对于如何处理 0.0.0.0 请求的困惑暴露了多个浏览器中的安全漏洞。
攻击者可以使用此方法绕过私有网络访问保护。
Google 已对 Chrome 推出修复程序,并将在接下来的几个版本中推出。
零是一个奇怪的数字,自从第一次有人尝试用零除以它以来,它就一直在给计算机带来麻烦。当我们使用数字来表达特定事物时,“零”也是一个有效选项,这种想法并不总是直观易懂的。今天,我们将研究当软件以用户意想不到的方式解释某些零时会发生什么,以及威胁行为者如何利用这种错误处理来为自己谋利。
我们关注的是 IP 地址(特别是旧的 IPv4),它通过一组四个数字唯一地标识网络上的每个系统。您可能知道,其中一些数字具有特殊属性,例如 IP 地址 127.0.0.1,它被称为本地主机并充当环回 - 基本上,它就像在网络上的设备上放置一个镜像,无论您是谁,当您尝试连接到 127.0.0.1 时,您只是试图连接回您自己的设备。这种行为几乎在任何地方都是标准的,软件知道如何处理它。
这一切都指向了:0.0.0.0。如果这个 IP 地址在你眼中看起来很奇怪,想象一下它在计算机眼中是什么样子。0.0.0.0 的最大问题是,系统对如何处理它并没有达成强烈的共识。有些人根本不认为它是一个有效的地址,而其他人则把它当作 127.0.0.1 环回地址来处理。从这种混乱中,黑客找到了一种滥用 0.0.0.0 的方法,正如Oligo Security(通过福布斯)所揭示的那样。