我有一些Snort规则,用于在从网页下载JS文件时发出警报,但是没有一个触发。我不太确定编写snort规则的细节,所以这些是从各种读数汇总的猜测。
不确定是否使用gzip编码的JS文件会产生巨大的差异,但我确实检查了我的snort.conf文件,它确实包含
下的以下选项preprocessor http_inspect_server: server default \
.....
extended_response_inspection \
inspect_gzip \
normalize_utf \
unlimited_decompress \
normalize_javascript \
下面的3个警报都没有触发,即使JS文件包含单词" function",并且html文件包含带有以下单词的js" snort team!"
alert tcp $HOME_NET $HTTP_PORTS -> $HOME_NET any (msg:"JS-Detect1"; file_data; content:"function"; sid:1000000)
alert tcp $HOME_NET $HTTP_PORTS -> $HOME_NET any (file_data; content:"snort team!"; nocase; msg:"JS-Detect2"; sid:1000001)
alert tcp $HOME_NET $HTTP_PORTS -> $HOME_NET any (file_data;content:"<script>"; nocase; msg:"JS-Detect3"; sid:1000002)
以下警报正在触发,该警报包含在同一规则文件中。
alert tcp $HOME_NET $HTTP_PORTS -> $HOME_NET any (msg:"JS-Detect4"; sid:1000003)
任何有关编写snort规则的建议或帮助都会在下载JS文件时触发警报,或者对snort.conf进行必要的修改会有很大的帮助!感谢。