Google 搜索时发现居然有假的 GitHub,还是 gov.cn

2022-10-03 17:15:50 +08:00
 xuwu

我在搜索 openwrt 编译的时候看到了一个奇奇怪怪的链接,点进去 chrome 提示仿冒网站,我一看域名发现不对劲

https--github--com.proxy.huizhou.gov.cn

居然是 gov.cn ,顺着这个 proxy.huizhou.gov.cn 域名发现还有一个假的 stackoverflow

stackoverflow--com.proxy.huizhou.gov.cn

现在都流行钓鱼执法了吗?

5568 次点击
所在节点    分享发现
16 条回复
winglight2016
2022-10-03 17:24:49 +08:00
哈哈,有意思,官方山寨。。。不过,看名字好像只是用来翻墙?
xuwu
2022-10-03 17:25:53 +08:00
@winglight2016
不太可能官方拿来魔法吧,怎么可能对外开放?大概率是钓鱼执法
cpstar
2022-10-03 17:27:47 +08:00
这是一些做 IPV6 的域名
Ayahuasec
2022-10-03 17:28:59 +08:00
看着应该是内部用的代理服务器,我这边之前也有部署过这种域名形式的,把需要访问的网站加在域名的前面就可以通过机构的 IP 访问限定了 IP 的资源。
但是一般访问之前需要认证,这个估计是认证没开又暴露到公网了。
Ayahuasec
2022-10-03 17:30:14 +08:00
访问了一下 www--baidu--com.proxy.huizhou.gov.cn ,会打开百度的首页,然后搜 IP 就可以得到代理出口地址是广东省惠州市。
Z1on
2022-10-03 17:31:36 +08:00
应该是有人做了反代自己用不小心暴露出来了

xuwu
2022-10-03 17:33:00 +08:00
@Ayahuasec
不好说,证书都有,22 年 6 月 10 号过期了,而且还被 Google 所录了
你说的类似这种代理我之前还玩过,用 cloudflare workers 玩过
PMR
2022-10-03 17:33:29 +08:00
Proxy 被利用


前阵子兴起的做法
高校 /gov 要通过 proxy 访问源站 美名“防攻击” 但 frontend 不做限制 按照规则 可通过 proxy 访问任意网站 近期似乎一部分做了修复 大部分还是能利用
snw
2022-10-03 17:36:00 +08:00
以前也看到过某些 .gov.cn 出现这种问题。一种是内部代理服务器没设置好,导致公网也能使用。另一种是网站维护者偷懒(比如不想增加备案),用前缀来代理一些资源,但没限制目标域名,导致能代理任意网址。

只能说,请下次 HW 行动的测试者们好好利用。
Muniesa
2022-10-03 17:36:32 +08:00
我们学校的网页 vpn 上知网域名就是这个样子的
xuwu
2022-10-03 17:37:35 +08:00
@Ayahuasec
@Z1on
@PMR
@snw
确实,看看 ipip.net 就知道了,只不过 Google 好像上不去,应该是走了国内,没过 GFW
www--ipip--net.proxy.huizhou.gov.cn
yyzh
2022-10-03 17:38:53 +08:00
你 google 一下 site:gov.cn 某 hub 会发现新大陆
ruizhixia
2022-10-03 19:55:57 +08:00
@Z1on whitehouse 后面跟了 com 就是 18+网站
olaloong
2022-10-03 22:16:32 +08:00
就是傻瓜反代,配置不当导致暴露到公网,没限制域名,还被搜索引擎抓去了
Mystery0
2022-10-04 00:36:41 +08:00
现在好像被关了,刚刚 site:gov.cn 搜 pornhub ,看到出来的结果好多都是这个 huizhou.gov.cn
Mystery0
2022-10-04 00:36:54 +08:00
@Mystery0 Google 搜索

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/884510

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX