第一次知道 https 会暴露服务器 ip

2020-12-06 23:38:17 +08:00

ddgweb

因为网站一直有用 cdn 加速，也没有泄露过 ip，但是在群里发一下域名，别人一下子就给我服务器 ip 找出来，然后随手给我来一发 udpfloor，然后封 1 天黑洞，这就很烦。

然后找了一些资料才知道，用 Nginx 部署网站，开启 ssl 的情况，直接访问 https+ip 会暴露证书，间接的别人就能扫到域名=ip

当然最后我通过各种办法，暂时解决了

9116 次点击

所在节点

分享发现

45 条回复

lzhw

2020-12-08 00:17:17 +08:00

类似这种批量扫描全网 ip 得到对应默认证书域名以建立反查数据库的搞法也是黑灰产最爱干的，之前泄露的微博 5 亿手机号绑定数据和 QQ 8 亿手机号绑定数据其实就是黑灰产遍历全网手机号段批量喂给微博和 QQ 的“通讯录自动匹配好友”接口获取的，有了海量的手机号和对应的微博 uid/QQ 号数据，自然就可以通过微博 uid 和 QQ 号来反查绑定的手机号~

echo1937

2020-12-08 00:29:06 +08:00

@lcdtyph #30 有点像 MD5 的彩虹表。

salmon5

2020-12-08 09:46:24 +08:00

http://nginx.org/en/CHANGES
*) Feature: the "ssl_reject_handshake" directive.
解决扫 IP 获取证书问题

lemonda

2020-12-09 20:00:57 +08:00

一个 IP 上有很多网站也可以扫出来么？
默认 https IP 返回的应该是按字母顺序排的第一个域名

Owenjia

2021-02-23 16:00:17 +08:00

全网扫描自己个人做是有点难，但现在有 censys/shodan，国内各大机关和安全公司搞得复制品也好多。
考虑下 1) 关空主机头 2)防火墙只允许 cdn ip 访问 3) cdn 与源站之间使用 mTLS ？

第 3 页／共 3 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/732738

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.