Alguém rodou ontem um Scan a procura de falhas no TabNews
Ontem de noite eu recebi um alerta no monitoramento do TabNews sobre muitas requisições e requisições com erro. Ao investigar, notei que alguém passou um scanner que procura por diversos tipos de falhas, tentando combinações diferentes de endereços e caracteres na URL e também tentando descobrir arquivos sensíveis.
Achei curioso vocês virem esse lado do projeto, então estou trazendo essas informações para cá, caso isso cause uma discussão interessante.
Isso aqui foi o pico de requisições, onde:
- Successful Requests: requisições dentro do range
200
- Bad Requests requisições dentro do range
400
- Errored Requests requisições dentro do range
500
E das Bad Requests, que significa que o scan tentou acessar algo mas recebeu retornos como 400
ou 404
, destaquei numa planilha de Excel quase 500 itens para vocês conferirem o que ele tentou cavucar:
A planilha está acessível por esse link e abaixo destaquei o que achei de curioso, porque se você de fato estiver expondo um servidor com esses dados, vai ser pego por esse scan facilmente:
/.env.prod.local
/message?title=x&msg=%26%23%3Csvg/onload=alert(1337)%3E%3B
/debug.php
/controller/login.php?acao=autenticar
/wp-config.php-backup
/cgi-bin/weblogin.cgi?username=admin';cat /etc/passwd
/log/access.log
/XmlPeek.aspx?dt=\\..\\..\\..\\..\\..\\..\\Windows\\win.ini&x=/validate.ashx?requri
/www.tabnews.com.br_db.sql
/catalog.php?filename=../../../../../../../../../etc/passwd
/www.tabnews.com.br.sql.xz
/tabnews.sqlitedb
/....%5C....%5C....%5C....%5C....%5C....%5C....%5C....%5C....%5Cwindows%5Cwin.ini
E tem muita coisa na verdade, a lista completa vai longe.
As requisições vieram de um único IP localizado em ****
(removi, a pessoa se identificou), caso você seja o autor e deseja reportar os resultados, você pode reportar aqui no próprio TabNews caso não tenha encontrado informações que possam prejudicar outras pessoas. Caso tenha encontrado informações sensíveis, peço que primeiro entre em contato pelo email [email protected]
para depois publicarmos um Post Mortem aqui com 100% de transparência 🤝