Me escanearon ayer, y veo un montón de entradas en mis registros como /'\"\'\\");|]*{%0d%0a<%00>/photos o /'\"\'\\");|]*{%0d%0a<%00>/resources . ¿Qué vulnerabilidad específica estaba buscando este bot?
Lo siguiente fue un montón de solicitudes de URL como /1%c0%00xa7%c0%a2/about . Tampoco estoy seguro de qué vulnerabilidad se está probando.
La primera línea es un ataque de división de respuestas HTTP,% 0d% 0a es un CRLF, está intentando generar 2 respuestas para la misma solicitud: enlace
La segunda línea es un ataque de recorrido transversal como la gente ya mencionada. Los caracteres allí son representaciones Unicode de barra diagonal inversa que harían un ataque exitoso si su sitio fuera vulnerable.
Creo que este bot estaba buscando ataques de ruta.
Consulte este enlace para obtener más información. Podría haber estado haciendo eso para probar el acceso o para probar y tomar huellas dactilares del servidor web / marco web en uso. Algunos frameworks web, por ejemplo, tienen directorios específicos. Una vez identificado, podría informar o ejecutar un ataque más dirigido.
El recorrido de la ruta puede ser particularmente peligroso si puede obtener un servidor web para que devuelva un archivo sombra, por ejemplo.
Hay algunos módulos de seguridad para aplicaciones web populares que intentan mejorar la seguridad con grandes conjuntos de reglas mod_rewrite de Apache. Puedo imaginar algunos condicionales en aquellos que omiten coincidencias para, por ejemplo, /about$ cuando deberían ser más exhaustivos en sus controles.
Si ese es el caso aquí, la URL pasará por esas comprobaciones y permitirá que se procese el paso de ruta u otro ataque, salvo otras mitigaciones. Eso es solo una hipótesis, no conozco una instancia específica de esto.
Lea otras preguntas en las etiquetas web-scanners