如何保护 PAC 文件中的 HTTP 代理不被恶意滥用？ - V2EX

首页注册登录

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

V2EX 提问指南

这是一个创建于 2703 天前的主题，其中的信息可能已经有所发展或是发生改变。

之前想了个方法，用 nginx 给 pac 文件加上 basic_auth，但是发现在 windows 系统中没法使用 http://abc:[email protected]/proxy.pac 这样的形式填入自动代理设置。。

iOS 和 Mac 都没问题，那么问题来了，怎么保护 pac 文件里的 http 代理呢

25 条回复 • 2017-06-22 22:09:06 +08:00

1

cloverstd

2017-06-22 15:59:54 +08:00

我知道网上的免费代理哪里来的

2

Tink

OP

2017-06-22 16:04:16 +08:00

@cloverstd #1 大多数是扫出来的吧，这个可以装个防扫的东西就行了，主要是如果 pac 文件被别人拿到了，那就是明文了，都不需要扫

3

miaomiao888

2017-06-22 16:07:19 +08:00

给 PAC 文件混淆加密

4

Tink

OP

2017-06-22 16:12:17 +08:00

@miaomiao888 #3 求一个教程，很关键！

5

miaomiao888

2017-06-22 16:18:27 +08:00

@Tink 没有教程，但似乎 PAC 也是用的 JS 语法，所以应该用 JS 混淆也行
https://raw.githubusercontent.com/bannedbook/fanqiang/master/jw/new.pac

6

Tink

OP

2017-06-22 16:21:22 +08:00

@miaomiao888 #5 明白了，多谢！

7

0ZXYDDu796nVCFxq

2017-06-22 16:28:14 +08:00

代理加账号密码。
然后大多数客户端都支持带认证的代理的。

8

Tink

OP

2017-06-22 16:32:28 +08:00

@gstqc #7 主要是我这边环境不支持认证，支持的话我就自己搞了。。。

9

yangff

2017-06-22 16:35:02 +08:00

http://example.com/?passcode=XXXXXXXXXXXX

10

Tink

OP

2017-06-22 16:38:34 +08:00

@yangff #9 passcode 是什么？

11

yangff

2017-06-22 16:43:58 +08:00

@Tink 你的密码，甚至你可以

http://example.com/some_secret_string.pac

安全性和你用 basic auth 几乎是一样的

12

Tink

OP

2017-06-22 16:44:13 +08:00

@yangff #9 htpasswd 加密后的？

13

crab

2017-06-22 16:49:06 +08:00

你这个问题矛盾吧。
pac 你不公开，别人也弄不到啊。
公开了，拿到肯定能用你的代理了。
或者可以在代理服务器上做域名得白名单，不存在得不给代理。

14

Tink

OP

2017-06-22 16:50:07 +08:00

@yangff #11 没理解啊亲，passcode 是啥密码？ basic_auth 的吗？

http://example.com/?passcode=abc:123

这样的？

然后 http://example.com/some_secret_string.pac 这个又是啥意思

15

easyzhao

2017-06-22 17:02:26 +08:00

可以这样就是麻烦一点
1.给每个用户生成唯一的一个 pac 地址类似用户的 token
2.然后用户获取 pac 文件时可获取用户的 ip 给该 ip 开白名单
3.把代理服务器开白名单才可以访问

16

Tink

OP

2017-06-22 17:05:13 +08:00

算了，我按照 9L 给的办法试试，直接在 nginx 里判断 url 参数

17

yangff

2017-06-22 17:11:09 +08:00

@Tink 就是直接把你的 pac 文件名搞成你的密码，然后不要在服务器上直接的链接…

basic auth 本质上就是丢一个 base64 编码的密码，所以如果 basic auth 对你的安全性要求是 ok 的话，这样搞也是 ok 的

18

Tink

OP

2017-06-22 18:21:37 +08:00 via iPhone

@yangff 这个办法不好。。

我觉得你说的 passcode 的办法还是可以的，我直接在 nginx 里判断问号后面的 passcode

19

Genteure

2017-06-22 20:18:53 +08:00

我觉得文件后面加 passcode 参数、改一个猜不到的文件名都是不错的方法。不要让其他人拿到文件就可以了。

混淆真的是没啥用。。随手一搜，比如 http://jsnice.org/ 用 #5 发的那个例子测试，五秒钟就看到原本的内容了。况且这也只是转了个码而已，算不上混淆。

20

Actrace

2017-06-22 20:53:10 +08:00

楼主可以试试这个在线的 pac
https://pac.ink

21

kslr

2017-06-22 20:55:09 +08:00

之前在路由器的代理被人扫到拿来发 spam 邮件。。欠了不少流量

22

Tink

OP

2017-06-22 20:59:41 +08:00 via iPhone

@Actrace 这个是怎么解决这个问题的

23

Actrace

2017-06-22 21:04:39 +08:00

@Tink 官方提供 URL 不存在被扫到的可能性，而且是 HTTPS 的。
另外如果要更进一步的话，我建议你可以在 iptables 上做个规则，只让自己熟知的网段访问。这样基本可以过滤 99%了。

24

Tink

OP

2017-06-22 21:29:03 +08:00 via iPhone

@Actrace @Actrace 主要是现在这个网段很不确定，所以没法用 iptables

25

xiaopc

2017-06-22 22:09:06 +08:00 via Android

Windows 可以试试 NTLM Auth
（渗透提权常用的😄

关于 · 帮助文档 · 博客 · API · FAQ · 实用小工具 · 2899 人在线 最高记录 6679 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 25ms · UTC 03:34 · PVG 11:34 · LAX 19:34 · JFK 22:34
Developed with CodeLauncher
♥ Do have faith in what you're doing.