[inne]Dziwne żądanie URL Opcje

[Rafalsky.com]

Tak na prawdę nie wiem do jakiej kategorii dodać mój problem więc dodaje tu. W razie czego proszę o przeniesienie.

Mam kontrolę błędów z wysyłaniem każdego błędu na maila (żebym mógł wiedzieć jaki użytkownik kiedy i jaki błąd dostał na mojej stronie). mail dochodzi nawet w przypadku błędów 404 i taki jeden błąd bardzo mnie ciekawi.

co chciał zrobić użytkownik/robot, który wpisał taki adres:

Kod

/theme/images/navGHTTP/1.0%20200%20OKServer:%20nginxDate:%20Sun,%2020%20Nov%202011%2020:23:47%20GMTContent-Type:%20text/htmlX-Powered-By:%20PHP/5.2.17Expires:%20Thu,%2019%20Nov%201981%2008:52:00%20GMTCache-Control:%20no-store,%20no-cache,%20must-revalidate,%20post-check=0,%20pre-check=0Pragma:%20no-cacheSet-Cookie:%20PHPSESSID=2c094c6bedd7;%20path=/X-Cache:%20MISS%20from%20localhostX-Cache-Lookup:%20MISS%20from%20localhost:3128Via:%201.0%20localhost%20(squid/3.0.STABLE19)Proxy-Connection:%20close%3C!DOCTYPE%20html%20PUBLIC

Podaję w wersji oryginalnej.

Tutaj wersja bardziej czytelna (%20 na spacje):

Kod

/theme/images/navGHTTP/1.0 200 OKServer: nginxDate: Sun, 20 Nov 2011 20:23:47 GMTContent-Type: text/htmlX-Powered-By: PHP/5.2.17Expires: Thu, 19 Nov 1981 08:52:00 GMTCache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0Pragma: no-cacheSet-Cookie: PHPSESSID=2c094c6bedd7; path=/X-Cache: MISS from localhostX-Cache-Lookup: MISS from localhost:3128Via: 1.0 localhost (squid/3.0.STABLE19)Proxy-Connection: close%3C!DOCTYPE html PUBLIC

ID sesji dla bezpieczeństwa zmodyfikowałem. Chociaż nie wiem czy to ma jakikolwiek sens.

Wszelka pomoc mile widziana (IMG:style_emoticons/default/smile.gif)

[eccocce]

Co Cię tutaj tak zaintrygowało?
O ile mnie wzrok nie myli, jest to log odpowiedzi serwera... A masz może log zapytania klienta dla tej odpowiedzi?

[Rafalsky.com]

Albo nie rozumiem co masz na myśli i wtedy proszę o lepsze wytłumaczenie albo mnie nie zrozumiałeś.

To jest zapytanie klienta, na który serwer zgłosił błąd 404 bo faktycznie stron /theme/* nie ma w tej aplikacji.

Zaintrygowało mnie tak rozbudowane zapytanie, z którym pierwszy raz się spotykam. Myślałem, że to samotny robot szukający dziur w popularnych cmsach czy inne tego typu narzędzie. Wygląda niby jak zwykła poprawna odpowiedź serwera (200 OK), jednak dlaczego ta odpowiedź została dołączona do adresu i do tego jeszcze odwołująca się do /themes/images?

Nie jestem specjalistą od bezpieczeństwa i nie jestem w stanie stwierdzić czy istnieją ataki na tego typu żądania dlatego postanowiłem poszukać pomocy tu na forum. Jeżeli jest ktoś, kto jest mi w stanie wytłumaczyć dlaczego jakiś serwer tak się zachował i wysłał swoją odpowiedź na moją domenę w tej postaci to byłbym bardzo wdzięczny (IMG:style_emoticons/default/smile.gif)

Ten post edytował Rafalsky.com 22.11.2011, 01:08:21

[eccocce]

Ach, już łapię. Spojrzałem właśnie na to HTTP/1.0 200 OK i pomyślałem, że wkleiłeś żądanie serwera zamiast zapytania klienta, a to w całości jest wywoływany adres. Wygląda trochę jak błąd. Poszukałem w sieci składowych zapytania i nie wygląda to na jakiś wzór używany do hackowania lub czegoś w tym stylu. Trochę dziwna sprawa, bo mówisz, że taki adres /themes/images(...) u Ciebie nie występuje. Było więcej zapytań od tego klienta?

[Rafalsky.com]

Jak na razie tylko jeden, ale errory na maila łapie dopiero od tygodnia więc może się więcej pojawić.

Ten post edytował Rafalsky.com 22.11.2011, 02:07:57