<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">
<TITLE>Message</TITLE>

<META content="MSHTML 6.00.2800.1479" name=GENERATOR></HEAD>
<BODY>
<DIV><FONT face=Arial size=2><FONT face="Times New Roman" size=3> I don't 
know if anyone has experienced this in the past but I recently installed the 
bleeding snort ruleset through IDS Manager [recently installed the manager out 
of curiosity cause everything is Microsoft here] - no problems doing the 
updates, but <SPAN class=490350015-07022005>recently</SPAN> I saw some 
unusual traffic and I am not sure if it is related to this. A user was logging 
on to zone.msn.com (online games) signing in using SSL. The other instance 
occur<SPAN class=490350015-07022005>ed</SPAN> when another user was logging into 
a portal also using SSL. </FONT>
<DIV><SPAN class=089381618-04022005><BR>BLEEDING-EDGE WEB-IIS ASP.net Auth 
Bypass / Canonicalization. </SPAN></DIV>
<DIV><SPAN class=089381618-04022005>BLEEDING-EDGE WEB-MISC cross site scripting 
attempt to execute Javascript code </SPAN></DIV>
<DIV><SPAN class=089381618-04022005>BLEEDING-EDGE WEB-MISC cross site scripting 
attempt TYPE + JAVASCRIPT </SPAN></DIV>
<DIV><SPAN class=089381618-04022005></SPAN> </DIV>
<DIV><SPAN class=089381618-04022005><SPAN class=490350015-07022005>The above 
</SPAN>were the rules that flagged the traffic. The unusual thing is that part 
of the payload included data from a seperate subnet and VLAN. The computers that 
were accessing one of our databases were on a seperate subnet and VLAN. They 
were connected to the web at the time. All traffic from these specific 
computers<SPAN class=490350015-07022005>,</SPAN> on both VLANs<SPAN 
class=490350015-07022005>,</SPAN> pass<SPAN class=490350015-07022005>es</SPAN> 
through the same switch. Traffic from the stations accessing the database showed 
up in the payload of stations<SPAN class=490350015-07022005> on the 
different VLAN</SPAN> that were accessing the web.<BR><BR>The tcpdump.log 
file does not show the HTTP/SSL traffic as containing the addtional data. This 
sensor is on a spanning port on a Cisco switch so it would see traffic from both 
VLANS.<BR><BR>Is it possible that somehow the data was merged while being logged 
to MySQL (v4.1)?<BR><BR>I do have traffic capures and related info if 
needed.<BR><BR>thanks in advance, <!--StartFragment --></SPAN></DIV>
<DIV> </DIV>
<DIV align=left><FONT face="Book Antiqua"><SPAN 
class=089381618-04022005>Dean</SPAN></FONT></DIV></FONT></DIV>
<DIV> </DIV>
<DIV align=left><FONT face="Book Antiqua" size=2>Manager of Information 
Technology</FONT></DIV>
<DIV align=left><FONT face="Book Antiqua" size=2>Plaza College</FONT></DIV>
<DIV align=left><FONT face="Book Antiqua" size=2>Plaza College Way</FONT></DIV>
<DIV align=left><FONT face="Book Antiqua" size=2>Jackson Heights</FONT></DIV>
<DIV align=left><FONT face="Book Antiqua" size=2>NY 11372</FONT></DIV>
<DIV align=left><FONT face="Book Antiqua" size=2>Tel: (718) 779-1430 
ext.115</FONT></DIV>
<DIV> </DIV></BODY></HTML>