web-dev-qa-db-ja.com

これは攻撃ですか、どうすれば修正できますか?

私の問題をカバーする可能性のある既存のスレッドをフォーラムで検索する場合、どこから始めればよいかわかりません。

私は最近、基本的なSEOとコンテンツ作業を開始したばかりのクライアントからのなりすましメールを受信しました。

メールは私にサイトの問題のあるURLを教えてくれました:

http://clientdomainname.com/%E2%80%8E

ドメイン名を変更しましたが、残りのURL文字列は正確に受け取ったものです。サイトにURLに対応するページがないため、404がトリガーされました。

クライアントはそれを送信しなかったので、URLが何らかのスクリプトを開始する可能性があると考えています。

私の質問は:

  1. 私の懸念はもっともらしいですか?セクターは最近熱くなっており、小規模プレーヤーを押し出そうとしている悪質な大企業がいくつかあります。

  2. そのURL文字列が何らかの悪意のあるスクリプトをトリガーしているかどうかを確認するにはどうすればよいですか?ホスト(hostgator)にスキャンを依頼する必要がありますか、それともスキャンするより良い方法がありますか?

  3. それを削除して将来発生しないようにするには、どのような手順を踏めばよいですか?

5
bonzo46

疑わしいURLを確認する必要がある場合は、urlqueryなどのサービスを使用して、悪意のあるレピュテーション、発生したHTTPトランザクション、実行中のすべてのJavaスクリプトなど)があるかどうかを確認できます。 。非常に便利です。また、訪問したページの外観のスクリーンショットも提供します。

http://urlquery.net/

9
James Spiteri

%E2%80%8Eは、Unicode文字「U + 200E」のパーセントエンコードUTF-8です。アラビア語のテキストで英語の引用を表示する場合など、左から右に読む順序で表示した後のテキストを作成するために使用されます。深刻に壊れたソフトウェアがない限り、それは攻撃として役に立ちません。

私の疑いは、これがうまくいかなかったいたずらだったということです。もし彼らがそのキャラクターの対応物である右から左へのマーク(%E2%80%8F)を使用したとしたら、404ページはおそらく壊れているように見えたでしょう。 RTLマークが原因で、ページの一部またはすべてが逆方向に表示されていました。

6
Mark

これはおそらく、ここで説明されている脆弱性を悪用する試みでした。
https://www.online24.nl/blog/security-risks-associated-with-unicode/
リンクは1つのもののように見えますが、実際にはその逆(たとえば、example.comの代わりにelpmaxe.com)などの別のドメインにリンクしています。

このような悪用を回避する1つの方法は、電子メールリンクをクリックする代わりに、自分でドメインを入力することです。 Virus Total のようなサイトにアクセスする前に、URLをスキャンすることもできます。

0
Tanath