【安全】品葱前端源码采用了JavaScript,理论上可以绕过代理获取真实IP!
我关闭了浏览器的JavaScript支持,然后登陆品葱,但发现部分功能无法使用,并提示我打开javascript支持。
技术上通过javascript的代码是可以绕过vpn代理获取用户真实IP的。也就是说,如果品葱被黑了的话,黑客插入一些javascript代码就能获取大多数用户的真实信息了!所有的匿名将形同虚设。
个人了解的解决办法有双虚拟机方案,这个可以区编程随想的博客上看,或者直接google。另外还是希望品葱技术管理员能回答一下这个问题怎么解决?或者升级代码放弃javascript?
---
更新
https://ip.voidsec.com/
点击上面这个网站,如果发现Web RTC一行下面显示ip的话,那么这个应该就是对应你真是身份的实际ip地址。你的浏览环境应该受到了webRTC漏洞的威胁了。
如果你刚好暂时没有条件上虚拟机+tor这种方案的话,其实一般的浏览器也能做到防范这个问题。下面以safari为例,其他浏览器步骤差不多,需要自己去搜索一下。
1. 打开safari的偏好设置
2. 在“高级”选项卡的最下面,勾中“在菜单栏中显示‘开发’菜单”
3. 在菜单栏中点击“开发”菜单
4. 在WebRTC一项中,去掉“启用旧的Web RTC API”
5. 在实验性功能中,勾中“Remove legacy Web RTC API”
这时,再去点击上面的网页检查一下你的结果,看看web RTC下面的ip是否消失了。不用版本的设置也不尽相同,只是启发一下大家。
---
更新
https://thesafety.us/what-is-webrtc#safari-ios
这个网站详细介绍了什么WebRTC以及各个平台包括ios端的防范措施。供大家参考。
---
更新
来自tor在ios端的安全警告:
技术上通过javascript的代码是可以绕过vpn代理获取用户真实IP的。也就是说,如果品葱被黑了的话,黑客插入一些javascript代码就能获取大多数用户的真实信息了!所有的匿名将形同虚设。
个人了解的解决办法有双虚拟机方案,这个可以区编程随想的博客上看,或者直接google。另外还是希望品葱技术管理员能回答一下这个问题怎么解决?或者升级代码放弃javascript?
---
更新
https://ip.voidsec.com/
点击上面这个网站,如果发现Web RTC一行下面显示ip的话,那么这个应该就是对应你真是身份的实际ip地址。你的浏览环境应该受到了webRTC漏洞的威胁了。
如果你刚好暂时没有条件上虚拟机+tor这种方案的话,其实一般的浏览器也能做到防范这个问题。下面以safari为例,其他浏览器步骤差不多,需要自己去搜索一下。
1. 打开safari的偏好设置
2. 在“高级”选项卡的最下面,勾中“在菜单栏中显示‘开发’菜单”
3. 在菜单栏中点击“开发”菜单
4. 在WebRTC一项中,去掉“启用旧的Web RTC API”
5. 在实验性功能中,勾中“Remove legacy Web RTC API”
这时,再去点击上面的网页检查一下你的结果,看看web RTC下面的ip是否消失了。不用版本的设置也不尽相同,只是启发一下大家。
---
更新
https://thesafety.us/what-is-webrtc#safari-ios
这个网站详细介绍了什么WebRTC以及各个平台包括ios端的防范措施。供大家参考。
---
更新
来自tor在ios端的安全警告:
Security Warning on iOS 11: Users on iOS 11 devices may have their IP address revealed when visiting websites that use WebRTC.
iOS 12 fixes this bug: please upgrade if you haven't already. For iOS 11 users, the only defense is to disable JavaScript
(The above issue is that WebRTC on iOS 11 always returns real IP addresses -- even if you are using plain Safari over a VPN. This affects all iOS browsers, including Safari and Brave. This is an issue at the iOS level and cannot be bypassed within an app.)
这个漏洞是关于 WebRTC 的 https://chinadigitaltimes.net/chinese/2018/03/奇客资讯-webrtc-bug-泄漏了vpn用户的真实ip/
可以使用这个油猴脚本轻松禁用 WebRTC
https://gist.github.com/PincongBot/a3be610048d43158ada9f8c0dc35161f
测试地址:https://ip.voidsec.com/
可以使用这个油猴脚本轻松禁用 WebRTC
https://gist.github.com/PincongBot/a3be610048d43158ada9f8c0dc35161f
// ==UserScript==
// @name 禁用WebRTC防止真实IP泄漏
// @version 0.0.1
// @description 禁用WebRTC防止真实IP泄漏
// @license MIT
// @author PincongBot
// @match *://*/*
// @run-at document-start
// @grant none
// ==/UserScript==
(function () {
'use strict';
var arr = ["RTCPeerConnection", "mozRTCPeerConnection", "webkitRTCPeerConnection"];
arr.forEach(function (fn) {
window[fn] = function () { };
});
})()
测试地址:https://ip.voidsec.com/
用[Tor+虛擬機]訪問啊, 難道你一直裸奔用chrome???!!!??!!
@anonym
@anonym
我验证了一下:
如果使用ShadowsocksR或者无界浏览软件来翻墙,这些软件会设置IE代理,这种情况确实可以通过JS绕过代理获取到真正的访客IP地址
如果使用Tunsafe软件来翻墙,该软件会创建一个全局的VPN,这种情况下,所有网络请求都会走VPN,真实ip是会隐藏的。
如果使用手机上的SSR软件翻墙,同样它是全局的VPN,因此也是不会获取到真实IP地址的。
理论上如果品葱被黑了,确实可以获取到很多使用代理服务器的用户的真实IP地址。
如果使用ShadowsocksR或者无界浏览软件来翻墙,这些软件会设置IE代理,这种情况确实可以通过JS绕过代理获取到真正的访客IP地址
如果使用Tunsafe软件来翻墙,该软件会创建一个全局的VPN,这种情况下,所有网络请求都会走VPN,真实ip是会隐藏的。
如果使用手机上的SSR软件翻墙,同样它是全局的VPN,因此也是不会获取到真实IP地址的。
理论上如果品葱被黑了,确实可以获取到很多使用代理服务器的用户的真实IP地址。
JS绕过代理、VPN获取真实IP及内网IP,逆向追踪
https://lcx.cc/post/4490/
假設共匪用暴力把服務器搶了去,然後在釣魚期間加入JS追踪代碼,則整個IP鏈都可以得到。
目前無法禁用JS,不用JS品蔥不工作了,僅能瀏覽無法發言。
徹底解決辦法:品葱技术管理员升级代码放弃javascript, 但工作量很大。
https://lcx.cc/post/4490/
假設共匪用暴力把服務器搶了去,然後在釣魚期間加入JS追踪代碼,則整個IP鏈都可以得到。
目前無法禁用JS,不用JS品蔥不工作了,僅能瀏覽無法發言。
徹底解決辦法:品葱技术管理员升级代码放弃javascript, 但工作量很大。
WebRTC是浏览器的锅,现在有几个网站不需要JavaScript?
补充问题:需要回国的海外党需要担心IP地址泄露吗?
chrome或firefox装ublock origin插件,打开控制台,设定,隐私一栏勾选预防WebRTC泄露本地ip地址即可,亲测有效
请问你说的是哪个品葱?
如果这是真的,那么洋葱代理访问贵站也将是我未来的选择。我也强烈推荐大家使用洋葱访问,至少加密性能无出其右者。
1 运行在客服端的JavaScript,不能获取IP地址
2 暂且不提黑客入侵的难度,如果黑客能修改你的JS代码,相当于服务器已经在黑客手里了,他想干啥都行。
3 JavaScript 是浏览器唯一支持的逻辑语言,没有任何办法替代(暂不考虑WebAssembly)
4 我不是品葱管理员,但我可以告诉你,你的担心是多余的
2 暂且不提黑客入侵的难度,如果黑客能修改你的JS代码,相当于服务器已经在黑客手里了,他想干啥都行。
3 JavaScript 是浏览器唯一支持的逻辑语言,没有任何办法替代(暂不考虑WebAssembly)
4 我不是品葱管理员,但我可以告诉你,你的担心是多余的
