Ospito alcuni servizi semplici per mio uso personale su un server di hosting condiviso commerciale. Questi URL sono criptici e non facilmente indovinati e le stringhe di query tendono ad essere lunghe e criptiche. I servizi Web vengono colpiti automaticamente (a volte manualmente) numerose volte al giorno, dalle mie premesse o da processi cron sull'host (menziono questo principalmente per indicare che ci sarebbe un volume potenzialmente elevato di query crittografate da analizzare). Ho passato il mio hosting a HTTPS, solo circa due anni fa, quindi tutti i percorsi e le query del sito web dovrebbero essere crittografati end-to-end, con solo il nome del dominio che perde.
A volte questi URL sono inviati a me nel corpo dell'email, richiamati dallo script del servizio e utilizzando un account e-mail presso la società di hosting (utilizzando lo stesso dominio dello script per l'indirizzo e-mail, fwiw), inviati usando sicuro e-mail.
Il mio fornitore di posta elettronica in arrivo (una grande azienda tecnologica che offre account di posta elettronica) sta utilizzando anche l'e-mail sicura in transito per me.
Spesso le e-mail non vengono crittografate a riposo sui server di posta da quello che ho capito, quindi potrebbero essere potenzialmente disponibili per i dipendenti presso il mio provider di mittenti (hosting / email) o il mio provider di posta elettronica di ricezione.
Recentemente, ho visto un piccolo numero di accessi ai miei servizi Web da indirizzi IP sconosciuti e caratteristiche HTTP client che non sono io. La cosa strana è che usano il percorso completo corretto dell'URL, ma le query sono stranamente distorte: hanno il numero corretto di termini, lunghezze di chiavi e lunghezze di valori, ma i nomi delle chiavi e i valori chiave sono senza senso.
Ad esempio, se il mio URL corretto per una query è: link
... l'URL di sondaggio potrebbe essere: link
Ho controllato tutte le autorizzazioni sul mio server condiviso. Non credo che un altro utente su quel server possa accedere ai miei file. Un dipendente di supporto di una società di hosting potrebbe tuttavia, o qualcuno che si è infiltrato nella società di hosting a un certo livello, hosting o email. Non ho visto nessun'altra indicazione di violazione nei miei locali o presso i provider di hosting o email.
Dato che gli URL provengono da un paio di posizioni diverse, ma passano attraverso lo stesso percorso di posta elettronica, favorirebbero la violazione come email e non hosting o i miei locali.
Mi sembra che qualcuno possa annusare parzialmente i miei URL completi e determinare la struttura della query ma non il contenuto. Oppure possono annusare l'URL completo con query, ma scegliere di sondare con chiavi e valori di query alternativi. Non vedo alcun 404 che indicherebbe il rilevamento di altri percorsi inesistenti o strutture di query errate.
Due domande:
-
Questo schema di sondaggio del mio sito web è stato visto da altri, e in tal caso, qual è lo scopo del mangling delle query o qual è il limite nell'osservazione completa dei termini della query se è possibile osservare il percorso completo?
-
Quale sembra la via più probabile per la violazione, tra quelle che ho delineato sopra, o da un'altra a cui non ho pensato?
P.S. Questa domanda mi sembra più una sicurezza che un webmaster per me, e include elementi di hosting e email, ma ti prego di avvisare.