Недавно я встречал подобные строки в журнале access_log HTTP-сервера (я изменил реальное изображение на «someimage.jpg» - вы можете просматривать папку изображений напрямую, поскольку список каталогов разрешен, если вы хотите попробовать с реальным изображением ):
GET http://www.hindu.com\xc2:\xc2/mp/2006/07/03/images/someimage.jpg HTTP/1.1" 400 313 "-" "webcollage/1.135a
Пользовательский агент кажется веб-коллаж, который представляет собой инструмент для украшения экрана случайными изображениями из Интернета, но я предполагаю, что это подделка. Очевидно, была попытка использовать HTTP-сервер в качестве HTTP-прокси.
Теперь меня интересует \xc2:\xc2 часть URL-адреса. Без этой части это был бы действительный URL. С этой строкой первая \xc2 будет интерпретироваться как часть домена верхнего уровня, а второй - как порт. Он не нашел никаких ссылок на уязвимость, связанную с этой строкой, но множество журналов доступа через Google, содержащих похожие строки, без каких-либо объяснений.
Есть идеи, что здесь пробовали?