[보안관제] URL 패턴 탐지

공격구문

GET /event/experience/javanon_script:goHomepage('hxxp:/http://www.badanamu.co.kr/') HTTP/1.1
Host: 
Connection: keep-alive
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/heif,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Language: en-US,en;q=0.5
Upgrade-Insecure-Requests: 1
User-gent: Mozilla/5.0 (Linux; Android 5.0) AppleWebKit/537.36 (KHTML, like Gecko) Mobile Safari/537.36 (compatible; Bytespider; spider-feedback@bytedance.com)
Sec-Fetch-Site: none
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Encoding: gzip, deflate, br

 

탐지근거

javanon_script:goHomepage('hxxp:/www.badanamu.co.kr/')

User-Agent :Bytespider

 

-----------------------------------------------------------------------------------------------------------------------------------------------------------------

 

이 요청은 웹 서버에 대해 GET 메서드를 사용하여 특정 리소스를 요청하는 HTTP 요청입니다. 요청의 구성 요소를 분석하면 다음과 같습니다:

GET /event/experience/javanon_script('hxxp:/http://www.badanamu.co.kr/'):

요청된 URL 경로는 /event/experience/javanon_script:goHomepage('hxxp:/http://www.badanamu.co.kr/')입니다. 여기서 특이한 점은 'hxxp:라는 형식으로 URL이 포함되어 있는데, 이는 보통 악성 스크립트나 보안 우려가 있을 때 "http"를 고의로 잘못 표기하는 방식입니다.

Host: hxxp://www.xxxx.xxx:

요청된 서버는 hxxp://www.xxxx.xxx입니다. 즉, 이 요청은 해당 서버에서 실행됩니다.

Connection: keep-alive:

이 헤더는 서버에 연결을 유지하여 여러 요청을 처리하는 동안 연결을 끊지 말라는 지시입니다.

Accept 및 Accept-Encoding:

이 헤더는 클라이언트가 서버로부터 수신할 수 있는 콘텐츠 유형과 압축 형식을 정의합니다. 이 경우 HTML, XML, 이미지 포맷(HEIF, AVIF 등) 등을 받을 수 있으며, gzip, deflate, br 형식으로 압축된 콘텐츠도 처리할 수 있습니다.

User-Agent: Mozilla/5.0 (Linux; Android 5.0):

이 요청은 Android 5.0 장치에서 온 것으로 보이며, 특정 웹 크롤러인 Bytespider를 사용하는 것이 특징입니다. 이 크롤러는 Bytedance(틱톡의 모회사)와 관련이 있습니다.

Sec-Fetch-Site, Sec-Fetch-Mode, Sec-Fetch-User, Sec-Fetch-Dest:

이 헤더들은 웹 보안과 관련된 정보로, 리소스를 어디서 가져왔는지, 어떤 목적의 요청인지 등을 나타냅니다.

주의사항: 'hxxp:는 의도적으로 잘못된 URL 표기로, 보안 위협이 있을 수 있음을 나타냅니다. 실제로 해당 URL로 접속하는 것이 안전하지 않을 수 있습니다.
이 요청은 웹 크롤러에 의해 생성된 것으로 보이며, 특정 서버에서 정보를 수집하거나 확인하는 과정일 수 있습니다.