Perché un utente malintenzionato include un corpo di richiesta con una richiesta HTTP GET?

4

Ho un sito Web che non esegue PHP (decisione di gestione) o ha wordpress installato. A intermittenza, ricevo alcune richieste per le pagine wp_login che interrompono il mio IDS. Le richieste sono servite con un 404 e sono sicuro che sono solo un bot alla ricerca di pagine amministrative WP per attaccare ulteriormente. Tuttavia, in alcuni casi le richieste GET sono divertenti perché contengono la risposta HTML di alcuni un altro server come corpo. Per esempio

GET /wp-login.php HTTP/1.1
Host: myhost
Keep-Alive: 300
Connection: keep-alive
Cookie: charitable_session=<SESSID>;wordpressuser_<ID>=+; wordpresspass_<ID>=+; _wp_session=<SESSID>%7C%7C1472773689;
User-Agent: Mozilla/5.0 (Linux; U; Android 2.2) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1
Content-Type: text/html; charset=utf-8
Content-Length: 35870
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en,en-us;q=0.7,es;q=0.3
Accept-Charset: utf-8;q=0.7,*;q=0.7

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" lang="en">
<head>

<title>Oops! The page you are looking for does not exist.</title>

<meta http-equiv="X-UA-Compatible" content="IE=edge" />
<meta name="generator" content="Flynax Classifieds Software" />
<meta charset="UTF-8" />
<meta name="viewport" content="width=device-width, user-scalable=n

o, initial-scale=1, maximum-scale=1" />

<meta name="description" content="" />
<meta name="Keywords" content="" />

<link rel="stylesheet" href="http://tiruvannamalai.co.in/templates/general_wide/css/style.css" />

Questa risposta di stackoverflow dice che il webserver DOVREBBE ignorare il corpo della richiesta e sono sicuro che il mio server web lo faccia.

La mia domanda è quale possibile beneficio può derivare qualcuno da tale scansione? È solo un codice bacato che convoglia la risposta da una scansione a un'altra (visto che persino intestazioni come Content-Length vengono aggiunte alla richiesta)?

    
posta RedBaron 02.09.2016 - 08:20
fonte

1 risposta

2

Potrebbe essere intenzionale, anche se nulla di ovvio salta fuori da quel corpo specifico.

Esistono tecniche come il contrabbando di richieste che comportano sottili violazioni del protocollo. Vedi ad esempio:

link

Potrebbe essere interessante vedere se la lunghezza del corpo della richiesta è in realtà 35870 o se qualcosa di interessante appare in quel punto nel flusso della richiesta.

    
risposta data 02.09.2016 - 19:10
fonte

Leggi altre domande sui tag