我正在阅读有关服务器端请求伪造的文章。在那篇文章中,攻击者发现它对127.0.0.1
互联网开放。受害者随后阻止了127.0.0.1
,但是由于许多其他IP以及显然还有某些域也对此做出了解决,包括“神秘”者localtest.me
,他得以绕过基于文本的弱过滤器。
有什么特别之处
localtest.me
?还有其他吗?(以及如何找到它们?)
更新
我发现:http : //readme.localtest.me/
显然,出于测试目的,有人决定以一种有趣的方式注册该域:
运作方式如下。整个域名localtest.me和所有通配符条目都指向127.0.0.1。因此,无需对主机文件进行任何更改,您就可以立即开始使用本地URL进行测试。
但是,我仍然不确定如何将外部域注册到本地域。这是令人困惑的,因为tracert localtest.me
永不离开机器。在低层如何处理?
lvh.me
vcap.me
fuf.me - IPv4 and IPv6
ulh.us
127-0-0-1.org.uk
ratchetlocal.com
smackaho.st
42foo.com
beweb.com
yoogle.com
ortkut.com
feacebook.com
bealocalhost.de