Al momento eseguo un server Apache HTTP e ho impostato il monitoraggio per ricevere email ogni volta che viene visualizzato un errore nei log degli errori. Ho il solito tentativo di scoprire se sto usando HTTP 1.0 e sto provando a vedere se sto usando software off-the-shelf come WordPress che possono essere sfruttati.
Durante il fine settimana ho visto una nuova voce nei miei log degli errori e mi chiedevo cosa stava tentando di fare il potenziale exploit (Abcdef sta indovinando che gli sfruttatori gestiscono (ho cambiato)):
:[DATE] [error] [client XXX.XXX.XXX.XXX] Invalid URI in request HEAD towards the green fields outside. Watch the goats chewing the grass. What is the meaning of life? Life isn't about getting to the end. Goats know this. You should know too. Goats are wise. Goats are cute. Listen to them! This is the message. Love goats, love the Internet! \xf0\x9f\x90\x90 Abcdef. HTTP/1.0
Ora, a prescindere ovviamente dal parlarmi del loro amore per le capre, chiunque può determinare era lo scopo di questa richiesta. Ho provato a google parte della stringa .. e ho appena finito con i risultati sulle capre!
Suppongo che l'idea fosse quella di fornire un URI che causasse un overflow che avrebbe causato qualcosa con l'unicode alla fine, ma non sono sicuro.
Nota Ho fatto la presunzione gigantesca che la richiesta avesse mezzi nefasti dovuti ai caratteri alla fine della richiesta, quindi di postare in Sicurezza piuttosto che in Server Fault.