Каков метод запроса HTTP COOK в моих журналах?


9

Я вижу записи в моих журналах Apache, как показано ниже

178.216.185.210 - - [24/Feb/2014:11:46:40 -0500] "COOK /freesearch.php?portal=0a9&... HTTP/1.0" 303 589 "-" "Mozilla/4.0 (compatible; Synapse)"

с COOKвместо обычного GETили POST.

Я пробовал множество поисковых терминов и не могу найти никакой информации о том, что это может быть. Я также прогуглил строку user-agent и обнаружил, что это, скорее всего, скрипт, созданный с помощью Ararat Synapse . И, судя по другим запросам, сделанным с этой строкой user-agent, это тот, у кого ничего хорошего нет.

Так это просто какой-то составленный метод запроса?

Как Apache обрабатывает неизвестные методы запроса? Код состояния ответа для всех COOKзапросов записывается как 303. Итак, Apache говорит « Прочее» и просто предоставляет тот же URI? Я не вижу другого попадания с того же IP-адреса, поэтому я предполагаю, что ответ просто регистрируется или игнорируется. Возможно, они позже вернутся с другого IP.

Так что мой сценарий никогда не запускается, верно?

Ответы:


11

Это не метод, определенный в каких-либо стандартах HTTP, это точно. Вероятно, некоторые «пользовательские» методы реализованы проприетарными веб-серверами.

Поскольку это неизвестный метод, Apache не должен ничего выполнять. Согласно статье Википедии о HTTP 303 , и я цитирую:

Этот ответ указывает на то, что правильный ответ может быть найден под другим URI и должен быть получен с помощью метода GET.

так что в основном Apache говорит клиенту повторить запрос, используя метод GET.


10

Глагол COOK представляется синонимом строки User-Agent, содержащей «Synapse». Термин Synapse - это бесплатная библиотека TCP / IP, написанная на языке Pascal (см. Здесь: http://wiki.freepascal.org/Synapse#From_an_HTTP_server ), которая используется для создания ботов, скребков и сканеров, а также другого легального программного обеспечения.


1
Мы блокируем нестандартные глаголы, а также блокируем Synapse. Мы делаем это на IIS с помощью инструмента под названием URLScan
Люк Пуплетт,

3

Этот метод атаки, скорее всего, обычно привязан к пользовательскому агенту, как упоминалось ранее, например, с SYNAPSE, и поскольку этот инструмент обычно используется для злонамеренного поиска и взлома, он, скорее всего, используется в этом методе в качестве способа проверки, если вы блокирование или наличие какого-либо брандмауэра или приложения, которое будет блокировать на основе неизвестных методов HTTP. В зависимости от ответа вы сможете получить представление об используемых инструментах.

Зная, что у вас есть брандмауэр или какой-то другой инструмент для отклонения этих запросов, они затем производят атаку, чтобы избежать обычного поведения блокировки по умолчанию, используемого этим типом брандмауэра / инструмента.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.