Eu estava revisando alguns arquivos de configuração do SiteMinder APACHE 2.2 WebAgent quando me deparei com ' %25u,%25U ' na lista de caracteres codificados em ASCII / URL no atributo badurlchars conforme abaixo:
[Wed Jun 19 2013 05:04:14] badurlchars='//,./,/.,/*,*.,~,\,%00-%1f,%7f-%ff,%25u,%25U'.
Basically the WebAgent will reject any request that contains the above characters in the URL occurring before the
'?'character.
Agora, sei que o atributo badurlchars pode conter os próprios caracteres ASCII ou a forma codificada por URL desse caractere. [SiteMinder referência]
Então, o que ' %25u,%25U ' significa neste caso e por que eles estão sendo colocados nessa lista?
Eu acho que descobrir como isso representa um risco de segurança também indiretamente responderia a minha pergunta.
UPDATE 1:
Eu encontrei este relatório de bug do Debian que fala sobre um bug em xdg-open onde os URLs contendo "e" comercial são analisados e um "e" comercial é convertido em %u , que é então codificado em %25u . Agora eu não sou especialista em Debian, mas isso pode ser uma falha de segurança que faria sentido bloquear %25u em uma URL?
UPDATE 2:
Recebi uma resposta dizendo que os caracteres %25u / %25U se referem ao caractere de controle de dispositivo ASCII EM (fim do meio) .
Em w3schools :
ASCII Character: EM
HTML Entity Code: 
Description: end of medium
Quick note: ASCII character
%(37in decimal) is represented as%25(hexadecimal) after percent encoding. [Reference1] [Reference2]
Acredito que o que você está vendo é uma tentativa de derrotar um ataque de canonização em que um invasor tenta incorporar caracteres codificados em um URL ou outro valor de entrada, de modo que possa ser perdido por filtros de segurança, lido no sistema, decodificado e usado para má intenção. Geralmente, esses tipos de ataques são usados para navegar em lugares que não devem ser acessados ou injetar informações incorretas.
veja mais aqui: link