IE9 中损坏的 URL 参数
Mangled URL Parameters in IE9
我看到来自 IE9 桌面客户端的 URL 参数被破坏了。这些链接是通过电子邮件发送的,所有损坏的 URL 都来自电子邮件的纯文本版本。
我几乎可以肯定它与我的堆栈(django、nginx、mandrill)无关参数的值具有完全转置的字符。原始字符是被破坏的 1 减去 13 个位置(例如 rznvy_cynva = email_plain、ubgryfpbz = hotelscom)。
这是一个错误的请求示例:
GET /book/48465?sid=rznvy_cynva&order=q09362qs55-741722-442521-98n2-n88s4nnr87192n&checkOut=07-17-15&affiliate=ubgryfpbz&checkIn=07-16-15 HTTP/1.1" 302 5 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)"
- 所有 URL 损坏的请求都具有与示例相同的用户代理。
- 与损坏的 URL 关联的 IP 地址不限于任何位置。
- 查了user-agent,这个好像只限桌面Windows7,IE9用户。
这将进入推测领域,但我猜你无法得到任何不会的答案,所以这里...
rot13 加密看起来不是意外。我有两个猜测;
有人正在共享他们的电子邮件并混淆链接中的查询参数,以破坏 "order now"、"unsubscribe" 等链接,同时保持电子邮件的整体完整性。也许这是垃圾邮件报告工具或类似工具的功能?
或者,查询是在测试网络中进行的,用户不应在该网络中单击链接,但其中的工具需要几乎不受限制的 Internet 访问;因此管理员设置了一个 HTTP 代理,它重写查询 URL 以拆除大多数带参数的 GET 事务。 (我想 POST 个请求可能仍然有效?)
您观察到 IP 地址似乎是非本地化的,这与这些假设有些矛盾,但这可能只是意味着您正在查看 TOR 端点或类似端点。
它是您收件人计算机上的反恶意软件。它获取链接并扫描您的页面以查找任何可能的漏洞。它使用 rot13 混淆来确保它不会采取任何不需要的操作("buy now",等等)。
解决方案是追踪哪些反恶意软件/公司正在执行扫描,并在可能的情况下将您的站点列入白名单。
我看到来自 IE9 桌面客户端的 URL 参数被破坏了。这些链接是通过电子邮件发送的,所有损坏的 URL 都来自电子邮件的纯文本版本。
我几乎可以肯定它与我的堆栈(django、nginx、mandrill)无关参数的值具有完全转置的字符。原始字符是被破坏的 1 减去 13 个位置(例如 rznvy_cynva = email_plain、ubgryfpbz = hotelscom)。
这是一个错误的请求示例:
GET /book/48465?sid=rznvy_cynva&order=q09362qs55-741722-442521-98n2-n88s4nnr87192n&checkOut=07-17-15&affiliate=ubgryfpbz&checkIn=07-16-15 HTTP/1.1" 302 5 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)"
- 所有 URL 损坏的请求都具有与示例相同的用户代理。
- 与损坏的 URL 关联的 IP 地址不限于任何位置。
- 查了user-agent,这个好像只限桌面Windows7,IE9用户。
这将进入推测领域,但我猜你无法得到任何不会的答案,所以这里...
rot13 加密看起来不是意外。我有两个猜测;
有人正在共享他们的电子邮件并混淆链接中的查询参数,以破坏 "order now"、"unsubscribe" 等链接,同时保持电子邮件的整体完整性。也许这是垃圾邮件报告工具或类似工具的功能?
或者,查询是在测试网络中进行的,用户不应在该网络中单击链接,但其中的工具需要几乎不受限制的 Internet 访问;因此管理员设置了一个 HTTP 代理,它重写查询 URL 以拆除大多数带参数的 GET 事务。 (我想 POST 个请求可能仍然有效?)
您观察到 IP 地址似乎是非本地化的,这与这些假设有些矛盾,但这可能只是意味着您正在查看 TOR 端点或类似端点。
它是您收件人计算机上的反恶意软件。它获取链接并扫描您的页面以查找任何可能的漏洞。它使用 rot13 混淆来确保它不会采取任何不需要的操作("buy now",等等)。
解决方案是追踪哪些反恶意软件/公司正在执行扫描,并在可能的情况下将您的站点列入白名单。