Si tratta di un test di attacco / vulnerabilità del sito web?

0

Ho un IP specifico che sta iterando attraverso le directory sul mio sito testando qualcosa. Ecco un esempio di ciò che continua a cercare di colpire:

http://<site>/<path>/change._change<br>
http://<site>/<path>/beforeactivate._change<br>
http://<site>/<path>/click._change<br>
http://<site>/<path>/propertychange._change<br>
http://<site>/<path>/submit._submit<br>
http://<site>/<path>/click._submit keypress._submit<br>
http://<site>/<path>/Microsoft.XMLDOM<br>
http://<site>/<path>/1.8.0<br>
http://<site>/<path>/ul.sf-menu<br>
http://<site>/<path>/AjaxControlToolkit.TextBoxWatermarkBehavior<br>
http://<site>/<path>/AjaxControlToolkit.Animation.SequenceAnimation cannot be nested inside AjaxControlToolkit.Animation.ParallelAnimation<br>
http://<site>/<path>/AjaxControlToolkit.AlwaysVisibleControlBehavior must have an element<br>
http://<site>/<path>/AjaxControlToolkit.ControlBase<br>
http://<site>/<path>/AjaxControlToolkit.BoxSide<br>
http://<site>/<path>/public/rss/RssFeed.ashx?moduleId=142<br>
http://<site>/<path>/fancybox/click.fb<br>
http://<site>/<path>/fancybox/resize.fb<br>
http://<site>/<path>/fancybox/scroll.fb<br>
http://<site>/<path>/client/scroll.prettyphoto<br>

Ce ne sono molti altri, ma ho rimosso alcuni di quelli simili. Questo accade più e più volte dallo stesso IP e attraverso diverse directory sul mio sito. Leggere i registri IIS non è uno dei miei punti di forza. Sembra che stiano testando qualcosa che possa essere sfruttato, ma sembra una tecnica familiare per chiunque?

    
posta Matt 25.06.2014 - 21:56
fonte

3 risposte

2

Probabilmente è un crawler o rumore di fondo di Internet (ad esempio, scanner automatici di vulnerabilità). Se tutte queste pagine esistono effettivamente è un crawler, se non è un rumore di fondo di Internet.

Se ti infastidisce, puoi vietare l'IP sul tuo firewall. Un'altra opzione è un sistema di rilevamento delle intrusioni basato su host come OSSEC che rileva questo tipo di attacchi e li blocca automaticamente sul firewall per un periodo di tempo.

    
risposta data 25.06.2014 - 22:01
fonte
0

A volte gli script VA automatici generano tali elementi.

Ricorda che il solito algoritmo per determinare se una pagina è vulnerabile all'XSS comprende test per altre iniezioni ASCII - e la prima cosa che fai è l'iniezione di codice HTML.

Ora, si dovrebbero anche fare alcune altre correlazioni, in effetti. Senza ulteriori dati, questo è solo un ragionevole dubbio.

    
risposta data 25.06.2014 - 23:00
fonte
-1

Di solito questi tipi di attacchi sono alla ricerca di credenziali, cercando di manipolare le query SQL. Blocca l'IP nel tuo dispositivo. L'aggressore (robot) probabilmente sta cercando le password.

    
risposta data 25.06.2014 - 22:06
fonte

Leggi altre domande sui tag