Discourse 嵌入(Onebox)功能会泄露原站 IP

网络安全
1

这个问题我在刚看到这个嵌入功能的时候就发现了,今天闻linux.do被打有感而发,遂记录一下。

Discourse的嵌入(Onebox)功能会向目标网站发送几个请求以确定网站可用性和是否支持嵌入,日志记录类似:

172.247.244.194 - "GET / HTTP/1.1" 304 0 "-" "Discourse Forum Onebox v3.3.0.beta3-dev"

其中172.247.244.194即为服务器IP地址。

应对措施:

如果你的原站足够硬,并且无所谓IP泄露,那么大可忽略此问题。
如果你需要隐藏原站IP,请在后台设置中搜索onebox,禁用enable inline onebox on all domains并配置allowed internal hosts为你信任的域名,以防止泄露原站IP,代价是其他域名无法使用嵌入。

转自:
https://tom.moe/t/discourse-onebox-ip/1842

16 个赞
2

还有这事?

3

帮顶

4

嵌入是哪个功能,始皇开了吗

5

linux.do现在嵌入关了,之前没关的时候我还测试过能得到一个美国的ip地址(209.222.98.xx),开放9001端口,但是有某种token验证机制无法确定是否是原站。

1 个赞
6

关注一下

7

你应该私信始皇看看

2 个赞
8

帮顶

1 个赞
9

顶一下

10

果然是漏了

1 个赞
11

Mark!

12

嵌入功能始皇不是开的有限嵌入吗。自己控制的规则

1 个赞
13

挺可疑的,刚好开放的端口这两天关了。

image
image692×308 17.2 KB

14

这个工具是什么? 看起来有意思

16

censys search

17

始皇有个服务器上有太多东西了,我看有个服务器上还有女孩小时候画的画,姓名年龄幼儿园名字都有。 @neo

1 个赞
18

我感觉你看错了,我服务器上就跑个论坛。

1 个赞
19

看错就好!!