大家好我是跨境卫士的王同学,今天给大家带来的是一篇技术分享。
做跨境电商的中国卖家,大多会操作多个不同资质的账号。
亚马逊对一机一网多账号操作会出现账号关联的风险。
很多卖家也都知道一个账号应该配合一个独享固定的IP(这里不讨论主机环境)。
为了得到固定IP,也有很多的技术方案。
有一派是用代理模式来解决IP问题。
基本就是虚拟机+远程VPS(IP)的经典组合。
不过这种经典组合有一个非常容易被人忽视的问题一不小心真是IP就被暴露了。
这就是大名鼎鼎的WebRTC漏洞。
亚马逊账号关联因素webRTC
首先什么是WebRTC?
它是一个支持网页浏览器进行实时语音对话或视频对话的API。
其实现的最终目的主要是让Web开发者能够基于浏览器轻易快捷开发出丰富的实时多媒体应用。
而无需下载安装任何插件。优点不言而喻。
但是缺点很快就暴露了,泄漏用户的真实公网IP和私网IP。
下面简单说一说是如何暴露的(不做深入解析)。
说的简单点WebRTC就是为了进行视频或者音频传输。
这个传输主要是端到端进行传输,而不是客户端到服务器进行传输。
因此,在协议层面就要解决NAT穿透问题。
WebRTC采用STUN(Session Traversal Utilities for NAT)、TURN和ICE等协议栈对网络中的防火墙或者NAT进行穿透。
ICE(Interactive Connectivity Establishment,交互连接建立):由于端与端之间存在多层防火墙和NAT设备阻隔,因此我们需要一种机制来收集两端之间公共线路的IP,而ICE则是干这件事的好帮手。
ICE代理向操作系统查询本地IP地址
如果配置了STUN服务器,ICE代理会查询外部STUN服务器,以取得本地端的公共IP和端口
如果配置了TURN服务器,ICE则会将TURN服务器作为一个候选项,当端到端的连接失败,数据将通过指定的中间设备转发。
用户发送请求至STUN服务器,STUN服务器会返回用户的公网IP和私网IP。
返回的请求可以通过JS获取。
那为什么开发者控制台看不到呢?
原因在于这个过程是在正常的XML/HTTP请求过程之外进行的。
这意味着,如果浏览器支持WebRTC和JS,那么这个漏洞就是存在的。
遗憾的是几乎所有的浏览器都对WebRTC和JS提供支持。
其中Tor、Edge和IE默认是关闭,其他浏览器都是开启的。
解决方案:
1、禁用JS,这个不可能的,没有JS,所有网站都挂了。
2、关闭WebRTC
下面就几种常用浏览给出解决方法:
1、Firefox禁用方法是:在浏览器上输入:about:config。
回车,搜索:media.peerconnection.enabled。找到它后双击,将其改成 false 即可。
2、Google:直接禁用方法是不存在的,嘿嘿。只能通过插件的方式。自行查找吧。
3、360,QQ等等:不多说,都是基于Google内核的。
如何验证:
亚马逊账号关联因素webRTC
这里再次提示。很多小伙伴,经常略这个漏洞。
养成一个好习惯,每次登陆亚马逊账号卖家后台前,先检测一下自身的环境。
希望本篇文章可以帮助到大家。
版权归跨境卫士技术实验室所有。
