Cercando di identificare ciò che uno scanner stava cercando

3

Sono stato scansionato ieri, e vedo un sacco di voci nei miei registri come /'\"\'\\");|]*{%0d%0a<%00>/photos o /'\"\'\\");|]*{%0d%0a<%00>/resources . Quale specifica vulnerabilità stava cercando questo bot?

La prossima cosa è stata una serie di richieste di URL come /1%c0%00xa7%c0%a2/about . Non sono sicuro di quale vulnerabilità è stata testata neanche lì.

    
posta Kyle Schmidt 21.03.2014 - 21:04
fonte

3 risposte

2

La prima linea è un attacco di divisione della risposta HTTP,% 0d% 0a è un CRLF, sta provando a generare 2 risposte per la stessa richiesta: link

La seconda linea è un attacco di attraversamento del percorso come le persone già menzionate. I caratteri presenti sono rappresentazioni unicode di backslash che renderebbero un successo l'attacco è il tuo sito era vulnerabile.

    
risposta data 29.04.2014 - 23:03
fonte
0

Penso che questo bot fosse alla ricerca di attacchi Path traversal.

Vedi questo link per maggiori informazioni. Avrebbe potuto farlo per testare l'accesso o provare a impronte digitali del web server / framework web in uso. Alcuni framework web, ad esempio, hanno directory specifiche. Una volta identificato, potrebbe segnalare o eseguire un attacco più mirato.

L'attraversamento del percorso può essere particolarmente pericoloso se ad esempio è possibile ottenere un server Web per restituire un file shadow.

    
risposta data 21.03.2014 - 21:37
fonte
0

Esistono alcuni moduli di sicurezza per le app Web più diffuse che tentano di migliorare la sicurezza con un ampio set di regole mod_rewrite di Apache. Posso immaginare alcuni condizionali in quelli che saltano le partite per es. /about$ quando dovrebbero essere più accurati nei loro controlli.

Se questo è il caso, l'URL passerà attraverso questi controlli e consentirà l'elaborazione del path traversal o di altri attacchi, escludendo altre soluzioni. Questa è solo un'ipotesi - non so di un'istanza specifica di questo.

    
risposta data 30.03.2014 - 05:54
fonte

Leggi altre domande sui tag