破了Discuz!防盗链系统

Xor · 发表于 2012-7-12 20:41:13

具体方法不告诉你{:soso_e107:} 。顺便完善成了PHP加密（非SSL，就是URL加密，防止被）匿名代理{:soso_e104:} 。
Screen Shot 2012-07-12 at 8.38.34 PM.png

Xor · 发表于 2012-7-12 20:43:17

用IP和User-agent计算密钥来加密，想到了终极防盗链{:soso_e113:}。

sunshinebean · 发表于 2012-7-12 23:49:11

一般防盗链都是采用referer判断。。

你的终极思路就不对了,ip和ua加密最终你都得放session里,也就是说cookie里面

cookie一样可以带上去啊..那怎么防

Xor · 发表于 2012-7-13 17:41:28

本帖最后由 Xor 于 2012-7-13 17:42 编辑

sunshinebean 发表于 2012-7-12 23:49
一般防盗链都是采用referer判断。。

你的终极思路就不对了,ip和ua加密最终你都得放session里,也就是说cook ...

,ip和ua加密最终你都得放session里？不用，用来加密／解密URL。因此，如果,ip和ua不正确，就无法访问。。。而且”就算在SESSION里，,也就是说cookie里面“是错的，是在服务器端，带上COOKIE有什么用？系统会认为你的地址是错的。

原理就是一个加密“代理",只不过代理访问的是本地数据。

Xor · 发表于 2012-7-13 17:43:34

sunshinebean 发表于 2012-7-12 23:49
一般防盗链都是采用referer判断。。

你的终极思路就不对了,ip和ua加密最终你都得放session里,也就是说cook ...

这样的防盗链非常容易破解。

sunshinebean · 发表于 2012-7-13 22:48:00

你让我兴趣来了,能发个测试的链接不{:soso_e102:}

sunshinebean · 发表于 2012-7-13 22:48:18

我一定得抓包试试{:soso_e144:}

Xor · 发表于 2012-7-14 14:03:53

好啊，上传中。。。

Xor · 发表于 2012-7-14 14:16:31

本帖最后由 Xor 于 2012-7-14 15:38 编辑

sunshinebean 发表于 2012-7-13 22:48
我一定得抓包试试

好吧，提前上传部分代码，供你测试。为了方便看测试结果，你把我网站的图片盗链到论坛上，能显示就行。哈哈。

测试页：http://xonitor.xml.in/linking_test.php

正常访问效果： Screen Shot 2012-07-14 at 3.37.03 PM.png

直接盗链：

billypon · 发表于 2012-7-14 19:16:01

1、你这个和Discuz什么关系呢？
2、做这个防盗链意义何在？是只有你一个人能访问的某个链接，还是？？？

Xor · 发表于 2012-7-15 12:13:43

本帖最后由 Xor 于 2012-7-15 13:01 编辑

不能显示的图片：

sunshinebean · 发表于 2012-7-15 16:06:52

确实挺牛逼

我很好奇,整个过程中没有任何cookie产生在浏览器里

服务器就根据ip和ua来判断是同一电脑吗?

那为什么我带上跟浏览器同样的http头,浏览器可以,我的程序不行..这点让我感觉非常强大

第二点,你应该是用了adodb的啥啥了对吗,好像只有ie可以,我用opera和chrome都不行,不知道firefox怎么样

程序是和浏览器做一样的事情呀,先带上正常的http头get:http://xonitor.xml.in/linking_test.php

然后获取到返回的img src,然后再带上同样的http头(没见到返回cookie)去get:src地址

但是却直接返回404,内容是/* ACCESS DENIED */
Did nothing in 0.048095703125 milliseconds

Xor · 发表于 2012-7-15 18:13:49

本帖最后由 Xor 于 2012-7-15 18:21 编辑

sunshinebean 发表于 2012-7-15 16:06
确实挺牛逼

我很好奇,整个过程中没有任何cookie产生在浏览器里

我的Chrome和Firefox可以。能不能发一下你Chrome的http头？

Xor · 发表于 2012-7-15 18:22:21

sunshinebean 发表于 2012-7-15 16:06
确实挺牛逼

我很好奇,整个过程中没有任何cookie产生在浏览器里

你有没有发现浏览器请求图片和网页的http头是不一样的？

Xor · 发表于 2012-7-15 18:36:42

sunshinebean 发表于 2012-7-15 16:06
确实挺牛逼

我很好奇,整个过程中没有任何cookie产生在浏览器里

修改了一下，在我这里Chrome／Safari，Opera，Firefox都可以，IE不用测也可以。
Screen Shot 2012-07-15 at 6.34.07 PM.png

billypon · 发表于 2012-7-19 11:35:40

留意到，你的demo页中的图片链接和盗链过来的图片链接好像是不一样的

billypon · 发表于 2012-7-19 13:09:09

终于知道你这个防盗链要做什么了

billypon · 发表于 2012-7-19 13:29:02

你这个想法挺不错的，不过貌似会增加服务器负担

Xor · 发表于 2012-7-19 13:31:43

billypon 发表于 2012-7-19 13:29
你这个想法挺不错的，不过貌似会增加服务器负担

被盗链服务器负担不是更大？

billypon · 发表于 2012-7-19 13:41:21

被盗链的话，最多是网络负担大，服务器压力不会特别大
你这个防盗链，是以服务器压力为代价减缓网络的压力

Xor · 发表于 2012-7-19 13:49:36

billypon 发表于 2012-7-19 13:41
被盗链的话，最多是网络负担大，服务器压力不会特别大
你这个防盗链，是以服务器压力为代价减缓网络的压力 ...

所以一个好的算法很重要，比如我这个不需要Session／cookies验证，所以负担会轻得多。主要负担在加密算法上，不过我这个加密算法很轻，计算小。

billypon · 发表于 2012-7-19 22:58:56

如果计算量大的话，是根本不能用的。
就算计算量小，也不能大量使用，蚁多围死象，你懂的

Xor · 发表于 2012-7-19 23:14:53

billypon 发表于 2012-7-19 22:58
如果计算量大的话，是根本不能用的。
就算计算量小，也不能大量使用，蚁多围死象，你懂的 ...

bt防盗链只有一行判断，但90％盗链可以拦截。可惜个别用户也被拦截（浏览器太差）。

billypon · 发表于 2012-7-20 06:24:05

你这个的原理因为没有公开，所以只能揣测，我也揣测得差不多了。
基本上你是把用户的ip和ua通过某一个算法，生成一个url，也许这个url中还包含了实际的文件名。
又或者这个url不包含任何信息，仅仅是一个key。

如果是前者的话，肯定会有编码和解码的过程，且都是在服务端执行，大量使用会增加不少的压力。
如果是后者的话，需要有一个临时存储的地方，这个东西就很好办啦，不过问题就是如果使用量过大，也会增加压力；因为这个只需要编码不需要解码，所以性能会比前者好。

其实还有一个实现方法，具体还没想好怎么做。

billypon · 发表于 2012-7-20 06:38:32

你是不是还用php读取文件再输出？

Xor · 发表于 2012-7-20 18:56:23

本帖最后由 Xor 于 2012-7-20 18:58 编辑

billypon 发表于 2012-7-20 06:38
你是不是还用php读取文件再输出？

是，因为这只是思路伪代码，除防盗链原理简单实现外没有其他，虽然能够勉强运行但不能推广应用。

账号		自动登录	找回密码
密码			加入我们

破了Discuz!防盗链系统

点评

点评

点评