1. дома
  2. Вопрос и ответ
  3. Параметры измененных URL-адресов в IE9

Параметры измененных URL-адресов в IE9

2015-09-09 5 views
3

Я вижу измененные параметры URL, исходящие от настольных клиентов IE9. Ссылки отправляются по электронной почте, и все измененные URL-адреса поступают из текстовой версии электронной почты.Параметры измененных URL-адресов в IE9

Я почти уверен, что это не имеет никакого отношения к моему стеку (django, nginx, mandrill) Значения параметров имеют точно переносимые символы. Исходный символ - искаженный минус 13 мест (например, rznvy_cynva = email_plain, ubgryfpbz = hotelscom).

Вот один пример искаженного запроса, который пришел через:

GET /book/48465?sid=rznvy_cynva&order=q09362qs55-741722-442521-98n2-n88s4nnr87192n&checkOut=07-17-15&affiliate=ubgryfpbz&checkIn=07-16-15 HTTP/1.1" 302 5 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)"
  • Все запросы с искореженной URL, имеет один и тот же агент пользователя в качестве примера.
  • IP-адреса, связанные с измененными URL-адресами, не ограничены каким-либо местоположением.
  • Поднимая пользовательский агент, это, по-видимому, ограничено пользователями Windows 7, IE9.

источник

2015-09-09 Salami

+1

относящийся: http://stackoverflow.com/questions/27673731/iis-redirect-mangling-url-parameter-value-occasionally – Salami

+0

Nice find! Определенно выглядит связанным. – tripleee

ответ

1

Это происходит в сферу спекуляций, но я также предполагаю, что Вы не можете получить любые ответы, которые не, так что здесь идет ...

Шифрование rot13 не похож несчастный случай. У меня есть два предположения;

  1. Кто-то делится своей электронной почты и запутывания параметры запроса в связи с тем, чтобы сломать «заказ сейчас», «отменить подписку» и т.д. ссылки, сохраняя при этом общую целостность сообщений электронной почты. Может быть, это особенность инструмента для создания спама или подобного?

  2. В качестве альтернативы, запросы производятся из тестовой сети, где пользователи не должны нажимать на ссылки, но в инструментах там очень нужен неограниченный доступ в Интернет; поэтому администратор настроил прокси-сервер HTTP, который переписывает URL-адреса запросов для демонтажа большинства транзакций GET с параметрами. (POST запросы Я думаю, что, вероятно, еще работают?)

Ваше наблюдение, что IP-адрес, кажется, нелокализованными несколько противоречит этим условиям, но это может просто означать, что вы смотрите на TOR конечных точках или аналогичных.

источник

2015-09-15 04:44:27 tripleee

+0

Я почти уверен, что ссылки запутываются совершенно отдельными, несвязанными пользователями. Кроме того, проблема довольно распространена, и с объемом в несколько тысяч пользователей это происходит примерно в 3% случаев. – Salami

7

Это антивирусное программное обеспечение на компьютерах получателей. Он получает ссылки и сканирует ваши страницы на предмет возможных уязвимостей. Он использует обфускацию rot13, чтобы гарантировать, что он не принимает никаких нежелательных действий («покупать сейчас» и т. Д.).

https://security.stackexchange.com/questions/48684/help-investigating-potential-website-attack-url-rewriting-and-rot-13-obfuscatio

Решение разыскать то, что анти-вредоносное программное обеспечение/компания выполняет сканы, и получить, если возможно, ваш сайт в белый список.

источник

2015-09-18 16:13:21

 Смежные вопросы

  • Нет связанных вопросов^_^