嘟嘟社区

[疑问] 告诉大家一个漏洞:


其实只要只要了一个IP, 就可以查询出它这个IP上绑定的网站域名,

因为你直接访问IP时 https://47.57.185.163/ 服务器会默认返回他的默认域名证书, 域名证书里面可以看见他的域名的

去这里就可以查到它绑定的域名了: https://myssl.com/47.57.185.163

web服务器没配置好才会泄露证书
我给你科普一个概念,叫旁注
提示: 无法连接,耗时:1秒

这是最好的年代 发表于 2022-4-28 22:16
web服务器没配置好才会泄露证书

给自己服务器IP配个假证书也不行的吧, 因为别人可以不用IP来访问,

自己改hosts 把 baidu.com解析成你的ip, 然后访问也会返回你服务器里面默认的那个域名

chuanchuanlak 发表于 2022-4-28 22:22
给自己服务器IP配个假证书也不行的吧, 因为别人可以不用IP来访问,

自己改hosts 把 baidu.com解析成你的i …

试试这个:http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_reject_handshake

chinaz’站长工具以前我记得也有这么一个功能啊
行。