Chrome 浏览器将屏蔽 554 端口以阻止 NAT Slipstreaming 攻击

来源: 投稿
作者: 御坂弟弟
2021-03-10

Chrome 浏览器将阻止浏览器对 TCP 554 端口的访问,以防止利用 NAT Slipstreaming 2.0 漏洞的攻击行为。

去年,安全研究人员披露了新版本的 NAT Slipstreaming 漏洞,该漏洞允许恶意脚本绕过网站访问者的 NAT 防火墙,访问访问者内部网络上的任何 TCP/UDP 端口。

由于这个漏洞只对路由器的应用层网关(ALG)监控的特定端口起作用,因此包括 Chrome、Safari 和 Mozilla 在内的浏览器开发者已经阻止了不会收到大量流量的易受攻击的端口。当该漏洞首次被披露时,Chrome 87 开始阻止 HTTP 和 HTTPS 对 TCP 端口 5060 和 5061 的访问,以防范该漏洞。2021年1月,谷歌又阻止了对另外 7 个端口的 HTTP、HTTPS 和 FTP 访问,包括 69、137、161、1719、1720、1723 和 6566 端口。过去,Chrome 也曾屏蔽过 554 端口,但在企业用户投诉后取消了屏蔽。

然而,Chromium 工程师 Adam Rice 宣布,目前开发这么已经在 Github 上达成了共识,将再次屏蔽 554 端口。

谷歌和 Safari 开发者也在讨论屏蔽 10080 端口,Firefox 已经屏蔽了这一端口,但由于网络浏览器对该端口的合法请求,开发者们犹豫不决。一旦某个端口被屏蔽,当用户试图连接到该端口时,会看到一条错误信息,显示为 'ERR_UNSAFE_PORT'。 如果有开发者将网站托管在这些端口上运行,则应该切换到其他端口,让用户能够不受这些端口的影响继续访问网站。

此外,Firefox 84 或更高版本以及 Safari 都已经在其浏览器中屏蔽了 554 端口。

展开阅读全文
6 收藏
分享
加载中
精彩评论
很多漏洞都是利用了一些默认情况下的行为,这种时候简单粗暴的一刀切恰恰是最好的解决方案。真要用到这些端口的时候,自定义改个新的端口号就行了
2021-03-10 21:37
2
举报
这里有讨论 https://github.com/whatwg/fetch/pull/1148,但好像并没有说明具体的理由,最可能的原因就是 80->10080,习惯性在80前加100
2021-03-10 10:11
2
举报
讽刺的是,NAT这么多年的安全神话,无论你怎么弄tcp也好,udp也好都没有攻破,居然被以安全著称的浏览器给攻破了,聪明反被聪明误。
2021-03-10 15:59
1
举报
最新评论 (8)
开发居然能给产品做决定
2021-03-11 08:57
0
回复
举报
很多漏洞都是利用了一些默认情况下的行为,这种时候简单粗暴的一刀切恰恰是最好的解决方案。真要用到这些端口的时候,自定义改个新的端口号就行了
2021-03-10 21:37
2
回复
举报
这是浏览器干的活吗?搞不懂他们怎么想的
2021-03-10 20:56
0
回复
举报
这事应该交给用户来决定,确实🈶应用需要使用这些端口又该怎么办,不能总是一封了之吧,慢慢端口约封越多都封了,计算机还能连网吗?网络还有存在的意义么
2021-03-10 20:21
0
回复
举报
能检查下错别字再发嘛
2021-03-10 18:02
0
回复
举报
讽刺的是,NAT这么多年的安全神话,无论你怎么弄tcp也好,udp也好都没有攻破,居然被以安全著称的浏览器给攻破了,聪明反被聪明误。
2021-03-10 15:59
1
回复
举报
为什么ff要屏蔽 10080 端口
2021-03-10 09:37
0
回复
举报
这里有讨论 https://github.com/whatwg/fetch/pull/1148,但好像并没有说明具体的理由,最可能的原因就是 80->10080,习惯性在80前加100
2021-03-10 10:11
2
回复
举报
更多评论
10 评论
6 收藏
分享
返回顶部
顶部