Recentemente me deparei com linhas como estas no access_log de um servidor HTTP (eu mudei a imagem real para "someimage.jpg" - você pode navegar diretamente pela pasta de imagens desde que a lista de diretórios é permitida, caso você queira tentar com uma imagem real):
GET http://www.hindu.com\xc2:\xc2/mp/2006/07/03/images/someimage.jpg HTTP/1.1" 400 313 "-" "webcollage/1.135a
O agente do usuário parece ser o webcollage , que é uma ferramenta para decorar a tela com imagens aleatórias do web - mas eu acho que é falso. Obviamente, foi tentado usar o servidor HTTP como proxy HTTP.
Agora, o que me surpreende é a parte \xc2:\xc2 no URL. Sem essa parte, seria um URL válido. Com essa cadeia, o primeiro \xc2 seria interpretado como parte do domínio de nível superior, enquanto o segundo seria interpretado como porta.
Não encontrou nenhuma referência a uma vulnerabilidade conectada a essa cadeia, mas muitos registros de acesso via Google contendo linhas semelhantes, sem qualquer explicação.
Alguma ideia do que foi tentado aqui?