Phương thức yêu cầu HTTP COOK trong nhật ký của tôi là gì?


9

Tôi thấy các mục trong nhật ký Apache của tôi như sau

178.216.185.210 - - [24/Feb/2014:11:46:40 -0500] "COOK /freesearch.php?portal=0a9&... HTTP/1.0" 303 589 "-" "Mozilla/4.0 (compatible; Synapse)"

với COOKvị trí thông thường GEThoặc POST.

Tôi đã thử nhiều thuật ngữ tìm kiếm và không thể tìm thấy bất kỳ thông tin nào về điều này có thể là gì. Tôi cũng đã kết nối chuỗi tác nhân người dùng và phát hiện ra rằng đó có thể là một tập lệnh được xây dựng với MediaWiki Synapse . Và đánh giá bởi các yêu cầu khác được thực hiện với chuỗi tác nhân người dùng đó, đây là một người không tốt.

Vì vậy, đây chỉ là một số phương pháp yêu cầu tạo nên?

Làm thế nào để Apache xử lý các phương thức yêu cầu không xác định? Mã trạng thái phản hồi cho tất cả các COOKyêu cầu được ghi lại là 303. Vậy Apache có nói See Other và chỉ cung cấp cùng một URI không? Tôi không thấy một lần truy cập khác từ cùng một IP, vì vậy tôi cho rằng phản hồi chỉ đơn giản là đăng nhập hoặc bỏ qua. Họ có thể quay lại sau từ một IP khác.

Vì vậy, kịch bản của tôi là không bao giờ chạy, đúng không?

Câu trả lời:


11

Đây không phải là một phương pháp được xác định trong bất kỳ tiêu chuẩn HTTP nào, điều đó là chắc chắn. Có lẽ một số phương pháp 'tùy chỉnh' được triển khai bởi máy chủ web độc quyền.

Vì đó là một phương thức không xác định, Apache không nên thực hiện bất cứ điều gì. Theo bài viết của Wikipedia về HTTP 303 , và tôi xin trích dẫn:

Phản hồi này chỉ ra rằng phản hồi chính xác có thể được tìm thấy theo một URI khác và nên được truy xuất bằng phương thức GET.

vì vậy về cơ bản, Apache đang yêu cầu khách hàng thử lại yêu cầu bằng phương thức GET.


10

Động từ COOK dường như đồng nghĩa với chuỗi User-Agent có chứa "Synapse". Thuật ngữ Synapse là một thư viện TCP / IP miễn phí được viết bằng Pascal (xem tại đây: http://wiki.freepascal.org/Synapse#From_an_HTTP_server ) được sử dụng để tạo bot, trình dọn dẹp và trình thu thập thông tin cũng như các phần mềm hợp pháp khác.


1
Chúng tôi chặn các động từ không chuẩn và chúng tôi cũng chặn Synapse. Chúng tôi làm điều đó trên IIS bằng cách sử dụng một công cụ có tên URLScan
Luke Puplett

3

Phương thức tấn công này rất có thể thường được gắn với một tác nhân người dùng như đã đề cập trước đây, chẳng hạn như với SYNAPSE và bởi vì công cụ này thường được sử dụng để thăm dò và hack độc hại, có lẽ được sử dụng trong phương pháp này như một cách để thăm dò nếu bạn là chặn hoặc có một số loại tường lửa hoặc ứng dụng tại chỗ sẽ chặn dựa trên các Phương thức HTTP không xác định. Tùy thuộc vào phản hồi, bạn có thể hiểu rõ hơn về các công cụ được sử dụng.

Biết rằng bạn có tường lửa hoặc một loại công cụ nào đó để từ chối các yêu cầu này, sau đó họ thực hiện cuộc tấn công để tránh các hành vi chặn mặc định phổ biến được sử dụng bởi loại tường lửa / công cụ đó.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.