SSL 证书暴露Tor 站点的公共 IP 地址

聚焦源代码安全，网罗国内外最新资讯！

翻译：360代码卫士团队

安全研究员找到一种轻易是被配置错误的暗网服务器的公共IP地址。虽然有些人可能认为他是通过攻击Tor或其它类似网络实现目的的，但实际上他暴露的是不懂如何正确配置某隐藏服务的后果。

在Tor网络设置暗网网站的一个主要目的是使站点所有人难以被识别。为了正确地将暗网站点匿名化，管理员必须正确配置web服务器，使其仅监听本地主机(127.0.0.1)而非被公开暴露在互联网上的IP地址。

RiskIQ公司的威胁研究员Yonathan Klijnsma发现有很多使用SSL证书的Tor站点，加上配置不当，导致站点易遭访问。RiskIQ爬虫后将所发现的任何SSL证书和托管的IP地址关联起来，因此Klijnsma很容易地通过相对应的公共IP地址映射了配置不当的Tor服务。

Klijnsma表示，“这些人让本地Apache或Nginx服务器在任何(*或0.0.0.0) IP地址上监听，这意味着不仅是Tor连接而且外部连接也会起作用。如果没有使用防火墙，那么这种情况更是如此。这些服务器应该仅被配置为监听127.0.0.1。”

当问到因服务器配置不当而导致公共IP地址遭暴露的情况是否常见时，Klijnsma表示非常常见，“这种情况还在继续。我不是在开玩笑。虽然一些站点并不会监听http/https，因此我不知道这些站点是什么，但他们具有洋葱地址而且可从明网和暗网上访问。”

SSL 证书识别出暗网站点的公共 IP 地址

当Tor服务的运营人员将SSL证书添加至站点时，就将.onion域名和证书关联在一起。

如果Tor站点配置不当，那么它就会监听一个公共的IP地址，而这个包含.onion域名的证书也将用于该IP地址。RiskIQ公司爬取互联网并归类所有被站点所用的SSL证书后发现，它将这个.onion证书和公共的IP地址关联在一起。这就使得Klijnsma通过RiskIQ数据库轻易查找到.onion证书并看到了所映射的公共IP地址。

Tor 用户认为 Klijnsma 正在攻击 Tor

某些用户认为Klijnsma的研究实际上是在攻击Tor，但Klijnsma表示他做的正好相反。他并没有攻击Tor，而是试图暴露Tor隐藏服务配置不当后引发的内在问题。

Klijnsma表示要防范此类攻击特别简单，“应该仅监听127.0.0.1”。

https://www.bleepingcomputer.com/news/security/public-ip-addresses-of-tor-sites-exposed-via-ssl-certificates/