![]() |
1
phrack 14 天前
可能是国内的网络连通性太差了,以前那些扫描器也扫了只是包都没送到,cloudflare 网络好,包到达率高
|
![]() |
2
ryd994 14 天前 via Android
cloudflare 会帮你申请 TLS 证书。所有大牌证书发行商都会提供证书透明度 certificate transparency 信息。如果你以前不用 HTTPS ,那现在你的域名就公开了。
|
![]() |
3
docx 14 天前 via iPhone
我也发现了,总有一堆 IP 在扫奇怪的路径。上了 WAF 自定义规则,但还是漏了一部分。搞不懂怎怎么回事……
|
4
frankies 14 天前
都是机器人扫的,别真当。接入 google analysis 的数据比较准。
|
5
guiys 14 天前 via Android
waf 拒绝一切境外 ip
 |
6
TrackBack OP @ryd994 之前也是 https ,三个月换一次的免费证书不知道有没有上 ctlog
感觉这机制好蠢啊,有一种我去办身份证结果派出所把我名字贴出来昭告天下的感觉 |
![]() |
7
ryd994 13 天前 via Android
@TrackBack 不仅不蠢而且实际抓到过违规操作。CT 有助于网站主及时发现异常的证书签发。letsencrypt 当然也是公开 CT 的。
网龄久一点的人可能听说过 wosign 被踢出根证书列表。事件的起因就是 wosign 违规签发 Google 域名的证书,通过 CT 发现的。 切记,obfuscation is not security 。相反,越是经过公开审计,越是有助于发现问题,发现问题才能修复问题,才会更安全。 “有一种我去办身份证结果派出所把我名字贴出来昭告天下的感觉” 以前挂失补办身份证确实是需要登报公告的。二代身份证可以联网验证,可能就不需要再公告了。总比被人神不知鬼不觉地冒用身份证更好。 |
8
deplives 13 天前
正常,天天扫 .git/config 的请求比我正常请求都多
|