Apacheログに次のようなエントリが表示されます
178.216.185.210 - - [24/Feb/2014:11:46:40 -0500] "COOK /freesearch.php?portal=0a9&... HTTP/1.0" 303 589 "-" "Mozilla/4.0 (compatible; Synapse)"
通常のCOOK
またはGET
の代わりにPOST
を使用します。
さまざまな検索用語を試しましたが、これが何であるかについての情報が見つかりません。また、ユーザーエージェント文字列をグーグル検索しましたが、それが Ararat Synapse で構築されたスクリプトである可能性が高いことを発見しました。そして、そのユーザーエージェント文字列を使用して作成された他のリクエストから判断すると、これはだいじょうぶです。
それで、これは単にリクエストメソッドで構成されたものですか?
Apacheは未知のリクエストメソッドをどのように処理しますか?すべてのCOOK
リクエストの応答ステータスコードは303としてログに記録されます。したがって、Apacheは「その他」を参照し、同じURIを提供しますか?同じIPからの別のヒットは見当たらないため、応答が単にログに記録されるか無視されると想定しています。彼らはおそらく別のIPから後で戻ってきます。
だから私のスクリプトは決して実行されません、正しいですか?
確かに、これはHTTP標準で定義されているメソッドではありません。おそらく、独自のWebサーバーによって実装されたいくつかの「カスタム」メソッド。
未知のメソッドであるため、Apacheは何も実行しないでください。 HTTP 303に関するウィキペディアの記事 によると、私は引用します:
この応答は、正しい応答が別のURIで見つかり、GETメソッドを使用して取得する必要があることを示しています。
したがって、基本的にApacheは、GETメソッドを使用してリクエストを再試行するようクライアントに指示しています。
COOK動詞は、「Synapse」を含むUser-Agent文字列と同義のようです。 Synapseという用語は、Pascalで記述された無料のTCP/IPライブラリ(ここを参照: http://wiki.freepascal.org/Synapse#From_an_HTTP_server )であり、ボット、スクレイパー、クローラーの作成にも使用されます他の正当なソフトウェアとして。
この攻撃方法は、SYNAPSEのように、前述のように通常はユーザーエージェントに関連付けられている可能性が高く、このツールは悪意のあるプロービングとハッキングに一般的に使用されるため、この方法では、不明なHTTPメソッドに基づいてブロックする、または何らかのファイアウォールまたはアプリケーションを適切に配置します。応答によっては、使用するツールについての洞察を得ることができる場合があります。
ファイアウォールまたはこれらのリクエストを拒否するためのその他のツールが配置されていることを知っていると、そのタイプのファイアウォール/ツールで使用される一般的なデフォルトのブロック動作を回避するための攻撃が行われます。