Url ressemblant à une tentative de hack

[boby55]

Bonjour,

En consultant les requests demandées sur mon site web (fichier de log), j'ai constaté une récurrence d'url de ce type :

Code: Tout sélectionner

www.monsite.com/\x86\x8bh\xb3m4\xefOf\x8ax\xa6\x8ax\xb9\xdb\xb8\xe9

Celà semble un peu bizare, mon serveur renvoie une erreur 404 à ce genre de request mais de quoi s'agit-il vraiment ?

Merci.

[xpleet]

Oui t'as raison.. ça peut être une requête d'un robot ou un scanner (mal configuré?) d'un script kiddie qui cherche un fichier ou une faille sur ton site..

[boby55]

Oui t'as raison.. ça peut être une requête d'un robot ou un scanner (mal configuré?) d'un script kiddie qui cherche un fichier ou une faille sur ton site..

Pas d'idée du type de faille cherchée ou de la méthode utilisée dans ce cas ?

[Julia41]

Toutes les URL étaient les mêmes ou uniquement celle-ci ?
Il faudrait désofusqué ce qui est envoyé (je ne sais pas si c'est complet ou non donc pas testé) mais à coup de base64_decode / gzinflate, ça doit se faire rapidement. C'est surtout une trad "pas lisible" pour (par exemple index.php). Si ton serveur réponds (ça dépends comment il est configuré) peut-être qu'une faille sortie ya pas longtemps sera exploitable (pas mal de failles de sécu sorties ces derniers jours).

[vitalizo]

Toutes les URL étaient les mêmes ou uniquement celle-ci ?
Il faudrait désofusqué ce qui est envoyé (je ne sais pas si c'est complet ou non donc pas testé) mais à coup de base64_decode / gzinflate, ça doit se faire rapidement. C'est surtout une trad "pas lisible" pour (par exemple index.php). Si ton serveur réponds (ça dépends comment il est configuré) peut-être qu'une faille sortie ya pas longtemps sera exploitable (pas mal de failles de sécu sorties ces derniers jours).

A ce sujet, aurais-tu un site complet et précis qui récapitulent les dernières failles afin de se mettre à jour ?

Merci

[michel.leonard]

utilise une expression régulière pour contrôler tes urls , par exemple interdire les antislashs

Code: Tout sélectionner

preg_match("#^[^\\]*$#",$url)

Il y a des expressions adaptées à toutes les url , et les tiens ils sont de quelle forme, Formellement ?

[boby55]

Bonjour,

J'ai eu ce cas de figure sur plusieurs url :

Code: Tout sélectionner

www.mondomain.com/concours-photos-garcon-hephaistos/)\x86\x8bh\xb3m5\xd3N\xe6\x8ax\xa6\x8ax\x84\xdf\xbd\xa3\xa6

www.mondomain.com/concours-photos-fille-lewisgigi/\xa6\x1a-\xa2\xcd\xb4\xd7M=\x9a)\xe2\x9a)\xe2\x1f\x7f4\x8e\x98

Sinon j'ai vérifié et tous est à jour donc pas de faille à corriger.

[smorge]

A ce sujet, aurais-tu un site complet et précis qui récapitulent les dernières failles afin de se mettre à jour ?
Merci

Tu dois pouvoir trouver deux ou trois trucs rigolos dans cette liste peut-être pour tester ton site
hXXp://ha.ckers.org/xss.html Il y a également des outils pour coder/décoder

[Julia41]

blabla à moi

A ce sujet, aurais-tu un site complet et précis qui récapitulent les dernières failles afin de se mettre à jour ?

Merci

Sur peux aller voir sur security focus, ça demande un peu d'habitude pour trouver les infos. Ils tournent beaucoup par mailing list, donc tu peux t'abonner aux MLs (ça fait pas mal de mails par jours par contre).
Tu as toujours/souvent quelque chose comme ça quand les exploit sont publiés :

Code: Tout sélectionner

Timeline:
2010-07-08: informed vendor support
            no reaction
2010-07-15: informed vendor sales department
2010-07-16: reply from vendor: will forward to product manager
2010-07-21: reply from vendor: service engineering team now in charge
2010-08-26: sent status request to vendor
2010-08-26: reply from vendor: will request status from product manager
            no more reaction
2010-09-06: silently fixed
2010-09-16: report published

Par exemple pour ce truc ça a été "silently fixed" ce qui veut dire que les users n'ont pas été averti.