大家好我是跨境卫士的王同学,今天给大家带来的是一篇技术分享。

跨境电商中国卖家,大多会操作多个不同资质的账号。

亚马逊对一机一网多账号操作会出现账号关联的风险。

很多卖家也都知道一个账号应该配合一个独享固定的IP(这里不讨论主机环境)。

为了得到固定IP,也有很多的技术方案。

有一派是用代理模式来解决IP问题。

基本就是虚拟机+远程VPS(IP)的经典组合。

不过这种经典组合有一个非常容易被人忽视的问题一不小心真是IP就被暴露了。

这就是大名鼎鼎的WebRTC漏洞。

五级风险真实IP泄漏之WebRTC-亚马逊账号关联因素

亚马逊账号关联因素webRTC

首先什么是WebRTC?

它是一个支持网页浏览器进行实时语音对话或视频对话的API。

其实现的最终目的主要是让Web开发者能够基于浏览器轻易快捷开发出丰富的实时多媒体应用。

而无需下载安装任何插件。优点不言而喻。

但是缺点很快就暴露了,泄漏用户的真实公网IP和私网IP。

下面简单说一说是如何暴露的(不做深入解析)。

说的简单点WebRTC就是为了进行视频或者音频传输。

这个传输主要是端到端进行传输,而不是客户端到服务器进行传输。

因此,在协议层面就要解决NAT穿透问题。

WebRTC采用STUN(Session Traversal Utilities for NAT)、TURN和ICE等协议栈对网络中的防火墙或者NAT进行穿透。

ICE(Interactive Connectivity Establishment,交互连接建立):由于端与端之间存在多层防火墙和NAT设备阻隔,因此我们需要一种机制来收集两端之间公共线路的IP,而ICE则是干这件事的好帮手。

ICE代理向操作系统查询本地IP地址

如果配置了STUN服务器,ICE代理会查询外部STUN服务器,以取得本地端的公共IP和端口

如果配置了TURN服务器,ICE则会将TURN服务器作为一个候选项,当端到端的连接失败,数据将通过指定的中间设备转发。

用户发送请求至STUN服务器,STUN服务器会返回用户的公网IP和私网IP。

返回的请求可以通过JS获取。

那为什么开发者控制台看不到呢?

原因在于这个过程是在正常的XML/HTTP请求过程之外进行的。

这意味着,如果浏览器支持WebRTC和JS,那么这个漏洞就是存在的。

遗憾的是几乎所有的浏览器都对WebRTC和JS提供支持。

其中Tor、Edge和IE默认是关闭,其他浏览器都是开启的。

解决方案:

1、禁用JS,这个不可能的,没有JS,所有网站都挂了。

2、关闭WebRTC

下面就几种常用浏览给出解决方法:

1、Firefox禁用方法是:在浏览器上输入:about:config。

回车,搜索:media.peerconnection.enabled。找到它后双击,将其改成 false 即可。

2、Google:直接禁用方法是不存在的,嘿嘿。只能通过插件的方式。自行查找吧。

3、360,QQ等等:不多说,都是基于Google内核的。

如何验证:

亚马逊账号关联因素webRTC

这里再次提示。很多小伙伴,经常略这个漏洞。

养成一个好习惯,每次登陆亚马逊账号卖家后台前,先检测一下自身的环境。

希望本篇文章可以帮助到大家。

版权归跨境卫士技术实验室所有。

首发:

声明:该文观点仅代表作者本人,邦阅网系信息发布平台,邦阅网仅提供信息存储空间服务。

评论
登录 后参与评论
爱心公益
举报
问题反馈
返回顶部