自建服务的安全测试与防护：Agents攻防实战与SubStore后端加固指南

最近在折腾自建配置器的登录注册模块，写完代码后总心里发虚，总觉得哪里会有漏洞。这种时候，常规的手段无非是代码Review，或者跑几个自动化扫描工具，但总觉得差点意思。今天想跟大家聊聊两个特别有意思的话题：一是能不能用“AI互殴”的方式来测试安全性，二是如果像SubStore这种没有自带账号系统的服务部署在公网VPS上，咱们该怎么做防护。

一、 用Agents搞攻防测试，不仅是炫技

回到楼主的问题，“能不能让两个agent攻防来判断安全性？” 答案是肯定的，而且这逻辑其实非常符合现代DevSecOps的理念。

1. 红蓝对抗的思路 你可以设定两个角色：

• 红队Agent（攻击者）：给它的Prompt（提示词）里要明确它的目标，比如“我要绕过登录验证”、“我要进行SQL注入”或者“我要进行暴力破解”。你需要把你的代码结构、API接口文档（或者Swagger）喂给它。
• 蓝队Agent（防守者）：给它你的代码逻辑，让它作为审计员，尝试找出红队攻击路径中的漏洞，并生成修复建议。

2. 实操建议

• 不要只给代码片段：为了让测试有效，最好给上下文，比如依赖库版本、Web服务器配置（Nginx/Apache）。
• 关注常见漏洞：虽然是AI，但你要引导它关注OWASP Top 10，比如XSS、CSRF、越权访问等。
• 局限性：目前的Agents虽然逻辑强，但在模糊测试（Fuzzing）和具体的二进制漏洞挖掘上不如Burp Suite或专业的DAST工具。它更像是一个“经验丰富的代码审计员”，而不是一个不知疲倦的脚本小子。

所以，把它作为一个辅助环节，辅助人工渗透测试，效果会很好。

二、 SubStore后端裸奔的隐患与加固

第二个问题非常典型：“SubStore后端是VPS的话，没有登陆系统，会不会有泄露风险？”

直接结论：风险极大，甚至可以称之为“裸奔”。

SubStore主要功能是订阅转换和规则管理，很多部署为了省事，直接在VPS上跑一个Docker容器，把端口（默认是3001）映射到公网。如果你没有做额外的认证层，任何知道你IP和端口的人都可以：

1. 查看你的订阅内容（泄露隐私）。
2. 修改你的订阅配置（篡改服务）。
3. 利用你的VPS流量进行代理转发（被肉鸡）。

既然原应用没有账号系统，我们必须在“应用层外面”套上保险。以下是具体的几个实操方案，按安全等级从低到高排列。

方案一：修改端口与防火墙隔离（基础物理隔离） 不要用默认端口！这是第一原则。

• 使用 ufw 或 iptables 仅允许特定IP访问（当然，如果你是移动办公，IP不固定，这招就废了）。
• 结合 SSH Tunnel，通过SSH隧道本地转发端口访问，最稳妥但操作繁琐。

方案二：Nginx反向代理 + Basic Auth（简单密码锁） 这是最推荐的“性价比”方案。 在你的Nginx配置中，为SubStore的路径加密：

location /substore {
    auth_basic "Restricted Content";
    auth_basic_user_file /etc/nginx/.htpasswd;

proxy_pass http://127.0.0.1:3001;
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
}

• 使用 htpasswd 工具生成一个用户名和密文密码。
• 这样，别人访问你的域名/substore 时，浏览器会直接弹窗要密码。虽然Basic Auth不如表单登录美观，但对于个人工具来说，拦截99%的脚本扫描足够了。

方案三：Cloudflare Access / Zero Trust（王炸级防护） 如果你用了Cloudflare做CDN，强烈建议开启 Zero Trust。

• 优势：不暴露VPS源站IP，所有流量必须经过CF验证。
• 配置：在Zero Trust里设置一个Application，对应你的SubStore域名。保护策略可以是：
  • 邮箱验证：输入正确的Google邮或其他邮箱即可访问（免费）。
  • OTP验证：支持Google Authenticator等动态令牌。
  • 硬件Key：YubiKey等。
• 这样你就有了类似企业级的SSO认证，而且连Nginx里的Basic Auth都不用配了，VPS防火墙只允许CF IP回源即可。

三、 总结

搞技术，安全意识一定要跑在代码前面。 对于自建工具，**“Agents攻防”是个很好的代码自测思路，能帮你发现逻辑漏洞；而对于像SubStore这种无鉴权的服务，“外挂认证”**是必须的步骤。别图省事直接丢公网，现在的全网扫描脚本几秒钟就能扫到一个新开放的端口，到时候被挖矿或者流量超跑，哭都来不及。

希望这篇攻略能帮到正在“裸奔”边缘试探的朋友们，有更好的安全玩法也欢迎在评论区交流！