安全编程|判断目标是否使用CDN脚本编写

最新推荐文章于 2024-04-16 10:52:11 发布
最新推荐文章于 2024-04-16 10:52:11 发布
阅读量664 收藏 1
点赞数 1
分类专栏: 安全编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_37516675/article/details/104950873
版权

在这里插入图片描述

01前言

现在很多大网站基本上都使用了CDN进行加速访问,方便快速响应用户的请求,提高用户访问体验。这种做法对于我们日常的渗透测试来说,CDN的虚假IP确实很干扰我们的测试。所以判断出是否使用CDN对我们来说至关重要。

02基本原理

根据 CDN 的工作原理,如果网站使用了 CDN,那么从全国各地访问网站的 IP 地址是各个 CDN 节点的 IP 地址。在互联网上有许多网站提供 PING 命令的服 务,即从该网站全国各地的节点向目标网站发送 PING 命令,返回目标网站接收 数据包的 IP 地址、IP 归属地和响应时间等信息。以https://www.wepcc.com/为例,如图所 示,对 https://www.baidu.com 进行 PING 命令测试,根据 IP 地址和归属地不同, 可以判断 https://www.baidu.com 使用了 CDN。为了防止信息泄露,将部分 IP 和 归属地信息隐去:
在这里插入图片描述

03脚本程序设计

根据基本原理对脚本程序的设计流程图如下:
在这里插入图片描述

04脚本程序实现

根据程序流程图,实现其程序。如下:

def iscdn(url):
    """
    判断目标url是否存在CDN
    :param url: 目标url
    :return: True or False
    """
    result = []
    headers = get_ua()
    # wepcc.com用于ping测试的服务器id编号
    for i in (34,15,27,1,32,8,21,14,28,7,17,19,4,31,25):
        data = {'node':i,'host':url}
        r = requests.post('https://www.wepcc.com/check-ping.html',headers = headers,data=data)
        l = re.findall(r'\d+.\d+.\d+.\d+', r.text)
        result.append(l[0])
    if len(set(result)) > 1:
        return True
    else:
        return False

其中get_ua()实现请求头的随机配置,实现如下:

from fake_useragent import UserAgent

HEADERS = {
    'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8',
    'User-Agent': "",
    'Referer': "",
    'X-Forwarded-For': "",
    'X-Real-IP': "",
    'Connection': 'keep-alive',
}

#产生随机的hearder的部分随机参数值
def get_ua():
    ua = UserAgent()
    key = random.random() * 20
    #产生随机0—好么20位子字符串
    referer = ''.join([random.choice(string.ascii_letters + string.digits) for _ in range(int(key))])
    referer = 'www.' + referer.lower() + '.com'
    ip = socket.inet_ntoa(struct.pack('>I', random.randint(1, 0xffffffff)))
    HEADERS["User-Agent"] = ua.random
    HEADERS["Referer"] = referer
    HEADERS["X-Forwarded-For"] = HEADERS["X-Real-IP"] = ip
    return HEADERS

05脚本结果演示

测试站点:

①百度:www.baidu.com 使用了CDN

②我的博客:www.saodi.best 未使用CDN

测试结果:

在这里插入图片描述
在这里插入图片描述

如何通过Python判断目标网站是否使用CDN
weixin_43263566的博客
05-26 1771
如何通过Python判断目标网站是否使用CDN
cdn检测+脚本+用于检测是否存在cdn
04-12
cdn检测+脚本+用于检测是否存在cdn
cdnScan:一个简单的爬虫脚本,实现批量识别目标是否使用cdn服务
03-08
扫描 一个简单的爬虫脚本,实现批量识别目标是否使用cdn服务。 基于“站长之家”的多地ping功能服务,利用爬虫实现批量识别使用CDN的站点。 环境初始化 步骤一:下载谷歌浏览器以及对应版本的驱动器( )或下载云盘链接( (访问码:xlt7)) 步骤二:解压缩压缩包,将目录\ Chrome \ Application配置到系统环境变量;放入chromedriver.exe文件放置python3目录下;配置成功后,当CMD输入google-chrome可开启谷歌浏览器。 步骤三:pip3安装要求 使用方法:在targets.txt文件中,逐行输入需要检测的域名,然后运行cdnScan.py即可。
利用Python对网站是否使用CDN进行“粗暴”的判断
weixin_42255372的博客
12-19 2046
什么是CDNCDN全称Content Delivery Network即内容分发网络。 其简单说来就是为服务器建立一个缓存机制,它分布在各地不同的服务器中,当我们去访问使用CDN的服务器域名的时候,它会根据我们的IP地址,选择离我们最近的CDN服务器,为我们提供更为快速的访问体验。 同时他也能隐藏服务器的真实IP,提升攻击门槛。 如何判断CDN? 网上其实也有很多关于如何判断对方网站是否使用...
获取真实IP,判断是否CDN
wholeliubei的博客
02-20 1460
这篇文章是21年中旬记录的,平安夜p牛的直播中也谈到,对于渗透测试来说最好有一个checklist,为了避免忘记测试某一部分的内容而错过一些重要信息,同时有了checklist也容易利用自己喜欢的语言实现自动化,突然想起了这篇信息搜集相关的文章所以就分享出来。为了保证网络的稳定和快速传输,网站服务商会在网络的不同位置设置节点服务器,通过CDN(Content Delivery Network,内容分发网络)技术,将网络请求分发到最优的节点服务器上面。如果网站开启了CDN加速,就无法通过网站的域名信息获取真实
寻找使用CDN之后网站的真是IP
diechusi8056的博客
01-06 382
1:通过二级域名 主站使用CDN,二级域名不一定也使用CDN,例如:mail.xxx.com 二级域名可能没有使用CDN,对于这种情况可以通过查询二级域名来获得真实的IP地址. 注意的是 通过二级域名查询出来的IP地址不一定是主站的IP地址,有可能做了A记录,但是很有可能 在一个C端内,此时针对整个C端直接 扫开放了80端口的,一个一个访问即可。 2:通过国外冷门DNS 大部...
COMSOL脚本编程新手入门:自动化脚本编写速成
[COMSOL脚本编程新手入门:自动化脚本编写速成](https://cdn.comsol.com/release/61/comsol-desktop/primitive-inverse-functions-user-comsol.jpg) # 摘要 COMSOL脚本编程作为一种高效的仿真自动化工具,能够显著...
【提升Pixhawk编程效率】:MATLAB脚本编写技巧大公开
[【提升Pixhawk编程效率】:MATLAB脚本编写技巧大公开](https://cdn.educba.com/academy/wp-content/uploads/2020/08/Matlab-Scripts.jpg) # 1. MATLAB脚本的基础知识 MATLAB是MathWorks公司推出的一款高性能的数学...
浅析CDN技术与安全
危险网安
04-05 1792
目前CDN技术到处可见。像网宿、蓝讯、加速乐等都依靠CDN过活,连安全宝也都使用CDN技术,当然很多域名空间商现在也提供CDN服务。从以往互联网的发展上看,CDN是个趋势,很多厂商也都多多少少购买了商业化的CDN资源,比如360、腾讯、百度、新浪等等等,当然...
Matrix Maker 自定义脚本编写:中文版编程手册的精粹
![Matrix Maker 自定义脚本编写:中文版编程手册的精粹]... # 摘要 Matrix Maker是一款功能强大的自定义脚本工具,提供了丰富的脚本语言基础和语法解析功能,支持面向对象编程,并包含高级功能如错误处理、模块化和...
安全开发实战(1)--Cdn
最新发布
记录开发和安全学习过程中的点点滴滴
04-16 1115
渗透学习过程中,不仅需要学习实战技巧,更要懂得开发实战工具,来辅助自己学习和进行进一步渗透利用,这里是围绕整个渗透测试的流程来进行开发,整体适合小白,当然我现在也在学习阶段,还是会出现很多开发过程中的问题,需要进行进一步解决.
php判断是否启动cdn,怎么看网站是否开启CDN加速?测试网站全国访问速度方法详解...
weixin_30694389的博客
03-17 262
在前不久的一篇“CDN是什么 CDN加速有什么用?”一文中我们提到CDN加速在网络中无处不在,一般稍好一些的网站都会开启CDN来提升用户访问速度,相信很多站长们都想知道怎么看网站有没开启CDN服务,当然电脑爱好者朋友,也可以涨知识了解一下,下面脚本之家小编就为大家介绍查看网站有没有开启CDN加速的方法。怎么看网站有没开启CDN?要看一个网站是否开启CDN,方法很简单,只要在不同的地区ping网址就...
CDN判断及绕过
weixin_41489908的博客
08-11 556
​我心里都是事,但是我无法表达,我把错归结到自己身上,我怪不了任何人。。。 ---- 网易云热评 一、判断CDN是否存在 多地ping,可以看到不同地区访问不同的ip,说明存在CDN 二、常见绕过CDN技术 1、子域名绕过 搭建CDN需要有花费的,所以一般都是主站搭建CDN,我们可以从子域名扫描,然后通过子域名入手 2、让网站主动给你发邮件 通过注册、密码找回等功能,让网站主动发邮件,然后点击显示邮件原文,就可以看到对方真实ip Received: from avcpower.c.
CDN识别与绕过
weixin_46522683的博客
04-09 524
cdn识别(大网站,尤其是视频网站) 1.超级ping(网站检测),即从全国各地甚至海外进行ping检测,查看返回ip地址是否相同 2.子域名 源于成本,一般主站有必要开CDN,但一些子站没有必要,如果子站和主站在同一网段,则由子站可以推导出主站真实ip 3.邮箱 服务器发向客体,判断邮件服务器的地址 4.国外地址请求 中型企业国外一般没必要CDN,,没有CDN节点 5.遗留文件 比如phpinfo.php遗留文件, 6.扫描全网 撒大网,有可能其中之一正好在真实服务器附近,再通过各种方法筛选,是没有办法的
mysql自动安装脚本
hao18692659499的博客
07-28 940
1说明:博主使用的redhat6.0版本,并且不建议使用mini系统进行安装,此版本的mysql是5.6.31的,此脚本只能执行到初始化,并且是面向多实例安装的,所以如果要想进行系统命令添加,请自行完成。安装成功后别忘了修改配置文件。 #!/bin/bash #wirtten by haozi 20160726 #mysql_auto_install shell script #creat
一款识别域名是否使用cdn的工具cdnChecker
HRay's blog
04-04 1757
一款识别域名是否使用cdn的工具
脚本检测CDN节点资源是否与源站资源一致
weixin_30536513的博客
03-27 575
需求:   1、所有要检测的资源url放到一个单独文件中   2、检测cdn节点资源大小与源站文件大小是否一致   3、随机抽查几个资源,检查md5sum是否一致   4、使用多线程,可配置线程数 代码目录: hexm:Hexm hexm$ tree ./checkcdn ./checkcdn ├── README.TXT ├── check.py # 主程序 ├...
【网络安全】信息收集 CDN绕过方法
m0_52149675的博客
03-24 4295
CDN的全称是Content Delivery Network,即内容分发网络。CDN是构建在现有网络基础之上的智能虚拟网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户**就近获取所需内容**,降低网络拥塞,提高用户访问响应速度和命中率。但在安全测试过程中,若目标存在CDN服务,将会影响到后续的安全测试过程。
判断网站是否使用CDN以及如何绕CDN查真实IP地址
热门推荐
Fly_鹏程万里
08-05 2万+
CDN简介 CDN的全称是Content Delivery Network,即内容分发网络。CDN是构建在现有网络基础之上的智能虚拟网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率。CDN的关键技术主要有内容存储和分发技术。 判断网站是否使用CDN 1、多地ping 如果多地ping同一...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值