Snort mailing list archives
Re: (no subject)
From: James Lay <jlay () slave-tothe-box net>
Date: Thu, 20 Oct 2016 09:21:27 -0600
On 2016-10-20 09:15, Frederic Lubrano wrote:
The real problem is how to filter specific contents in the User-Agent field : For exemple : User-Agent: jksbdfkjsbjbd/../etc/passwd/../../dndslsnl and be able to filter the User-Agent for "passwd" or "/etc/passwd/../". We tried with : content:"User-Agent|3A 20|"; pcre:"/.*passwd.*/"; http_header; or content:"User-Agent"; pcre:"/.*passwd.*/"; http_header; or content:"User-Agent"; pcre:"/.*passwd.*/"; http_header; etc... And the rule is accepted but never match ou User-Agent containing 'passwd' for example... "Ce message et toutes les pièces jointes sont des informations strictement confidentielles et réservées au destinataire. Ce courrier électronique n'a pas de valeur contractuelle et son contenu ne constitue ni une acceptation, ni un engagement de la part de l'auteur sauf dans le cas où cela aurait été prévu avec le destinataire par un accord préalable écrit. Le contenu de ce message et les pièces jointes ne peuvent constituer une preuve au sens de l'article 1316-1 du Code civil. L’auteur décline toute responsabilité au titre de ce courrier électronique s'il a été altéré, déformé, falsifié ou indûment utilisé par des tiers ou encore s'il a causé tout dommage ou perte de toute nature. Si vous n'êtes pas le bon destinataire, merci de me contacter et de ne pas le divulguer." -- On Thu, Oct 20, 2016 at 5:04 PM, James Lay <jlay () slave-tothe-box net> wrote:On 2016-10-20 08:48, Frederic Lubrano wrote:On Thu, Oct 20, 2016 at 4:42 PM, James Lay<jlay () slave-tothe-box net>wrote:\x2fetc\x2fpasswdthis can be anything other than /etc/passwdAh...understood. James------------------------------------------------------------------------------Check out the vibrant tech community on one of the world's most engaging tech sites, SlashDot.org! http://sdm.link/slashdot _______________________________________________ Snort-users mailing list Snort-users () lists sourceforge net Go to this URL to change user options or unsubscribe: https://lists.sourceforge.net/lists/listinfo/snort-users [1] Snort-users list archive: http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users [2] Please visit http://blog.snort.org to stay current on all the latest Snort news!Links: ------ [1] https://lists.sourceforge.net/lists/listinfo/snort-users [2] http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users
Take a look at your snort rules for pointers..there's a ton of User-Agent rules there. James ------------------------------------------------------------------------------ Check out the vibrant tech community on one of the world's most engaging tech sites, SlashDot.org! http://sdm.link/slashdot _______________________________________________ Snort-users mailing list Snort-users () lists sourceforge net Go to this URL to change user options or unsubscribe: https://lists.sourceforge.net/lists/listinfo/snort-users Snort-users list archive: http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users Please visit http://blog.snort.org to stay current on all the latest Snort news!
Current thread:
- (no subject) Frederic Lubrano (Oct 20)
- Re: (no subject) James Lay (Oct 20)
- Re: (no subject) Frederic Lubrano (Oct 20)
- Re: (no subject) James Lay (Oct 20)
- Re: (no subject) Frederic Lubrano (Oct 20)
- Re: (no subject) James Lay (Oct 20)
- Re: (no subject) Frederic Lubrano (Oct 20)
- Re: (no subject) James Lay (Oct 20)
- <Possible follow-ups>
- (no subject) ???? (Dec 15)
- (no subject) lujain obeidat (Dec 20)
- (no subject) Krainer, Andreas (Dec 29)