Here is another ancient rule that has some false positive:
<br> <br>alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-CGI phf access"; flow:to_server,established; uricontent:"/phf"; nocase; metadata:service http; reference:arachnids,128; reference:bugtraq,629; reference:cve,1999-0067; classtype:web-application-activity; sid:886; rev:12;)
<br> <br>If people still care about this vuln, could we change it to be more robust?  I see it false positive on things like 'GET /foo/bar/PHFDD_user.js'.
<br> <br>Maybe something like this:
<br> <br>alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-CGI phf access"; flow:to_server,established; uricontent:"/phf"; nocase; nocase; pcre:"/\/phf\/?\?/Ui"; metadata:service http; reference:arachnids,128; reference:bugtraq,629; reference:cve,1999-0067; classtype:web-application-activity; sid:886; rev:13;)
<br> <br>Similar simple file access rules could probably be modified in a similar manner (although I have not looked).<br><br>If people don't care about the rule, maybe we could prune it out along with all exploit specific rules that are over 10 years old.<br>
<br>Thanks.
<br> <br>Guise
<br>