<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<TITLE>WEB-MISC long basic authorization string</TITLE>

<META content="MSHTML 5.50.4923.2500" name=GENERATOR></HEAD>
<BODY>
<DIV><SPAN class=733565600-09042003><FONT face=Arial color=#0000ff 
size=2>Matt,</FONT></SPAN></DIV>
<DIV><SPAN class=733565600-09042003><FONT face=Arial color=#0000ff 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=733565600-09042003><FONT face=Arial color=#0000ff size=2>Thanks 
for ur reply, but I guess disabling the signature is not my goal...? I want to 
know if there is a legitimate traffic that could fire up this 
signature.</FONT></SPAN></DIV>
<DIV> </DIV>
<P><I><FONT face=Arial color=#000080>Best Regards</FONT></I> </P>
<P><I><FONT face=Arial color=#000080>Ohanes Semerjian</FONT></I> </P>
<P><I><FONT face=Arial color=#000080>Security</FONT> <FONT face=Arial 
color=#000080>Engineer</FONT><FONT face=Arial color=#000080>, AsiaPac</FONT></I> 
<BR><I><FONT face=Arial color=#000080>International Security Group  
(Central Services)</FONT></I> <BR><I><FONT face=Arial color=#000080>WorldCom 
International</FONT></I> </P>
<P><I><FONT face=Arial color=#000080>Ph:(02) 9434 5636</FONT></I> <BR><I><FONT 
face=Arial color=#000080>Mob: 0410 657 249</FONT></I> </P>
<P><I><FONT face=Arial color=#000080>PGP kEY </FONT></I><BR><I><FONT face=Arial 
color=#000080>75DF 2980 5663 2DC1 12CD  E43E 94D6 7A9A 222D 3449</FONT></I> 
</P>
<BLOCKQUOTE dir=ltr style="MARGIN-RIGHT: 0px">
  <DIV class=OutlookMessageHeader dir=ltr align=left><FONT face=Tahoma 
  size=2>-----Original Message-----<BR><B>From:</B> Matt Yackley 
  [mailto:Matt.Yackley@...5858...]<BR><B>Sent:</B> Tuesday, 8 April 2003 
  11:38 PM<BR><B>To:</B> Semerjian, Ohanes; 
  'snort-users@lists.sourceforge.net'<BR><B>Subject:</B> RE: [Snort-users] 
  WEB-MISC long basic authorization string<BR><BR></FONT></DIV>
  <DIV><SPAN class=554203613-08042003><FONT face=Arial color=#0000ff size=2>I 
  had this issue with Outlook Web Access traffic, I have disabled the rule for 
  now, at some point though I guess I should just create a pass rule for the 
  afftected box...</FONT></SPAN></DIV>
  <DIV><SPAN class=554203613-08042003><FONT face=Arial color=#0000ff 
  size=2></FONT></SPAN> </DIV>
  <DIV><SPAN class=554203613-08042003><FONT face=Arial color=#0000ff 
  size=2>-matt</FONT></SPAN></DIV>
  <BLOCKQUOTE dir=ltr style="MARGIN-RIGHT: 0px">
    <DIV class=OutlookMessageHeader dir=ltr align=left><FONT face=Tahoma 
    size=2>-----Original Message-----<BR><B>From:</B> Semerjian, Ohanes 
    [mailto:Semerjian.Ohanes@...4899...]<BR><B>Sent:</B> Monday, April 07, 2003 
    9:45 PM<BR><B>To:</B> 'snort-users@lists.sourceforge.net'<BR><B>Subject:</B> 
    [Snort-users] WEB-MISC long basic authorization string<BR><BR></FONT></DIV>
    <P><FONT face=Arial size=2>Dear all,</FONT> </P>
    <P><FONT face=Arial size=2>I'm getting the  "</FONT> <FONT 
    face="Courier New" size=2>WEB-MISC long basic authorization string " from 
    source IPs which are part of our internal network to one host. This host is 
    an internal web server whom our MIS changed the IP address just before these 
    alerts start flow. Now I've checked the signature definition which shows 
    that it takes consideration of the payload. What I would like to know that 
    if there is other legitimate traffic could fire up this signature..?coz I 
    don't think a big number of machines on the network are trying to attack 
    this one host..?</FONT></P>
    <P><FONT face="Courier New" size=2>Would appreciate your thoughts</FONT> 
    </P><BR>
    <P><FONT face=Arial size=2>alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 
    80 (msg:"WEB-MISC long basic authorization string"; flags:A+; 
    content:"Authorization\: </FONT></P>
    <P><FONT face=Arial size=2>Basic "; nocase; dsize:>1000; 
    classtype:attempted-dos; reference:bugtraq,3230; sid:1260; rev:2;)</FONT> 
    </P><BR>
    <P><I><FONT face=Arial color=#000080>Best Regards</FONT></I> </P>
    <P><I><FONT face=Arial color=#000080>Ohanes Semerjian</FONT></I> 
  </P></BLOCKQUOTE></BLOCKQUOTE></BODY></HTML>