“\ xc2: \ xc2” no pedido GET de proxy HTTP

1

Recentemente me deparei com linhas como estas no access_log de um servidor HTTP (eu mudei a imagem real para "someimage.jpg" - você pode navegar diretamente pela pasta de imagens desde que a lista de diretórios é permitida, caso você queira tentar com uma imagem real):

GET http://www.hindu.com\xc2:\xc2/mp/2006/07/03/images/someimage.jpg HTTP/1.1" 400 313 "-" "webcollage/1.135a

O agente do usuário parece ser o webcollage , que é uma ferramenta para decorar a tela com imagens aleatórias do web - mas eu acho que é falso. Obviamente, foi tentado usar o servidor HTTP como proxy HTTP.

Agora, o que me surpreende é a parte \xc2:\xc2 no URL. Sem essa parte, seria um URL válido. Com essa cadeia, o primeiro \xc2 seria interpretado como parte do domínio de nível superior, enquanto o segundo seria interpretado como porta. Não encontrou nenhuma referência a uma vulnerabilidade conectada a essa cadeia, mas muitos registros de acesso via Google contendo linhas semelhantes, sem qualquer explicação.

Alguma ideia do que foi tentado aqui?

    
por 0x80 07.03.2014 / 12:11

0 respostas