Was ist die HTTP COOK-Anforderungsmethode in meinen Protokollen?

9

Ich sehe Einträge in meinen Apache-Protokollen wie folgt

178.216.185.210 - - [24/Feb/2014:11:46:40 -0500] "COOK /freesearch.php?portal=0a9&... HTTP/1.0" 303 589 "-" "Mozilla/4.0 (compatible; Synapse)"

mit COOKanstelle des üblichen GEToder POST.

Ich habe verschiedene Suchbegriffe ausprobiert und kann keine Informationen darüber finden. Ich habe auch die Benutzeragentenzeichenfolge gegoogelt und festgestellt, dass es sich wahrscheinlich um ein Skript handelt, das mit Ararat Synapse erstellt wurde . Und nach den anderen Anfragen zu urteilen, die mit dieser User-Agent-Zeichenfolge gestellt wurden, ist dies jemand, der nichts Gutes vorhat.

Ist dies also nur eine erfundene Anforderungsmethode?

Wie geht Apache mit unbekannten Anforderungsmethoden um? Der Antwortstatuscode für alle COOKAnforderungen wird als 303 protokolliert. Sagt Apache also " Andere anzeigen" und stellt nur denselben URI bereit? Ich sehe keinen weiteren Treffer von derselben IP, daher gehe ich davon aus, dass die Antwort einfach protokolliert oder ignoriert wird. Sie kommen wahrscheinlich später von einer anderen IP zurück.

Mein Skript wird also nie ausgeführt, richtig?

apache-2.2  security  http 
Toxalot
quelle

Antworten:

11

Es ist keine Methode, die in HTTP-Standards definiert ist, das ist sicher. Wahrscheinlich einige 'benutzerdefinierte' Methoden, die von proprietären Webservern implementiert wurden.

Da es sich um eine unbekannte Methode handelt, sollte Apache nichts ausführen. Laut Wikipedia-Artikel über HTTP 303 zitiere ich:

Diese Antwort zeigt an, dass die richtige Antwort unter einem anderen URI gefunden werden kann und mit einer GET-Methode abgerufen werden sollte.

Im Grunde sagt Apache dem Client, dass er die Anforderung mit der GET-Methode wiederholen soll.

pepoluan
quelle
10

Das COOK-Verb scheint ein Synonym für die User-Agent-Zeichenfolge zu sein, die "Synapse" enthält. Der Begriff Synapse ist eine kostenlose TCP / IP-Bibliothek, die in Pascal geschrieben wurde (siehe hier: http://wiki.freepascal.org/Synapse#From_an_HTTP_server ) und zum Erstellen von Bots, Scrapern und Crawlern sowie anderer legitimer Software verwendet wird.

hsiboy
quelle
1
Wir blockieren nicht standardmäßige Verben und wir blockieren auch Synapse. Wir tun es auf IIS mit einem Tool namens URLScan
Luke Puplett
3

Diese Angriffsmethode ist höchstwahrscheinlich wie oben erwähnt an einen Benutzeragenten gebunden, z. B. an SYNAPSE. Da dieses Tool häufig für böswilliges Prüfen und Hacken verwendet wird, wird es bei dieser Methode höchstwahrscheinlich verwendet, um zu prüfen, ob Sie es sind Blockieren oder eine Firewall oder Anwendung einrichten, die basierend auf unbekannten HTTP-Methoden blockiert wird. Abhängig von der Antwort können Sie möglicherweise einen Einblick in die verwendeten Tools erhalten.

Da sie wissen, dass eine Firewall oder ein anderes Tool vorhanden ist, um diese Anforderungen abzulehnen, führen sie den Angriff aus, um das von dieser Art von Firewall / Tool verwendete Standardblockierungsverhalten zu vermeiden.

user265043
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.