GUIDE 06
URL 检测工具的安全与隐私边界
服务器代用户请求任意 URL,天然具有被滥用为内网探测器的风险。安全设计必须覆盖初始地址、DNS 和每一次重定向。
为什么不能检测所有地址
如果工具允许请求 127.0.0.1、云平台元数据地址、数据库管理端口或内部域名,攻击者就可能借公共网站访问本来不可公开的服务。这类问题属于服务端请求伪造(SSRF)。因此“支持任意 URL”不是功能完整,而是缺少必要边界。
301check 的请求限制
- 只接受 HTTP 和 HTTPS 协议。
- 只允许常规 Web 端口 80 和 443。
- 拒绝 URL 中的用户名、密码和换行字符。
- 拒绝 IPv4/IPv6 私网、回环、链路本地和保留地址。
- 对初始地址及每一个 Location 目标重新解析与检查。
- 把审查过的 DNS 结果固定到实际 cURL 请求,降低重绑定窗口。
- 限制 URL、User-Agent、请求体大小、请求频率、连接和总超时。
DNS 重绑定为什么需要额外处理
仅在请求前调用一次 DNS 并判断结果不够。恶意域名可以先返回公网地址通过检查,随后在真正连接时返回内网地址。安全实现需要让校验和连接使用同一组解析结果,或者在连接层再次确认实际 IP。每次重定向也必须重复这个过程。
不要提交包含秘密的 URL
查询参数经常包含密码重置令牌、签名下载地址、会话票据和 API 密钥。提交后,目标 URL 会由检测服务器请求,也可能出现在服务器访问日志、目标服务器日志和你的浏览器历史中。检测前应移除秘密参数;若业务必须验证签名链接,应在受控环境使用内部工具。
安全提醒:不要把生产管理后台、未公开预览地址、云存储临时签名或客户专属链接提交到任何公共检测服务。
页面供应链
现代页面常从第三方 CDN 加载字体、图标、脚本和统计代码。任何远程脚本都拥有与本站前端代码相近的执行能力,也会暴露访问元数据。V2 的界面脚本、样式和图标均在本站托管,并通过 Content Security Policy 默认禁止外部脚本、样式、连接和框架嵌入。
结果的限制
本站使用 HEAD 请求,目标可能针对 HEAD、User-Agent、来源地区或频率返回与浏览器 GET 不同的结果。安全防护也可能返回 403。结果应被视为一份可复现的服务器端观测,而不是目标网站所有访问场景的唯一真相。
负责任使用
只检测你有权访问或公开可访问的 URL。不要利用工具进行高频扫描、绕过访问控制或收集非公开信息。发现本站安全问题时,请通过 contact@301check.com 私下报告,并避免在修复前公开可利用细节。