What is your stream5 config?<br><br>Have you turned on reassembly on HTTP ports? Do you have the HTTP ports in stream5 ports?<br><br>This should be fixed by adding ports 80, 8080 to ports client config of stream5<br><br>-B<br>
<br><div class="gmail_quote">On Sat, Jun 4, 2011 at 5:19 AM, mahendra kumawat <span dir="ltr"><<a href="mailto:mahendra.u27@...11827...">mahendra.u27@...11827...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<div><div></div><div class="h5"><br>Hi ,<br><div class="gmail_quote"><br>I came across an issue today where snort doesn't appear to match content <br>across packets and since the feature is very basic to the IDS, I wanted to <br>
raise a red flag and seek your help.<br>
<br>The issue is as follows:<br>
<br>1.  Vulnerability<br><a href="http://www.securityfocus.com/bid/47826" target="_blank">http://www.securityfocus.com/bid/47826</a><br><br>2. Exploit <br><a href="http://downloads.securityfocus.com/vulnerabilities/exploits/47826.txt" target="_blank">http://downloads.securityfocus.com/vulnerabilities/exploits/47826.txt</a><br>


<br><br>There is two exploit ,let`s take only first in this case.  It's a form based <br>cross site scripting attempt using HTTP POST. I wrote signature for this:<br><br><br>alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg: " Argyle Social <br>


Cross Site Scripting attempt"; flow:established, to_server; <br>content:"stream_filter_rule"; http_client_body; reference:bugtraq,47826; <br>classtype:web-application-attack; sid:50000027; rev:1;)<br><br>I attached a pcap for testing "47826f.pcap". Please look at packet no. 4 and 5 <br>


across which the exploit content is split. when i was running snort on this <br>pcap ,no alert was genrated. <br><br><br>But when i removed "http_client_body" keyword in rule then i got a alert. So i <br>think when i  use "http_client_body" there is some problem with across packet <br>


matching. <br><br>I also tried after change "content:"script"; , but when i <br>used "http_client_body" keyword after content ,i did not get any alert. When <br>i removed "http_client_body" ,then i got alert. It is showing also same <br>


problem.<br><br>alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS <br>(msg: "NIKSUN-WEB-CLIENT Cross Site Scripting attempt"; flow:established, <br>to_server; content:"script"; http_client_body; r<br>


eference:bugtraq,47826; classtype:web-application-attack; sid:50000027; <br>rev:1;)<br><br><br>I have below configuration in snort.conf for http_inspect.<br><br># http_inspect: normalize and detect HTTP traffic and protocol anomalies<br>


<br>preprocessor http_inspect: global \<br>    iis_unicode_map unicode.map 1252<br><br>preprocessor http_inspect_server: server default \<br>    profile all ports { 80 8080 8180 } oversize_dir_length 500 flow_depth 0 <br>


post_depth 65495<br><br>Snort version:<br><br><br> -*> Snort! <*-<br>  o"  )~   Version 2.8.6.1 (Build 39)<br>   ''''    By Martin Roesch & The Snort Team: <a href="http://www.snort.org/snort/snort-team" target="_blank">http://www.snort.org/snort/snort-team</a><br>


           Copyright (C) 1998-2010 Sourcefire, Inc., et al.<br>           Using PCRE version: 7.4 2007-09-21<br><br><br>So please advise me what is wrong with my snort ? why this is happening?<br>how can i resolve this problem ?<br>


<br>Please communicate with me on same id (<a href="mailto:mahendrau.27@...843.....11827..." target="_blank">mahendrau.27@...11827...</a> )<br><br><br><br>Thanks <br><font color="#888888">Mahendra<br><br>
</font></div><br>
</div></div><br>------------------------------------------------------------------------------<br>
EditLive Enterprise is the world's most technically advanced content<br>
authoring tool. Experience the power of Track Changes, Inline Image<br>
Editing and ensure content is compliant with Accessibility Checking.<br>
<a href="http://p.sf.net/sfu/ephox-dev2dev" target="_blank">http://p.sf.net/sfu/ephox-dev2dev</a><br>_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br></blockquote></div><br>