给用宝塔6.x的用户提个醒

By小酷 · 发表于 2018-12-2 10:37:44

原来用宝塔5.9的时候，病没有发现这个问题
换了6以后才注意到，如果你使用CF，并且开了https
很有可能会出现源ip地址泄露，就算你没解析过这个ip

泄露查询方法
https://censys.io/ipv4?q=你的域名
会列出所有你的ip

避免方法可以参考
https://www.howtoing.com/how-to-host-a-website-using-cloudflare-and-nginx-on-ubuntu-16-04

禁止CF以外的链接https

只看该作者 · 发表于 2018-12-2 21:24:23

提示: 作者被禁止或删除内容自动屏蔽

xfspace · 发表于 2018-12-2 10:45:43

lz 一天就想搞个大事情会用nginx的都知道要做443 default_server 80 default_server

papawan · 发表于 2018-12-2 10:42:50

本帖最后由 papawan 于 2018-12-2 10:49 编辑

由于CenSys同时也收集IP对应的证书信息，只要你是以Https方式回源，就有这个问题

有几种方法可以避免
1. Http方式回源(中间人攻击风险)
2.采用CF签发的非公共信任证书(大佬说不行，但是我用这方法是ok的)
3.楼主的方法

天城 · 发表于 2018-12-2 10:40:42

卧槽还真的是

bax · 发表于 2018-12-2 10:42:05

没用BT也能查到

zhoutiancai · 发表于 2018-12-2 10:44:05

我去这么厉害那CDN 没有什么用了

By小酷 · 发表于 2018-12-2 10:46:46

papawan 发表于 2018-12-2 10:42
由于CenSys同时也收集IP对应的证书信息，只要你是以Https方式回源，就有这个问题

有几种方法可以避免

第二条不行，我用的就是15年的自签名证书，还是被收集了

hxuf · 发表于 2018-12-2 10:47:48

cf打穿的方式很多大不了到时候换小鸡

By小酷 · 发表于 2018-12-2 10:48:29

xfspace 发表于 2018-12-2 10:45
lz 一天就想搞个大事情会用nginx的都知道要做443 default_server 80 default_server ...

提个醒有错吗

papawan · 发表于 2018-12-2 10:50:51

xfspace 发表于 2018-12-2 10:45
lz 一天就想搞个大事情会用nginx的都知道要做443 default_server 80 default_server ...

到问题就是你做了也没用，如果default 443的证书和你网站的证书一致，照样分分钟凉凉

		自动登录	找回密码
密码			注册

广东雨神该用户已被删除	推荐发表于 2018-12-2 21:24:23 \| 只看该作者提示: 作者被禁止或删除内容自动屏蔽
广东雨神该用户已被删除
	回复支持 1 反对 0 举报

[疑问] 给用宝塔6.x的用户提个醒

浏览过的版块