这是 ViewState 攻击吗?

信息安全 iis
2021-09-06 14:38:14

我最近在事件日志中发现了这个请求:

Client IP: 193.203.XX.XX
Port: 53080
User-Agent: Mozilla/4.0 (compatible; Synapse)
ViewState: -1'
Referer: 

现在,ViewState: -1'部分与 IP 地址的来源(乌克兰,我们在那里没有客户)相结合,让我看起来很可疑。这是一种新的攻击方式,我应该担心吗?

更新

这是日志:

2012-08-14 10:13:17 GET /Gesloten.aspx - 80 - 193.203.XX.XX Mozilla/4.0+(compatible;+Synapse) 200 0 0 546
2012-08-14 10:13:17 POST /gesloten.aspx - 80 - 193.203.XX.XX Mozilla/4.0+(compatible;+Synapse) 500 0 0 218
4个回答

我很确定这不是Apache Synapse,它是用Ararat Synapse构建的一些工具,这是一个用Delphi构建的 TCP/IP 库我从两个项目中下载了源代码,据我所知,Apache Synapse 有一个可配置的用户代理,默认为:

Synapse-HttpComponents-NIO

另一方面,Ararat Synapse 有默认的用户代理:

在此处输入图像描述

就像您在日志中看到的一样,我有完全相同的用户代理来探测各种 SQL 注入攻击,可能攻击者正在使用带有 Ararat Synapse 的 Delphi 中构建的一些工具。

由于坏人没有更改默认用户代理,我认为阻止用户代理是安全的:

Mozilla/4.0 (compatible; Synapse)

部分原因是您可以阻止一些在 Apache Synapse 上运行的合法工具。

Synapse 是为管理 XML 文档而设计的 Apache 服务器。在用户代理中看到它是非常不寻常的。-1看起来不像是真正的攻击,它更有可能是为了找出您正在使用的 IIS 版本的探测。

在 ServerFault 上发现了一个类似的问题,其中提到了 Synapse 标头,这导致人们一致认为流量不合法。

为了安全起见,我建议将 IP 地址列入黑名单。

只要您采取了所有常见的安全预防措施,就无需担心。

在我维护的网站上,我进行了设置,以便记录任何未捕获的错误并通过电子邮件发送给我。我经常打开我的收件箱来查找类似的请求。在我的经验中,通常的模式是让爬虫扫描所有<input>标签名称并-1'依次设置每个标签的值。

这通常伴随着欺骗 ViewState 的糟糕尝试,这总是失败,因为他们不仅没有机会生成有效的 ViewState 来匹配他们的假请求,而且他们似乎也只是放了一堆随机的字母数字(而不是实际上构造一个有效的 Base-64 编码字符串)。

根据 user-agents.org,它是用于处理 XML 文档的 Apache Web 服务。

可以在此处找到apache 文档。文档摘录如下:

Synapse:一个 Web 服务中介框架项目

Synapse 将是基于 Web 服务规范的高度可扩展和分布式服务中介框架的健壮、轻量级实现。

10 多年来,我只见过这个用户代理一次。我会特别注意那个 IP 地址,但我不一定会阻止它。通常有很多奇怪的用户代理访问公共 IP 地址,所以这可能不是第一个。我不会将其视为攻击,但可能会视为侦察中的初步调查。