首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Nimrod
V2EX  ›  分享发现

分享一篇有意思的文章,利用 CF 的 Cache 来实现去匿名化攻击

  •   
  •   Nimrod · 15 小时 22 分钟前 · 612 次点击

    https://gist.github.com/hackermondev/45a3cdfa52246f1d1201c1e8cdef6117

  • cf
  • Cache
  • 去匿名化
    7 条回复    2025-01-22 17:56:18 +08:00
    kk2syc
        1
    kk2syc  
       14 小时 39 分钟前
    其实就是类似无线电的三角定位,实际作用还不如 “我是黑客,短信验证码给我”
    Nimrod
        2
    Nimrod  
    OP
       13 小时 26 分钟前
    @kk2syc 地理猜测原理跟三角定位类似,但是这个“开盒”是完全没有交互的。
    lupus721
        3
    lupus721  
       12 小时 57 分钟前
    思路不错,不过有几个点没太想明白,cf 的 cdn 节点信息不应该随机化匿名化么,怎么穷举所有节点的,如果节点的编号变变,估计就比较难反向定位了。
    Nimrod
        4
    Nimrod  
    OP
       10 小时 52 分钟前
    CF 是提供了 API 获得所有 colo 的,比如这个 repo https://github.com/Netrvin/cloudflare-colo-list
    以及原作者自己列举的 https://github.com/hackermondev/cf-teleport/blob/main/scripts/data/colos.json
    至于为什么明文返回,可能 CF 觉得不是很重要吧。
    Nimrod
        5
    Nimrod  
    OP
       10 小时 52 分钟前
    @lupus721 没回复上,见楼上。
    Donaldo
        6
    Donaldo  
       10 小时 14 分钟前
    这个“within a 250 mile radius”好像误差有点大了。。
    kk2syc
        7
    kk2syc  
       9 小时 13 分钟前
    @Nimrod 那还不如在所谓的网页里塞一个 0px 的透明 img ,保证图床地址不被规则到直接看 ip
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1030 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 19:09 · PVG 03:09 · LAX 11:09 · JFK 14:09
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.