论坛
转眼,CoCo已经三周年了......
However,停更,Bug,限制......
###### CoCo界面看的不舒服?
##### 手机无法使用CoCo?
#### 自定义控件没法协作?
### 自定义控件没法分享?
## 别担心,Oldsquaw-CoCoPro来帮你!
# 匠心打造,功能+++++
**[What can it do?]**
1.美化界面,圆角,更舒服[由Suda贡献代码]
2.99.9%还原原版CoCo功能,支持登录与云端保存
3.全新添加CoCoClick,让手机用户也可添加控件[由小宏XeLa贡献代码]
4.内置仿真F12控制台Eruda,手机也可改元素/抓包拉[来自Github开源项目]
5.增加高级协作功能,专属协作链接,一键解决添加自定义控件无法协作问题
6.预置绕审核控件,完美快速解决自定义控件无法分享h5问题[由透明质酸钠贡献代码]
7.彩蛋、黑暗模式、控件商城......更多隐藏玩法,等你来探索!更多实用功能,敬请期待!
**【How to use?】**
a.测试版链接:oldsquaw.rth10.com/1.5.0.html (由于不可抗拒因素,使用需完成人机验证)
b.正式版链接:run.oldsquaw.cn (由于部署较慢,还未更新到最新版)
**【What else?】**
1.日更版官网:https://oldsquaw.rth10.com
2.正式版官网:https://web.oldsquaw.cn
3.论坛:https://discuss.oldsquaw.cn
4.AI控件编写助手MaxWidget:https://chatglm.cn/share/FWVsd
【Who are we?】
我们是Oldsquaw团队,
Gitee仓库:https://gitee.com/oldsquaw
QQ群号:***907170983***
[鸣谢]
开发:耗子、小宏XeLa、Galaxy、透明质酸钠、Suda、琦琦
测试&支持:CoCo中控台、StarDreamNet、以及所有来自CoCo的小伙伴
赞助:Galaxy、旁观者JErS、飞飞N0MT、曦予、and so on...(由于时间久远,若有遗漏可私聊补充)
#### 关于账户
[新链接]编程猫社区账户申诉
https://forms.office.com/r/vWFdmqnqdN
#### 关于作品
[新链接]编程猫社区作品审核申述
https://forms.office.com/r/EVLmu1fU6m
你猫官方**死得差不多了**,所以石榴在这里公布一下**新的反馈地址**,有问题加QQ:3803746525
两个表格会在7~14天内提交给官方处理
## 前言
鉴于本站且各友站近期持续受到大规模网络攻击,编写了本篇防护指南。
***若有误还请在评论区批评指正***
## 正文
### 隐藏源站
网站防护的关键就在于源站。
**请遵循一个基本原则:*隐藏源站***
#### CDN
本文推荐的是本站正在使用的[腾讯边缘加速平台EdgeOne](https://cloud.tencent.com/act/pro/edgeone_techoday_promotion?from=22063 "腾讯边缘加速平台EdgeOne")
**(声明:本站与该产品*无利益关系*,仅推荐。下文对该产品的称呼简称EO)**
隐藏源站的基本方式就是使用**CDN(Content Delivery Network)**。但不恰当的CDN配置也可能会让你的源站保护形同虚设。以下是几个例子:
1. 未设置CDN缓存
表现:
- 静态资源在访问时,CDN发回的Cache响应头为MISS(即未击中缓存)
- 动态资源在访问时,无论刷新多少次,CDN发回的Cache响应头都为MISS(即未击中缓存)
问题:让CDN在接受到每次访问时都会回源,本质上与直接绑定源站IP并没有区别。在遇到高并发情境下,有时用户体验甚至比直接绑定源站IP更差。
解决方法:
- 在CDN面板中配置好静态缓存,一般推荐缓存3600秒(1小时)。
- 在CDN面板中配置好动态缓存,一般推荐缓存少于10秒。
- 缓存配置后,在CDN面板进行刷新预热,让缓存生效(需要CDN面板支持)。
- 针对不同情景,动态配置CDN缓存(需要CDN面板支持)。
解决后的响应:
2. 未设置CDN防CC规则
表现:
- 在大流量的访问时,CDN没有击中防CC规则,直接回源或使用缓存。
问题:
在明知出现攻击时无动于衷,容易使攻击者和源站服务器两败俱伤,伤敌一千自损一千。
解决方法:
- 在CDN后台配置防CC规则,推荐使用JS质询。
- 根据请求的数量,动态提升防CC等级
3. 未设置地域限制
表现:
- 在遭受网络攻击时,出现了大量其他国家的请求
解决办法:
- 在CDN层面+源服务器层面设置地域限制,将极少或没有访客的地区封禁
------------
#### 防止泄露IP
在另一方面要防止泄露源站IP。
主要泄露途径有:
- 截图时不慎泄露
- 不慎上传了泄露了包含源站IP的文件
- 通过SSL证书泄露
- 扫段时设置HOST暴力尝试
**前两种泄露途径可以通过提高自身的防护意识解决**
那么如何解决后两种呢?
##### SSL
- 原理:通过证书中的域名信息,攻击者可以建立`域名-IP`的对应关系。
> 例如:
- 主要情况有两种:
1. 已接入CDN
> 在此情况下泄露一般是因为站长在回源时使用HTTPS回源,在回源端口上设置了包含真实域名信息的SSL证书
2. 未接入CDN
> 在此情况泄露一般是因为站长在443端口上设置了包含真实域名信息的SSL证书
**总之一句话:非必要不要在源服务器上设置包含真实域名信息的SSL证书**
***那么如何自查呢?***
- 可以在 [censys.io](https://search.censys.io/ "censys.io") 或 [FOFA网络空间测绘](https://fofa.info/ "FOFA网络空间测绘") 上搜索自己的网站域名,如果有自己的源IP信息请及时采取以下措施:
1. 更换源服务器IP
2. 将已经配置的SSL证书删除
##### 防止暴力扫描
- 可以在源服务器上设置`仅允许请求头包含某信息`的请求链接,这一部分在后文提到。
### 源站死扛
还有一部分站点使用的是**高防服务器**,面对大量流量也不会有较大影响。
缺点:价格较高
------------
### 端口
请遵循一个基本原则:**仅开放必要端口**,防止给攻击者可乘之机。
必要端口举例:
- 22(可更改)SSH链接端口
- 80/443/其他 网站服务端口
- 管理面板端口(可选,也可以关闭后自行搭建反代服务实现外网安全访问)
### 防火墙
一款成熟的网络防火墙可以过滤掉入站的非法请求,比如`Shell命令`、`SQL注入`、`XSS注入`,还可以过滤掉机器人的请求。
本文推荐本团队正在使用的 [雷池WAF社区版](https://waf-ce.chaitin.cn/ "雷池WAF社区版")
**(声明:本站与该产品*无利益关系*,仅推荐。下文对该产品的称呼简称雷池WAF)**
其标语是“基于智能语义分析的下一代 Web 应用防火墙,**不让黑客越雷池一步**”
截止至本文撰稿时已有 **164,614次** 的装机量。
其 [GitHub仓库](https://github.com/chaitin/SafeLine "GitHub仓库") 也已获得10.9k的Stars
雷池WAF能够实现频率限制和过滤请求
如图:
**根据相关教程配置后即可**
注意:在接入CDN后**请勿使用HTTPS回源**且**勿在雷池的网站防护端口上设置包含真实域名信息的SSL证书**,原因在前文中谈过。
而为了防止暴力扫描可以在`防护配置`->`自定义规则`->`添加规则`中
1. **选择**`黑名单`;
2. 配置`匹配模板`为`Header`,`匹配方式`为`不等于`,`参数名`自己随便设置一个**不重复**且**符合规范**的就行,`参数内容`自己设置;
> **警告:该配置请勿泄露**
3. (本文用 **腾讯EO** 和 **CloudFlare** 举例)
- **腾讯EO**: 在EO站点选择之后,于 **规则引擎** 中添加一个规则,设立条件请根据实际情况,操作为`修改 HTTP 回源请求头`,`头部名称`和`头部值`请根据刚才在 **雷池WAF** 中的配置填写;
- **CloudFlare**: 在**CF** 站点选择后`规则`->`转换规则`->`修改请求头`->`创建规则`,填写完基本信息和触发条件后,选择`设置静态`,`标头名称`和`值`请根据刚才在 **雷池WAF** 中的配置填写。
### 小结
经过了快一个月的修整,基于WordPress的个人博客**[https://codekpy.cloudroo.top/?p=25](https://codekpy.cloudroo.top/?p=25 "戳戳我")**终于完工辣。
这个博客使用腾讯云EdgeOne+雷池Waf+源站的搭建模式,访问流量应该不是很大,所以用一台小机应该也够了吧。
### 缺点
因为WordPress这个项目做得十分完善,导致其中的引用资源十分庞大,非常考验腾讯EO的缓存设置和源站的性能,有的时候编辑一下博客内容都会白屏,不过在访问流量小的情况下基本也够用了。