首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
广告
YGBlvcAK
V2EX  ›  信息安全

我也推荐一下自用的安全方式,长随机字符串二级目录,可避免路径穿越

  •   
  •   YGBlvcAK · 4 天前 · 746 次点击
    服务只在二级目录下,且二级目录用随机字符串,只有访问二级目录才可以打开,其它访问直接 abort

    原理就是二级目录在 https 整个交互过程中都是加密的,无论是抓包、爱快、ROS 、运营商都无法获取这个二级目录,除非证书劫持

    以下可访问,这个 aaa,bbb,ccc 就是我自定义的二级目录
    https://example.com/aaa
    https://example.com/bbb
    https://example.com/ccc

    其它不存在的二级目录,直接 abort
    https://example.com
    https://example.com/a
    https://example.com/abc

    二级目录用 10 位+随机字符串,就能避免暴力破解、路径穿越这些攻击行为了,实现方式也很简单,caddy ,nginx 反代就可以,麻烦的点就是有些服务对于子目录支持不太友好,不过我用的这几个服务都可以
  • 安全
  • 目录
  • 随机
    14 条回复
    ydhcui
        1
    ydhcui  
       4 天前   ❤️ 1
    没啥用,古早时候也有设置管理后台的操作,现在都很少看到了。
    另外 路径穿越是这个意思吗?
    YGBlvcAK
        2
    YGBlvcAK  
    OP
       4 天前
    @ydhcui 你没看懂,另外,不知道二级目录肯定无法穿越
    LnTrx
        3
    LnTrx  
       4 天前
    如果只考虑浏览器访问的话,确实是一种办法。但路径中有一坨随机字符串还是不太优雅,或许可以考虑用 nginx 的认证。
    Cuhn1
        4
    Cuhn1  
       4 天前
    确实,俺也一样。

    https 很关键,反向代理+二级目录访问。基本可以抵挡绝大多数大访问的盲目扫描及攻击。
    YGBlvcAK
        5
    YGBlvcAK  
    OP
       4 天前
    @LnTrx 其实不需要一坨,随便搞个单词就可以了,99%都是盲扫一下就放弃的,剩下的 1%只会攻击更高价值的
    就是不想加验证再登录一次,太麻烦了,还有再加一层验证 openlist 的 webdav 就更没法挂载了😮‍💨
    YGBlvcAK
        6
    YGBlvcAK  
    OP
       4 天前
    要是加验证就干脆 vpn 回家了
    我这个配置要的就是那种让你随便扫,但你什么也扫不出来的爽感😁
    hackroad
        7
    hackroad  
       4 天前
    你还是太嫩了
    hackroad
        8
    hackroad  
       4 天前
    楼主的意思打个比方意思就是 我的服务目录就是在/tmp/目录下,只要我在这个目录下,我就是安全的。
    1: 半点不提你是服务运行的组建会不会产生漏洞
    2: 半点不提你的服务有没使用三方开源组建是否存在漏洞
    3: 半点不提你的服务器是否存在本身的隐患导致有入侵风险
    4:服务路径和 https 有什么关联性?
    5: 路径穿越真的是代码逻辑造成的,还是环境造成的?
    6: 二级目录用 10 位+随机字符串,就能避免暴力破解、路径穿越这些攻击行为了(拿到权限,你所做的一切都是透明的,如果你理解拿到权限这个意思。)
    YGBlvcAK
        9
    YGBlvcAK  
    OP
       4 天前
    @hackroad 网址子目录,不是文件系统目录,你也是一点没看懂就开喷,算了不说了
    FrankAdler
        10
    FrankAdler  
       4 天前 via Android
    路径穿越用的是../../你随机目录防不住,至于放扫,你不是特定类型的系统没人扫你
    YGBlvcAK
        11
    YGBlvcAK  
    OP
       4 天前
    @FrankAdler 就不能先用 AI 了解一下吗?路径穿越是服务的问题,不知道随机字符访问不到服务怎么穿越?凭个 443 端口就能穿越吗?
    einskai
        12
    einskai  
       3 天前
    @FrankAdler OP 主的意思是,先不管后面的路径是什么,能不能穿透。首先你第一级的 path 必须是要指定字符串才能进来,相当于变相的加密码。
    thereone
        13
    thereone  
       3 天前
    早就在用了,不过有些写死了页面路径的要从 location / 根目录获取页面的就用不了,这种我是用来做备用的。主用还是标准的子域名和 WAF 还有 IP 白名单用户认证来做的。
    restkhz
        14
    restkhz  
       3 天前
    回楼上一些 v2er, 这里防御的路径穿越是指某个脚本输入参数中的路径穿越,和 web 服务器的路径穿越不一样。
    /lib/file.php?path=../../../etc/passwd
    /rAnd0mP4th/file.php?path=../../../etc/passwd

    是上面这个区别。如果你都找不到./rAnd0mP4th 那么后面脚本的任何漏洞都很难被利用。


    这个技巧在 asp 时代就常有人用,当时就算 accessDB 被 SQL 注入,脱裤,管理密码 md5 被破,然而找不到后台登不上去,还是传不了马....
    当年我忘了是阿 D 还是明小子都有路径爆破功能。


    还有改服务器 banner ,改版本,包括但不限于 web,ssh...
    屏蔽指纹,有时候就算有漏洞 bot 也无法选中。比如 bot 写的是找 wordpress 几个版本,然后一旦找到对应版本就用对应 exploit.然后你直接把版本改成 999.999.它无法选定...

    有些很有意思的小技巧可能是《 web 之困》里提到的?我十多年前读的了,记不清了。但是值得看看。
    关于   ·   帮助文档   ·   自助推广系统   ·   博客   ·   API   ·   FAQ   ·   Solana   ·   4726 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 60ms · UTC 02:34 · PVG 10:34 · LAX 18:34 · JFK 21:34
    ♥ Do have faith in what you're doing.