¿Por qué un atacante incluiría un cuerpo de solicitud con una solicitud GET de HTTP?

4

Tengo un sitio web que no ejecuta PHP (decisión de administración) o tiene wordpress instalado. De forma intermitente, recibo algunas solicitudes de páginas wp_login que activan mi IDS. Las solicitudes se entregan con un 404 y estoy seguro de que son solo un bot que busca páginas administrativas de WP para atacar aún más. Sin embargo, en algunos casos, las solicitudes GET son divertidas porque contienen respuesta HTML de algún otro servidor como cuerpo. Por ejemplo,

GET /wp-login.php HTTP/1.1
Host: myhost
Keep-Alive: 300
Connection: keep-alive
Cookie: charitable_session=<SESSID>;wordpressuser_<ID>=+; wordpresspass_<ID>=+; _wp_session=<SESSID>%7C%7C1472773689;
User-Agent: Mozilla/5.0 (Linux; U; Android 2.2) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1
Content-Type: text/html; charset=utf-8
Content-Length: 35870
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en,en-us;q=0.7,es;q=0.3
Accept-Charset: utf-8;q=0.7,*;q=0.7

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" lang="en">
<head>

<title>Oops! The page you are looking for does not exist.</title>

<meta http-equiv="X-UA-Compatible" content="IE=edge" />
<meta name="generator" content="Flynax Classifieds Software" />
<meta charset="UTF-8" />
<meta name="viewport" content="width=device-width, user-scalable=n

o, initial-scale=1, maximum-scale=1" />

<meta name="description" content="" />
<meta name="Keywords" content="" />

<link rel="stylesheet" href="http://tiruvannamalai.co.in/templates/general_wide/css/style.css" />

Esta respuesta de stackoverflow dice que el servidor web DEBE ignorar el cuerpo de la solicitud y estoy seguro de que mi servidor web lo hace.

Mi pregunta es ¿qué beneficio posible puede obtener alguien de este tipo de análisis? ¿Es solo un código defectuoso que canaliza la respuesta de un escaneo a otro (viendo que incluso los encabezados como Content-Length se agregan a la solicitud)?

    
pregunta RedBaron 02.09.2016 - 08:20
fuente

1 respuesta

2

Podría ser deliberado, aunque nada obvio salte de ese cuerpo específico.

Existen técnicas como el contrabando de solicitudes que involucran violaciones sutiles de protocolos. Ver por ejemplo:

enlace

Podría ser interesante ver si la longitud del cuerpo de la solicitud es en realidad 35870, o si aparece algo interesante en ese lugar en el flujo de solicitudes.

    
respondido por el Jonah Benton 02.09.2016 - 19:10
fuente

Lea otras preguntas en las etiquetas