起因很简单原本只是想添加一个自己的网站结果手滑打错了,但是他还是给我扫了 DNS,直接暴露输入错误的网站(源站 IP)服务器,我无 fuck 说
1
hging 2017-09-15 14:46:25 +08:00
我猜这是在搞大事情。 这就是个简单的扫描。 里面内置了一些子域名 然后去直接请求 dns 获取解析值
|
4
aishiteru OP 解决办法 可以在 DNS 绑定自己的域名但不解析 这样不会被恶意添加了
|
7
aishiteru OP 另外我也说了 不是所有网站都行 百度那个不确定 但是中小型大概 4-6 成把 都可以无视 CDN (这越权有点大了吧?)
|
8
f2f2f 2017-09-15 15:00:36 +08:00
你用 cloudflare,输入待加入的域名,人家也是照样给你扫一遍 dns。这算 Bug ?
|
11
aishiteru OP |
12
jasontse 2017-09-15 15:13:38 +08:00 via iPad 1
你的意思是 dnspod 的域名导入功能可以通过腾讯内网扫描出源站?
|
13
sendmailer 2017-09-15 15:15:00 +08:00
@f2f2f 说的没毛病,就是一个添加域名方便功能,根据字典扫描常见域名,不是 bug。
|
15
aishiteru OP @sendmailer 我没有说这个扫常见域名是 BUG 这个添加域名的确方便 我想说的 @jasontse 这个意思
|
16
atc 2017-09-15 15:17:04 +08:00
那你这不是标题党?明明是扫到了没有使用 CDN 的 IP,却写个“绕过 CDN ”
这玩意谁都可以扫呀 |
17
aishiteru OP @atc 并不算吧 测试了身边几个朋友的站 上了 360 的 cdn 似乎扫不到源站 IP(测试了一个)
1.测试域名是上了 CDN 的 2.我不知道他的其他子域名(没有说扫常见域名是 BUG 这个操作的确方便) 3.腾讯云的好像都可以?难道因为方便导入?(万一被恶意添加 岂不是) |
19
ahkxhyl 2017-09-15 16:06:22 +08:00
我擦 这样你是不是能玩起劫持??
|
20
aishiteru OP @isphone 可以自行测试,也不完全是腾讯云,其他的也可以
这个"方便的操作" 万一被恶意添加(twitter/google/youtube 还有国内一些人气也不小的网站不知道被谁给添加了)手动滑稽 建议 DNS 商多加个 TXT 验证,或者把 2、3 顺序倒过来,先验证,再自动导入 |
22
liuminghao233 2017-09-15 16:09:25 +08:00 via iPhone
用 cloudflare 的不知道你们在说什么
|
23
cnTangLang 2017-09-15 16:17:18 +08:00
我认为这是一个漏洞
|
24
aishiteru OP |
25
aishiteru OP ![网易_1]( )
![网易_2]( ) |
26
shiny 2017-09-15 17:08:40 +08:00
听说有黑产专门找人源 ip 获利的
|
28
aishiteru OP md?第二张图没打上码?
|
29
UnisandK 2017-09-15 17:20:18 +08:00
119.75.220.13 这 IP 你觉得是你获取到的百度的源站 IP 是吧。。
nslookup tieba.com Server: 8.8.8.8 Address: 8.8.8.8#53 Non-authoritative answer: Name: tieba.com Address: 123.125.65.17 Name: tieba.com Address: 123.125.65.93 Name: tieba.com Address: 220.181.111.191 Name: tieba.com Address: 220.181.111.199 Name: tieba.com Address: 119.75.220.13 你再好好看看呢。。 |
30
aishiteru OP |
31
UnisandK 2017-09-15 17:23:12 +08:00
你朋友把常见子域名解析到源站 IP 那怪不了腾讯云,拿 DNS 暴力破解的工具刷的话别说常见的,稍微短点的不常见的都能给你跑出来。。
|
33
aishiteru OP 不知道被谁给绑定了 |
34
Showfom 2017-09-15 18:09:49 +08:00 via iPhone
什么年代了 大网站都分布式构架 就算网络也是负载均衡的多 好想拿到源站 IP 呢
对小网站来说 不要用企鹅的 cdn 就是了 保护好源站 ip 不要在任何第三方服务暴露 |