Чтобы четко объяснить функцию защиты внутренней сети, протестированную Chrome, мы должны сначала привести пример (краткое объяснение, а не полный процесс, подробности см. в CSRF (подделка межсайтовых запросов)), чтобы помочь всем понять. Например, в среде интрасети, используемой Bluepoint, имеется уязвимый маршрутизатор. Эту уязвимость можно реализовать через локальный код (например, инъекцию), но я давно не обновлял прошивку, чтобы исправить эту уязвимость.

Хакерам нелегко использовать эту уязвимость для вторжения, но они могут быть переданы через браузер. Например, на веб-сайт может быть встроен фрагмент контента, выполняющий этот вредоносный код. Когда я просматриваю эту веб-страницу, этот вредоносный код может быть выполнен.

По аналогии хакеры могут найти большое количество известных уязвимостей и создать вредоносный код, а затем разместить его на некоторых популярных сайтах. Таким образом, когда каждый просматривает сайт, всегда существует определенная вероятность того, что он встретит устройство, которое подвержено уязвимости в интрасети, и затем подвергнется вторжению.

Возможности защиты внутренней сети:

Новая функция внутренней сети Chrome предназначена для блокировки таких атак. Объяснение, данное Google, следующее: Чтобы предотвратить атаки вредоносных веб-сайтов на устройства и службы через сетевое расположение пользовательского агента, эти устройства и службы разумно настроены для размещения в локальной интрасети пользователя или на пользовательском компьютере и недоступны из всего Интернета.

С этой целью Google запустил функцию внутренней защиты сети, которая запрещает межсайтовый доступ из общедоступной сети к адресам частной сети, например, таким адресам, как 127.0.0.1 или 192.168.1.1.

Chrome выполнит предварительную проверку при загрузке веб-страницы, чтобы убедиться, что запрос исходит из безопасного контекста, и отправит предварительный запрос, чтобы проверить, является ли сайт, к которому осуществляется доступ, внутренним адресом (например, HTTP-сервер, встроенный в интрасеть, маршрутизатор, доступ к которому можно получить через локальный IP-адрес).

Например, следующий встроенный iframe можно использовать для выполнения CSRF-атаки с целью изменения DNS маршрутизатора в локальной сети:

<iframehref="https://admin:[email protected]/set_dns?server1=123.123.123.123">

Новое сообщение об ошибке:

Когда такие запросы доступа блокируются, Chrome отображает сообщение об ошибке: BLOCKED_BY_PRIVATE_NETWORK_ACCESS_CHECKS.

Это означает, что посещаемый в данный момент веб-сайт пытается получить доступ к внутреннему адресу. Когда пользователи видят такие подсказки, им следует быть настороже и опасаться проблем с самим веб-сайтом.

Наконец, эта функция еще официально не запущена и будет постепенно тестироваться в различных каналах Chrome.