웹브라우저를 통한 내부 IP 노출문제 가능성..
HTML5 WebRTC 를 지원하는 브라우저에서, 로컬 IP 가 노출되는 보안문제가 발생할 수 있다.
(참고로, Chrome, Firefox, Opera 등의 최신 버전 브라우저에서는 HTML5 WebRTC 지원하나, IE 11 이하 IE 브라우저는 지원하지 않고 있는것으로 확인됨)
WebRTC 는 별도의 플러그인 없이도 웹에서 RTC(Real-Time Communucations)를 구현하기 위한 스펙이다. 좀 더 정확히 얘기하자면 비디오와 오디오 같은 미디어를 실시간으로 주고 받을 수 있는 기능으로 쉽게 화상채팅같은 기능을 생각하면 된다.
WebRTC에는 크게 3가지 API 가 있다. MediaStream, PeerConnection, DataChannel
MediaStream은 사용자의 PC에서 카메라나 마이크같은 장비에서 스트림을 얻어내는 것이고,
PeerConnection은 다른 사용자와 미디어를 P2P로 주고 받는 기능이다.
DataChannel은 다수의 스트림을 주고 받는 기능이다.
바로 WebRTC의 API 중 PeerConnection 기능을 악용하게 되면, 로컬 IP 가 노출될 여지가 존재하게 된다.
이 글의 스크립트에는 당신의 로컬 IP 를 확인할 수 있도록 되어 있다.
(현재 페이지에서는 로컬IP 를 수집하는 행위는 절대 하고있지 않음을 밝힌다.)
-
XSS와 같은 공격을 통해 NAT로 구성된 내부 시스템의 IP 가 노출될 가능성이 높아질 것이다.
이 내용에 대한 출처는 아래와 같다.
https://2x.io/read/security-by-obscurity
또 다른 스크립트