V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
edis0n0
V2EX  ›  信息安全

群晖是怎么做到通过网页扫描内网所有群晖设备的?不会被浏览器同源策略拦截吗?随便一个网页都能随意访问内网是不是很不安全, pian 用户点一个网页就能进内网扫洞偷数据了(很多用户内网走 HTTP 的 she-像-头之类设备默认密码都不改的)?

  •  
  •   edis0n0 · 2022-11-17 19:36:11 +08:00 · 1839 次点击
    这是一个创建于 771 天前的主题,其中的信息可能已经有所发展或是发生改变。
    https://finds.synology.com/

    iOS 上的一个很好用的乌-ke-兰软件 Documents 的 https://docstransfer.com/ 是不是也是相同的原理?

    真的不存在安全问题吗?
    9 条回复    2022-11-17 20:31:39 +08:00
    edis0n0
        1
    edis0n0  
    OP
       2022-11-17 19:37:16 +08:00
    不知道哪个是敏感词,一直提示要注册 1014 天发布,只能全换成拼音了
    retanoj
        2
    retanoj  
       2022-11-17 19:41:24 +08:00
    能扫到,说明内网其他群晖设备有服务暴露啊
    edis0n0
        3
    edis0n0  
    OP
       2022-11-17 19:46:07 +08:00
    @retanoj #2 能扫内网就说明能访问内网啊,不知道有没有别的限制
    looking0truth
        4
    looking0truth  
       2022-11-17 19:47:37 +08:00
    mDns 可以了解下
    yueji
        5
    yueji  
       2022-11-17 19:47:37 +08:00
    mDNS?
    ylls
        6
    ylls  
       2022-11-17 19:55:34 +08:00
    看网页在请求 这个地址 http://flashstation.local:5000
    ylls
        7
    ylls  
       2022-11-17 19:57:10 +08:00
    @ylls 不算扫描,需要对方主动把主机名修改成这个并且开放这个端口
    ylls
        8
    ylls  
       2022-11-17 19:59:51 +08:00
    @ylls 会被浏览器同源策略拦截吗?
    -------------------------------
    对端做好跨域处理就好了
    edis0n0
        9
    edis0n0  
    OP
       2022-11-17 20:31:39 +08:00
    仔细看了下前者确实是 mDNS ,后者 mDNS 都没用,用户手动输入配对码后直接 js 跳转到服务器 API 返回的内网 IP
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2575 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 11:15 · PVG 19:15 · LAX 03:15 · JFK 06:15
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.