Jaka jest metoda żądania HTTP COOK w moich logach?

9

W dziennikach Apache widzę wpisy takie jak poniżej

178.216.185.210 - - [24/Feb/2014:11:46:40 -0500] "COOK /freesearch.php?portal=0a9&... HTTP/1.0" 303 589 "-" "Mozilla/4.0 (compatible; Synapse)"

z COOKzamiast zwykłego GETlub POST.

Wypróbowałem różne wyszukiwane hasła i nie mogę znaleźć żadnych informacji na temat tego, co to może być. Przejrzałem też ciąg znaków klient-klient i odkryłem, że jest to prawdopodobnie skrypt zbudowany za pomocą Ararat Synapse . Sądząc po innych żądaniach złożonych z tym ciągiem użytkownika i użytkownika, jest to ktoś, kto nie ma nic dobrego.

Czy to tylko jakaś wymyślona metoda żądania?

Jak Apache obsługuje nieznane metody żądań? Kod statusu odpowiedzi dla wszystkich COOKżądań jest rejestrowany jako 303. Czy więc Apache mówi Zobacz inne i po prostu podaje ten sam identyfikator URI? Nie widzę kolejnego trafienia z tego samego adresu IP, więc zakładam, że odpowiedź jest po prostu rejestrowana lub ignorowana. Prawdopodobnie wrócą później z innego adresu IP.

Więc mój skrypt nigdy się nie uruchamia, prawda?

apache-2.2  security  http 
toksalot
źródło

Odpowiedzi:

11

Na pewno nie jest to metoda zdefiniowana w żadnych standardach HTTP. Prawdopodobnie niektóre „niestandardowe” metody zaimplementowane przez zastrzeżone serwery WWW.

Ponieważ jest to nieznana metoda, Apache nie powinien niczego wykonywać. Zgodnie z artykułem Wikipedii na temat HTTP 303 , cytuję:

Ta odpowiedź wskazuje, że poprawną odpowiedź można znaleźć pod innym identyfikatorem URI i należy ją pobrać przy użyciu metody GET.

więc w zasadzie Apache mówi klientowi, aby ponowił żądanie za pomocą metody GET.

pepoluan
źródło
10

Czasownik COOK wydaje się być synonimem ciągu znaków User-Agent zawierającego „Synapse”. Termin Synapse to darmowa biblioteka TCP / IP napisana w języku Pascal (patrz tutaj: http://wiki.freepascal.org/Synapse#From_an_HTTP_server ), która służy do tworzenia botów, drapaczy i przeszukiwaczy, a także innego legalnego oprogramowania.

hsiboy
źródło
1
Blokujemy czasowniki niestandardowe, a także blokujemy Synapse. Robimy to w IIS za pomocą narzędzia o nazwie URLScan
Luke Puplett
3

Ta metoda ataku jest najprawdopodobniej zwykle powiązana z agentem użytkownika, jak wspomniano wcześniej, na przykład z SYNAPSE, a ponieważ narzędzie to jest powszechnie używane do złośliwego sondowania i hakowania, najprawdopodobniej jest używane w tej metodzie jako sposób na sondowanie, jeśli jesteś blokuje lub ma jakąś zaporę ogniową lub aplikację, która będzie blokować w oparciu o nieznane metody HTTP. W zależności od odpowiedzi możesz uzyskać wgląd w używane narzędzia.

Wiedząc, że masz zaporę ogniową lub jakieś inne narzędzie w celu odrzucenia tych żądań, następnie przygotowują atak, aby uniknąć typowych domyślnych zachowań blokujących używanych przez ten typ zapory / narzędzia.

użytkownik265043
źródło
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.