Они проверяют ваш сайт, чтобы увидеть, установлен ли у вас код с известными уязвимостями безопасности.
Jquery имеет виджет, который позволяет пользователям загружать изображения. Но в ранних версиях была уязвимость, позволяющая злоумышленнику загружать файлы произвольного кода вместо изображений, а затем выполнять файлы кода на веб-сервере. Патч был разработан в 2018 году для исправления этой проблемы, но на некоторых сайтах все еще может быть установлена старая версия Jquery.
В PHPUnit есть несколько уязвимостей, которые делают возможным выполнение произвольного кода, поскольку он будет запускать код, который вы отправляете с помощью eval()
. Защита НИКОГДА не помещает файлы PHPUnit в место, где злоумышленник может получить к ним доступ напрямую через URL. На самом деле, я не думаю, что есть какая-либо веская причина для развертывания файлов PHPUnit на вашем рабочем сайте. PHPUnit - это инструмент для разработки и тестирования.
Обновление: разработчик PHPUnit соглашается: https://thephp.cc/news/2020/02/phpunit-a-security-risk
Есть ли на вашем сайте эксплуатируемый код для любой из этих двух уязвимостей? Это то, что проверяет злоумышленник. Им почти ничего не стоит попробовать этот эксплойт на каждом сайте.