<html>
<head>
<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 12pt;
font-family:Calibri
}
--></style></head>
<body class='hmmessage'><div dir='ltr'><br><br><div><hr id="stopSpelling">Date: Thu, 31 Jul 2014 08:46:58 -0400<br>From: sabawoon.majeedzada@...253...2420...<br>To: snort-sigs@lists.sourceforge.net<br>Subject: [Snort-sigs] Need help with Snort Rule for a HTTP GET parameter and   pattern matching.<br><br><div dir="ltr">Hello Everyone,<div><br></div><div>I would appreciate if anyone can help me out with my snort rule.</div><div><br></div><div>I would like generate a snort rule that can detected a HTTP get paramter. Example: below</div>
<div><br></div><div><div>alert tcp any any -> any 80 (msg:"HTTP GET paramater"; content:"GET"; </div><div>content:"/index.php?action=";http_method;sid:20000011;) </div></div><div><br></div><div>* The http_method content modifier should refer to the "GET" content match and the URI content match. So a modified version of you rule:</div><div><div>alert tcp any any -> any 80 (msg:"HTTP GET paramater"; content:"GET"; http_method; <span style="font-size: 12pt;">content:"/index.php?action=";http_uri;sid:20000011;) </span></div></div><div><br></div><div><br></div>
<div>Right now when I type in <a href="http://www.example.com/index.php?action=login" target="_blank">http://www.example.com/index.php?action=login</a> I do not get a alert generated using the rule above. </div><div><br></div><div>Or how to detect if GET HTTP method with a specific parameter been used or passed a value. </div>
<div><br></div><div>Secondly, how to write a simple pattern that can detect a specific string or number pattern has been passed to this GET parameter. Just a example pattern guidance would be nice. </div><div><br></div><div>* I am not sure what you mean here, but I am guessing something along the lines of a url query parameter?</div><div><br></div><div>
Thanks,</div><div>SF</div></div>
<br>------------------------------------------------------------------------------
Infragistics Professional
Build stunning WinForms apps today!
Reboot your WinForms applications with our WinForms controls. 
Build a bridge from your legacy apps to the future.
http://pubads.g.doubleclick.net/gampad/clk?id=153845071&iu=/4140/ostg.clktrk<br>_______________________________________________
Snort-sigs mailing list
Snort-sigs@lists.sourceforge.net
https://lists.sourceforge.net/lists/listinfo/snort-sigs
http://www.snort.org


Please visit http://blog.snort.org for the latest news about Snort!</div>                                           </div></body>
</html>