Estoy tratando de entender las reglas de escritura para snort. Otro objetivo es la detección de inyecciones de sql como aquí .
He leído la documentación de las reglas de snort y he creado esta regla:
alert tcp any any -> any 80 (msg:"SQL Injection - Paranoid"; content:".php"; http_raw_header; sid:51233333;)
dentro de /etc/snort/rules/mysql.rules , que está referenciado desde /etc/snort/snort.conf . Esperaba que esta regla alertara a cada llamada de un php, pero no se iba a registrar nada. También probé http_header y http_uri en lugar de http_raw_header .
Yo llamo snort de esta manera:
sudo snort -A console -c /etc/snort/snort.conf
¿Podría alguien decirme por favor cómo registrar cada llamada de un ".php" a través de HTTP? Entonces puedo continuar con los siguientes pasos.
Más información sobre mi entorno: Snort se ejecuta dentro de una caja virtual con ubuntu 15.04 como sistema operativo. La red está puenteada y el modo promiscuo está habilitado para todas las máquinas virtuales. Dentro de la misma máquina virtual se ejecuta un servidor XAMPP con mutillidae que debe ser atacado. Si necesita más información, hágamelo saber! Cualquier consejo sería apreciado! ¡Gracias!