这是一个创建于 144 天前的主题,其中的信息可能已经有所发展或是发生改变。
前提摘要:
- 腾讯云,轻量服务器,纯 ip 访问,未绑定域名,http 请求访问
- 在排查服务器日志的时候发现,经常有未知 ip 请求需要 token 验证的接口,但是又未提供 token ,并且这个请求接口只能在管理页面才能请求到,页面是无法直接触及
- 本人正常使用的是 iphone 手机,并且我有时候会使用 http catcher 抓包,但是我不确定是不是因为这个造成的,因为这个现象不是 100%必现,就是偶尔会出现这样
事情经过:
- 排查请求日志发现,频繁有未知 ip 未携带 token 访问管理接口
- 通过该接口请求参数查询,发现共同点
共同点:
- 正常用户 A ,请求 api/xxx ,请求参数 123 ,携带 token
- 异常未知 ip ,请求 api/xxx ,请求参数 123 ,不携带 token ,除此之外,唯一不同的地方就是没有带 token ,其他的一模一样,包括请求设备型号,浏览器信息等,就像是请求被复制给了另外一个 ip 访问一样
chatgpt 分析: 接口 URL 被第三方服务或抓包工具收集
如果你手机的请求被以下场景记录,可能被异地服务器“复现”: 流量劫持/代理类 App (例如免费 VPN 、加速器、广告拦截器)会记录请求。使用调试代理工具(如 Charles 、Fiddler 、Surge 、Shadowrocket )时,接口请求会被记录缓存。某些 SDK (第三方统计、广告、热更新)会上报访问日志给云端,再被第三方误触发“回调”请求。特征:复制请求头、同设备标识,但没有 token —— 就像“回放”请求模板。
我的疑问:
- 腾讯云在抓取我服务器的后端服务请求数据?进行流量回放?还是请求回放?
- 我的后端服务,在某个环节,被恶意工具截取了请求数据?(我是 http 服务,没加 https )
- 如何排查是在哪个环节被截取了
Select Language