Sal*_*ami 4 email url email-client email-attachments internet-explorer-9
我看到来自IE9桌面客户端的错误URL参数.链接通过电子邮件发送,所有受损的URL都来自电子邮件的纯文本版本.
我几乎可以肯定它与我的堆栈无关(django,nginx,mandrill)参数的值具有完全转置的字符.原始字符是损坏的一个减去13个位置(例如rznvy_cynva= email_plain,ubgryfpbz= hotelscom).
以下是一个受到严重破坏的请求的示例:
GET /book/48465?sid=rznvy_cynva&order=q09362qs55-741722-442521-98n2-n88s4nnr87192n&checkOut=07-17-15&affiliate=ubgryfpbz&checkIn=07-16-15 HTTP/1.1" 302 5 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)"
它是收件人计算机上的反恶意软件.它获取链接并扫描您的页面是否存在任何可能的漏洞.它使用rot13混淆来确保它不会采取任何不需要的操作("立即购买"等).
解决方案是追踪反恶意软件/公司正在执行扫描的内容,并尽可能将您的网站列入白名单.