O que é o método de solicitação HTTP COOK em meus logs?

9

Estou vendo entradas nos meus logs do Apache como as seguintes

178.216.185.210 - - [24/Feb/2014:11:46:40 -0500] "COOK /freesearch.php?portal=0a9&... HTTP/1.0" 303 589 "-" "Mozilla/4.0 (compatible; Synapse)"

com COOKno lugar do habitual GETou POST.

Eu tentei vários termos de pesquisa e não consigo encontrar nenhuma informação sobre o que pode ser isso. Também pesquisei no Google a string do agente do usuário e descobri que é provavelmente um script criado com o Ararat Synapse . E, a julgar pelos outros pedidos feitos com essa sequência de agente do usuário, esse alguém não é bom.

Então, isso é apenas um método de solicitação inventado?

Como o Apache lida com métodos de solicitação desconhecidos? O código de status da resposta para todas as COOKsolicitações é registrado como 303. O Apache está dizendo Consulte Outro e apenas fornecendo o mesmo URI? Não vejo outra ocorrência do mesmo IP, portanto, suponho que a resposta seja simplesmente registrada ou ignorada. Eles provavelmente voltam mais tarde de outro IP.

Então, meu script nunca é executado, correto?

apache-2.2  security  http 
toxalote
fonte

Respostas:

11

Não é um método definido em nenhum padrão HTTP, com certeza. Provavelmente alguns métodos 'personalizados' implementados por servidores da web proprietários.

Por ser um método desconhecido, o Apache não deve executar nada. De acordo com o artigo da Wikipedia sobre HTTP 303 , cito:

Esta resposta indica que a resposta correta pode ser encontrada em um URI diferente e deve ser recuperada usando um método GET.

basicamente, o Apache está dizendo ao cliente para tentar novamente a solicitação usando o método GET.

pepoluan
fonte
10

O verbo COOK parece ser sinônimo da string User-Agent que contém "Sinapse". O termo Synapse é uma biblioteca TCP / IP gratuita escrita em Pascal (veja aqui: http://wiki.freepascal.org/Synapse#From_an_HTTP_server ) usada para criar bots, scrapers e rastreadores, além de outros softwares legítimos.

hsiboy
fonte
1
Bloqueamos verbos fora do padrão e também bloqueamos o Synapse. Fazemos isso no IIS usando uma ferramenta chamada URLScan
Luke Puplett
3

Esse método de ataque provavelmente está geralmente associado a um agente de usuário, como mencionado anteriormente, como no SYNAPSE, e como essa ferramenta é comumente usada para investigações e hackers mal-intencionados, é provavelmente usado nesse método como uma maneira de investigar se você está bloquear ou ter algum tipo de firewall ou aplicativo em vigor que será bloqueado com base em métodos HTTP desconhecidos. Dependendo da resposta, você poderá obter informações sobre as ferramentas usadas.

Sabendo que você possui um firewall ou algum outro tipo de ferramenta para negar essas solicitações, eles desenvolvem o ataque para evitar os comportamentos de bloqueio padrão comuns usados ​​por esse tipo de firewall / ferramenta.

user265043
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.