[請問] HTTP協議網頁不去訪問也無網頁引述該網址是否就無危險疑慮?

看板ask作者 (red whale)時間3年前 (2021/01/22 20:47), 3年前編輯推噓2(2013)
留言15則, 5人參與, 3年前最新討論串1/1
現在網路資訊主流皆認為傳統的HTTP協議是不安全的 因為沒有任何的加密措施 任何的上傳及下載其資訊皆可能被他人揭露甚至竄改 那麼假設我有個沒沒無聞、完全都沒有其他任何人(包含我自己)曾訪問過的HTTP協議網頁 (也就是完全沒有Client丟任何request到那個網頁站點) 也沒有任何網頁及網站提及或引述這個網頁的網址(這樣搜尋引擎也無從找到這個網頁) 更沒有其他任何人知道這個網頁的網址(就我知道而已,但我自己也故意不丟request到那個網址) 簡而言之,就是這個網頁存在於我的伺服器內,但: 1. 就是沒其他人知道這個網頁的存在 2. 這個網頁的網址也沒有被其他任何網頁引述過 3. 也從來沒有被任何端點訪問過這個網頁的網址 在我的網頁伺服器是連上網的狀態下 那麼這個網頁裡包含的資訊用另外一個角度來看是不是反而還比那些成天遭威脅的大站還來得「安全」呢? (其實我知道這並不叫真正的安全,這頂多就只是沒有受到攻擊和偷窺的網頁而已。) 我們是不是可以形容這種「看似安全」的網頁: 「在狂風暴雨的摧殘下,在隱晦角落裡僥倖躲過的生存者」? -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.248.200.185 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/ask/M.1611319654.A.39C.html
01/22 20:50, 3年前 , 1F
駭客都用工具去掃描IP範圍跟Port
01/22 20:50, 1F
如果我是說某個網頁而非某個IP或網域名稱呢? 例如:我有個HTTP網頁網址是: http://www.example.com/abc20102544158/skdi9e8347/dkdif7rjf_skwix0.hsx 這又臭又長又拉拉雜雜的網頁網址駭客再怎麼用工具掃也掃不到這個網頁網址吧 就算他掃到我的網域IP,甚至知道我的網域名 他應該也不知道我這個網頁吧? ※ 編輯: red0whale (111.248.200.185 臺灣), 01/22/2021 21:00:01
01/22 21:24, 3年前 , 2F
一般來說不會知道你自訂的網址, 但是他掃的是你機器
01/22 21:24, 2F
01/22 21:25, 3年前 , 3F
或服務的漏洞, 掃中的話全部就攤在他的控制下了.
01/22 21:25, 3F
那我該怎麼知道伺服器或你所謂的服務有哪些可能會被攻的漏洞呢? 講幾個大概的或者給點關鍵字讓我自己查也行 感恩 ※ 編輯: red0whale (111.248.200.185 臺灣), 01/22/2021 21:42:16
01/23 13:14, 3年前 , 4F
查 CVE,每段時間都有新的漏洞
01/23 13:14, 4F
01/23 13:15, 3年前 , 5F
以你的例子,是啊,是安全,但是也沒有意義
01/23 13:15, 5F
01/23 13:17, 3年前 , 6F
安全不安全都要有實際的應用場景才有討論價值
01/23 13:17, 6F
01/23 15:39, 3年前 , 7F
開源的工具就nmap 一堆現成的script可以套用
01/23 15:39, 7F
01/23 15:40, 3年前 , 8F
掃到有開80port 再來就掃開啟哪些Method、middleware
01/23 15:40, 8F
01/23 15:40, 3年前 , 9F
的版本
01/23 15:40, 9F
01/23 15:41, 3年前 , 10F
然後再去攻擊那個版本已知的漏洞 取得你主機的權限
01/23 15:41, 10F
01/23 15:43, 3年前 , 11F
甚至可以從http status code回報500或404把你主機的
01/23 15:43, 11F
01/23 15:43, 3年前 , 12F
資料用binary取出來
01/23 15:43, 12F
01/23 15:45, 3年前 , 13F
取得主機權限以後 目錄底下擺什麼東西 一清二楚
01/23 15:45, 13F
01/23 20:12, 3年前 , 14F
駭客大師的幻想開始嗨了ㄏ
01/23 20:12, 14F
01/24 12:37, 3年前 , 15F
是說 nmap 也要改授權條款了
01/24 12:37, 15F
更多 red0whale 的文章
文章代碼(AID): #1W2ibcES (ask)