Actividad sospechosa en el formulario de contacto, ¿cuáles son sus intenciones?

6

Acabo de comenzar a recibir varios correos electrónicos por segundo y creo que es probable que alguien esté intentando explotar mi formulario de contacto. He tomado medidas para proteger mi sitio, solo tengo curiosidad por lo que están tratando de hacer.

Algunos ejemplos:

..À¯
sample%40email.tst and sleep(7.738) 
acunetix_wvs_invalid_filename
\";cat /etc/passwd;\"
../../../../../../../../../../windows/win.ini
..À¯
sample%40email.tst and sleep(7.738) 
acunetix_wvs_invalid_filename
\";cat /etc/passwd;\"
../../../../../../../../../../windows/win.ini%pre%.tst
/../..//../..//../..//../..//../..//etc/passwd%pre%.tst
\";print(md5(acunetix_wvs_security_test));$a=\"
.tst /../..//../..//../..//../..//../..//etc/passwd%pre%.tst \";print(md5(acunetix_wvs_security_test));$a=\"

El único en el que realmente puedo adivinar es cat /etc/passwd , después de eso no tienen mucho sentido. ¿Alguien tiene alguna información o sugerencias adicionales?

    
pregunta Scott Helme 26.11.2013 - 21:01
fuente

1 respuesta

7

Parece una prueba / ataque de fuzzing automatizado que busca una serie de vulnerabilidades diferentes.

Basándose en lo que usted proporcionó, están intentando acceder al sistema de archivos o ejecutar ataques transversales del directorio, pero sospecho que a medida que pase el tiempo intentarán básicamente todos los tipos de ataques que hay.

Herramientas como Burp Suite proporcionarán formas de automatizar estos tipos de ataques permitiéndole especificar qué parámetros HTTP desea definir como además de proporcionar una carga útil de ataque que busca una serie de vulnerabilidades diferentes (Inyección de SQL, XSS, recorrido de la ruta, etc.)

Probablemente pueda bloquear la IP por ahora, pero me aseguraría de que su sitio esté seguro porque probablemente volverán. Además, es probable que estés recibiendo correos electrónicos porque están probando tu formulario de "contáctanos" o algo por el estilo. Revisaría sus registros, porque probablemente también estén en muchas otras páginas.

    
respondido por el Abe Miessler 26.11.2013 - 21:16
fuente

Lea otras preguntas en las etiquetas