WebRTC又称为“网页即时通信”,是一组API函数,它经过W3C组织的认证,支持浏览器之间的语音通话、视频聊天和P2P模式分享文件。
这个协议主要包括:getUserMedia,RTCPeerConnection,RTCDataChannels,getStats这些模块。getUserMediagon的功能是允许浏览器使用摄像头、手机等其他设备;RTCPeerConnection的功能是创建语音和视频的连接;RTCDataChannels的主要功能是允许实现点对点进行数据共享;getStats的功能是获取WebRTC活跃会话的状态信息。
虽然WebRTC中的数据包是进行加密过的,但是它为了实现即时通信因而采用了STUN传输协议,STUN这种协议也被允许穿越NAT,用户发送相关请求到服务器后,服务器的反馈信息中包含用户的IP地址和局域网地址,这就导致了危险性。
对于漏洞存在性的检测,你可以通过下面的检测点进行检测工作。
检测点1 检测点2
如果你出现下图所示的情况,那么就存在漏洞危险。
漏洞的修复工作还是很简单的。
如果你是火狐浏览器,那么最新版本已经修复了,当然你也可以进行下面步骤进行排查。
1. 输入:about:config
2. media.peerconnection.enabled
3. 修改其属性为 false
如果你是谷歌浏览器,请下载安装ScriptSafe插件进行修复,如果你无法下载,可以点击下面我们提供的连接进行下载(资源来自Chrome插件市场)。
ScriptSafe插件下载
如果你再次检测漏洞后发现如下图,则表明已经修复完毕。
