这是一个创建于 874 天前的主题,其中的信息可能已经有所发展或是发生改变。
在腾讯云上搭了一个自用的 Web Server ,用来简单控制一些智能设备的开关,端口和请求路径什么的只有自己知道。
最近发现设备总会莫名其妙地处于关闭的状态,明明自己也没有操作。登陆服务器检查了下日志发现了一些来自未知 IP 的请求,溯源了下发现是腾讯云的 IP 。腾讯云重放了我关闭设备的请求,导致设备就被关闭了。
简单来说,位于腾讯云的服务器遭受到了重放攻击,来源是腾讯云自己……
迫不得已给 Server 加了个随机 Token 防御一下,也的确防下来了(下图日志)
只能说,腾讯云真的垃圾……
17 条回复 • 2022-06-21 09:04:58 +08:00
 |
1
villivateur 2022-06-18 12:00:10 +08:00 via Android
这个是否可以通过加 https 来防御呢?
|
 |
2
JensenQian 2022-06-18 12:12:46 +08:00  1
良心云变凉心云了
最近这还有隔壁,一堆人被山鸡的 |
 |
3
billlee 2022-06-18 12:20:22 +08:00 via Android
是腾讯云自己的漏洞扫描?印象中最可以关的
|
 |
4
eason1874 2022-06-18 12:23:50 +08:00
是不是服务器自带的 agent 插件在做可用性监控?
说到私有 API 设计,必须得验证,URL 是保密不了的,现在浏览器和软件都会主动去检测用户访问的 URL ,不可避免造成重放,区别只是有多少 |
 |
5
wooyuntest 2022-06-18 12:24:11 +08:00
这是漏扫吧 配合机器上的“云镜”来实现对“只有你知道的“端口和请求路径”做漏扫。
|
 |
7
opengps 2022-06-18 13:20:07 +08:00
能重放说明具备某些能力。。。
|
|
8
opengps 2022-06-18 13:21:02 +08:00
话说,你的案例可以拿来当案例,告诉后面的 iot 同学协议包校验的重要性
|
 |
9
jim9606 2022-06-18 13:54:57 +08:00 5
HTTP GET 的语义是幂等的,也就是说重放请求和缓存请求不应该产生副作用,所以很多组件会基于这个假设做一些功能,例如透明代理缓存和漏洞扫描器。非幂等请求应该用 POST 。
用 TLS 保护是个好主意,但依然要注意 GET 的语义问题,例如浏览器只允许 GET 请求使用 TLS1.3 0RTT Early Data ,因为请求包有被重放的可能性。 依赖端口号和路径来保密是绝对错误的安全实践。 |
 |
11
K1W1 2022-06-18 14:03:19 +08:00 via Android
阿里云也遇到过,以前有个任务脚本是通过 http 触发的,然后也没做防重复。有一天突然被多次触发,排查后发现来源 ip 是阿里云。然后他们答复是,监控到你们这个请求是通过 ip 的而且比较慢,我们觉得可能有风险,触发排查
|
 |
12
NanoApe OP @jim9606 你说的有道理,这里的确应该使用 POST 而不是 GET ,算是一种错误的实现了。等我修改完看看还会不会有类似的现象产生。
依赖端口号和路径来保密当然不够安全,只是一种性价比高的简单保护罢了,现在加上有意义的 Token 也可以防止重放攻击,挺好的。(主要是整证书太麻烦了 |
 |
13
liuleixxxx 2022-06-18 21:32:37 +08:00
@NanoApe 也许是理解错误了,截图上也没看到 post 请求,可能人家的目的不是攻击呢,如果想攻击你,还能搞错请求方式?有没有 post 请求的日志?
|
 |
14
Raidal 2022-06-19 12:22:07 +08:00
建议 GET 请求做好幂等
|
 |
15
SteveWoo 2022-06-19 21:34:09 +08:00
你要用 GET 还 HTTP 我也没有办法
|
 |
16
CarryOnHxy 2022-06-20 11:26:18 +08:00
漏扫
|
Select Language