浏览器测试内部网络保护功能 禁止跨站点访问127.0.0.1等内网地址

谷歌浏览器测试内部网络保护功能 禁止跨站点访问127.0.0.1等内网地址

时间:2024-02-19 13:52:17  作者:泰龙  浏览量:59

要说清楚 Chrome 测试的这个内部网络保护功能我们得先举个例子 (简要说明,不是完整流程,具体可以参考 CSRF 即跨站请求伪造)帮助大家理解,比如说蓝点网使用的内网环境中有一台存在漏洞路由器,这个漏洞可以通过本地代码执行(比如注入之类的),但我长期没有升级固件修复这个漏洞。

进入下载
谷歌浏览器
谷歌浏览器 120.0.6099.63
大小:118.2 MB
日期:2024/2/19 13:52:17
环境:WinXP,Win7,

黑客要想利用这个漏洞入侵的话并不容易,但可以通过浏览器进行中转,比如在某个网站上嵌入一段执行这段恶意代码的内容,当我浏览这个网页时,这段恶意代码就可以执行。

以此类推,黑客可以寻找大量的已知漏洞并制作恶意代码然后放在一些热门网站上,这样在大家浏览时,总有一定的概率碰到内网中恰巧有受漏洞影响的设备,进而被入侵。

图:谷歌浏览器测试内部网络保护功能 禁止跨站点访问127.0.0.1等内网地址

内部网络保护功能:

Chrome 新推出的内部网络功能就是用来拦截此类攻击的,谷歌给出的说明是:为了防止恶意网站通过用户代理的网络位置来攻击设备和服务,这些设备和服务合理地架设它们驻留在用户的本地内联网或用户计算机上,无法从整个互联网访问。

为此谷歌推出内部网络保护功能,禁止从公网访问的跨站点访问专用网络地址,例如 127.0.0.1 或 192.168.1.1 这类地址。

Chrome 将在加载网页时进行预检查验证请求是否来自安全的上下文以及发送初步请求检测要访问的站点是否为内部地址 (例如内网搭建的 HTTP 服务器,路由器这类可以通过本地 IP 访问的都算)。

比如下面这个嵌入的 iframe 框架可以用来执行 CSRF 攻击从而修改本地网络上的路由器 DNS:

谷歌浏览器 120.0.6099.63

谷歌浏览器图片
  • 软件性质:国产软件
  • 授权方式:免费版
  • 软件语言:简体中文
  • 软件大小:121037 KB
  • 下载次数:131 次
  • 更新时间:2024/2/20 10:13:17
  • 运行平台:WinXP,Win7,...
  • 软件描述:谷歌浏览器(英文名称: Google Chrome)是一款由全球比较快、比较安全... [立即下载]

相关资讯

软件资讯排行
最新软件资讯
软件教程分类

更多常用电脑软件

更多同类软件专题