访问日志中的奇怪用户请求
P粉158473780
2023-07-28 21:49:32
<p>我在评估我们的反向代理的访问日志,并发现了一些奇怪的用户请求。</p><p>正常的请求应该是用户通过GET请求访问一个带有表单的页面,例如:XXX.XXX.XXX.XXX www.example.de - [25/Jul/2023:07:31:01 +0200] GET /routetoform/ HTTP/1.1" 200 TO ORIGIN "Mozilla/5.0 (iPhone; CPU iPhone OS 16_5 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) EdgiOS/114.0.1823.82 Version/16.0 Mobile/15E148 Safari/604.1"</p><p>然后,当用户提交表单时:XXX.XXX.XXX.XXX www.example.de - [25/Jul/2023:07:33:11 +0200] "POST /routetoform/ HTTP/1.1" 200 TO ORIGIN "Mozilla/5.0 (iPhone; CPU iPhone OS 16_5 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) EdgiOS/114.0.1823.82 Version/16.0 Mobile/15E148 Safari/604.1"</p><p>但是我发现很多请求都是以第二行开始,即POST请求,而没有第一行。所以用户直接发送表单,甚至没有看到它。</p><p>用户代理始终是iPhone Safari:Mozilla/5.0 (iPhone; CPU iPhone OS 16_5 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) EdgiOS/114.0.1823.82 Version/16.0 Mobile/15E148 Safari/604.1</p><p>我的想法是"嘿,也许用户设备在发送POST请求之前刚刚获取了新的IP地址。所以我通过用户代理进行搜索,但是没有找到其他的记录。</p><p>所以,用户确实是直接进入了POST请求。</p><p>我试图在网络上找到关于这种行为的信息,但并不成功。<br /><br />是否有人有任何想法是什么原因导致这种情况?用户代理并没有真正指向一个机器人,而且到底有谁能通过一个“我刚刚提交了表单”的请求进入页面?</p><p><br /></p>
任何具备浏览器插件或基本编程技能的人都可以创建一个POST请求,并在浏览器字符串头中提交他们想要的任何内容。
除非这些请求引起了任何问题,否则我不会过多关注这个。