<div dir="ltr"><span style="color:rgb(0,0,0);font-family:"malgun gothic";font-size:medium">The file_data option sets the cursor used for detection to one of the following buffers: 1. HTTP response body</span><span style="color:rgb(0,0,0);font-family:"malgun gothic";font-size:medium"> 2. SMTP/POP/IMAP data body. </span><div><span style="color:rgb(0,0,0);font-family:"malgun gothic";font-size:medium"><br></span></div><div><span style="color:rgb(0,0,0);font-family:"malgun gothic";font-size:medium">If you want to restricts the search to the body of an HTTP client request, try use </span><span style="color:rgb(0,0,0);font-family:"malgun gothic";font-size:medium">content modifier </span><span style="color:rgb(0,0,0);font-family:"malgun gothic";font-size:medium">http_client_body</span></div></div><div class="gmail_extra"><br><div class="gmail_quote">2017-01-28 23:07 GMT+09:00 Avery Rozar <span dir="ltr"><<a href="mailto:avery.rozar@...4225......" target="_blank">avery.rozar@...4102...</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">I'm trying to setup a rule to deny anyone that is not coming from $VPN_NET from attempting to log into word press.<div><br></div><div># in snort.conf</div><div>ip var VPN_NET [cidr,cidr]</div><div><br></div><div># in local.rules</div><div>drop tcp !$VPN_NET any -> $HOME_NET any (msg:"WordPress Login attempt"; flow:to_server,established; file_data; content:"wp-login"; nocase; content: "POST"; nocase; http_method; classtype:misc-activity; sid:500001; rev:1; metadata:policy balanced-ips drop, policy security-ips drop, service http;)<br></div><div><br></div><div><br></div><div>This rule seems to stop anything unless the POST is using 'Content-Type: application/x-www-form-<wbr>urlencoded'. What is the best way to allow snort to deal with urlencoded POSTs, or is my rule just jacked up? </div><div><br></div><div><br></div><div>Thanks,</div><div>Avery</div></div>
<br>------------------------------<wbr>------------------------------<wbr>------------------<br>
Check out the vibrant tech community on one of the world's most<br>
engaging tech sites, SlashDot.org! <a href="http://sdm.link/slashdot" rel="noreferrer" target="_blank">http://sdm.link/slashdot</a><br>______________________________<wbr>_________________<br>
Snort-sigs mailing list<br>
<a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@...1744...<wbr>net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" rel="noreferrer" target="_blank">https://lists.sourceforge.net/<wbr>lists/listinfo/snort-sigs</a><br>
<br>
<a href="http://www.snort.org" rel="noreferrer" target="_blank">http://www.snort.org</a><br>
<br>
Please visit <a href="http://blog.snort.org" rel="noreferrer" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br>
<br>
Visit the Snort.org to subscribe to the official Snort ruleset, make sure to stay up to date to catch the most <a href=" <a href="https://snort.org/downloads/#rule-downloads" rel="noreferrer" target="_blank">https://snort.org/downloads/#<wbr>rule-downloads</a>">emerging threats</a>!<br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr">-----------------------</div><div dir="ltr">Kang Myoung-hun</div><div dir="ltr">-----------------------<br>+82-10 6604 6084<br></div><div dir="ltr"><a href="http://kangmyounghun.blogspot.kr/" target="_blank">kangmyounghun.blogspot.kr</a></div></div></div></div></div></div></div></div></div>
</div>