据博主榆木发布的博客,日前新浪微博帮助页面发生自动跳转腾讯微博的现象,该问题甚至影响用户找回密码等。
作为不同公司的产品发生这种跳转现象显然不正常,博主榆木进行排查后发现此次问题是多种问题叠加后导致的。
其中既牵涉到新浪微博域名解析方面存在配置错误,也牵涉到未知用户在 CLOUDFLARE 添加新浪微博的子域名。
主要现象为用户打开 hxxp://help.weibo.com 即微博帮助页面后,自动跳转到腾讯微博hxxp://t.qq.com域名上。
此次新浪微博SAO操作的原因排查:
经初步测试发现新浪微博帮助页面的域名指向1.1.1.1这个IP地址,这个地址此前并不是正常服务器使用的IP地址。
可能是新浪微博工程师进行测试时将1.1.1.1当做内网IP使用的,当然这只是猜测具体为何解析到这个IP原因未知。
而1.1.1.1是CLOUDFLARE旗下提供的公共DNS服务器同时也是个节点,恰巧微博的问题也被某个匿名用户发现。
这个匿名用户在CLOUDFLARE平台绑定新浪微博主域名也就是weibo.com , 正常情况下绑定域名并不需要验证。
在绑定成功后这个匿名用户相当于拥有微博主域名的解析权,该用户随后将 help.weibo.com重定向到腾讯微博。
这个重定向操作通过CLOUDFLARE平台分发到所有CDN节点也包括1.1.1.1,于是用户访问时就会出现跳转现象。
当然跳转到腾讯并不是巧合而是故意的:
有用户可能会问为什么这个匿名用户获得微博主域名解析权后不直接把整个新浪微博都跳转到腾讯微博的网址呢?
这个原因是只有 help.weibo.com域名是指向1.1.1.1的,其他域名并未出现该问题因此该匿名用户无法实现跳转。
当然跳转到腾讯微博也并不是巧合而是故意的,并且恰巧发现微博出现错误解析又恰巧跳转到腾讯的可能性不大。
究其原因应该是这个匿名用户首先发现微博的解析错误,随后该用户在 CLOUDFLARE 绑定微博域名并操作跳转。
直到今天微博上有用户转发榆木博主的这篇文章并艾特新浪微博工程师后,这个域名才解除跳转到腾讯微博平台。
目前经过微博工程师跳转该域名会重定向到support.weibo.com , 相应的解析IP地址也重新换成微博服务器地址。
如何避免出现这种情况:
对于企业来说操作域名解析时要仅在使用时添加解析,同时要在子域名停止使用后及时将解析暂停或者直接删除。
因为我们使用的公网服务器地址一旦被释放,就有可能会被分配给其他用户,到时候获得该地址的用户即可操作。
所以日常设置域名解析的时候不可随意设置IP地址并且要及时与其他部门沟通,对于不用的域名要及时停止解析。
CLOUDFLARE等CDN平台出现的绑定倒是问题不大,目前业界多数CDN厂商在绑定域名时不需要用户进行验证。
当然微博并不使用 CLOUDFLARE 所以不需要理会绑定问题,如果要使用的话联系厂商将其他用户绑定删除即可。
近期热门阅读: •微信防撤回/多开/免扫码登录/换色/彩色昵称...快来试试微信小助手 •下载: 新一代多系统装机神器Ventoy 开源免费用了都说好! •未来你可以通过NFC为设备充电 虽然充电功率仅仅只有1W •比QLC更渣的PLC要来了,但容量更大价格更低,那么是更渣还是真香呢? • UOS统信软件刘闻欢:操作系统领域不太可能实现弯道超车或借道超车 •安卓QQ偷偷删用户照片 腾讯回应后还被华为火速打脸
1126
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
