搜索
查看: 5173|回复: 16

[Discuz!] 对论坛被Edge报红可能性的一些猜想

[复制链接]
发表于 2023-9-10 00:44:47 | 显示全部楼层 |阅读模式
本帖最后由 PilotSketch 于 2024-6-29 22:13 编辑

首先,Edge不可能无缘无故的就报红,一般肯定是检测到非法内容,机器人核实过后才会报。
说一个我最近的经历,昨天我在我自己的域名上添加了一个某服务API的反代服务自用。因为是反代,所以不带参数访问是会显示那个服务的官网界面。然后
今天我的网站就被谷歌报“含有社会工程内容”,然后使用谷歌安全浏览的浏览器(chrome,火狐等)就全部开始有红屏了。
于是我立马删除了这条解析,然后去谷歌搜索控制台申诉,大概30分钟谷歌就给我解除了限制。


所以我合理猜测,如果你的网址含有任何比较有名的服务界面,可能会被判定为“尝试伪造对应服务”,被判定为可能盗取用户信息,从而被限制。
同理,如果在帖子内嵌入iframe或其他指向站外链接的服务,一旦站外链接出现问题,本站也会连坐红掉。
我在逛论坛的时候,也发现了一些这些现象。举个例子,这位用户(https://bbs.luobotou.org/space-uid-195804.html)的个人签名就有两个iframe,其中一个还会获取你的ip地址。(也就是任何人如果点到了这个链接内你的ip都会被一个第三方服务获取)
如果这个问题被有心之人利用,那么这些有心之人就有可能获取论坛用户访问某个页面的时间(利用referrer),ip(包含大致地点),UA(显示浏览器,浏览设备信息)等更多信息。
图片.png (这玩意IP地理位置也不准啊。。。)
而且现在理论上任何满足等级要求论坛用户都可以在自己的签名(帖子我不知道,也有可能),里嵌入相关服务,甚至嵌入一些现在被edge检测并报红的东西。

(2023/9/10编辑:补充增加了一些信息)
回复

使用道具 举报

发表于 2023-9-10 09:10:42 | 显示全部楼层
并不是任何用户,只有6级以上的用户可以在签名里插入代码,可以实现调用第三方api,并且没有检测机制。上面那位用户调用的是松鼠api,那个还提供了不少其他功能的api。感觉确实有一定的危险性,甚至可能能做到xss注入。
回复

使用道具 举报

发表于 2023-9-10 09:11:23 | 显示全部楼层
并不是任何用户,只有6级以上的用户可以在签名里插入代码,可以实现调用第三方api,并且没有检测机制。上面那位用户调用的是松鼠api,那个还提供了不少其他功能的api。感觉确实有一定的危险性,甚至可能能做到xss注入。

补充内容 (2023-9-10 09:14):
建议还是增加一些管理机制比如审核签名或者直接禁用签名代码
回复

使用道具 举报

发表于 2023-9-10 11:54:19 | 显示全部楼层
还是把签名删掉吧==
回复

使用道具 举报

发表于 2023-9-10 16:04:18 | 显示全部楼层
树树皆秋色 发表于 2023-9-10 09:10
并不是任何用户,只有6级以上的用户可以在签名里插入代码,可以实现调用第三方api,并且没有检测机制。上面 ...

现在网络安全的要求越来越严格,该限制的还是要限制。
回复

使用道具 举报

发表于 2023-9-10 16:05:52 | 显示全部楼层
树树皆秋色 发表于 2023-9-10 09:11
并不是任何用户,只有6级以上的用户可以在签名里插入代码,可以实现调用第三方api,并且没有检测机制。上面 ...

为安全起见,禁止签名也是很稳妥的一种办法了。
回复

使用道具 举报

发表于 2023-9-10 17:14:42 | 显示全部楼层
可以禁用一段时间试试,看红名问题能解决不能
回复

使用道具 举报

发表于 2023-9-10 19:23:28 | 显示全部楼层
暂时禁用了签名代码
回复

使用道具 举报

联系我们(Contact)|手机版|萝卜头IT论坛 ( 苏ICP备15050961号-1 )

GMT+8, 2024-10-12 15:01 , Processed in 0.106031 second(s), 24 queries , Gzip On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表