基于OpenAPI的APIcat开源日志监控软件已经开发一段时间了，在自己的网站上抓到了一些HTTP的攻击，没事，我们就汇总给大家做个赏析，也当是个提醒。

这是一篇系列文章，跳转查看更多：

常见HTTP攻击赏析（1）

对应的OpenAPI定义上传到了百家饭平台

API攻击样例详情https://rongapi.cn/api/detail/64

/public.rar

这是一类企图下载网站源码的攻击的其中一种，其他的还有

/public.rar
/public.tar
……
/public_html.rar
/public_html.tar
/public_html.tar.gz
……
/root.rar
……
/web.rar
/web.tar
/web.tar.gz
/web.zip
……
/wwwroot.rar
……

攻击的时候，直接通过HEAD请求企图获取文件信息。

/autodiscover/autodiscover.json 

存在于Microsoft Exchange的一个已知泄漏点，可以用于进行远程代码执行

/

今天看到的最奇特的一个攻击，企图向我的根URL直接POST一个数据，搜索了一些资料，说是机器学习，自主攻击，也就是从根目录开始获取网站内容，再进行深入攻击？

/ywotttv.bj.chinamobile.com/PLTV/88888888/224/3221226346/1.m3u8

有趣的网站，居然是一个iptv的播放串流，第一次了解这个东西，我还查到了一个列表，里面有很多串流点：GitHub - hl2341685/tv

找当里面以m3u8结尾的url就可以直接用vlc等打开：

 /include/calendar/calendar-cn.js

这个攻击没有找到具体的攻击点，网上有一些攻击的例子，但是没有介绍对这个攻击具体怎么工作的，应该是通过这个js文件的读取进一步确认系统是否使用了和这个文件相关的库，从而利用该库进行攻击，搜索结果指向一款JS Calendar (com_jscalendar) component 1.5.1 and 1.5.4 for Joomla!的SQL注入攻击漏洞点。

/ping.js

和上面的攻击类似，也应该是通过获取js文件从而探测系统是否使用了一款有漏洞的类库，搜索结果指向一款叫express-ping的node类库，看起来是express的一个功能库，会暴露/ping作为获取系统信息的入口，但同时也暴露成了泄漏点。

/api/pay/query_order

搜索指向一款叫xxpay的统一支付平台软件，应该也是探测漏洞用的入口

/api/auth

和上面的是一套的

/owa/auth/x.js

同样指向Exchange的攻击探测口，exchange好火啊，这么多漏洞探测指向exchange。

/ecp/Current/exporttool/microsoft.exchange.ediscovery.exporttool.application

又来一个exchange的

下周继续……