我看到来自IE9桌面客户端的错误网址参数。链接通过电子邮件发送,所有受损的URL都来自电子邮件的纯文本版本。
我几乎可以肯定它与我的堆栈无关(django,nginx,mandrill)参数的值具有完全转置的字符。原始字符是损坏的一个减去13个位置(例如rznvy_cynva = email_plain,ubgryfpbz = hotelscom)。
以下是一个错误请求的示例:
GET /book/48465?sid=rznvy_cynva&order=q09362qs55-741722-442521-98n2-n88s4nnr87192n&checkOut=07-17-15&affiliate=ubgryfpbz&checkIn=07-16-15 HTTP/1.1" 302 5 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)"
答案 0 :(得分:9)
这是收件人的反恶意软件软件'电脑。它获取链接并扫描您的页面是否存在任何可能的漏洞。它使用rot13混淆来确保它不会采取任何不必要的行动("立即购买"等)。
解决方案是追踪反恶意软件/公司正在执行扫描的内容,并尽可能将您的网站列入白名单。
答案 1 :(得分:1)
这进入了猜测领域,但我也猜测你无法得到任何不的答案,所以这里......
rot13加密看起来不像是意外。我有两个猜测可以提供;
有人正在分享他们的电子邮件并在链接中混淆查询参数,以便现在打破"订单","取消订阅"等链接,同时保持电子邮件的整体完整性。也许这是垃圾邮件报告工具或类似工具的功能?
或者,查询是在测试网络中进行的,用户不应该点击链接,但是那里的工具需要几乎不受限制的Internet访问;所以管理员设置了一个HTTP代理,它重写查询URL以拆除大多数带参数的GET事务。 (我认为POST请求仍然有用吗?)
您认为IP地址似乎是非本地化的观察结果与这些假设有些矛盾,但它可能仅仅意味着您正在查看TOR端点或类似情况。