Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [inne]Dziwne żądanie URL
Forum PHP.pl > Forum > Przedszkole
Rafalsky.com
22.11.2011, 00:31:35
Tak na prawdę nie wiem do jakiej kategorii dodać mój problem więc dodaje tu. W razie czego proszę o przeniesienie.

Mam kontrolę błędów z wysyłaniem każdego błędu na maila (żebym mógł wiedzieć jaki użytkownik kiedy i jaki błąd dostał na mojej stronie). mail dochodzi nawet w przypadku błędów 404 i taki jeden błąd bardzo mnie ciekawi.

co chciał zrobić użytkownik/robot, który wpisał taki adres:
Kod
/theme/images/navGHTTP/1.0%20200%20OKServer:%20nginxDate:%20Sun,%2020%20Nov%202011%2020:23:47%20GMTContent-Type:%20text/htmlX-Powered-By:%20PHP/5.2.17Expires:%20Thu,%2019%20Nov%201981%2008:52:00%20GMTCache-Control:%20no-store,%20no-cache,%20must-revalidate,%20post-check=0,%20pre-check=0Pragma:%20no-cacheSet-Cookie:%20PHPSESSID=2c094c6bedd7;%20path=/X-Cache:%20MISS%20from%20localhostX-Cache-Lookup:%20MISS%20from%20localhost:3128Via:%201.0%20localhost%20(squid/3.0.STABLE19)Proxy-Connection:%20close%3C!DOCTYPE%20html%20PUBLIC


Podaję w wersji oryginalnej.

Tutaj wersja bardziej czytelna (%20 na spacje):
Kod
/theme/images/navGHTTP/1.0 200 OKServer: nginxDate: Sun, 20 Nov 2011 20:23:47 GMTContent-Type: text/htmlX-Powered-By: PHP/5.2.17Expires: Thu, 19 Nov 1981 08:52:00 GMTCache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0Pragma: no-cacheSet-Cookie: PHPSESSID=2c094c6bedd7; path=/X-Cache: MISS from localhostX-Cache-Lookup: MISS from localhost:3128Via: 1.0 localhost (squid/3.0.STABLE19)Proxy-Connection: close%3C!DOCTYPE html PUBLIC


ID sesji dla bezpieczeństwa zmodyfikowałem. Chociaż nie wiem czy to ma jakikolwiek sens.

Wszelka pomoc mile widziana smile.gif
eccocce
22.11.2011, 00:40:00
Co Cię tutaj tak zaintrygowało?
O ile mnie wzrok nie myli, jest to log odpowiedzi serwera... A masz może log zapytania klienta dla tej odpowiedzi?
Rafalsky.com
22.11.2011, 01:07:41
Albo nie rozumiem co masz na myśli i wtedy proszę o lepsze wytłumaczenie albo mnie nie zrozumiałeś.

To jest zapytanie klienta, na który serwer zgłosił błąd 404 bo faktycznie stron /theme/* nie ma w tej aplikacji.

Zaintrygowało mnie tak rozbudowane zapytanie, z którym pierwszy raz się spotykam. Myślałem, że to samotny robot szukający dziur w popularnych cmsach czy inne tego typu narzędzie. Wygląda niby jak zwykła poprawna odpowiedź serwera (200 OK), jednak dlaczego ta odpowiedź została dołączona do adresu i do tego jeszcze odwołująca się do /themes/images?

Nie jestem specjalistą od bezpieczeństwa i nie jestem w stanie stwierdzić czy istnieją ataki na tego typu żądania dlatego postanowiłem poszukać pomocy tu na forum. Jeżeli jest ktoś, kto jest mi w stanie wytłumaczyć dlaczego jakiś serwer tak się zachował i wysłał swoją odpowiedź na moją domenę w tej postaci to byłbym bardzo wdzięczny smile.gif
eccocce
22.11.2011, 01:33:12
Ach, już łapię. Spojrzałem właśnie na to HTTP/1.0 200 OK i pomyślałem, że wkleiłeś żądanie serwera zamiast zapytania klienta, a to w całości jest wywoływany adres. Wygląda trochę jak błąd. Poszukałem w sieci składowych zapytania i nie wygląda to na jakiś wzór używany do hackowania lub czegoś w tym stylu. Trochę dziwna sprawa, bo mówisz, że taki adres /themes/images(...) u Ciebie nie występuje. Było więcej zapytań od tego klienta?
Rafalsky.com
22.11.2011, 02:06:05
Jak na razie tylko jeden, ale errory na maila łapie dopiero od tygodnia więc może się więcej pojawić.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.