<P>
Hi All,<BR>
I need a little clarification about "offset" modifier notation in conjuction with "uricontent" keyword. Does Snort treats "offset" differently in case of "uricontent" keyword.<BR>
<BR>
In case of "uricontent" keyword, does snort treats "offset:0" from the start of URI, and not from the start of the payload.<BR>
<BR>
The snort manual says that the "offset" tells how many bytes to skip before starting looking for the specified "content" keyword and "offset" is calculated from the start of payload.<BR>
<BR>
For example: <BR>
content: ".html"; offset:4; would mean start looking for ".html" after 4 bytes.<BR>
<BR>
However, in case of "uricontent" keyword<BR>
<BR>
Will uricontent: ".html"; offset:0; depth:5; would mean start looking for start of URI and in next 5 characters. Or it will mean, start looking for ".html" in first 5 bytes of payload.<BR>
<BR>
<BR>
Any help will be appricated.<BR>
<BR>
Thanks,<BR>
<BR>
-IntruSec
</P>
<br><br>
<a href="http://adworks.rediff.com/cgi-bin/AdWorks/sigclick.cgi/www.rediff.com/signature-home.htm/1507191490@...13663...?PARTNER=3"><IMG SRC="http://adworks.rediff.com/cgi-bin/AdWorks/sigimpress.cgi/www.rediff.com/signature-home.htm/1963059423@...13663...?OAS_query=null&PARTNER=3" BORDER=0 VSPACE=0 HSPACE=0></a>