Странные закодированные персонажи из России

Question

Мы видели много странных закодированных символов, появляющихся в наших отчетах о регистрации, в основном из России. Может ли это быть просто формой ботов или сканеров, которые спамят наш сайт злонамеренно?

Я пытался гуглить, но это не сильно помогло. Кто-нибудь сталкивался с чем-то похожим?

  "SearchWithinKWs": [
    "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"
  ]

Answer 1

25 - это значение ascii %, поэтому мое первоначальное предположение могло бы состоять в том, что это автоматические боты, пытающиеся вызвать ошибки на основе отправки большого количества %%%%%%%%<char> запросов , чтобы попытаться выявить ошибки кодирования / экранирования - либо во внешнем интерфейсе, либо во внутреннем.

Но повторное использование %25 может также означать, что эта записанная строка просто пропускается через множество сервисов, которые все самостоятельно убегают, а затем отбрасывается куда-то на длинную линию.

Поскольку (почти) каждый символ содержит одинаковое количество экранированных символов:

2525252525252525252525d0
252525252525252525252596
2525252525252525252525d0
2525252525252525252525b8
2525252525252525252525d0
2525252525252525252525b4
2525252525252525252525d0
2525252525252525252525ba
2525252525252525252525d0
2525252525252525252525be
2525252525252525252525d0
2525252525252525252525b5
252525252525252525252b
2525252525252525252525d0
2525252525252525252525bc
2525252525252525252525d1
25252525252525252525258b
2525252525252525252525d0
2525252525252525252525bb
2525252525252525252525d0
2525252525252525252525be
2525252525252525252525bb
2525252525252525252525d0

Единственное выделяющееся значение - 0x2b, которое представляет «+», которое, в свою очередь, используется для выхода из пробела.

Если мы игнорируем все значения 25, которые, вероятно, представляют собой несколько слоев кодированных и потерянных %, мы получим что-то, что, похоже, напоминает символы UTF-8 (повторяющийся d0 - хороший намек на это) , Мы можем декодировать байты как UTF-8 в Python и посмотреть, получим ли мы что-нибудь полезное:

>>> b"\xd0\x96\xd0\xb8\xd0\xb4\xd0\xba\xd0\xbe\xd0\xb5 \xd0\xbc\xd1\x8b\xd0\xbb\xd0\xbe\xd0\xbb".decode("utf-8")
'Жидкое мылол'

Поскольку я вообще не знаю русского языка, я использовал Google Translate , чтобы хотя бы понять, что это может быть. Google переводчик говорит мне, что это запрос для Liquid Soap. Моющее средство

Если это злонамеренно или нет, это будет зависеть от контекста и того, где все эти% кодировки сломаются.