¿Qué es esto para una solicitud?

1

Veo la siguiente cadena de solicitud (vea el ejemplo completo a continuación) con los mismos parámetros de solicitud, pero con valores diferentes, que afectan a todos nuestros sitios / wafs. El esquema es siempre el mismo:

&sa=...&ei=..&ved=..&usg=...

Los UA varían de Libwww-perl a (probablemente falsos) los legítimos.

a veces se encuentra un intento de explotación basado en url después de esta cadena, que apunta a timthump y joomla - vulns (ninguna de estas aplicaciones existe en nuestros sistemas)

estas cadenas se adjuntan a:

  • URL como / contacto /
  • archivos estáticos
  • parámetros de solicitud existentes

muestra:

&sa=U&ei=w0QtUoiKC4jukQWZjYGQDg&ved=0CMcBEBYwOTiQAw&usg=AFQjCNFRKoHdBKgBMHRgJFfxPXluxhkSRg/
    
pregunta that guy from over there 12.09.2013 - 23:22
fuente

3 respuestas

5

Es difícil juzgar la fuente o el propósito de estas solicitudes en función de la información que proporcionas, pero una cosa es bastante clara: alguien estaba traduciendo las URL de solicitud con la función incorrecta, usando codificación HTML en lugar de lo que debería haber sido codificación URL de la parte de consulta de las URL solicitadas.

Por ejemplo, la muestra que proporcione debe leerse como:

&sa=U&ei=w0QtUoiKC4jukQWZjYGQDg&ved=0CMcBEBYwOTiQAw&usg=AFQjCNFRKoHdBKgBMHRgJFfxPXluxhkSRg/

Si se pretendía que pasara a otra URL como una sola variable, tendría que traducirse mediante la codificación de la URL, y se vería así:

%26sa%3DU%26ei%3Dw0QtUoiKC4jukQWZjYGQDg%26ved%3D0CMcBEBYwOTiQAw%26usg%3DAFQjCNFRKoHdBKgBMHRgJFfxPXluxhkSRg%2F

Como se tradujo con codificación HTML, el carácter & ampersand (por ejemplo, hay otros problemas con él) que denotan un nuevo valor de parámetro de URL se repetirá en la cadena codificada HTML en lugares incorrectos, su servidor web no tiene forma de saber qué partes son las partes de valor y nombre de la consulta de URL en el formato: &field=value una vez que la URL decodifica la ubicación del recurso solicitado.

Esto, me imagino, se traduce en todo tipo de solicitudes ilegales enumeradas en los registros de acceso de su servidor web. Le aconsejaría que simplemente bloquee todas las solicitudes de este tipo en la configuración de su servidor web, ya que de todos modos no hay forma de que puedan recibir una respuesta adecuada. Sin embargo, cómo lo hará, depende totalmente de usted y de sus necesidades. Personalmente niego el acceso a cualquier cadena de agente de usuario (UA) que considero que no tengo acceso a mi servidor, incluidas las UA predeterminadas de muchas bibliotecas de marcos web, entre las que se menciona: Libwww-perl .

Estoy en Apache y estoy usando PerishablePress '2010 User-Agent Blacklist de PerishablePress' para estas tareas (entre otros bloques personalizados en la configuración del servidor web y otros medios para controlar el acceso, por supuesto). En mi opinión, es una colección bastante conveniente de AU de listas negras, y aunque hay más nuevas publicadas incluso en este mismo blog, creo que la de 2010 es la que mejor se adapta a mis necesidades. De todos modos, pensé que también podría resultarte útil. ;)

    
respondido por el TildalWave 13.09.2013 - 14:54
fuente
1

Tengo las mismas solicitudes en mi registro. Todas esas peticiones vinieron de Kazajstán. Y todas las solicitudes no tienen referencia, o se refieren a la misma página que la solicitud. Además, no hay solicitudes de otros recursos estáticos, como imágenes, recursos JS o CSS. Como realmente paranoico, creo, que este trabajo de algún tipo de escáner de vulnerabilidad. Posiblemente, intente detectar la versión de CMS o buscar inyecciones de SQL / PHP.

    
respondido por el badbob 29.04.2015 - 08:11
fuente
0

Encontré algo y something more

para mí, parece que esta línea debería aparecer solo en el remitente, nunca dentro de la propia URL. mi conclusión:

  • obviamente malicioso
  • los creadores de scripts no incluyen este campo en el referente?
  • no puede ser un rastreador que haga mal
  • quizás adjuntado para que se vea de alguna manera "oficial" proveniente de google
respondido por el that guy from over there 13.09.2013 - 09:45
fuente

Lea otras preguntas en las etiquetas