Quelle est la méthode de demande HTTP COOK dans mes journaux?

Je vois des entrées dans mes journaux Apache comme suit

178.216.185.210 - - [24/Feb/2014:11:46:40 -0500] "COOK /freesearch.php?portal=0a9&... HTTP/1.0" 303 589 "-" "Mozilla/4.0 (compatible; Synapse)"

avec COOKà la place de l'habituel GETou POST.

J'ai essayé une variété de termes de recherche et je ne trouve aucune information sur ce que cela pourrait être. J'ai également googlé la chaîne de l'agent utilisateur et découvert qu'il s'agit probablement d'un script construit avec Ararat Synapse . Et à en juger par les autres demandes faites avec cette chaîne d'agent utilisateur, c'est quelqu'un qui n'est pas bon.

Alors, est-ce juste une méthode de demande inventée?

Comment Apache gère-t-il les méthodes de demande inconnues? Le code d'état de réponse pour toutes les COOKdemandes est enregistré comme 303. Donc, Apache dit Voir autre et fournit simplement le même URI? Je ne vois pas un autre hit de la même IP, donc je suppose que la réponse est simplement enregistrée ou ignorée. Ils reviendront probablement plus tard d'une autre IP.

Donc mon script n'est jamais exécuté, correct?

Ce n'est pas une méthode définie dans les normes HTTP, c'est sûr. Probablement certaines méthodes «personnalisées» mises en œuvre par des serveurs Web propriétaires.

Comme il s'agit d'une méthode inconnue, Apache ne devrait rien exécuter. Selon l'article de Wikipedia sur HTTP 303 , et je cite:

Cette réponse indique que la bonne réponse peut être trouvée sous un URI différent et doit être récupérée à l'aide d'une méthode GET.

Donc, fondamentalement, Apache dit au client de réessayer la demande en utilisant la méthode GET.

Le verbe COOK semble être synonyme de la chaîne User-Agent contenant "Synapse". Le terme Synapse est une bibliothèque TCP / IP gratuite écrite en Pascal (voir ici: http://wiki.freepascal.org/Synapse#From_an_HTTP_server ) qui est utilisée pour créer des bots, des grattoirs et des robots ainsi que d'autres logiciels légitimes.

Cette méthode d'attaque est très probablement généralement liée à un agent utilisateur comme mentionné précédemment, comme avec SYNAPSE, et parce que cet outil est couramment utilisé pour les sondages malveillants et le piratage, est très probablement utilisé dans cette méthode comme un moyen de sonder si vous êtes bloquer ou avoir une sorte de pare-feu ou d'application en place qui bloquera en fonction de méthodes HTTP inconnues. Selon la réponse, vous pourrez peut-être mieux comprendre les outils utilisés.

Sachant que vous avez un pare-feu ou une autre sorte d'outil en place pour refuser ces demandes, ils élaborent ensuite l'attaque pour éviter les comportements de blocage par défaut courants utilisés par ce type de pare-feu / outil.