套了CF用myssl检查ssl的时候怎么还能查到源IP呢
我的站套了CF,用的CF的dns解析,开了严格模式的SSL,已经半个多月了,去myssl.com上检测居然还能查到我源站IP,并且不是缓存是最近两天扫描的数据,好坑,啥情况居然这么简单就暴露IP了 本帖最后由 shiro 于 2019-1-8 15:36 编辑套CF之后如果不想暴露源站:
方法0
源站不开 HTTPS(一劳永逸不用继续往下看)
方法1
源站 default vhost 配置其他假证书 (SNI)
源站 vhost 用 geoip 模块白名单 CF IP 段
方法2
iptables 80/443 白名单 CF IP 段
不开default证书、不白名单IP段。楼主这种情况就是
扫描工具直接扫IP,https://IP,nginx直接返回了CF给你签的证书(颁发给:xxxxx.com),boom 不发站出来给大佬们打打? 免费的ssl? https://censys.io/
目测源站 https://IP 会暴露源站证书,所以被关联起来啦
memorylv 发表于 2019-1-8 15:08
免费的ssl?
服务器上套的cloudflare的免费TLS证书,然后就是cloudflare CDN的ssl了 "
这个是缓存的原因
如果iptables没有相应规则还是能被有心人找到的,如楼上说的那个工具
ghyghoo8 发表于 2019-1-8 15:16
这个是缓存的原因
如果iptables没有相应规则还是能被有心人找到的,如楼上说的那个工具 ...
非缓存,是更新数据显示最近两天扫描的结果还有显示源IP
达雅 发表于 2019-1-8 15:19
非缓存,是更新数据显示最近两天扫描的结果还有显示源IP
解析问题?
ghyghoo8 发表于 2019-1-8 15:22
解析问题?
直接用的cf的解析,应该也不是解析问题,我也纳闷了
页:
[1]
2