Solicitudes desconocidas en URL Proxy de filtro web

0

Al intentar trabajar en la investigación de incidentes, veo solicitudes continuas de https desde el sitio web

cdn.syndication.twimg.com:443/widgets/timelines/paged/
callback=__twttr.callbacks.tl 
domain=www.kali.org

Estas solicitudes son continuas y están etiquetadas como algo (el archivo con PDF / Xls o una extensión similar) se está cargando desde la PC host. La computadora del usuario es un Desarrollador [DVPC] y no quiero saber si está usando esta aplicación como legítima, sin embargo, con solicitudes https continuas cada 10 minutos y también desde kali.org [mientras estamos en un entorno basado en Windows], Me molesta lo que el usuario está tratando de lograr aquí. ¿Puede alguien ayudarme con esto?

Entiendo que mi pregunta no está clara, sin embargo, ¿estoy tratando de entender si debería llamarse legítima o si este sitio web está bloqueado en el proxy?

    
pregunta Vaibhav 08.05.2017 - 17:42
fuente

1 respuesta

3

Parece que alguien tiene abierta la página del blog kali.org, que tiene un widget de Twitter incorporado. Esto hará solicitudes aproximadamente cada 30 segundos, buscando nuevos tweets desde la cuenta de Twitter @kalilinux.

La siguiente captura de pantalla de Burp, mientras que la página enlace está abierta muestra esto: el La columna final es el tiempo de las solicitudes y se puede ver que ocurre cada 30 segundos. Dependiendo del navegador que se esté utilizando, la frecuencia puede ajustarse según si la pestaña está visible o no.

Las respuestas tienen un encabezado de disposición de contenido, por lo que podría estar activando un SIEM que busque descargas inesperadas, aunque el tipo de contenido debería ser application / json.

    
respondido por el Matthew 09.05.2017 - 18:12
fuente

Lea otras preguntas en las etiquetas