Что такое YTowOnt9?

Question

Что такое YTowOnt9?

351

Наша (PHP) структура иногда отображает скрытые входы со значением YTowOnt9. Я не могу найти эту строку в любом месте (огромной) кодовой базы и не могу понять, откуда она взялась. Я решил использовать Google для этой конкретной строки, а результат меня удивил. Более полумиллиона - случайные хиты. Я не нашел ни одной страницы, описывающей само значение. Он имеет 0 ударов в Stack Overflow.

Является ли YTowOnt9 какой-то магической строкой?

Sherlock 22 апр. 2014, в 16:16

Источник

2

Всегда одно и то же значение? Если бы это было случайно, я бы сказал, что это может быть токен CSRF или что-то в этом роде.
Platinum Azure 22 апр. 2014, в 15:06
0

Всегда одно и то же значение; это точно такое же значение имеет 500 000 просмотров в Google.
Sherlock 22 апр. 2014, в 15:06
0

Это похоже на соль или жетон для чего-то. Это всегда одна и та же строка? Даже если вы выходите из системы и удаляете куки / кеш или используете другой браузер?
Jurik 22 апр. 2014, в 15:07
0

Какой PHP-фреймворк вы используете?
j08691 22 апр. 2014, в 15:07
3

Это пользовательский фреймворк, и обратите внимание, что эта строка встречается в Google сотни тысяч раз.
Sherlock 22 апр. 2014, в 15:07
0

...renders hidden inputs... PHP не единственный потенциальный преступник, вы искали файлы JS? Вы используете шаблонизатор? Если так, то проверьте файлы .tpl .
MonkeyZeus 22 апр. 2014, в 15:16
0

Есть ли у скрытого поля какой-либо конкретный атрибут name ? обычно скрытые поля могут использоваться для отправки данных, но вам потребуется имя для доступа к стороне сервера значений
musefan 22 апр. 2014, в 15:57

Показать ещё 5 комментариев

Теги:

php

html

output

web

1 ответ

Ещё вопросы

Всегда одно и то же значение? Если бы это было случайно, я бы сказал, что это может быть токен CSRF или что-то в этом роде.
Всегда одно и то же значение; это точно такое же значение имеет 500 000 просмотров в Google.
Это похоже на соль или жетон для чего-то. Это всегда одна и та же строка? Даже если вы выходите из системы и удаляете куки / кеш или используете другой браузер?
Какой PHP-фреймворк вы используете?
Это пользовательский фреймворк, и обратите внимание, что эта строка встречается в Google сотни тысяч раз.
...renders hidden inputs... PHP не единственный потенциальный преступник, вы искали файлы JS? Вы используете шаблонизатор? Если так, то проверьте файлы .tpl .
Есть ли у скрытого поля какой-либо конкретный атрибут name ? обычно скрытые поля могут использоваться для отправки данных, но вам потребуется имя для доступа к стороне сервера значений

kojiro · Accepted Answer · 2014-04-22T16-45-00.000Z

585

Лучший ответ

Кажется, это PHP - сериализованный пустой массив, кодированный базой 64.

$ base64 -D <<< 'YTowOnt9'
a:0:{}
$ php -r 'var_dump(unserialize(base64_decode("YTowOnt9")));'
array(0) {
}

Существует много сценариев, которые сериализуют массивы данных. Когда массивы имеют данные, они сильно различаются, поэтому значения Base64 кодируют значения сериализованного PHP-кода, но когда они пусты, все они тоже самое. Это заставляет его выглядеть так, как если бы многие очень разные скрипты PHP имели эту случайную цепочку.

kojiro 22 апр. 2014, в 16:45

24

YTowOnt9 = a:0:{}
Tim S. 22 апр. 2014, в 18:35
2

Очень хорошая находка, это также поможет мне отладить ошибку, которую я пытался исправить. ;)
Sherlock 23 апр. 2014, в 05:44
40

@kojiro, с какой стати ты получил этот ответ? Вы просто подумали: «О, я просто попытаюсь десериализовать это в base64, у меня такое чувство, что это будет!» ? пожалуйста, дополните !:)
Thousand 23 апр. 2014, в 06:47
4

@Thousand Он, вероятно, подумал, что "поскольку это не имеет смысла, я попытаюсь расшифровать его с помощью base64" и выяснит, был ли a:0:{} который очень четко является сериализованным массивом.
h2ooooooo 23 апр. 2014, в 09:41
99

Некоторое время я смотрел на него и пытался переставить буквы в своей голове. Затем я внезапно понял, что странная заглавная буква напомнила мне базу 64. Поэтому я попробовал это и мне повезло.
kojiro 23 апр. 2014, в 11:17
1

Если вам когда-либо приходилось сканировать базу данных ExpressionEngine, вы сразу же узнаете YTowOnt9 как своего рода base64! Хорошая находка!
stef 23 апр. 2014, в 14:03
2

Я впечатлен, но разве это не должно быть base64 -d ? Не то чтобы это действительно имеет значение для этого вопроса :-)
Adrian Frühwirth 23 апр. 2014, в 14:21
10

@ AdrianFrühwirth GNU base64 использует -d для обозначения декодирования, поэтому в вашем случае, вероятно, да. Автор ответа, скорее всего, на OS X, которая использует -D для декодирования. Переносимость это сложно. :-)
Thanatos 23 апр. 2014, в 16:38
2

Может кто-нибудь объяснить мне, почему используется кодировка "base 64"? Являются ли альтернативы базой 32/10; это просто какие-то вещи низкого уровня?
HC_ 23 апр. 2014, в 17:44
0

@HC_: значение должно быть передано в кодированной форме url, поэтому лучше использовать текст, а base64 - наиболее эффективная обычная кодировка текста. Но тогда сериализованные данные на самом деле уже являются текстовыми, так что это больше похоже на неудачную попытку запутывания.
Jan Hudec 23 апр. 2014, в 18:25
5

@JanHudec: base64 будет содержать только печатные символы. Сериализованный массив PHP не может, он может содержать ноль байтов и тому подобное.
knittl 23 апр. 2014, в 18:49
0

@knittl: Было бы еще эффективнее кодировать эти нечетные биты с помощью% кодов, поскольку они редки.
Jan Hudec 23 апр. 2014, в 19:02
0

@JanHudec: ну, это полностью зависит от ваших входных данных. Для сериализованных массивов php, вероятно, дешевле (по размеру) использовать rawurlencode, но опять же, это не имеет большого значения…
knittl 23 апр. 2014, в 19:12
16

@kojiro, я не уверен, что имеет смысл называть base64 «сжатием» (даже не «очень плохим сжатием»), учитывая, что выходной текст постоянно на 33% больше, чем входной.
tobyink 24 апр. 2014, в 22:31
0

@ tobyink ты прав. Я думаю, что в то время я думал о других схемах побега / кодирования.
kojiro 24 апр. 2014, в 23:51
1

@HC_ И вот что у вас есть: Base 64 - это наибольшая числовая основа со степенью двух, которую можно представить, используя только печатные (ascii) символы. Чем больше база, тем больше данных можно представить одним символом.
kojiro 26 апр. 2014, в 15:35
2

Разве это не кажется любопытным, что YTowOnt9 кажется произносимым стилизованным сокращением для некоторого возможного выражения или шутки (например, ID-ten-T) или опечатки чего-то, сродни «pwn». Политик Лит-Спик выражение «Ваш город не будет возражать». Или 2009 год, год многих событий. Опять же, я уверен, что многие искаженные значения могут быть интуитивно понятны из искаженных кодировок base64. :)
Tom Pace 26 апр. 2014, в 17:36
0

Я играл с кодировкой base64 несколько месяцев назад. Я думаю, что где-то около 200 символов входного размера, вы в конечном итоге с закодированным base64 равного размера. Дольше, чем это, и ваш вывод будет на самом деле меньше, чем ваш ввод.
Buttle Butkus 27 апр. 2014, в 04:27
5

@ButtleButkus Многие из нас хотели бы видеть примеры любых строк байтов, меньших после кодирования base64.
user2338816 27 апр. 2014, в 09:50
0

@ButtleButkus Вы, возможно, сжимали текст и base64, кодирующие сжатие? Это будет что-то похожее на то, что вы описываете: накладные расходы для небольших значений, точка безубыточности, и тогда это станет лучше.
Tim S. 16 июль 2014, в 18:32
0

@ user2338816 Я сжимал строку. Есть ли причина не использовать сжатие, когда это возможно?
Buttle Butkus 19 июль 2014, в 02:17
1

@ButtleButkus Ну, если строка сжата, это как бы удаляет весь вопрос base64 из обсуждения. Любая значимая строка почти гарантированно не будет иметь характеристики base64 после сжатия (пока не будет правильно распакована).
user2338816 19 июль 2014, в 03:00

Показать ещё 20 комментариев