V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ZE3kr
V2EX  ›  SSL

发现了强制 HTTPS 后的另一个好处

  •  
  •   ZE3kr · 2017-01-27 18:50:19 +08:00 · 5794 次点击
    这是一个创建于 2889 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近把日志文件和云服务连接了一下,看日志的时候发现了这个现象:绝大多数针对 WordPress 的密码破解肉机在试图破解我的密码时,都是把 POST 请求发在了 HTTP 的页面,这个页面会被重定向到 HTTPS 版本,于是跳转了之后 POST 变 GET ,破解直接就无效了。

    所以启动 HTTPS 之后,相当于能过滤掉大多数这些破解密码的 Bot ,这算是 HTTPS 的另一个好处吧。

    截图(预警:使用的是竖屏 “ 8K ” 显示器一次截成)

    xmlrpc ,全是 bot 破解

    wp-login 登陆日志也一样是这种情况,因为包含了我自己的登陆,就没发

    顺便吐槽一下微博的图床,我这图片 TinyPNG 压缩完就 1.4M ,传到微博图床上被转成了 JPEG 格式,约 10M ……

    20 条回复    2017-06-03 18:48:40 +08:00
    xenme
        1
    xenme  
       2017-01-27 22:49:52 +08:00 via iPhone
    我都在前台加个字段,这种机器人直接回 200 ,让他以为成功了
    Phant0m
        2
    Phant0m  
       2017-01-27 22:54:30 +08:00 via iPhone
    截图的是什么系统?
    jybox
        3
    jybox  
       2017-01-27 23:00:44 +08:00   ❤️ 1
    其实这应该算是 HTTP 302 重定向的坑,应该使用 307 (或 303 )代替 302 。
    https://developer.mozilla.org/en-US/docs/Web/HTTP/Status/307
    ZE3kr
        4
    ZE3kr  
    OP
       2017-01-27 23:05:06 +08:00 via iPhone
    @Phant0m Stackdriver

    @jybox 307 客户端兼容也存在问题,我估计 bot 的客户端未必支持 307 。就连我之前测试 Safari 都是没用的, post 给我变成 get 了。
    winterbells
        5
    winterbells  
       2017-01-27 23:07:40 +08:00
    wordpress 可以改后台地址的啊=。=
    ZE3kr
        6
    ZE3kr  
    OP
       2017-01-27 23:10:34 +08:00 via iPhone
    @winterbells 不想改,改地址我觉得只能算是一种 hack 的方式去解决,正常的解决方式是限制密码重试次数或者 ip 白名单等。 xmlrpc 如果改了的话会影响客户端使用。
    ivmm
        7
    ivmm  
       2017-01-27 23:13:23 +08:00
    有两步验证,让他猜去吧
    AsherG
        8
    AsherG  
       2017-01-27 23:42:04 +08:00 via Android
    静态博客就是好😂
    ys0290
        9
    ys0290  
       2017-01-28 08:49:51 +08:00 via iPhone
    改了登录地址
    Zohar
        10
    Zohar  
       2017-01-28 09:44:55 +08:00 via Android
    bfanr
        11
    bfanr  
       2017-01-28 10:04:00 +08:00 via Android
    @Zohar 人心叵测啊,基本的信任呢。我点开没几秒没等我反应过来联通 4G 就跑了两百兆,大过年的不给我发红包就算了,还让我接着花钱订流量包😂
    Zohar
        12
    Zohar  
       2017-01-28 10:49:50 +08:00 via Android
    @bfanr 噗…心疼…
    (实际上已经笑疯了😂😂😂
    laukwanchan
        13
    laukwanchan  
       2017-01-28 12:37:09 +08:00 via iPhone
    @bfanr 笑出声(逃
    ys0290
        14
    ys0290  
       2017-01-28 15:16:28 +08:00 via iPhone
    @Zohar 跳转的那一下我就刻意看了一下我的 wifi 有没有连接,真是人心叵测啊!
    cchange
        15
    cchange  
       2017-01-28 15:36:23 +08:00 via iPhone
    @bfanr 弄得我也好想点 但是也基本没流量了😂
    Technetiumer
        16
    Technetiumer  
       2017-01-28 17:31:59 +08:00
    而 typecho 配置一下就可以改地址,我认为不改地址才是不正常的,后台地址不应当公开。
    techmoe
        17
    techmoe  
       2017-01-28 18:00:48 +08:00 via Android
    好老套的 bot
    Kaiyuan
        18
    Kaiyuan  
       2017-01-29 00:41:39 +08:00
    @Zohar 原来还可以这样啊,我弄了个 1G 的... 判断到是 Bot 访问 wp-login.php 和 xmlrpc.php 就 301 到网上找到的 Download Test File 。
    FreeDog
        19
    FreeDog  
       2017-02-24 19:23:36 +08:00
    @Zohar 发现用的是 Bing 的背景图,好机智
    wkl17
        20
    wkl17  
       2017-06-03 18:48:40 +08:00
    图裂了啊,v2ex 用的也是外链?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1163 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 18:30 · PVG 02:30 · LAX 10:30 · JFK 13:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.