"Allrequestsallowed.com"… হ্যাক প্রচেষ্টা?

আমার (ছোট, ব্যক্তিগত এবং একেবারেই গুরুত্বহীন) ওয়েব সার্ভারে আমার প্রচুর প্রচেষ্টা রয়েছে এবং অ্যাপাচি এবং ফেলফল 2 সাধারণত তাদের কাজটি সঠিকভাবে করে। তবে এমন একটি লগ এন্ট্রি রয়েছে যা আমাকে চিন্তিত করে:

xx.yy.www.zzz - - [9/Jul/2011:12:42:15 +0100] "GET http://allrequestsallowed.com/?PHPSESSID=5gh6ncjh00043YVMWTW_B%5CFAP HTTP/1.1" 200 432 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.8.1.12) Gecko/20080201 Firefox/2.0.0.12"

সমস্যাটি হচ্ছে উত্তরটি 404 কোড নয়, 200 এর পরিবর্তে ছিল। তা কি ঠিক আছে? আমার কাছে অদ্ভুত বলে মনে হচ্ছে তবে এই ক্ষেত্রে আমার জ্ঞানটি (এবং আরও অনেক) হ'ল নমনীয়ভাবে সীমাবদ্ধ রাখার জন্য।

প্রথম, সামনে, আমি জানি না যে অনুমান করা আক্রমণকারী কী অর্জন করতে চাইছে। কিছু পিএইচপি স্ক্রিপ্ট বা পিএইচপি সংস্করণ থাকতে পারে কিছু অদ্ভুত সেশন আইডি আক্রমণ থেকে দূরে থাকতে পারে, আমি জানি না। যদিও আপনার সম্ভবত উদ্বিগ্ন হওয়ার কিছু নেই।

আপনার সার্ভারটি প্রত্যাশার মতো ঠিক আচরণ করেছে। সেই নির্দিষ্ট পরিস্থিতিতে 200 হ'ল প্রত্যাশিত কোড, কারণ অ্যাপাচি ইউআরএল এর কাছে যাওয়ার কীভাবে ব্যাখ্যা করে।

প্রথমে, http://allrequestsallowed.comআরও সাধারণ 'হোস্ট:' শিরোনামের মতো চিকিত্সা করা হয় ( নোট করুন যে আমি মনে করি না যে এটি আরএফসি-তে নির্দিষ্ট করা আছে এবং অন্যান্য সার্ভারগুলি এইভাবে ব্যাখ্যা করতে পারে না যে আমি ভুল ছিলাম, এটি আরএফসি 2616 সেকশন 5.1-এ উল্লিখিত হয়েছে)। 2, যদিও ক্লায়েন্টরা খুব কমই এই ফর্মটি ব্যবহার করে বলে মনে হচ্ছে me ক্ষমা করবেন, আমাকে এইচটিটিপি সার্ভার বাস্তবায়ন ঠিক করা দরকার যা আমি কিছুক্ষণ আগে লিখেছিলাম ...)।

এখন, সম্ভবত আপনার কাছে 'allrequestsallowed.com' নামে একটি সাইট নেই। সুতরাং আপাচি যখন Host:কোনও হোস্টনামটি স্বীকৃতি দেয় না তার জন্য শিরোনাম (বা সমমান) পেলে কী ঘটে ? এটি ডিফল্ট হিসাবে প্রথম ভার্চুয়াল হোস্টটিকে বেছে নিয়েছে। এটি অ্যাপাচি-র জন্য ভাল-সংজ্ঞায়িত এবং ডকুমেন্টেড আচরণ। সুতরাং আপনার প্রথম ভার্চুয়াল হোস্ট যা-ই হোক না কেন (বা কোনও ভোস্ট না থাকলে কেবলমাত্র মূল সার্ভার কনফিগারেশন) তার নামই নিয়ে আসে না কেন, তা গ্রহণ করে।

এখন, দেওয়া URL টির বাকী অংশটি দুটি অংশ নিয়ে রয়েছে - পথ /এবং একটি জিইটি প্যারামিটার ( ?PHPSESSID...বিট)।

এখন, পথটি সেখানে /উপস্থিত প্রতিটি ওয়েব সার্ভারে উপস্থিত থাকা উচিত। বেশিরভাগ ক্ষেত্রে, এটি index.htmlকোনও index.phpস্ক্রিপ্টের মতো বা সম্ভবত কোনও স্ক্রিপ্টের মানচিত্র করে , যদিও আপনি অবশ্যই এর কোনওটিই ওভাররাইড করতে পারেন।

যদি এটি কোনও স্ট্যাটিক এইচটিএমএল ফাইলের মানচিত্র হয় তবে একেবারেই অস্বাভাবিক কিছু ঘটে না - ফাইলটির বিষয়বস্তু ফিরে আসে এবং তা হ'ল প্যারামিটারটি কেবল উপেক্ষা করা হয়। (ধরে নিই যে আপনার কাছে কিছু উন্নত কনফিগারেশন নির্দেশিকা নেই এবং আপনি প্রায় নেই)

অন্যদিকে, যদি এটি কোনও ধরণের স্ক্রিপ্ট হয় তবে সেই PHPSESSIDপরিবর্তনশীলটি স্ক্রিপ্টে পাস হবে। যদি স্ক্রিপ্টটি আসলে সেই পরিবর্তনশীল ব্যবহার করে (এই বিশেষ ক্ষেত্রে, কেবলমাত্র পিএইচপি এর অন্তর্নির্মিত সেশন হ্যান্ডলিং ব্যবহার করে পিএইচপি স্ক্রিপ্টগুলি সম্ভবত হয়), এর আচরণ বিষয়বস্তুর উপর নির্ভর করবে।

সমস্ত সম্ভাবনায়, তবে, আপনার /সেশন ব্যবহার করে কোনও পিএইচপি স্ক্রিপ্টে ম্যাপ করার ঘটনা ঘটলেও, উল্লেখযোগ্য কিছুই ঘটবে না। সেশন আইডি সম্ভবত কোনওভাবেই উপস্থিত থাকবে না, এবং হয় তা উপেক্ষা করা হবে, অথবা স্ক্রিপ্টটি একটি ত্রুটি প্রদর্শন করবে।

সেশন আইডিটির অস্তিত্বের অসম্ভব ক্ষেত্রে, ভাল, আক্রমণকারী অন্য কারও সেশনটি হাইজ্যাক করতে পারে। এটি খারাপ হবে, তবে এটি সত্যই নিজের মধ্যে কোনও সুরক্ষা গর্ত নয় - আক্রমণকারী যেখানেই সেশন আইডি তথ্য পেয়েছিল সেখানেই গর্ত হবে (যদি আপনি এইচটিটিপিএস ব্যবহার না করেন তবে একটি ওয়্যারলেস নেটওয়ার্ক স্নিগ্ধ করা ভাল প্রার্থী হয়)। প্রকৃতপক্ষে যার ব্যবহারকারীর সেশনটি এটি করতে পারেননি তারা আসলে এমন কিছু করতে সক্ষম হবে না।

সম্পাদনা করুন: অতিরিক্ত হিসাবে, '% 5C' SESSIONID মানচিত্রের একটি ব্যাকস্ল্যাশ অক্ষরে। এটি উইন্ডোজ হোস্টগুলিতে ডিরেক্টরি ট্র্যাভার্সাল আক্রমণগুলির জন্য একটি পরীক্ষা বলে মনে হচ্ছে।

আমাদের সমস্ত পার্কিং-ডোমেনের রেকর্ড হিসাবে ব্যবহৃত একটি আইপি-তে লগইন করা হয়েছে all

আমার শটটি হ'ল এই হোস্টনামটি "আক্রমণকারীর" স্থানীয় হোস্টফিলের সাথে মিশ্রণে লক্ষ্য হোস্টের দিকে ইশারা করে।

31.44.184.250 এ আসল ওয়েবসভারটি কেবলমাত্র বাহ্যিক অনুরোধগুলি পরিচালনা করার জন্য।

আমার মতামত: সম্পূর্ণ নিরীহ আপনি আপনার হোস্টফাইলে অন্য কোনও জাল ডোমেন নামটি করতে পারেন এমন স্টাফ ব্যতীত এর জন্য কোনও মান যুক্ত ব্যবহার দেখতে পাবেন না।