DuckSite
user_img
论坛
搜索
  • CoCoPro1.5.0隆重上线!【手机使用CoCo、安全绕审核使用自定义控件.....】
    转眼,CoCo已经三周年了...... However,停更,Bug,限制...... ###### CoCo界面看的不舒服? ##### 手机无法使用CoCo? #### 自定义控件没法协作? ### 自定义控件没法分享? ## 别担心,Oldsquaw-CoCoPro来帮你! # 匠心打造,功能+++++ **[What can it do?]** 1.美化界面,圆角,更舒服[由Suda贡献代码] 2.99.9%还原原版CoCo功能,支持登录与云端保存 3.全新添加CoCoClick,让手机用户也可添加控件[由小宏XeLa贡献代码] 4.内置仿真F12控制台Eruda,手机也可改元素/抓包拉[来自Github开源项目] 5.增加高级协作功能,专属协作链接,一键解决添加自定义控件无法协作问题 6.预置绕审核控件,完美快速解决自定义控件无法分享h5问题[由透明质酸钠贡献代码] 7.彩蛋、黑暗模式、控件商城......更多隐藏玩法,等你来探索!更多实用功能,敬请期待! **【How to use?】** a.测试版链接:oldsquaw.rth10.com/1.5.0.html  (由于不可抗拒因素,使用需完成人机验证) b.正式版链接:run.oldsquaw.cn  (由于部署较慢,还未更新到最新版) **【What else?】** 1.日更版官网:https://oldsquaw.rth10.com 2.正式版官网:https://web.oldsquaw.cn 3.论坛:https://discuss.oldsquaw.cn 4.AI控件编写助手MaxWidget:https://chatglm.cn/share/FWVsd 【Who are we?】 我们是Oldsquaw团队, Gitee仓库:https://gitee.com/oldsquaw QQ群号:***907170983*** [鸣谢] 开发:耗子、小宏XeLa、Galaxy、透明质酸钠、Suda、琦琦 测试&支持:CoCo中控台、StarDreamNet、以及所有来自CoCo的小伙伴 赞助:Galaxy、旁观者JErS、飞飞N0MT、曦予、and so on...(由于时间久远,若有遗漏可私聊补充)
  • [编程猫社区]反馈/申诉地址
    #### 关于账户 [新链接]编程猫社区账户申诉 https://forms.office.com/r/vWFdmqnqdN #### 关于作品 [新链接]编程猫社区作品审核申述 https://forms.office.com/r/EVLmu1fU6m 你猫官方**死得差不多了**,所以石榴在这里公布一下**新的反馈地址**,有问题加QQ:3803746525 两个表格会在7~14天内提交给官方处理
  • 【网络安全专题】之网站防护
    ## 前言 鉴于本站且各友站近期持续受到大规模网络攻击,编写了本篇防护指南。 ***若有误还请在评论区批评指正*** ## 正文 ### 隐藏源站 网站防护的关键就在于源站。 **请遵循一个基本原则:*隐藏源站*** #### CDN 本文推荐的是本站正在使用的[腾讯边缘加速平台EdgeOne](https://cloud.tencent.com/act/pro/edgeone_techoday_promotion?from=22063 "腾讯边缘加速平台EdgeOne") **(声明:本站与该产品*无利益关系*,仅推荐。下文对该产品的称呼简称EO)** 隐藏源站的基本方式就是使用**CDN(Content Delivery Network)**。但不恰当的CDN配置也可能会让你的源站保护形同虚设。以下是几个例子: 1. 未设置CDN缓存 表现: ![](https://ducksite.cloudroo.top/file/8a70b039e9864e609fec212063682dd1) - 静态资源在访问时,CDN发回的Cache响应头为MISS(即未击中缓存) ![](https://ducksite.cloudroo.top/file/8ff158df821fdb3e64dcea534a9d7af8) - 动态资源在访问时,无论刷新多少次,CDN发回的Cache响应头都为MISS(即未击中缓存) 问题:让CDN在接受到每次访问时都会回源,本质上与直接绑定源站IP并没有区别。在遇到高并发情境下,有时用户体验甚至比直接绑定源站IP更差。 解决方法: - 在CDN面板中配置好静态缓存,一般推荐缓存3600秒(1小时)。 - 在CDN面板中配置好动态缓存,一般推荐缓存少于10秒。 - 缓存配置后,在CDN面板进行刷新预热,让缓存生效(需要CDN面板支持)。 - 针对不同情景,动态配置CDN缓存(需要CDN面板支持)。 解决后的响应: ![](https://ducksite.cloudroo.top/file/56eb1dc552e56f48dbbbbb7e61fbcc50) ![](https://ducksite.cloudroo.top/file/3774b3bbdf63c4e5c0f72b45e9bd370e) 2. 未设置CDN防CC规则 表现: - 在大流量的访问时,CDN没有击中防CC规则,直接回源或使用缓存。 问题: 在明知出现攻击时无动于衷,容易使攻击者和源站服务器两败俱伤,伤敌一千自损一千。 解决方法: - 在CDN后台配置防CC规则,推荐使用JS质询。 - 根据请求的数量,动态提升防CC等级 3. 未设置地域限制 表现: - 在遭受网络攻击时,出现了大量其他国家的请求 解决办法: - 在CDN层面+源服务器层面设置地域限制,将极少或没有访客的地区封禁 ------------ #### 防止泄露IP 在另一方面要防止泄露源站IP。 主要泄露途径有: - 截图时不慎泄露 - 不慎上传了泄露了包含源站IP的文件 - 通过SSL证书泄露 - 扫段时设置HOST暴力尝试 **前两种泄露途径可以通过提高自身的防护意识解决** 那么如何解决后两种呢? ##### SSL - 原理:通过证书中的域名信息,攻击者可以建立`域名-IP`的对应关系。 > 例如:![SSL证书示例](https://ducksite.cloudroo.top/file/9fcdc49f6c18485a062d971aec3bd968) - 主要情况有两种: 1. 已接入CDN > 在此情况下泄露一般是因为站长在回源时使用HTTPS回源,在回源端口上设置了包含真实域名信息的SSL证书 2. 未接入CDN > 在此情况泄露一般是因为站长在443端口上设置了包含真实域名信息的SSL证书 **总之一句话:非必要不要在源服务器上设置包含真实域名信息的SSL证书** ***那么如何自查呢?*** - 可以在 [censys.io](https://search.censys.io/ "censys.io") 或 [FOFA网络空间测绘](https://fofa.info/ "FOFA网络空间测绘") 上搜索自己的网站域名,如果有自己的源IP信息请及时采取以下措施: 1. 更换源服务器IP 2. 将已经配置的SSL证书删除 ##### 防止暴力扫描 - 可以在源服务器上设置`仅允许请求头包含某信息`的请求链接,这一部分在后文提到。 ### 源站死扛 还有一部分站点使用的是**高防服务器**,面对大量流量也不会有较大影响。 缺点:价格较高 ------------ ### 端口 请遵循一个基本原则:**仅开放必要端口**,防止给攻击者可乘之机。 必要端口举例: - 22(可更改)SSH链接端口 - 80/443/其他 网站服务端口 - 管理面板端口(可选,也可以关闭后自行搭建反代服务实现外网安全访问) ### 防火墙 一款成熟的网络防火墙可以过滤掉入站的非法请求,比如`Shell命令`、`SQL注入`、`XSS注入`,还可以过滤掉机器人的请求。 本文推荐本团队正在使用的 [雷池WAF社区版](https://waf-ce.chaitin.cn/ "雷池WAF社区版") **(声明:本站与该产品*无利益关系*,仅推荐。下文对该产品的称呼简称雷池WAF)** 其标语是“基于智能语义分析的下一代 Web 应用防火墙,**不让黑客越雷池一步**” 截止至本文撰稿时已有 **164,614次** 的装机量。 其 [GitHub仓库](https://github.com/chaitin/SafeLine "GitHub仓库") 也已获得10.9k的Stars 雷池WAF能够实现频率限制和过滤请求 如图: ![](https://ducksite.cloudroo.top/file/6fdfa52dae5f61578bcbc01aec8c241f) **根据相关教程配置后即可** 注意:在接入CDN后**请勿使用HTTPS回源**且**勿在雷池的网站防护端口上设置包含真实域名信息的SSL证书**,原因在前文中谈过。 而为了防止暴力扫描可以在`防护配置`->`自定义规则`->`添加规则`中 1. **选择**`黑名单`; 2. 配置`匹配模板`为`Header`,`匹配方式`为`不等于`,`参数名`自己随便设置一个**不重复**且**符合规范**的就行,`参数内容`自己设置; > **警告:该配置请勿泄露** 3. (本文用 **腾讯EO** 和 **CloudFlare** 举例) - **腾讯EO**: 在EO站点选择之后,于 **规则引擎** 中添加一个规则,设立条件请根据实际情况,操作为`修改 HTTP 回源请求头`,`头部名称`和`头部值`请根据刚才在 **雷池WAF** 中的配置填写; - **CloudFlare**: 在**CF** 站点选择后`规则`->`转换规则`->`修改请求头`->`创建规则`,填写完基本信息和触发条件后,选择`设置静态`,`标头名称`和`值`请根据刚才在 **雷池WAF** 中的配置填写。
  • 中控台&星梦成功入驻bcm总部
    ![](https://ducksite.cloudroo.top/file/d5a12c8e7498f9e59731890f587f4ac1)
  • CodeKpy的博客上线辣
    ### 小结 经过了快一个月的修整,基于WordPress的个人博客**[https://codekpy.cloudroo.top/?p=25](https://codekpy.cloudroo.top/?p=25 "戳戳我")**终于完工辣。 这个博客使用腾讯云EdgeOne+雷池Waf+源站的搭建模式,访问流量应该不是很大,所以用一台小机应该也够了吧。 ### 缺点 因为WordPress这个项目做得十分完善,导致其中的引用资源十分庞大,非常考验腾讯EO的缓存设置和源站的性能,有的时候编辑一下博客内容都会白屏,不过在访问流量小的情况下基本也够用了。