0
我在Google應用引擎中有一個應用程序,它只運行cron作業並使用後端,所以沒有來自任何客戶端的傳入請求。我注意到收到了來自名爲'niki-bot'的用戶的請求,我很驚訝,因爲我的應用網址沒有出現在任何地方,它只被發送cron請求的管理員帳戶使用。幸運的是,我在我的cron上設置了安全性,所以這個用戶得到了403條禁止消息,但我仍然想知道這是怎麼發生的。你們有沒有經歷過類似的事情?Google應用引擎bot攻擊?
A
回答
1
正如我認爲你知道的,後端是addressable to the outside world,它只是public/private status和應用於端點的安全級別,以確定呼叫是否成功。
關於機器人如何獲得您的應用ID,我想他們可能只是試圖隨機的看看是否有什麼可以利用。
是否對標準管理端點的請求?我對下面的PHP文件有很多隨機請求,而我的應用程序甚至不在PHP上。人們只是試圖攻擊已知的系統(這是我的前端模塊):
/mysqladmin/scripts/setup.php
/myadmin/scripts/setup.php
/MyAdmin/scripts/setup.php
/pma/scripts/setup.php
/phpMyAdmin/scripts/setup.php
/phpmyadmin/scripts/setup.php
/db/scripts/setup.php
/dbadmin/scripts/setup.php
2
你很可能運行在瀏覽器中的「真棒截圖」的插件,或類似的軟件,泄漏你的所有瀏覽歷史記錄的上游服務 - 上游服務似乎會返回一個niki-bot抓取工具來抓取或做一些「無法找到」URL的人。
閱讀更多關於它的地方:https://mig5.net/content/awesome-screenshot-and-niki-bot
相關問題
- 1. Google應用引擎應用
- 2. Google應用引擎實例
- 3. pycrypto和Google應用引擎
- 4. DWR與Google應用引擎
- 5. jpa-Google應用引擎
- 6. Google應用引擎Youtube API
- 7. Google應用引擎vs appscale
- 8. Google應用引擎json響應爲REST
- 9. Google應用引擎 - 無法使用?
- 10. Google應用引擎用戶服務
- 11. 如何應對攻擊xmlrpc.php攻擊
- 12. Google應用引擎:個人體驗?
- 13. Django Google應用引擎參考問題
- 14. 在Google應用引擎上部署mahout
- 15. 在Google應用引擎上運行hadoop?
- 16. Google應用引擎是否支持JDBC?
- 17. SHA-1 google blob應用引擎
- 18. 帶Google應用引擎的Django ModelFormSet
- 19. Google應用引擎上的多線程
- 20. Google應用引擎TypeError問題
- 21. Google應用引擎Python問題
- 22. 如何緩存Google應用引擎
- 23. 泡沫:Google應用引擎支持
- 24. 綜合主鍵Google應用引擎(django)
- 25. Google應用引擎GQL查詢密鑰
- 26. Google應用引擎的OSS實施?
- 27. Google應用引擎:get_by_id不可靠?
- 28. Google應用引擎,多種語言
- 29. Google應用引擎序列化問題
- 30. Google應用引擎imap無效憑據