干货 (干货食品大全)

本文目录导航：

• 干货 WEB安保破绽之SSRF
• qq下载302失误
• ip劫持 和dns被劫持的区别
• 如何绕过百度地图API的调用次数限度

干货 WEB安保破绽之SSRF

什么是SSRF

大家经常使用的服务中或多或少是不是都有以下的性能：

1.经过URL地址分享内容。

2.经过URL地址把原地址的网页内容调优使其适宜手机屏幕阅读，即所谓的转码性能。

3.经过URL地址翻译对应文本的内容，即相似Google的翻译网页性能。

4.经过URL地址加载或下载图片，即相似图片抓取性能。

5.以及图片、文章抓取收藏性能。

便捷地说就是经过URL抓取其余主机上数据而后做对应的操作的性能。以ThinkJS代码为例，咱们的成功方法大略如下：

原本是个不错的性能，然而当用户输入一个主机可访问的内网地址，这个状况下它就会把内网的内容抓取进去展现给外网的用户。

大少数公司会在内网中搁置一些与公司关系的资料和关键数据，假设运行程序对用户提供的URL和远端主机前往的消息没有启动适宜的验证和过滤，就或者存在这种服务端恳求伪造的毛病，即Server-Side Request Forgery，简称SSRF。

SSRF的危害

便捷来说假设你的这特性能存在SSRF破绽的话，相当于在攻打者和内网之间牵了根线，透过该性能攻打者可以直接访问到内网。攻打者可以应用SSRF成功的攻打重要有5种：

1.可以对外网、主机所在内网、本地启动端口扫描，失掉一些服务的Banner消息。

2.攻打运转在内网或本地的运行程序（比如溢出）。

3.对内网Web运前启动指纹识别，经过访问自动文件成功。

4.攻打内外网的Web运行，重要是经常使用GET参数就可以成功的攻打。

5.应用file协定读取本地文件。

其中最后一条的成功模式是用户输入file://本地文件协定地址，假设不作判别，程序很或者就会把本地文件读取进去前往给用户，例如file://etc/password主机系统明码。

进攻方法

首先咱们须要禁用掉不须要的协定，仅准许HTTP(s)恳求，防止最后一条经常使用file://等其余协定惹起的疑问，而后咱们须要对输入内容启动判别，例如我应该输入一张图片，假设抓取前往来的是一段文本咱们就不应该前往。

以及假设抓取远端地址造成报错前往的状况，咱们须要一致处置前往给用户的内容，而不是直接将远端主机的内容前往给用户，这样让攻打者了解到了更多远端主机的消息。

除了输入内容的处置，咱们还要对输上天址启动限度，过滤内网IP，限度访问内网行为。以之前的示例代码为例，反常咱们会参与如下处置：

短链接绕过

大局部状况下这样处置是没有疑问的，不过攻打者可不是普通人。

这里存在一个两个可以绕过的模式，首先是短链接，短链接是先到短链接服务的地址之后再302跳转到实在主机上，假设攻打者对内网地址启动短链处置之后以上代码会判别短链服务的IP为非法IP而经过校验。

针对这种绕过模式，咱们有两种方法来阻止：

1.直接依据恳求前往的照应头中的HOST来做内网IP判别。

2.因为跳转后的地址也还是须要DNS解析的，所以只需在每次域名恳求DNS解析处都做内网IP判别的逻辑即可。

DNS从新绑定绕过

另外一种绕过模式是应用DNS重绑定攻打。

DNS如何从新绑定的上班

攻打者注册一个域名，并在攻打者管理下将其代理给DNS主机。

主机性能为很短照应期间的TTL记载，防止照应被缓存。

当受益者阅读到恶意域时，攻打者的DNS主机首先用托管恶意客户端代码的主机的IP地址作出照应。

例如，他们可以将受益者的阅读器指向蕴含旨在在受益者计算机上口头的恶意JavaScript或Flash脚本的网站。

恶意客户端代码会对原始域名启动额外访问。

这些都是由同源政策所准许的。

然而，当受益者的阅读器运转该脚本时，它会为该域创立一个新的DNS恳求，并且攻打者会经常使用新的IP地址启动回复。

例如，他们可以经常使用外部IP地址或互联网上某个指标的IP地址启动回复。

便捷来说就是应用DNS主机来使得每次解析前往不同的IP，当在校验IP的时刻DNS解析前往非法的值，等后续从新恳求内容的时刻DNS解析前往内网IP。

这种应用了屡次DNS解析的攻打模式就是DNS从新绑定攻打。

因为DNS从新绑定攻打是应用了屡次解析，所以咱们最好将校验和抓取两次DNS解析兼并成一次性，这里咱们也有两种方法来阻止：

1.将第一次性DNS解析失掉的IP直接用于第二次恳求的DNS解析，去除第二次解析的疑问。

2.在抓取恳求动员的时刻直接判别解析的IP，假设不合乎的话直接拒绝衔接。

针对以上处置方法，有开发者直接封装了ssrf-agent模块，经常使用的时刻只需将其传入即可成功一次性解析，屡次判别的性能，上方是便捷的经常使用示例：

完结语

SSRF可以说是经久不衰的破绽攻打了，早些年网络、人人、360搜查等都有过相应的案例。普通以下场景或者会存在SSRF疑问，咱们须要多加留意：

1.能够对外动员网络恳求的中央，就或者存在SSRF破绽。

2.从远程主机恳求资源（Upload from URL，Import&Export RSS Feed）。

3.数据库内置性能（Oracle、MongoDB、MSSQL、Postgres、CouchDB）。

收取其余邮箱邮件（POP3、IMAP、SMTP）。

5.文件处置、编码处置、属性消息处置（ffmpeg、ImageMagic、DOCX、PDF、XML）。

qq下载302失误

qq下载302失误处置方法如下：1、清空阅读器缓存，在阅读器设置中找到缓存设置，清空阅读器的缓存文件和cookie，而后再从新下载QQ。

2、经常使用下载工具，可以经常使用一些下载工具来下载QQ，比如迅雷、InternetDownloadManager（IDM）等下载软件，这些软件能够绕过阅读器的跳转折制，直接下载QQ。

ip劫持 和dns被劫持的区别

DNS劫持：在DNS主机中，将www.****的域名对应的IP地址启动了变动。

你解析进去的域名对应的IP，在劫持前后不一样。

IP劫持：你DNS解析的域名的IP地址不变。

在和网站交互环节中的劫持了你的恳求。

在网站发给你消息前就给你前往了恳求。

如何绕过百度地图API的调用次数限度

网络地图的Place API往年老轻的参与了调用次数限度战略：“Place API 是一套无偿经常使用的API接口，调用次数限度默以为2000次/天”。

一旦超越该限度，API就会不时前往：{status:302,message:天配额超限，限度访问}。

这个限度是针对什么呢？是限度一个API KEY的调用次数为2000次/天吗？假设是这样的话咱们经过创立多个KEY就可以很轻松的绕过了。

惋惜不是的。

经过鲲鹏数据的技术人员实践测试，发现并不是依据API KEY限度的，而是依据客户端的IP启动限度的。

也就是说不论你创立多少个KEY，只需你从一个IP收回的恳求，那么超越2000次之后都会调用失败。

咱们知道经过高匿HTTP代理可以暗藏客户端的IP，服务端只能检测到代理主机的IP。

应用HTTP代理的这个特性咱们可以绕过网络地图API的访问次数限度，例如，假定咱们领有1000个稳固高匿名HTTP代理，那么每天咱们就可以启动200W次的调用了。

【2016-04-28补充】Geocoding API是依据API KEY限度的，每个KEY每天准许6000次调用。