"Usuarios" que envían solicitudes GET a un sitio web, cuando se espera POST

Question

Sigo viendo un comportamiento extraño en nuestros registros, donde las URL a las que normalmente solo se debe acceder mediante una solicitud POST se llaman a través de GET. Las URL incluyen las que solo se crean a través de javascript, por lo que no esperaría que una araña común las encuentre. Si busco en nuestros registros una IP de la que provengan esas solicitudes, parece que el usuario solo nos ha enviado solicitudes GET.

No parece que el comportamiento típico de un bot sea extensivo, en lugar de enviar un correo no deseado a nuestro servidor con un montón de solicitudes en un corto espacio de tiempo. Los agentes de usuario son todos navegadores regulares. Sin embargo, y esto es un poco especulativo, realmente no parece que se trate de un humano que navega por el sitio, ya que parece saltar por todas partes en lugar de seguir un enlace al siguiente.

¿Alguien más ve este tipo de comportamiento en su sitio? Alguna sugerencia que lo causa?

Answer 1

Es posible que alguien esté buscando exploits en su sitio. Analizarían sus formularios y luego crearían sus propias URL en busca de debilidades o formas no convencionales de usar el servicio. Si generalmente es la misma dirección IP, entonces probablemente podría suponer que ese es el caso.

Un ejemplo podría ser que usted es un proveedor de medios de transmisión y alguien está tratando de reconstruir las URL de origen para una secuencia de comandos de descarga de video. A menudo, sin embargo, se trata simplemente de spammers que buscan retransmitir a través de sus formularios de contacto.

No asuma demasiado de direcciones IP y agentes de usuario. El primero puede ser procesado (a través de redes como Tor) y el último puede cambiarse a voluntad. El hecho de que los IP y los agentes de usuario cambien no significa que no sea el mismo usuario que genera las solicitudes.

Answer 2

Sólo una conjetura salvaje:

• Hay algo llamado "acelerador de web", un plugin para el navegador que obtiene pre-enlaces, por lo que cuando se decidió a hacer clic en uno, ya se almacena en caché. No debería estar almacenando en caché cosas que parecen consultas, pero tal vez algunos detecten las URL como adecuadas para la obtención previa. Dado que se ejecuta en el navegador, al menos verá todas las URL que javascript haya agregado al documento (por medio de document.write o acceso DOM).

• Un "acelerador web" también se puede implementar como parte del proxy web. Parece menos probable, porque tendría que interpretar el javascript, pero si las URL aparecen en el javascript en su totalidad, podría simplemente incluir cualquier texto que parezca una URL y podría encontrarlos.

Esto explicaría por qué las solicitudes se extienden (tal cosa podría disparar un par de peticiones que cada vez que un usuario real visita el sitio), ¿por qué las cadenas de agente de usuario corresponden al navegador real (si es complemento del navegador, usa su cadena de agente de usuario) y por qué saltan por todos lados (simultáneamente intentan captar previamente varios enlaces y probablemente el método de selección heurística que debería ser no funciona bien con su sitio).

Answer 3

A menudo raspar sitios web para obtener información, y cuando estoy siendo muy vago, que se presentará como un todo en lugar de utilizar GETPOST ... muchas veces, los CGI que requieren un POST aceptará un GET. Configuré el script para usar un número aleatorio USER-AGENT de una lista: safari en ipad, Firefox en XP o Internet Exploder en Vista.

Quién sabe, puede ser que yo robe su sitio y obtenga los puntos para la respuesta ;-).