求助:这些异常请求是什么?
查看我们的网络蜜罐数据时,我遇到了一个之前从未见过的奇怪请求头:“X-Forwarded-App”。我的第一猜测是这又是代理服务器桶 brigade 泄露秘密的问题,当特定"应用"连接到它时会出现这种情况。于是我深入调查,发现了如下请求:
1
2
3
4
5
6
7
8
9
10
11
12
13
|
GET /business/appVersion/get/qr/download HTTP/1.1
Host: [蜜罐IP地址]
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/136.0.0.0 Safari/537.36 Trailer/93.3.3570.29
Accept: application/json
Accept-Language: zh-CN,zh;q=0.9,zh-HK;q=0.8,zh-TW;q=0.7,en;q=0.6
Content-Type: application/json;charset=UTF-8
Deviceid: 4c2e063f3def4582
Deviceinfo: android
License: doJn7HAfIo9xMsLbcEKD7ku40F2zWJjJOjgxwqFs_Hec3FdkKcgKRQFCOrf-5xxI
Phonemodel: samsung
V: 48650
X-Forwarded-App: app.F6syl6mB
Accept-Encoding: gzip
|
这看起来像是移动应用发送的请求。某些细节,比如"app.“后面的字符串,每次请求都会变化。“License"头可能被用作API密钥(我稍微修改了它,以防这是有效的许可证)。
通过谷歌搜索发现一些API使用X-Forwarded-App头,但没有与这个请求完全匹配的具体内容。如果您对这个请求可能是什么有任何想法,请告诉我。
–
Johannes B. Ullrich, Ph.D., SANS.edu研究院长
关键词: header proxy qr samsung XForwardedApp
评论
这看起来像是机器人正在扫描暴露的移动应用后端端点,并尝试头部混淆技巧。
匿名用户
2025年9月21日 4天前