【问题标题】:Is it safe and good to show port number in URL?在 URL 中显示端口号是否安全且良好?
【发布时间】:2014-10-16 20:13:06
【问题描述】:

我在端口 3000 上有一个 nodejs 服务器,因此要获取 socket.io.js 文件,我使用的是 localhost:3000/socket/io..... 之类的 url

在 URL 中显示端口号安全吗?

【问题讨论】:

  • 我不明白为什么不这样做;任何人都可以通过运行 netstat 命令或 ettercap 等软件来确定软件正在使用的端口。只要在该端口上运行的软件是安全的,它可能是“安全且好的” :)
  • 假设我的节点服务器已关闭或停止,因此未使用端口 300o,所以我可以使用该端口并破解
  • 如果该端口上没有运行任何软件,那么即使您的网络安全策略“允许”该端口,也没有任何东西可以连接 - 所以不! “开放端口”之所以可怕,是因为可能有可利用的软件等待在该端口上建立连接。问题在于运行的软件,而不是“端口”本身。

标签: security web


【解决方案1】:

是的。泄露端口号并不比泄露 IP 地址更危险。例如。披露有关您网络的少量信息,但不会显着降低您的安全性。如果您依赖“隐藏”端口号来确保任何安全性,那么您就大错特错了。

【讨论】:

  • 什么是“隐藏”端口?
  • 您可以在任何端口上运行服务。有些是正式发布的——比如用于 Web 服务器的端口 80。您可以在不同的端口号上运行网络服务器,对不知道它在不同端口上的任何人“隐藏”它。但作为一项安全措施,这与将房门钥匙放在门垫下差不多。
  • 详细说明 - 这正是端口扫描器的用途。他们扫描某个地址上特定范围的端口,寻找一个运行有软件的端口。如果有东西可以连接,您可以开始尝试如何利用它。在这种情况下,“隐藏”只是意味着没有明确显示 - 仍然很容易确定您正在连接的端口。在 cmd 提示符下自己尝试:输入 netstat -a
猜你喜欢
  • 2013-07-21
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
相关资源
最近更新 更多