[Snort-sigs] False positive on SID 1561 (pcap attached)

JStarke at ...2306... JStarke at ...2306...
Thu Mar 11 07:29:03 EST 2004




Attached is a packet that tripped a false positive on Sid 1561.

--
Sid:
1561
--
Signature:
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-MISC ?open
access"; flow:to_server,established; uricontent:"?open"; nocase;
classtype:web-application-activity; sid:1561; rev:4;)
--
False Positives:
False positives occur when someone checks their web based lotus notes email.
PCAP is attached:
--

 length = 727

000 : 47 45 54 20 2F 6D 61 69 6C 2F 2F 2F 2F 2F 2F 2F   GET /mail/rrrrrr
010 : 2F 2F 2E 6E 73 66 2F 53 77 69 74 63 68 65 72 46   rr.nsf/SwitcherF
020 : 6F 72 6D 5F 4D 61 69 6C 3F 4F 70 65 6E 50 61 67   orm_Mail?OpenPag
030 : 65 20 48 54 54 50 2F 31 2E 31 0D 0A 41 63 63 65   e HTTP/1.1..Acce
040 : 70 74 3A 20 69 6D 61 67 65 2F 67 69 66 2C 20 69   pt: image/gif, i
050 : 6D 61 67 65 2F 78 2D 78 62 69 74 6D 61 70 2C 20   mage/x-xbitmap,
060 : 69 6D 61 67 65 2F 6A 70 65 67 2C 20 69 6D 61 67   image/jpeg, imag
070 : 65 2F 70 6A 70 65 67 2C 20 61 70 70 6C 69 63 61   e/pjpeg, applica
080 : 74 69 6F 6E 2F 76 6E 64 2E 6D 73 2D 65 78 63 65   tion/vnd.ms-exce
090 : 6C 2C 20 61 70 70 6C 69 63 61 74 69 6F 6E 2F 6D   l, application/m
0a0 : 73 77 6F 72 64 2C 20 61 70 70 6C 69 63 61 74 69   sword, applicati
0b0 : 6F 6E 2F 78 2D 72 6F 63 6B 65 74 70 69 70 65 2C   on/x-rocketpipe,
0c0 : 20 61 70 70 6C 69 63 61 74 69 6F 6E 2F 78 2D 67    application/x-g
0d0 : 73 61 72 63 61 64 65 2D 6C 61 75 6E 63 68 2C 20   sarcade-launch,
0e0 : 61 70 70 6C 69 63 61 74 69 6F 6E 2F 78 2D 73 68   application/x-sh
0f0 : 6F 63 6B 77 61 76 65 2D 66 6C 61 73 68 2C 20 2A   ockwave-flash, *
100 : 2F 2A 0D 0A 52 65 66 65 72 65 72 3A 20 68 74 74   /*..Referer: htt
110 : 70 3A 2F 2F 70 70 70 70 70 70 70 70 70 70 2E 62   p://pppppppppp.b
120 : 62 62 62 62 2E 63 6F 6D 2F 6D 61 69 6C 2F 72 72   bbbb.com/mail/rr
130 : 72 72 72 72 72 72 2E 6E 73 66 0D 0A 41 63 63 65   rrrrrr.nsf..Acce
140 : 70 74 2D 4C 61 6E 67 75 61 67 65 3A 20 65 6E 2D   pt-Language: en-
150 : 75 73 0D 0A 55 73 65 72 2D 41 67 65 6E 74 3A 20   us..User-Agent:
160 : 4D 6F 7A 69 6C 6C 61 2F 34 2E 30 20 28 63 6F 6D   Mozilla/4.0 (com
170 : 70 61 74 69 62 6C 65 3B 20 4D 53 49 45 20 36 2E   patible; MSIE 6.
180 : 30 3B 20 57 69 6E 64 6F 77 73 20 39 38 3B 20 7B   0; Windows 98; {
190 : 33 45 35 30 38 41 46 31 2D 36 35 42 39 2D 34 34   3E508AF1-65B9-44
1a0 : 46 44 2D 38 39 37 34 2D 34 39 41 36 35 31 45 33   FD-8974-49A651E3
1b0 : 45 43 32 33 7D 3B 20 4D 53 4E 20 38 2E 30 3B 20   EC23}; MSN 8.0;
1c0 : 4D 53 4E 20 38 2E 35 3B 20 4D 53 4E 62 56 5A 30   MSN 8.5; MSNbVZ0
1d0 : 32 3B 20 4D 53 4E 6D 65 6E 2D 75 73 3B 20 4D 53   2; MSNmen-us; MS
1e0 : 4E 63 49 41 29 0D 0A 41 63 63 65 70 74 2D 45 6E   NcIA)..Accept-En
1f0 : 63 6F 64 69 6E 67 3A 20 67 7A 69 70 2C 20 64 65   coding: gzip, de
200 : 66 6C 61 74 65 0D 0A 49 66 2D 4D 6F 64 69 66 69   flate..If-Modifi
210 : 65 64 2D 53 69 6E 63 65 3A 20 54 68 75 2C 20 31   ed-Since: Thu, 1
220 : 31 20 4D 61 72 20 32 30 30 34 20 30 39 3A 33 38   1 Mar 2004 09:38
230 : 3A 30 33 20 47 4D 54 0D 0A 49 66 2D 4E 6F 6E 65   :03 GMT..If-None
240 : 2D 4D 61 74 63 68 3A 20 57 2F 22 4D 54 41 74 4F   -Match: W/"MTAtO
250 : 44 41 77 4E 53 30 34 4E 54 49 31 4E 6B 55 31 4D   DAwNS04NTI1NkU1M
260 : 7A 41 77 4E 6B 51 34 4E 54 42 45 4C 54 41 74 4D   zAwNkQ4NTBELTAtM
270 : 41 3D 3D 22 0D 0A 48 6F 73 74 3A 20 70 70 70 70   A=="..Host: pppp
280 : 70 70 70 70 70 70 2E 62 62 62 62 62 2E 63 6F 6D   pppppp.bbbbb.com
290 : 0D 0A 43 6F 6E 6E 65 63 74 69 6F 6E 3A 20 4B 65   ..Connection: Ke
2a0 : 65 70 2D 41 6C 69 76 65 0D 0A 41 75 74 68 6F 72   ep-Alive..Author
2b0 : 69 7A 61 74 69 6F 6E 3A 20 42 61 73 69 63 20 63   ization: Basic c
2c0 : 6D 68 79 62 32 31 70 63 32 6B 36 62 58 6C 72 61   mhyb21pc2k6bXlra
2d0 : 57 52 7A 0D 0A 0D 0A                              WRz....





More information about the Snort-sigs mailing list