<div dir="ltr">Hello Everyone,<div><br></div><div>I would appreciate if anyone can help me out with my snort rule.</div><div><br></div><div>I would like generate a snort rule that can detected a HTTP get paramter. Example: below</div>
<div><br></div><div><div>alert tcp any any -> any 80 (msg:"HTTP GET paramater"; content:"GET"; </div><div>content:"/index.php?action=";http_method;sid:20000011;) </div></div><div><br></div>
<div>Right now when I type in <a href="http://www.example.com/index.php?action=login">http://www.example.com/index.php?action=login</a> I do not get a alert generated using the rule above. </div><div><br></div><div>Or how to detect if GET HTTP method with a specific parameter been used or passed a value. </div>
<div><br></div><div>Secondly, how to write a simple pattern that can detect a specific string or number pattern has been passed to this GET parameter. Just a example pattern guidance would be nice. </div><div><br></div><div>
Thanks,</div><div>SF</div></div>