Estoy muy confundido acerca de lo que hace exactamente http_uri. ¿Puede alguien explicarme esto sin campos de uri NORMALIZADOS y NO NORMALIZADOS?
Estoy muy confundido acerca de lo que hace exactamente http_uri. ¿Puede alguien explicarme esto sin campos de uri NORMALIZADOS y NO NORMALIZADOS?
Las palabras clave uri normalizadas y no normalizadas funcionan de forma diferente en snort. La normalización significa el análisis de http_uri y luego se almacena en el búfer para hacer coincidir. Sin embargo, en el uri no normalizado se guardará directamente en el búfer sin analizar. Por ejemplo, supongamos que la solicitud http vino como,
/somefile.php?username=%27;echo%20
Luego, para el uri normalizado, todos los caracteres hexadecimales se representarán en su valor ASCII correspondiente, por lo que después de la normalización, la solicitud se verá como
/somefile.php?username=';echo
entonces esta cadena se almacenará en el búfer para una mayor coincidencia. En caso de uri no normalizado, la solicitud se almacenará en el búfer, ya que es para una mayor coincidencia.