¿Cuál es el método de solicitud HTTP COOK en mis registros?


9

Veo entradas en mis registros de Apache como las siguientes

178.216.185.210 - - [24/Feb/2014:11:46:40 -0500] "COOK /freesearch.php?portal=0a9&... HTTP/1.0" 303 589 "-" "Mozilla/4.0 (compatible; Synapse)"

con COOKen lugar de lo habitual GETo POST.

He intentado una variedad de términos de búsqueda y no puedo encontrar ninguna información sobre lo que podría ser. También busqué en Google la cadena de agente de usuario y descubrí que probablemente sea un script creado con Ararat Synapse . Y a juzgar por las otras solicitudes hechas con esa cadena de agente de usuario, este es alguien que no está haciendo nada bueno.

Entonces, ¿esto es solo un método de solicitud inventado?

¿Cómo maneja Apache los métodos de solicitud desconocidos? El código de estado de respuesta para todas las COOKsolicitudes se registra como 303. Entonces, ¿Apache dice Ver otro y solo proporciona el mismo URI? No veo otro golpe desde la misma IP, así que supongo que la respuesta simplemente se registra o se ignora. Probablemente regresen más tarde de otra IP.

Entonces mi script nunca se ejecuta, ¿correcto?

Respuestas:


11

No es un método definido en ningún estándar HTTP, eso es seguro. Probablemente algunos métodos 'personalizados' implementados por servidores web propietarios.

Como es un método desconocido, Apache no debería ejecutar nada. De acuerdo con el artículo de Wikipedia sobre HTTP 303 , y cito:

Esta respuesta indica que la respuesta correcta se puede encontrar bajo un URI diferente y debe recuperarse utilizando un método GET.

Básicamente, Apache le dice al cliente que vuelva a intentar la solicitud utilizando el método GET.


10

El verbo COOK parece ser sinónimo de la cadena User-Agent que contiene "Synapse". El término Synapse es una biblioteca TCP / IP gratuita escrita en Pascal (ver aquí: http://wiki.freepascal.org/Synapse#From_an_HTTP_server ) que se utiliza para crear bots, scrapers y rastreadores, así como otro software legítimo.


1
Bloqueamos verbos no estándar y también bloqueamos Synapse. Lo hacemos en IIS usando una herramienta llamada URLScan
Luke Puplett

3

Es muy probable que este método de ataque esté vinculado a un agente de usuario como se mencionó anteriormente, como con SYNAPSE, y debido a que esta herramienta se usa comúnmente para sondeo y piratería maliciosa, probablemente se use en este método como una forma de investigar si bloqueo o tener algún tipo de firewall o aplicación en el lugar que bloqueará en base a métodos HTTP desconocidos. Dependiendo de la respuesta, puede obtener información sobre las herramientas utilizadas.

Sabiendo que tiene un cortafuegos o algún otro tipo de herramienta para rechazar estas solicitudes, crean el ataque para evitar los comportamientos de bloqueo predeterminados comunes utilizados por ese tipo de cortafuegos / herramienta.

Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.