<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<TITLE>WEB-MISC long basic authorization string</TITLE>

<META content="MSHTML 6.00.2800.1141" name=GENERATOR></HEAD>
<BODY>
<DIV><SPAN class=554203613-08042003><FONT face=Arial color=#0000ff size=2>I had 
this issue with Outlook Web Access traffic, I have disabled the rule for now, at 
some point though I guess I should just create a pass rule for the afftected 
box...</FONT></SPAN></DIV>
<DIV><SPAN class=554203613-08042003><FONT face=Arial color=#0000ff 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=554203613-08042003><FONT face=Arial color=#0000ff 
size=2>-matt</FONT></SPAN></DIV>
<BLOCKQUOTE dir=ltr style="MARGIN-RIGHT: 0px">
  <DIV class=OutlookMessageHeader dir=ltr align=left><FONT face=Tahoma 
  size=2>-----Original Message-----<BR><B>From:</B> Semerjian, Ohanes 
  [mailto:Semerjian.Ohanes@...4899...]<BR><B>Sent:</B> Monday, April 07, 2003 
  9:45 PM<BR><B>To:</B> 'snort-users@lists.sourceforge.net'<BR><B>Subject:</B> 
  [Snort-users] WEB-MISC long basic authorization string<BR><BR></FONT></DIV>
  <P><FONT face=Arial size=2>Dear all,</FONT> </P>
  <P><FONT face=Arial size=2>I'm getting the  "</FONT> <FONT 
  face="Courier New" size=2>WEB-MISC long basic authorization string " from 
  source IPs which are part of our internal network to one host. This host is an 
  internal web server whom our MIS changed the IP address just before these 
  alerts start flow. Now I've checked the signature definition which shows that 
  it takes consideration of the payload. What I would like to know that if there 
  is other legitimate traffic could fire up this signature..?coz I don't think a 
  big number of machines on the network are trying to attack this one 
  host..?</FONT></P>
  <P><FONT face="Courier New" size=2>Would appreciate your thoughts</FONT> 
  </P><BR>
  <P><FONT face=Arial size=2>alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 
  (msg:"WEB-MISC long basic authorization string"; flags:A+; 
  content:"Authorization\: </FONT></P>
  <P><FONT face=Arial size=2>Basic "; nocase; dsize:>1000; 
  classtype:attempted-dos; reference:bugtraq,3230; sid:1260; rev:2;)</FONT> 
  </P><BR>
  <P><I><FONT face=Arial color=#000080>Best Regards</FONT></I> </P>
  <P><I><FONT face=Arial color=#000080>Ohanes Semerjian</FONT></I> 
</P></BLOCKQUOTE></BODY></HTML>