更多.well-known目录扫描 - SANS互联网风暴中心
我之前曾多次撰写关于".well-known"目录的文章。最近一篇是关于攻击者隐藏webshell[1],更早之前则是关于该目录的用途以及为何应该设置"/.well-known/security.txt"文件。但今天在查看此Web服务器日志时,我注意到了其他情况。有时你并不需要蜜罐。某些攻击者的噪音足够大,在繁忙的Web服务器上很容易被发现。这次,攻击者命中了".well-known"目录内的各种URL。以下是超过100个被访问URL的示例:
.well-known/ai-plugin.json .well-known/apple-app-site-association .well-known/oauth-authorization-server .well-known/openid-configuration .well-known/terraform.json
在继续阅读之前请注意:其中一些文件是必需的。不要在没有先与开发人员或系统管理员沟通的情况下就删除它们!
terraform.json:顾名思义,它被Hashicorp的Terraform产品使用。Terraform使用此文件来发现API端点,有点像OpenAPI/WSDL[1]。
ai-plugin.json:网站可以通过此文件宣传各种AI插件,特别是ChatGPT。该文件描述了插件(供人类和机器使用)并定义了如何与它们交互。
.well-known/apple-app-site-association:开发人员可以指示特定网站/域与特定应用程序相关联。这允许在应用程序中使用网站内容,并且凭证可以在网站和应用程序之间共享使用。
.well-known/oauth-authorization-server和**.well-known/openid-configuration**:这两个文件在内容和用途上相似。如果你使用OAuth或OpenID Connect(OIDC),这些URL将帮助依赖方确定使用哪些密钥来验证此服务创建的任何签名。
从这个小的样本中,攻击者扫描这些内容的原因相当明显。它们对于侦察和发现站点之间的关系非常有用。如上所述,不要盲目删除它们,因为它们可能是必需的。但是,应该控制和审查这些文件的内容。同时,请确保你有一个.well-known/security.txt文件。
– Johannes B. Ullrich, Ph.D. , SANS.edu研究院长 Twitter|
关键词:wellknown wellknown