<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<style type="text/css" style="display:none;"><!-- P {margin-top:0;margin-bottom:0;} --></style>
</head>
<body dir="ltr">
<div id="divtagdefaultwrapper" style="color: rgb(0, 0, 0); font-family: Calibri,Arial,Helvetica,sans-serif; font-size: 12pt;" dir="ltr">
<p><br>
</p>
<font size="2">
<p><br>
</p>
<span style="font-size: 10pt;">
<p>>Is it possible that they were able to download your server side<br>
>script? is that directory open in such a way to allow them access to<br>
>download rather then execute? does the script leak those parameters<br>
>when executed?</p>
<p><br>
</p>
<p>No, directory listing is forbidden and the script is not downloadable.</p>
<p><br>
</p>
<p>I am not sure what you mean by "leak those parameters"</p>
<p><br>
</p>
<p>The script just takes in a normal HTTP GET and ultimately either shows an error page or a report page depending on the parameters. Even if the parameters are correct, the user still sees an error page when the IP is logged.<br>
<br>
>here is what i do for similar situations:<br>
>1. enable https: it really does not hurt and this should just be on by default.</p>
<p><br>
</p>
<p>Yeah, I may or may not do this. I realize that it is trivial but it is even more trivial to not do it.</p>
<p><br>
>2. use an api string or use a custom user agent string: only clients<br>
>with the correct string will actually be listened to (this will help<br>
>you in the future too)</p>
<p><br>
</p>
<p>I considered this and may still implement it.</p>
<p><br>
>3. enable http auth: even if it is stupid data; it keeps away those<br>
>random rubbernecker and crawlers that ignore robots.txt, you can even<br>
>use REMOTE_USER as additional metadata that can be used to track down<br>
>systems.</p>
<p><br>
</p>
<p>What I am really wondering here is how the full exact query was captured and then repeated by a 3rd party out in the wild. The implications are kind of scary.<br>
<br>
</p>
</span>
<p><br>
</p>
</font>
<p><br>
</p>
<div style="color: rgb(0, 0, 0);"><br>
</div>
</div>
</body>
</html>