zsh2517 最近的时间轴更新 zsh2517 最近的时间轴更新 | zsh2517V2EX 第 505654 号会员,加入于 2020-08-27 20:12:30 +08:00今日活跃度排名 16284 |
zsh2517 最近回复了
55 天前 回复了 wxf1259059284 创建的主题 信息安全 发现谷歌地图有 xss,请问该去哪提交给厂商? |
确实存在一种类似的漏洞叫做 SSRF ,简单说原理是需要服务器支持往外发起请求,并且没有过滤内网地址,导致内网网站/本地文件(原本不应该被用户访问到的内容)泄露的问题。但是链接跳转和 SSRF 没啥关系
参考:
xss: https://ctf-wiki.org/web/xss/
ssrf: https://ctf-wiki.org/web/ssrf/
参考:
xss: https://ctf-wiki.org/web/xss/
ssrf: https://ctf-wiki.org/web/ssrf/
55 天前 回复了 wxf1259059284 创建的主题 信息安全 发现谷歌地图有 xss,请问该去哪提交给厂商? |
非要深究的话,任意链接跳转,一定程度上也可能会被灰产利用,比如用来过白名单拦截(例如某些软件内打开小众网站提示“目标网站危险,禁止访问”,通过一个白名单内的网站进行跳转,有些时候能绕过),或者跳转进入一个钓鱼网站(做一个和谷歌非常像的登录界面,然后通过这种链接来让它看起来更像是一个谷歌的链接)等。之前我见过一些钓鱼网站就是用谷歌翻译的网站翻译搞的
但是这算不上什么漏洞,甚至可以说是互联网跳转第三方站点比较公认的做法用一个独立的跳转中间页,明确提醒用户“将会跳转到一个站外地址”。比如知乎的 https://link.zhihu.com/?target=https%3A//v2ex.com 简书的 https://www.jianshu.com/go-wild?ac=2&url=https%3A%2F%2Fv2ex.com 等等。如果发现 URL 是已知风险网站,还可以在这个页面上进一步提示和拦截
但是这算不上什么漏洞,甚至可以说是互联网跳转第三方站点比较公认的做法用一个独立的跳转中间页,明确提醒用户“将会跳转到一个站外地址”。比如知乎的 https://link.zhihu.com/?target=https%3A//v2ex.com 简书的 https://www.jianshu.com/go-wild?ac=2&url=https%3A%2F%2Fv2ex.com 等等。如果发现 URL 是已知风险网站,还可以在这个页面上进一步提示和拦截
67 天前 回复了 itopmy 创建的主题 硬件 家庭日历是不是伪需求么? |
买个二手平板(我之前找过,两三百以内好像没有特别合适的,我需求是窄边框、不能太老的系统(决定了 chrome 内核版本)、type C ,没找到特别便宜的。有合适的的话可以 @ 我)
拉一根电源线,插上去。配置不熄屏不锁屏
然后装或者找 AI 写一个支持自动同步数据并更新的 todo/看板/便签类应用就可以了
拉一根电源线,插上去。配置不熄屏不锁屏
然后装或者找 AI 写一个支持自动同步数据并更新的 todo/看板/便签类应用就可以了
除非像易语言一样,IDE 支持关键词和符号的多种拼写方式(如首字母、全拼,甚至考虑多音字等)的字母输入,并且适配全半角字符等问题。不然应该不会用
75 天前 回复了 YsssL 创建的主题 分享发现 4 通道内存条超频 6400 |
75 天前 回复了 goodryb 创建的主题 游戏 大家平时会记录玩过哪些主机游戏吗 |
mastodon 生态有一个 neodb ,印象好像电影电视剧音乐游戏等等都有,不过我也仅限于登上去看过
76 天前 回复了 qingmuhy0 创建的主题 宽带症候群 吐槽下鹏博士,鹏博士宽带无敌了 |
@warcraft1236 二级运营商通常都是租的房子不支持接三大运营商的被迫选择(比如我不想合租,选择一些开间式的公寓,就只能接他们提供的二级运营商,又贵又烂)
我现在租的就是,月 100+ 给 10Mbps ,月 200 给 100Mbps (入户接了四根线,从物理层面杜绝了千兆的可能性),然后基本上每天 18:00~T+1 01:00 TCP 握手延迟巨高,而且还概率性丢 DNS 。
非常高的握手延迟(几秒),节点全挂,不走代理正常访问国内网页大概率出现连接失败需要多次刷新。如果 ssh -D 国内服务器开一个 socks 代理出去,ssh 需要反复重试才能成功,但是成功后就非常流畅
高峰时段,随身 Wi-Fi (还不需要 CPE 那种专业设备)都比它强
我现在租的就是,月 100+ 给 10Mbps ,月 200 给 100Mbps (入户接了四根线,从物理层面杜绝了千兆的可能性),然后基本上每天 18:00~T+1 01:00 TCP 握手延迟巨高,而且还概率性丢 DNS 。
非常高的握手延迟(几秒),节点全挂,不走代理正常访问国内网页大概率出现连接失败需要多次刷新。如果 ssh -D 国内服务器开一个 socks 代理出去,ssh 需要反复重试才能成功,但是成功后就非常流畅
高峰时段,随身 Wi-Fi (还不需要 CPE 那种专业设备)都比它强
@zsh2517 我现在是千兆的 j4125 软路由,系统 debian ,走 Linux bridge 做的交换(将两个口加到一个 bridge 内),没感觉性能有什么问题。
内网两台机器跑 iperf3 默认配置,千兆测速 945Mbps ,htop 看大概占用 j4125 单核 10~20%。
内网两台机器跑 iperf3 默认配置,千兆测速 945Mbps ,htop 看大概占用 j4125 单核 10~20%。
单纯一个交换机不清楚,但是五口普通千兆交换机基本都几十块钱。直接俩交换机,加一个软路由应该能解决。配置好路由和防火墙策略之后两个子网可以互通(数据互通,广播不通,正经的两个子网),每个子网有一个 dhcp 服务器。
不过连接数可能只能看到过路由器的(比如两个子网互联,或者访问公网),子网内走交换机交换的看不到
或者是选个口比较多的软路由,交换性能没交换机那么好,但是自定义程度要高很多
不过连接数可能只能看到过路由器的(比如两个子网互联,或者访问公网),子网内走交换机交换的看不到
或者是选个口比较多的软路由,交换性能没交换机那么好,但是自定义程度要高很多
91 天前 回复了 Curtion 创建的主题 程序员 阿里云使用 CGNAT 地址当作内部 DNS 服务地址, 导致和 Tailscale 冲突 |
我目前设置了 --accept-dns=false 和 --netfilter-mode=off 。
不过不是因为 DNS 冲突问题,而是因为不知道什么原因,会导致 ping 一个地址会有很大的等待时间(但是 DNS 过程,以及 ping 的延迟都很快。会卡在中间某些阶段)。curl 有没有忘了
手动排查后是 ts 添加的 iptables 规则的问题。而我目前还没有网段的节点( op 提到的 5 ),就先关掉了。
---
话说 5 ,如果禁用 netfilter mode 了,能不能靠手动写路由表实现访问子网
不过不是因为 DNS 冲突问题,而是因为不知道什么原因,会导致 ping 一个地址会有很大的等待时间(但是 DNS 过程,以及 ping 的延迟都很快。会卡在中间某些阶段)。curl 有没有忘了
手动排查后是 ts 添加的 iptables 规则的问题。而我目前还没有网段的节点( op 提到的 5 ),就先关掉了。
---
话说 5 ,如果禁用 netfilter mode 了,能不能靠手动写路由表实现访问子网
Select Language