惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

N
Netflix TechBlog - Medium
C
Cisco Blogs
WordPress大学
WordPress大学
宝玉的分享
宝玉的分享
aimingoo的专栏
aimingoo的专栏
H
Hackread – Cybersecurity News, Data Breaches, AI and More
I
Intezer
P
Privacy International News Feed
T
Threatpost
小众软件
小众软件
Latest news
Latest news
T
Threat Research - Cisco Blogs
腾讯CDC
L
LINUX DO - 热门话题
Simon Willison's Weblog
Simon Willison's Weblog
NISL@THU
NISL@THU
Scott Helme
Scott Helme
C
Cyber Attacks, Cyber Crime and Cyber Security
T
The Exploit Database - CXSecurity.com
有赞技术团队
有赞技术团队
T
Tenable Blog
Cisco Talos Blog
Cisco Talos Blog
博客园 - 【当耐特】
Project Zero
Project Zero
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
G
GRAHAM CLULEY
I
InfoQ
V
V2EX
T
Tailwind CSS Blog
IT之家
IT之家
Security Archives - TechRepublic
Security Archives - TechRepublic
Cloudbric
Cloudbric
G
Google Developers Blog
T
Troy Hunt's Blog
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
AI
AI
博客园 - Franky
Martin Fowler
Martin Fowler
罗磊的独立博客
博客园_首页
PCI Perspectives
PCI Perspectives
Jina AI
Jina AI
Hugging Face - Blog
Hugging Face - Blog
C
Cybersecurity and Infrastructure Security Agency CISA
S
Secure Thoughts
月光博客
月光博客
The Cloudflare Blog
Google Online Security Blog
Google Online Security Blog
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报

Bing

请求肉身在境外的朋友帮忙测试 Global Bing 是否强制锁定安全搜索(SafeSearch) - V2EX 判别政府网站还是得用 百度, 刚被 Bing 坑了一把 如何解决 Bing 搜索每次都要输入验证码 Microsoft Rewards 兑换的微软余额怎么花 - V2EX 比百度还哈人 - V2EX bing 国内版竟然搜不到 site:cloudflare.com,只能搜到 cloudflare-cn.com - V2EX bing 中国今天犯了个错误 - V2EX bing 的国内版肠规操作,这算入乡随俗还是? - V2EX 全面转移必应发现挺好用的 - V2EX Bing 搜索推出了“仿制版 Google 搜索” - V2EX bing 的国内版搜索 wireshark,第一个总是些莫名其妙的网站 - V2EX Bing 中文搜索豆包的结果前两个都是假的,第三个的连接是百度的,为什么 - V2EX Bing 搜索疑似宕机 - V2EX 请问国际上用的 bing.com 和 cn.bing.com 里在国内版和国际版里选择后者,是同一个东西吗? - V2EX 微软为了 bing 的使用量,开始推送 chrome bing 插件了 - V2EX bing 主页那些背景图片就没法关闭吗? - V2EX bing 搜索 123+123=, 出来个计算器, 很好. 计算结果不能复制. - V2EX 不知道大家有没有发现, bing 的撰写功能变弱了 - V2EX 突然发现必应聊天的 AI 可以免费用了 - V2EX 必应这个彩蛋灯笼怎么关闭,看着真的难受 - V2EX bing 网站滚动很慢 - V2EX Bing 现已集成由 Ookla 提供的 SpeedTest 测速服务 - V2EX 如何解决挂梯搜索 bing 时跳转中国/显示未找到结果的问题 - V2EX 不用 edge 的话真的就无法体验 full bing 吗? - V2EX newbing 无法使用,提示:正在尝试重新连接... - V2EX 为什么 Bing AI 画图,一直要画方形的? - V2EX 电信流量访问 bing 很慢(梯子可以加速访问),但是家里的电信宽带访问 bing 就正常,这是为什么呢 - V2EX cn 的 bing 翻译是不是被墙了? - V2EX 这是我的问题还是 Bing 的问题 - V2EX 为什么人在海外 Bing 搜索还是不停自动跳转回中国区啊? - V2EX 现在 bing 搜索出来的结果几乎被知乎和 csdn 霸屏了? - V2EX 关于手机版 bing AI 存在内容审查的问题 - V2EX 20231016 开始, new bing 的聊天功能又被阉割了,有没有使用未阉割版的方法? - V2EX 必应搜索这段时间是不是一直在抽风? - V2EX Bing 真是令人失望,搜索 chrome cn 头两个结果居然都是钓鱼网站 - V2EX bing 增加了锁区的功能了吗?什么情况大家知道吗? - V2EX new bing 今天总是提示正在尝试连接,请稍候 - V2EX 现在如何让 New Bing chat 使用特定语言搜索信息 - V2EX Bing chat 里开始出现广告了? - V2EX 必应怎么了 - V2EX 用新加坡的地址无法使用 New Bing - V2EX 现在 new bing 不登陆也能用了,然而我登录了反而不能用 - V2EX ip 地址被 bing 送中了,怎么办? - V2EX Bing App 能用 chat 吗? - V2EX bing 真的很难用啊 - V2EX 是否可能让 New Bing AI 在回答前不要发起搜索 - V2EX Bing Chat 网页版可用,但是 Edge 边栏却无法使用,大家有什么好办法吗? - V2EX 访问 bing.com/new 总是被重定向到 https://cn.bing.com/ - V2EX
无法使用 NewBing,提示 Sorry, looks like your network...解决与分析 - V2EX
ChenYFan · 2023-03-26 · via Bing

Sorry, looks like your network settings are preventing access to this feature. 省流:微软疑似封禁了部分 idc 节点,使用其他更好的代理节点或使用请求头插件伪造来源地址

先说解决方法:

  1. 换节点
  2. 使用 ModHeader 等修改请求头的插件 /软件 /方式将X-Forwarded-For 修改为任意非黑名单 ip(如 1.1.1.1)

我怎么知道我节点被封禁了? 直接访问或 curl https://www.bing.com/turing/conversation/create

  • 如果返回的是{"result":{"value":"UnauthorizedRequest","message":"Sorry, you need to login first to access this service."} 或任意内容,说明节点未被封禁
  • 如果返回一片空白,那就是没了

测试: 使用 oci(已封禁节点) 直接 get 空白 使用 oci 修改来源为 1.1.1.1 成功 使用 oci 修改来源为另一台 oci ip 失败 使用 gcp 直接 get 成功 使用 gcp 修改来源为 1.1.1.1 成功 使用 gcp 修改来源为 oci ip 失败

分析: 做网站的都知道在有前端 cdn 情况下后端是没法知晓访问者的 ip 的,需要 cdn 给源站传递访客信息。

最传统的方式就是让 cdn 修改 header 中的 X-Forwarded-For 为访客 ip ,后端再执行相应逻辑。

但鲜有人知 header 在结构上更接近一个二元数组,而非字典,也就是说一个 header 的 key(比如 X-Forwarded-For)可以对应多个 value(1.0.0.1,1.0.0.2)

而后端若采用字典方式去获取,只能解得第一个(1.0.0.1)。

正常情况下,访客发出的请求 header 中是不会存在X-Forwarded-For,所以 bing cdn 采取的加入访客 ip 方式应该是 append(添加,而非修改)。但当我们提前加入一个伪造的 ip ,这将成为第一个,而 cdn 添加的真实 ip 则成为第二个,使得欺骗后端防火墙认为自己的来源是第一个 ip 。换句话说,你只要把来源伪造成任意非黑名单 ip 即可。

此漏洞明显,修复方式简单,故修改 header 的可能不会存留很久。 原文出处