Веселые запросы в логах - Форум успешных вебмастеров - GoFuckBiz.com

badguy · 22.02.2011, 07:15

в логах наблюдаю веселые запросы вида

/url(data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAADgAAAAOCAYAAAB 6pd%2buAAAAAXNSR0IArs4c6QAAAAZiS0dEAP8A%2fwD%2foL2 nkwAAAAlwSFlzAAALEwAACxMBAJqcGAAAAAd0SU1FB9oGAhENK 17O5ogAAAAZdEVYdENvbW1lbnQAQ3JlYXRlZCB3aXRoIEdJTVB XgQ4XAAAD6UlEQVRIx82WXWxTdRjGf6fndO3adbZ0VLoP9gFMX ZQFNgSWDEkEYtSQkNVg4o2JH9NGJTMk6k01vTIhXshFzTCKE5N FORoXXDBs4nTMZHMzSETHDKyQyb7Xbu36dc7p8aaQZm5GNzd8r k7evOf%2fz%2fM%2bz%2f99X4E1htcn68v5742mffVRJd19uuc qH539lSq3yKuHtlDmkPj99aPYe39kfRoMOqgCJHSdJNRL3AEE% 2fB7h3xZFgO6JuRQdl6PE8zfRPzlF71CEojoXFc%2b9SPy3Kxj Cc%2bgCpIE0IilB65YWHFQBfAbUZEIDQGPA7xngDsNgMpFUY0Q 0ESHHhKbkM3A9yoFqDceGQpTijWjhXxCAtC6gCWk0BAwLzqkAQ sC6TJVDGcKrZdeDXp%2fcvki8zeuTH8uO6ehYzRJumxEUBUkyM a%2baUDWBVDLNnJJgNE9ixGZiOlckaQAVAWmBdTqBzqxQJ%2fD 2KgrTCDzq9clywO%2fxZMi1AgcBBbhNPhyJ47TlsGuzjaHRSRR doKq8AF3XOdvZw1BMQneUMl9iZN4eo3AmRWVwFulvqusAngBOr yLBY0AcaPD65LeAFPAk0BLwe57OTnz3i4sc3ruFx2s24MwzoWg aW4tNnPn0JLt37KJ2zwGMgk5X3zd8ONJOX7mGvcK5OEGvT94HN Gcs2rjSzrhUUwn4PV1AV4bcm5nwkYDfc3xhbs%2bVWQZH%2btl ekc%2fDtRupKrub1uYT7NhWw9bde%2fl2REUSRR56pJT0lxofh M8xaheXVPA1oDPg9zT%2bExmsDqF8hUqmlvi%2bDUs6RWhW5Ov %2bKaxmK5XFLkIzIe7f%2fiBtwypPVZqIRWJ8Ny6x09OEJJs5r rTxn4yJY00NwRU0mtaMLY9kyL3n9clVAb%2fnley8wnyBkkIHr gILm925JGPTJONRDHqaHDQmx2a4Ph4hpFkpcZqZmBhHtbI4wYD fs3%2bNhn5bpqG03LKl1ydXAS97fXJ%2b9jv0Hq6lyK5C%2fBJ 6PEjyj2nW2VQGLw5gLKqn92YSxWgjbrRy89ogVosFoyT%2bZUz curjD65M71oDjCeDzbCIZ5VqAk9mJm9w5zAdPkRx%2bB3H6Y3K j7TxQMkzLqfe5V71GvttFiduOa3aQc58E6JseJJXSEVhjeH2yv pxN5qVnygj%2fdJQCWxjBAOm0gVRC5MLPdoZnt2F3rsdisTAV7 MBlusT3oVK6TOriCv4fIZnsSDlu1IQRNWVGV83kYKFuZzX7PQ1 MFOg0j53nh%2bg8qpLg2eogeyJ53JFddDkLtyiZ6%2b%2b674V u5cZXiIkJdAEMjnvIqzjEjVCS7rmrhOwC0Vwn58fqkIIXeL72M n8CJn6UfKGeNt4AAAAASUVORK5CYII%3d)

Онлайн декодер пишет какую то хрень видимо картинка вида .png

Что это за фокус такой с картинками ?
В каких случаях это работает ?

xanxy · 22.02.2011, 12:01

Цитата:

Сообщение от kaufman

После распаковки из base64 получается кривоватый png.
А в png можно засунуть эксплоит, можно сжатый js код.
Пошарься в логах на предмет похожих запросов.

Да, только картинка там вполне нормальная. И чтоб через канвас открыть png нужно чтоб она была с того же хоста что и js.

kaufman · 22.02.2011, 12:05

Та уязвимость связана с обработкой путей, а здесь к путям ничего не добавляется, больше похоже на транспорт нужных данных.
Если этот запрос просматривать через веб-админку, в каких-то случаях будет идти рендеринг переданных данных, как картинки, благодаря data:image.
Если сформировать данные особым образом, будет пробив.

По хорошему, такие запросы из веб-админок надо фильтровать.

kaufman · 22.02.2011, 12:07

del,
картинка действительно нормальная, спрайт с 4 иконками, chrome криво нарисовал, в ff нормально

drafter · 22.02.2011, 12:59

Да скорее всего просто убогий IE6, вместо того, чтобы отображать картинку из инлайн-даты (чего он делать не умеет), лезет забирать ее с сервера и портит логи. http://www.google.ru/#hl=ru&xhr=t&q=...age&fp=1&cad=b

xanxy · 22.02.2011, 13:06

Цитата:

Сообщение от drafter

Да скорее всего просто убогий IE6, вместо того, чтобы отображать картинку из инлайн-даты (чего он делать не умеет), лезет забирать ее с сервера и портит логи. http://www.google.ru/#hl=ru&xhr=t&q=...age&fp=1&cad=b

+1, кривой апдейт тулбара

sydoow · 22.02.2011, 18:37