
<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">

<style type="text/css" style="display:none;"><!-- P {margin-top:0;margin-bottom:0;} --></style>

</head>

<body dir="ltr">

<div id="divtagdefaultwrapper" style="color: rgb(0, 0, 0); font-family: Calibri,Arial,Helvetica,sans-serif; font-size: 12pt;" dir="ltr">

<p><br>

</p>

<font size="2">

<p><br>

</p>

<span style="font-size: 10pt;">

<p>>Is it possible that they were able to download your server side<br>

>script? is that directory open in such a way to allow them access to<br>

>download rather then execute? does the script leak those parameters<br>

>when executed?</p>

<p><br>

</p>

<p>No, directory listing is forbidden and the script is not downloadable.</p>

<p><br>

</p>

<p>I am not sure what you mean by "leak those parameters"</p>

<p><br>

</p>

<p>The script just takes in a normal HTTP GET and ultimately either shows an error page or a report page depending on the parameters. Even if the parameters are correct, the user still sees an error page when the IP is logged.<br>

<br>

>here is what i do for similar situations:<br>

>1. enable https: it really does not hurt and this should just be on by default.</p>

<p><br>

</p>

<p>Yeah, I may or may not do this. I realize that it is trivial but it is even more trivial to not do it.</p>

<p><br>

>2. use an api string or use a custom user agent string: only clients<br>

>with the correct string will actually be listened to (this will help<br>

>you in the future too)</p>

<p><br>

</p>

<p>I considered this and may still implement it.</p>

<p><br>

>3. enable http auth: even if it is stupid data; it keeps away those<br>

>random rubbernecker and crawlers that ignore robots.txt, you can even<br>

>use REMOTE_USER as additional metadata that can be used to track down<br>

>systems.</p>

<p><br>

</p>

<p>What I am really wondering here is how the full exact query was captured and then repeated by a 3rd party out in the wild. The implications are kind of scary.<br>

<br>

</p>

</span>

<p><br>

</p>

</font>

<p><br>

</p>

<div style="color: rgb(0, 0, 0);"><br>

</div>

</div>

</body>

</html>