反向代理的有趣用法

Posted 红客联盟

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了反向代理的有趣用法相关的知识,希望对你有一定的参考价值。

文章来自@VIP


首先请各位客官看这里:http://viptest.yupage.com

这便是一个使用开源程序7ghost搭建的反向代理演示站。

反向代理,是指反向代理服务器从目标内容服务器上抓取内容返回给用户,反向代理服务器充当了一个中介的功能,它本身是没有任何内容的。整个流程如下:

整个流程非常简单,只需要负责映射请求的.htaccess和负责抓取内容的index.php就可完成,中间还可以通过正则表达式等实现内容和网址的替换。

这种技术还广泛运用于小偷程序中。


0x01 用反向代理让漏洞检测平台帮我们扫漏洞


现在有一些在线漏洞检测平台(如360 安全宝等),都能让我们对目标网站的安全状况有一个初步的了解。但是,这些漏洞检测平台都是需要验证所有权的,那么,我们能不能绕过这个限制呢?反向代理能解决这个问题。

首先,使用设置好反向代理的目标,然后将我们配置好了反向代理程序的网址输入到漏洞检测平台,选取代码验证方式,在我们的核心中转页面(index.php)中插入这段代码,就能够通过漏洞扫描平台的验证,扫目标站的漏洞了。


0x02 搭建一个“蜜罐”来抓取漏洞扫描平台的扫描语句


各个在线漏洞扫描平台都看上去非常高端洋气国际化的样子,那么,它们是怎么扫描的呢?可以使用反向代理来抓扫描语句。

首先,在index.php核心中转文件中加入一段代码,将所有请求记录到log.txt中

(c)2006-2024 SYSTEM All Rights Reserved IT常识