Назад | Перейти на главную страницу

Что такое метод запроса HTTP COOK в моих журналах?

В журналах Apache я вижу следующие записи

178.216.185.210 - - [24/Feb/2014:11:46:40 -0500] "COOK /freesearch.php?portal=0a9&... HTTP/1.0" 303 589 "-" "Mozilla/4.0 (compatible; Synapse)"

с участием COOK вместо обычного GET или POST.

Я пробовал разные поисковые запросы и не могу найти никакой информации о том, что это может быть. Я также погуглил строку пользовательского агента и обнаружил, что это, вероятно, сценарий, созданный с Араратский синапс. И, судя по другим запросам, сделанным с этой строкой пользовательского агента, это тот, кто задумал ничего хорошего.

Так это просто какой-то выдуманный метод запроса?

Как Apache обрабатывает неизвестные методы запроса? Код состояния ответа для всех COOK запросов регистрируется как 303. Так говорит Apache См. Другое и просто предоставить тот же URI? Я не вижу другого обращения с того же IP-адреса, поэтому предполагаю, что ответ просто регистрируется или игнорируется. Вероятно, они вернутся позже с другого IP.

Итак, мой сценарий никогда не запускается, верно?

Это точно не метод, определенный никакими стандартами HTTP. Вероятно, какие-то «кастомные» методы реализованы проприетарными веб-серверами.

Поскольку это неизвестный метод, Apache не должен ничего выполнять. В соответствии с Статья Википедии о HTTP 303, и цитирую:

Этот ответ указывает на то, что правильный ответ может быть найден под другим URI и должен быть получен с помощью метода GET.

поэтому в основном Apache говорит клиенту повторить запрос с помощью метода GET.

Глагол COOK кажется синонимом строки User-Agent, содержащей «Synapse». Термин Synapse - это бесплатная библиотека TCP / IP, написанная на Паскале (см. Здесь: http://wiki.freepascal.org/Synapse#From_an_HTTP_server), который используется для создания ботов, парсеров и сканеров, а также другого легального программного обеспечения.

Этот метод атаки, скорее всего, обычно привязан к пользовательскому агенту, как упоминалось ранее, например, с SYNAPSE, и поскольку этот инструмент обычно используется для злонамеренного зондирования и взлома, он, скорее всего, используется в этом методе как способ проверки, если вы блокировка или установлен какой-либо брандмауэр или приложение, которое будет блокировать на основе неизвестных методов HTTP. В зависимости от ответа вы сможете получить представление об используемых инструментах.

Зная, что у вас есть брандмауэр или какой-либо другой инструмент для отклонения этих запросов, они затем разрабатывают атаку, чтобы избежать стандартного поведения блокировки, используемого этим типом брандмауэра / инструмента.