Apa metode permintaan COOK HTTP di log saya?

9

Saya melihat entri di log Apache saya seperti berikut ini

178.216.185.210 - - [24/Feb/2014:11:46:40 -0500] "COOK /freesearch.php?portal=0a9&... HTTP/1.0" 303 589 "-" "Mozilla/4.0 (compatible; Synapse)"

dengan COOKdi tempat biasa GETatau POST.

Saya telah mencoba berbagai istilah pencarian dan tidak dapat menemukan info tentang apa ini. Saya juga telah meng-Google-go string agen-pengguna dan menemukan bahwa kemungkinan skrip tersebut dibuat dengan Ararat Synapse . Dan menilai dari permintaan lain yang dibuat dengan string agen pengguna, ini adalah seseorang yang tidak baik.

Jadi, apakah ini hanya beberapa metode permintaan yang dibuat-buat?

Bagaimana cara Apache menangani metode permintaan yang tidak diketahui? Kode status respons untuk semua COOKpermintaan dicatat sebagai 303. Jadi, apakah Apache mengatakan Lihat Lainnya dan hanya menyediakan URI yang sama? Saya tidak melihat hit lain dari IP yang sama, jadi saya berasumsi bahwa responsnya hanya dicatat atau diabaikan. Mereka mungkin kembali lagi nanti dari IP lain.

Jadi skrip saya tidak pernah berjalan, benar?

toxalot
sumber

Jawaban:

11

Ini bukan metode yang didefinisikan dalam standar HTTP apa pun, itu sudah pasti. Mungkin beberapa metode 'khusus' diterapkan oleh pemilik web yang eksklusif.

Karena ini adalah metode yang tidak dikenal, Apache tidak boleh menjalankan apa pun. Menurut artikel Wikipedia tentang HTTP 303 , dan saya kutip:

Respons ini menunjukkan bahwa respons yang benar dapat ditemukan di bawah URI yang berbeda dan harus diambil menggunakan metode GET.

jadi pada dasarnya Apache memberi tahu klien untuk mencoba kembali permintaan menggunakan metode GET.

pepoluan
sumber
10

Kata kerja COOK tampaknya bersinonim dengan string Agen-Pengguna yang mengandung "Sinaps". Istilah Synapse adalah pustaka TCP / IP gratis yang ditulis dalam Pascal (lihat di sini: http://wiki.freepascal.org/Synapse#From_an_HTTP_server ) yang digunakan untuk membuat bot, pencakar dan perayap serta perangkat lunak lain yang sah.

Hsiboy
sumber
1
Kami memblokir kata kerja yang tidak standar dan kami juga memblokir Synapse. Kami melakukannya di IIS menggunakan alat yang disebut URLScan
Luke Puplett
3

Metode serangan ini kemungkinan besar biasanya terkait dengan agen pengguna seperti yang disebutkan sebelumnya, seperti dengan SYNAPSE, dan karena alat ini biasanya digunakan untuk penjelajahan dan peretasan berbahaya, kemungkinan besar digunakan dalam metode ini sebagai cara untuk menyelidiki jika Anda memblokir atau memiliki semacam firewall atau aplikasi di tempat yang akan diblokir berdasarkan Metode HTTP yang tidak diketahui. Bergantung pada responsnya, Anda mungkin bisa mendapatkan wawasan tentang alat yang digunakan.

Mengetahui bahwa Anda memiliki firewall atau semacam alat lain untuk menolak permintaan ini, mereka kemudian menyusun serangan untuk menghindari perilaku pemblokiran default umum yang digunakan oleh jenis firewall / alat tersebut.

pengguna265043
sumber