V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  KasuganoSoras  ›  全部回复第 4 页 / 共 83 页
回复总数  1660
1  2  3  4  5  6  7  8  9  10 ... 83  
2021-04-03 13:39:04 +08:00
回复了 KasuganoSoras 创建的主题 分享创造 分享一个自建的 IP 归属地查询库
@wudi77 #26 谢谢,已经看到了,正在更新
2021-03-28 07:31:56 +08:00
回复了 PogChamp 创建的主题 程序员 如何保持编程的乐趣?
学 PHP 吧,不会掉头发 https://i.v2ex.co/504J5BO2.png
2021-03-24 11:47:33 +08:00
回复了 l890908 创建的主题 信息安全 评论被人恶意提交代码,一直 alert
评论区别用 HTML 了,改 Markdown 吧,常用的比如 Parsedown 这些都支持过滤 XSS,只要你把 Safe Mode 打开就行,存入数据库之前记得先转义,不过你用框架的话应该已经自动帮你完成了这些事
2021-02-28 11:38:49 +08:00
回复了 KasuganoSoras 创建的主题 程序员 请教一个前端的问题
@love #3 @supermao #4 啊,不是这个意思的,我是想在一个单独的页面加这种效果,不是每个页面都加,主要是好玩
楼上说的 gif 挺有道理……我去找找看有没有透明底色的 gif 吧
2021-02-26 17:41:47 +08:00
回复了 mashaofeixxx 创建的主题 推广 回贴抽奖! 2021 NUC 黑果 下单抽牛年福袋
2021-02-17 20:37:09 +08:00
回复了 ghs55kai 创建的主题 游戏 游戏里开挂的到底是什么样的人?
区别就是
PVP 游戏开挂,发个视频出去,人人喊打
PVE 游戏开挂,发个视频出去,“UP 主这个挂怎么下载,怎么用,现在还能用不”
2021-02-17 18:34:00 +08:00
回复了 yitalin 创建的主题 PHP PHP 反向代理访问任意网站源码来了_Any-Proxy
今天下午没事干,重新整理了一遍你的代码,把发现的几个问题都修复了,另外规范了一下命名,已经给你提 PR 了,有空去看看吧
2021-02-17 11:16:38 +08:00
回复了 yitalin 创建的主题 PHP PHP 反向代理访问任意网站源码来了_Any-Proxy
当你试着去解决了域名解析,Header 伪造这些问题后,你就会发现,其实你写的东西和你所说市面上那些慢的要死、浏览网页一卡一卡的代理软件的速度差不到哪去。之所以那些软件速度不快,是因为人家的软件在设计的时候就考虑到了加密、安全以及各种各样的问题,而不是单纯的就做个转发。因为没人愿意把一套不安全的软件部署在自己的生产服务器上。
2021-02-17 11:08:53 +08:00
回复了 yitalin 创建的主题 PHP PHP 反向代理访问任意网站源码来了_Any-Proxy
看到你今天更新了,顺带回一下
https://github.com/yitd/Any-Proxy/blob/main/index.php#L53
虽然你做了对内网的判断,判断 host 是否是内网地址,但是,你没有对 host 进行解析操作,也就是说,如果我随便找个域名解析到 192.168.1.1 这样的地址去,还是可以继续扫内网。

另外
https://github.com/yitd/Any-Proxy/blob/main/index.php#L3
不应该去判断是否有 X-Forward-For Header,因为可以随意伪造,只要我每次伪造随机的 Header,就可以无限刷,无视掉你这一部分的判断,并且因为你这一部分还会把请求的 IP 写入 Redis,所以我甚至还可以通过给 Header 塞超长的数据 + 大量请求塞爆 Redis,让主机内存爆满。

继续改进吧
2021-02-16 05:57:09 +08:00
回复了 yitalin 创建的主题 PHP PHP 反向代理访问任意网站源码来了_Any-Proxy
楼主,想的还是太简单了,你考虑过一个问题么
如果我访问 https://turl.chat/https://turl.chat/ 会发生什么?
如果我访问 https://turl.chat/https://turl.chat/https://turl.chat/https://turl.chat/ 又会发生什么?如果我频繁请求会发生什么?
https://i.imgur.com/yvzJEF1.png
所以你这只能算个玩具,连基本的请求控制都没有
你的代码非常多地方都不严谨,变量类型没有任何判断,肉眼能看到的问题就好几处。
还有,如果这玩意搭在能访问内网的机器上,我是不是还能通过 https://turl.chat/http://192.168.1.1/ 这样的方式去扫你的内网?如果内网机器有弱密码情况,分分钟整台服务器就给拿下了,真不是开玩笑
所以 LZ 还是虚心一点吧,不要刚学会点入门级 PHP 就这么飘了,戾气别这么重,多学点不是什么坏事
可以试下 Header("Location: http://www.example.com/XXXX", true, 302) 强制指定 302 状态码,并且覆盖之前的所有 Location 字段
2021-01-15 23:51:41 +08:00
回复了 tomoya92 创建的主题 问与答 碰到有人克隆自己博客该怎么办?
好菜啊.jpg
才 800QPS 就挂了,反代石锤
2021-01-15 23:43:33 +08:00
回复了 tomoya92 创建的主题 问与答 碰到有人克隆自己博客该怎么办?
看了下似乎是反代,按 F12 看请求 Header 里的 server 字段是 Github.com ,建议可以试下在 js 里面加一些判断,检测到不是自己的域名就跳转到正确网址之类的。
2020-12-25 17:04:30 +08:00
回复了 TONYHEAD 创建的主题 分享发现 阿里图床失效通知
@KasuganoSoras #14 需要安装 nmap-ncat
@naoh1000 #11
Server 1 (要监控的机器)
#!/bin/sh
while true
do
cat ~/.bash_history | nc -v 机器 2 的 IP 端口号
sleep 5
done

Server 2 (要记录数据的机器)
#!/bin/sh
while true
do
nc -v -lp 端口号 > bash_history.txt
done
5 楼正解,不过我试过好像会导致 sftp 无法正常登录
2020-11-03 14:39:38 +08:00
回复了 KasuganoSoras 创建的主题 程序员 宝塔运维工程师直播中疑似翻车
@imdong #1 两分钟前直播间还在的,我发完帖子再看直播间就没了
2020-10-27 00:45:14 +08:00
回复了 ZeroSimple 创建的主题 程序员 没什么人看的博客,恶意请求比正常请求多几百倍
@ZeroSimple #3 扫爆的人又不管你机器上装没装这个服务……只要有端口开着它就去扫,换各种协议去爆破
还有就是楼上说的,无效请求多了直接封号,还是不要投机取巧了罢,我网站也一天到晚有这些流量,不去管它就行了,反正又不会影响你网站正常运作,基本的安全防护做好就行了,密码设置复杂点,相关软件定期更新
1  2  3  4  5  6  7  8  9  10 ... 83  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2820 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 38ms · UTC 13:30 · PVG 21:30 · LAX 05:30 · JFK 08:30
Developed with CodeLauncher
♥ Do have faith in what you're doing.