Sono stato scansionato ieri, e vedo un sacco di voci nei miei registri come /'\"\'\\");|]*{%0d%0a<%00>/photos o /'\"\'\\");|]*{%0d%0a<%00>/resources . Quale specifica vulnerabilità stava cercando questo bot?
La prossima cosa è stata una serie di richieste di URL come /1%c0%00xa7%c0%a2/about . Non sono sicuro di quale vulnerabilità è stata testata neanche lì.
La prima linea è un attacco di divisione della risposta HTTP,% 0d% 0a è un CRLF, sta provando a generare 2 risposte per la stessa richiesta: link
La seconda linea è un attacco di attraversamento del percorso come le persone già menzionate. I caratteri presenti sono rappresentazioni unicode di backslash che renderebbero un successo l'attacco è il tuo sito era vulnerabile.
Penso che questo bot fosse alla ricerca di attacchi Path traversal.
Vedi questo link per maggiori informazioni. Avrebbe potuto farlo per testare l'accesso o provare a impronte digitali del web server / framework web in uso. Alcuni framework web, ad esempio, hanno directory specifiche. Una volta identificato, potrebbe segnalare o eseguire un attacco più mirato.
L'attraversamento del percorso può essere particolarmente pericoloso se ad esempio è possibile ottenere un server Web per restituire un file shadow.
Esistono alcuni moduli di sicurezza per le app Web più diffuse che tentano di migliorare la sicurezza con un ampio set di regole mod_rewrite di Apache. Posso immaginare alcuni condizionali in quelli che saltano le partite per es. /about$ quando dovrebbero essere più accurati nei loro controlli.
Se questo è il caso, l'URL passerà attraverso questi controlli e consentirà l'elaborazione del path traversal o di altri attacchi, escludendo altre soluzioni. Questa è solo un'ipotesi - non so di un'istanza specifica di questo.
Leggi altre domande sui tag web-scanners