榆木 大佬有话说 :
体验反代钓鱼
最近流行反代 hostloc ,为了自己的账号 建议大家不要使用。
盗取密码测试:
https://bafybeid2fdw6jf2i6y3db4rk5b3komc4d7ihn4gqxtwx3b3n4cn75yxccm.ipfs.cf-ipfs.com/
沉浸式体验地址:
https://sheep.php.yt/
篡改代码:
https://sheep.php.yt/sheep.js
G.K.D 大佬有话说 :
本帖最后由 G.K.D 于 2022-2-14 19:55 编辑
几个月前论坛有几个帖子在问端口转发(流量中转)是否安全,我当时回答的时候,也提到过反代安全性问题,反代不同于端口转发(流量中转),在反代服务器上时,访客和源站之间的内容都是明文的,完全可见~
不仅仅是明文可见,还能随意修改、替换内容(比如替换域名),因此也可以向网站插入恶意 JS 代码等等。
搜了搜找到我当时写的内容了:
因为反代网站并不是单纯的流量转发(中间人攻击原理也是反代)。即你用钥匙 A 把数据锁在箱子 A 里,然后把箱子 A 给反代服务器,
反代服务器用钥匙 A 打开箱子 A(此时反代服务器能明文看到)把数据拿出来放到另一个箱子 B 里并用钥匙 B 锁上,然后将其发给目标网站,
目标网站收到后用钥匙 B 打开箱子 B 查看数据,处理后再原路返回。
直连:用户 <=加密 A=> 网站
反代:用户 <=加密 A=> 反(明文)代 <=加密 B=> 网站
用户 和 反代 单独用一套 公匙 和 私匙,反代 和 目标 单独用一套 公匙 和 私匙,都是独立的。
企业常用的上网行为管理系统,也是基于这个原理获取 HTTPS 内容的,当然需要在你设备上安装信任自签证书才行。
因此,访问反代网站可以,但是不要在反代网站上面登录账号或提交敏感信息。
HOH 大佬有话说 :
https://hostloc.com/thread-963494-1-1.html
之前就玩厌了,没意思,我直接记在后台:lol
蝙蝠侠 大佬有话说 :
除了自己反代的,其他一概不用
千棣の棠 大佬有话说 :
666差点就上当了
表妹 大佬有话说 :
一个扶墙小鸡的事,谁的反代也不用
last_host 大佬有话说 :
下个id见~
citywar 大佬有话说 :
最近用反代的号很多。那种弄中间人攻击。
要否可以多建 几个反代站。
拿到号以后, 用别人的号去骗小鸡