体验反代钓鱼

moe

3年前

最近流行反代 hostloc ，为了自己的账号建议大家不要使用。

盗取密码测试：
体验反代钓鱼

沉浸式体验地址：

https://sheep.php.yt/

篡改代码：

https://sheep.php.yt/sheep.js

https://hostloc.com/thread-963494-1-1.html

之前就玩厌了，没意思，我直接记在后台

除了自己反代的，其他一概不用

本帖最后由 G.K.D 于 2022-2-14 19:55 编辑

几个月前论坛有几个帖子在问端口转发（流量中转）是否安全，我当时回答的时候，也提到过反代安全性问题，反代不同于端口转发（流量中转），在反代服务器上时，访客和源站之间的内容都是明文的，完全可见~
不仅仅是明文可见，还能随意修改、替换内容（比如替换域名），因此也可以向网站插入恶意 JS 代码等等。

搜了搜找到我当时写的内容了：

因为反代网站并不是单纯的流量转发（中间人攻击原理也是反代）。

即你用钥匙 A 把数据锁在箱子 A 里，然后把箱子 A 给反代服务器，
反代服务器用钥匙 A 打开箱子 A（此时反代服务器能明文看到）把数据拿出来放到另一个箱子 B 里并用钥匙 B 锁上，然后将其发给目标网站，
目标网站收到后用钥匙 B 打开箱子 B 查看数据，处理后再原路返回。

直连：用户 <=加密 A=> 网站
反代：用户 <=加密 A=> 反(明文)代 <=加密 B=> 网站

用户和反代单独用一套公匙和私匙，反代和目标单独用一套公匙和私匙，都是独立的。
企业常用的上网行为管理系统，也是基于这个原理获取 HTTPS 内容的，当然需要在你设备上安装信任自签证书才行。
因此，访问反代网站可以，但是不要在反代网站上面登录账号或提交敏感信息。

666差点就上当了

一个扶墙小鸡的事，谁的反代也不用

下个id见～