<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 5.5.2654.89">
<TITLE>WEB-MISC long basic authorization string</TITLE>
</HEAD>
<BODY>

<P><FONT SIZE=2 FACE="Arial">Dear all,</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial">I'm getting the  "</FONT> <FONT SIZE=2 FACE="Courier New">WEB-MISC long basic authorization string " from source IPs which are part of our internal network to one host. This host is an internal web server whom our MIS changed the IP address just before these alerts start flow. Now I've checked the signature definition which shows that it takes consideration of the payload. What I would like to know that if there is other legitimate 
traffic could fire up this signature..?coz I don't think a big number of machines on the network are trying to attack this one host..?</FONT></P>

<P><FONT SIZE=2 FACE="Courier New">Would appreciate your thoughts</FONT>
</P>
<BR>

<P><FONT SIZE=2 FACE="Arial">alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-MISC long basic authorization string"; flags:A+; content:"Authorization\: </FONT></P>

<P><FONT SIZE=2 FACE="Arial">Basic "; nocase; dsize:>1000; classtype:attempted-dos; reference:bugtraq,3230; sid:1260; rev:2;)</FONT>
</P>
<BR>

<P><I><FONT COLOR="#000080" FACE="Arial">Best Regards</FONT></I>
</P>

<P><I><FONT COLOR="#000080" FACE="Arial">Ohanes Semerjian</FONT></I>
</P>

</BODY>
</HTML>