Qual è il metodo di richiesta COOK HTTP nei miei registri?

Vedo le voci nei miei registri di Apache come le seguenti

178.216.185.210 - - [24/Feb/2014:11:46:40 -0500] "COOK /freesearch.php?portal=0a9&... HTTP/1.0" 303 589 "-" "Mozilla/4.0 (compatible; Synapse)"

con COOKal posto del solito GETo POST.

Ho provato una varietà di termini di ricerca e non riesco a trovare alcuna informazione su ciò che potrebbe essere. Ho anche cercato su Google la stringa dell'agente utente e ho scoperto che è probabilmente uno script creato con Ararat Synapse . E a giudicare dalle altre richieste fatte con quella stringa user-agent, questa è una persona che non va bene.

Quindi questo è solo un metodo di richiesta inventato?

In che modo Apache gestisce i metodi di richiesta sconosciuti? Il codice dello stato della risposta per tutte le COOKrichieste viene registrato come 303. Quindi Apache sta dicendo Vedi altro e fornisce lo stesso URI? Non vedo un altro hit dallo stesso IP, quindi presumo che la risposta sia semplicemente registrata o ignorata. Probabilmente torneranno più tardi da un altro IP.

Quindi la mia sceneggiatura non viene mai eseguita, giusto?

Non è un metodo definito in alcuno standard HTTP, questo è certo. Probabilmente alcuni metodi "personalizzati" implementati da server web proprietari.

Poiché è un metodo sconosciuto, Apache non dovrebbe eseguire nulla. Secondo l'articolo di Wikipedia su HTTP 303 , e cito:

Questa risposta indica che la risposta corretta può essere trovata sotto un URI diverso e deve essere recuperata utilizzando un metodo GET.

quindi sostanzialmente Apache sta dicendo al client di ritentare la richiesta usando il metodo GET.

Il verbo COOK sembra essere sinonimo della stringa User-Agent contenente "Synapse". Il termine Synapse è una libreria TCP / IP gratuita scritta in Pascal (vedi qui: http://wiki.freepascal.org/Synapse#From_an_HTTP_server ) che viene utilizzata per creare bot, raschietti e crawler e altri software legittimi.

Questo metodo di attacco è molto probabilmente legato a un agente utente come menzionato in precedenza, come ad esempio SYNAPSE, e poiché questo strumento è comunemente usato per sondaggi dannosi e hacking, è molto probabilmente usato in questo metodo come un modo per sondare se si è bloccare o avere una sorta di firewall o applicazione in atto che si bloccherà in base a metodi HTTP sconosciuti. A seconda della risposta, potresti essere in grado di ottenere informazioni dettagliate sugli strumenti utilizzati.

Sapendo che hai un firewall o una sorta di altro strumento in atto per rifiutare queste richieste, quindi elaborano l'attacco per evitare i comportamenti di blocco predefiniti comuni utilizzati da quel tipo di firewall / strumento.