Strani codici di escape in una richiesta GET - si tratta di un attacco noto?

4

Recentemente ho trovato alcune voci nei log di accesso di nginx che assomigliano a quanto segue:

##.##.##.## - - [24/Sep/2014:01:21:51 -0400] "GET /767/browser-wars-side-show-ho
w-natty-handles-the-load/+++++++++[+%C0%EA%F2%E8%E2%E0%F6%E8%FF+]+Result:+%E8%F1
%EF%EE%EB%FC%E7%EE%E2%E0%ED+%ED%E8%EA%ED%E5%E9%EC+%22azazalolxd%22;+%E2%EE%F8%EB
%E8;+%ED%E5+%ED%E0%F8%EB%EE%F1%FC+%F4%EE%F0%EC%FB+%E4%EB%FF+%EE%F2%EF%F0%E0%E2%E
A%E8; HTTP/1.0" 400 0 "http://2buntu.com/767/browser-wars-side-show-how-natty-ha
ndles-the-load/+++++++++[+%C0%EA%F2%E8%E2%E0%F6%E8%FF+]+Result:+%E8%F1%EF%EE%EB%
FC%E7%EE%E2%E0%ED+%ED%E8%EA%ED%E5%E9%EC+%22azazalolxd%22;+%E2%EE%F8%EB%E8;+%ED%E
5+%ED%E0%F8%EB%EE%F1%FC+%F4%EE%F0%EC%FB+%E4%EB%FF+%EE%F2%EF%F0%E0%E2%EA%E8;" "Mo
zilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/
35.0.1916.153 YaBrowser/14.7.1916.15705 Safari/537.36"

C'erano circa 10 di queste richieste in un intervallo di circa un minuto. Ho notato che le richieste provenivano da molti indirizzi IP diversi, sebbene l'user-agent fosse identico.

Si tratta di un tentativo di sfruttare una vulnerabilità nota? Nginx sembra essere sospetto e restituisce una risposta HTTP 400. Una cosa che ho notato nel percorso richiesto è la stringa:

"azazalolxd"

Questo è piuttosto sospetto per una sequenza "casuale" di caratteri.

Dovrei essere preoccupato? Le richieste sembrano essersi fermate per il momento.

Modifica: ho deciso di provare a rimuovere alcune delle entità senza escape e ho trovato il seguente:

%C0%EA%F2%E8%E2%E0%F6%E8%FF = Àêòèâàöèÿ
%E8%F1%EF%EE%EB%FC%E7%EE%E2%E0%ED+%ED%E8%EA%ED%E5%E9%EC+%22 = èñïîëüçîâàí
...

Sembra che siano tutti caratteri latini di livello 1. Questa è una forma di attacco Unicode?

    
posta Nathan Osman 24.09.2014 - 07:32
fonte

2 risposte

3

L'url codifica una stringa codificata Windows Codepage 1251, contenente messaggi di errore russi (innocui). L'URL transcodificato è:

/767/browser-wars-side-show-how-natty-handles-the-load/+++++++++[+Активация+]+Result: использован никнейм "azazalolxd"; вошли; не нашлось формы для отправки;

Traduttore di Google dà:

[ activation ] Result: used the nickname "azazalolxd"; included; can not find the form to send;

È coerente con l'utilizzo del browser Yandex russo con questo useragent. Vedi anche questa domanda .

    
risposta data 24.09.2014 - 20:02
fonte
0

Se hai codificato la tua applicazione per disinfettare correttamente l'input dell'utente, codificare caratteri speciali prima di arrivare al back-end e rifiutare dati inattesi, non dovresti avere nulla di cui preoccuparti.

    
risposta data 24.09.2014 - 19:13
fonte

Leggi altre domande sui tag