理解HTTP攻击请求

Question

我捕捉到了一些网络攻击。我试图了解每个攻击请求的目的是什么。

GET /site/public/timing?<!+XSS="><img+src=xx:x+onerror=alert(14721850.00337)//"> HTTP/1.1" 200 6718

GET /site/public/timing?<sVg/OnLOaD=prompt(14721850.00307)> HTTP/1.1" 200 6718

GET /site/race/registrationAuth/1761?x"+onmousemove=" HTTP/1.1" 302 -

GET /site/registration/create/3269?execution=e1s1'+(select*from(select(sleep(3)))tw)+' HTTP/1.1" 302 -

GET /site/registration/create/3269?execution=e1s1%20waitfor delay'0:0:3'

Answer 1

这看起来像是自动攻击，以测试不同的注入漏洞。据我所知，这里没有实际的有效载荷。相反，这些攻击的目的是检测网站是否易受攻击。我认为，如果测试是阳性的，网站将受到实际有效载荷的攻击。

前三种是XSS攻击。前两个将尝试弹出一个提示符，其中包含数字14721850.00337。如果将这个数字乘以100，就会得到三天前的Unix时间戳。我想它是用来给攻击计时的。

使用了一些常见的欺骗过滤器的技巧-- mIxeD CAsE、prompt而不是alert、/代替了空间。

SQL注入的第四次和第五次测试。它试图使数据库服务器“休眠”一段时间。这样就很容易检查攻击是否成功。如果要花几秒钟的时间才能得到回复，它就成功了。我认为第四个是针对MySQL的，第五个是针对MSSQL的，但它们也可能在其他系统上工作。

你需要担心吗？不怎么有意思。这种自动攻击是针对任何面向互联网的服务器的常见攻击。这并不意味着有人在积极地攻击你，或者你是脆弱的。但是，测试这些攻击是否有效可能是个好主意，因为如果它们成功了，您可以确定它们已经被利用了。

Answer 2

所有这些请求看起来都来自一个自动化测试工具。与一些评论相反，延迟并不是恶意的，只是为了盲目地测试代码执行；如果您看不到响应，那么让它休眠一段时间是一个可靠的测试。

GET /site/public/timing?<!+XSS=">    <img+src=xx:x+onerror=alert(14721850.00337)//"> HTTP/1.1" 200 6718
GET /site/public/timing?<sVg/OnLOaD=prompt(14721850.00307)> HTTP/1.1" 200 6718

XSS尝试报警14721850.00307 / 337，以查看该页面是否易受攻击。

GET /site/race/registrationAuth/1761?x"+onmousemove=" HTTP/1.1" 302 -

有点不清楚，没有功能代码。看起来像XSS使用事件处理程序来绕过过滤器。

GET /site/registration/create/3269?execution=e1s1'+(select*from(select(sleep(3)))tw)+' HTTP/1.1" 302 -

MySQL v5攻击尽管使用SELECT语句，它只尝试让服务器休眠3秒，以查看它是否易受攻击。

GET /site/registration/create/3269?execution=e1s1%20waitfor delay'0:0:3'

Microsoft SQL Server攻击。同样的故事，没有恶意代码，只是一个3s的延迟。

Answer 3

1& 2: XSS注射液

3:很可能也是XSS。

4: SQL注入(数据库转储)

5: T注入(SQL探测)

记住，有些机器人只是把东西扔到url后面，看看是否有什么东西回来了，这些都是非特定的目标(模糊测试)。然后检查接收到的标头是否有200或其他一些非错误HTTP代码。此外，通过随机化GET请求，攻击者可以缓存结果或绕过安全措施。