安全运维之关于个人ip定位与网站监控的分析

Posted 2020-10-09

场景:

 

后台：有人盗刷我的短信接口、小偷偷我手机、无良黑客黑我网站

 

前台：发个欺骗链接或者说我在网上举报谁谁谁附带一个跳转url获取对方ip.......

 

How to solve：

 

前言：这周搞了个New Blog~ ，用做个人定位以及新工具url网站监控的学习。

 

思路：

 

这里我在我blog的全局header.md放入这两个统计脚本，baidu analyze and google analyze （需要自行FQ~）

 

 

网站的所有请求将会记录在平台 https://tongji.baidu.com/web/24567555/trend/latest?siteId=11239420    如下图：

这个有点像xss平台或者DNSlog 做个人定位，访问的人少，可以看到时间和ip还是很准确的（不要访问我的博客，保留纯正，避免脏数据）

目前这个只通过Payload不好做单点识别。给他一个好听的名字“社工盲攻击”，参考之前学习的"http盲攻击"哈哈哈。

当然也可以在xss后面、url跳转、命令执行、sql注入代入我的域名进行监控或者钓鱼平台，大家可以做自由发挥，我也在学习~

现在用下这个是ip 定位，使用现有百度api http://lbsyun.baidu.com/apiconsole/key?application=key  

目前不能用了，之前是调用这个api接口来实现精准定位 参考：Freebuf

 

 

 

现在改用这个在线版 http://www.ipplus360.com/ 看下结果：定位到科技园，还是不错的。有一定的限制，每天超过一定的次数需要付费