<html><head><meta http-equiv="Content-Type" content="text/html charset=us-ascii"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">We are looking at this Mike, we think this is an interesting idea,<div><br></div><div>However, implementing a pcre like "pcre:"/bad\.pdf$/";"  shouldn't have that much of an impact.</div><div><br></div><div><span style="font-size: 12px; font-family: 'Lucida Grande'; ">--</span><br><span style="font-size: 12px; font-family: 'Lucida Grande'; "><b>Joel Esler</b></span><br><span style="font-size: 12px; font-family: 'Lucida Grande'; ">Senior Research Engineer, VRT</span><br><span style="font-size: 12px; font-family: 'Lucida Grande'; ">OpenSource Community Manager</span><br><span style="font-size: 12px; font-family: 'Lucida Grande'; ">Sourcefire</span></div><div><span style="font-size: 12px; font-family: 'Lucida Grande'; "><br></span></div><div><div><div>On Nov 7, 2012, at 4:22 PM, Mike Cox <<a href="mailto:mike.cox52@...1447...420...">mike.cox52@...2420...</a>> wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite">AFIK, it isn't possible to do this without a PCRE but I though I'd<br>ask: is is possible to tell a preprocessor content buffer (like<br>http_uri) to match at the end (or beginning) of the buffer without<br>using a PCRE?<br><br>For example, let's say I want to match the URI 'bad.pdf".  I know this<br>will be at the end of the URI (and thus the end of the http_uri<br>buffer) and I want to match that specifically so I don't also get<br>alerts on things like "/bad.pdfoobar/index.aspx".<br><br>Normally I'd just do this:<br><br>content:"/bad.pdf"; http_uri;<br><br>But I know that this will be at the end of the URI buffer and I don't<br>want to do a PCRE as well to ensure this due to performance concerns.<br><br>It seems like this ability would be moderately easy to build into the<br>engine and computationally trivial as far as performance goes.  Maybe<br>have something like, "http_uri:end", "http_uri:beginning",<br>"http_uri:beginning,end", http_cookie:end", etc. or have special<br>characters (that would otherwise have to be escaped) to indicate that<br>you want to match on the beginning or end of the buffer.<br><br>Just a thought since you guys are re-writing the http-inspect<br>preprocessor :)  Joel, feel free to send to snort-dev, I don't think<br>I'm on that list.<br><br>Thanks!<br><br>-Mike Cox<br><br>------------------------------------------------------------------------------<br>LogMeIn Central: Instant, anywhere, Remote PC access and management.<br>Stay in control, update software, and manage PCs from one command center<br>Diagnose problems and improve visibility into emerging IT issues<br>Automate, monitor and manage. Do more in less time with Central<br><a href="http://p.sf.net/sfu/logmein12331_d2d">http://p.sf.net/sfu/logmein12331_d2d</a><br>_______________________________________________<br>Snort-sigs mailing list<br>Snort-sigs@lists.sourceforge.net<br>https://lists.sourceforge.net/lists/listinfo/snort-sigs<br>http://www.snort.org<br><br><br>Please visit http://blog.snort.org for the latest news about Snort!<br></blockquote></div><br></div></body></html>