我想通过snort检测并发送警告以便跟踪
1)请求/abc/abc.jsp和 2)cookie abc值为null
我试试
提醒tcp $ EXTERNAL_NET any - > $ HOME_NET $ HTTP_PORT(sid:xxx; gid:1; content:“/ abc / abc.php”; http_uri; pcre:“abc =''”; msg:“BLACKLIST - 请求不带cookie”;)
但似乎不起作用,请帮助
答案 0 :(得分:0)
Cookie结构:name=value;
如果您想检测cookie abc值为null,请使用模式abc=;
alert tcp any any -> any any (msg:"test-cookie"; content:"abc=\;"; http_cookie; nocase;)