Мы только что отправили информационный бюллетень, и он содержал ссылку в HTML-сообщении на нашу домашнюю страницу, включая URL-адрес с параметрами запроса для предварительного заполнения формы. Они выглядели как https://www.ourcompany.com/Newsletterxxxx/Default.aspx?campaign=test2019&name=xxxx&email=xxxxx.xxxx@xxx.de&...
В наших журналах я могу найти несколько человек, которые обращались к форме с помощью этого странного материала:
ПОЛУЧИТЬ /Newsletterxxx/Default.aspx?campaign=cdfe5342&name=Xfaa&email=xfaa.fygba%40vfyffa.dbz & ...
Запрос пришел от 40.94.27.xx (принадлежит Microsoft) и содержал устаревший User-Agent:
Mozilla / 5.0 + (Windows + NT + 10.0; + Win64; + x64) + AppleWebKit / 537.36 + (KHTML, + like + Gecko) + Chrome / 57.0.2987.133 + Safari / 537.36
Похоже, что клиент щелкнул ссылку, но через систему прокси Microsoft. Они даже перешли на стартовую страницу, используя этот IP-адрес и пользовательский агент, и загрузили CSS, javascript и изображения.
Microsoft, должно быть, проксировала щелчок или автоматизировала его, а также изменила все параметры запроса на некоторую зашифрованную версию.
Мы обнаружили их несколько и .com, и кампания каждый раз зашифровывалась одинаково, это должно быть статическое шифрование, используемое в качестве обфускации. Также они закодировали символы типа @ как% 40. (,. т. д. вообще не запутываются и остаются на своем месте. Номера запутываются.
Я идентифицировал человека, которому мы отправили это, основываясь на длине почтового адреса и некотором предположении шифра (он оставляет несколько символов только смещенными на 1, это должен быть шифр Виженера). Они используют XXX-com.mail.protection.outlook.com в качестве сервера MX.
Кодируя данные в URL-адресе, это можно легко обойти.
У меня вопрос: зачем Microsoft это делает, как называется эта система? Это доступно для всех? Это «продвинутая защита потоков»? Как я могу это проверить?
Кто-нибудь, кто рассылает формы или информационные бюллетени, видел это раньше?
Должны ли мы сейчас кодировать все параметры запроса в URL? Представьте, что это ссылка для сброса пароля, а не информационная рассылка, теперь ее можно сломать, поэтому я надеюсь, что этот вопрос представляет общий интерес по сбоям сервера. Я не смог погуглить это поведение или IP-адрес Microsoft.