¿Qué hace el modificador de contenido http_uri es SNORT?

1

Estoy muy confundido acerca de lo que hace exactamente http_uri. ¿Puede alguien explicarme esto sin campos de uri NORMALIZADOS y NO NORMALIZADOS?

    
pregunta SivaDotRender 16.07.2015 - 06:27
fuente

1 respuesta

2

Las palabras clave uri normalizadas y no normalizadas funcionan de forma diferente en snort. La normalización significa el análisis de http_uri y luego se almacena en el búfer para hacer coincidir. Sin embargo, en el uri no normalizado se guardará directamente en el búfer sin analizar. Por ejemplo, supongamos que la solicitud http vino como,

/somefile.php?username=%27;echo%20

Luego, para el uri normalizado, todos los caracteres hexadecimales se representarán en su valor ASCII correspondiente, por lo que después de la normalización, la solicitud se verá como

/somefile.php?username=';echo

entonces esta cadena se almacenará en el búfer para una mayor coincidencia. En caso de uri no normalizado, la solicitud se almacenará en el búfer, ya que es para una mayor coincidencia.

    
respondido por el P4cK3tHuNt3R 16.07.2015 - 07:25
fuente

Lea otras preguntas en las etiquetas