CloudFlare提供了一个JavaScriptWorker系统,使开发人员能够在CloudFlare服务器上执行代码。这个功能对于静态站点和维护页面非常有用,同时对于渗透测试人员来说也是一个宝贵的资源(例如无服务器C&C、简易网络钓鱼代理等)。本文将探讨如何绕过CloudFlare的机器人保护机制。
如果你尝试使用Tor访问像shodan.io这样的网站,你可能已经意识到验证码有多令人厌烦了!
首先,我们需要注册一个域名,比如免费的.tk域名就足够了,然后用它创建一个CloudFlare账号。一旦CloudFlare验证了域名的有效性,我们还需要添加至少一条有效的DNS记录并启用代理模式。
你可以尝试对结果执行WHOIS查询,此时,你会发现它是一个CloudFlareIP,很可能是托管Worker的服务器。
然而,如果你尝试通过Tor向你的代理发送请求,你将会被屏蔽。因此,我们需要向CloudFlare防火墙添加一条规则:
现在,你可以使用Tor,并且无需验证码,向你的代理发送请求。
这样,你就可以向任何使用CloudFlare的网站发送请求。你还可以尝试请求一个显示你的Header信息的网站,你将会看到以下信息:
正如你所见,X-FORWARDED-FOR可以用于发送任何值,因此你可以绕过服务器端的IP地址请求限制,进行网络资源爬取或IP验证等操作。源IP不会被转发给目标站点,因此屏蔽你的服务器发送请求的唯一方法就是过滤掉请求中的CF-WORKERHeader。
使用穿云API,您可以轻松地绕过Cloudflare的机器人验证,即使您需要发送10万个请求,也不必担心被识别为抓取者。
一个穿云API即可突破所有反Anti-bot机器人检查,轻松绕过Cloudflare验证、CAPTCHA验证,WAF,CC防护,并提供了HTTPAPI和Proxy,包括接口地址、请求参数、返回处理;以及设置Referer,浏览器UA和headless状态等各浏览器指纹设备特征。
