Re: (no subject)

[Frederic Lubrano <frederic.lubrano () gmail com>]

The real problem is how to filter specific contents in the User-Agent field
:

For exemple :
User-Agent: jksbdfkjsbjbd/../etc/passwd/../../dndslsnl

and be able to filter the User-Agent for "passwd" or "/etc/passwd/../".

We tried with :
content:"User-Agent|3A 20|"; pcre:"/.*passwd.*/"; http_header;
or
content:"User-Agent"; pcre:"/.*passwd.*/"; http_header;
or
content:"User-Agent"; pcre:"/.*passwd.*/"; http_header;
etc...
And the rule is accepted but never match ou User-Agent containing 'passwd'
for example...

"Ce message et toutes les pièces jointes sont des informations strictement
confidentielles et réservées au destinataire. Ce courrier électronique n'a
pas de valeur contractuelle et son contenu ne constitue ni une acceptation,
ni un engagement de la part de l'auteur sauf dans le cas où cela aurait été
prévu avec le destinataire par un accord préalable écrit. Le contenu de ce
message et les pièces jointes ne peuvent constituer une preuve au sens de
l'article 1316-1 du Code civil. L’auteur décline toute responsabilité au
titre de ce courrier électronique s'il a été altéré, déformé, falsifié ou
indûment utilisé par des tiers ou encore s'il a causé tout dommage ou perte
de toute nature. Si vous n'êtes pas le bon destinataire, merci de me
contacter et de ne pas le divulguer."
--

On Thu, Oct 20, 2016 at 5:04 PM, James Lay <jlay () slave-tothe-box net> wrote:

> On 2016-10-20 08:48, Frederic Lubrano wrote:
> > On Thu, Oct 20, 2016 at 4:42 PM, James Lay <jlay () slave-tothe-box net>
> > wrote:
> >
> > > \x2fetc\x2fpasswd
> >
> > ​this can be anything other than /etc/passwd
>
> Ah...understood.
>
> James
>
> ------------------------------------------------------------
> ------------------
> Check out the vibrant tech community on one of the world's most
> engaging tech sites, SlashDot.org! http://sdm.link/slashdot
> _______________________________________________
> Snort-users mailing list
> Snort-users () lists sourceforge net
> Go to this URL to change user options or unsubscribe:
> https://lists.sourceforge.net/lists/listinfo/snort-users
> Snort-users list archive:
> http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users
>
> Please visit http://blog.snort.org to stay current on all the latest
> Snort news!
------------------------------------------------------------------------------
Check out the vibrant tech community on one of the world's most 
engaging tech sites, SlashDot.org! http://sdm.link/slashdot

_______________________________________________
Snort-users mailing list
Snort-users () lists sourceforge net
Go to this URL to change user options or unsubscribe:
https://lists.sourceforge.net/lists/listinfo/snort-users
Snort-users list archive:
http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users

Please visit http://blog.snort.org to stay current on all the latest Snort news!