<div style="line-height:1.7;color:#000000;font-size:14px;font-family:Arial"><div>Hi all, </div><div>Does anyone know how to match HTTP OPTIONS payload? Seems that snort doesn't support the detection of HTTP OPTIONS payload. I wrote the following rule</div><div>               alert tcp any any -> any any (content:"OPTIONS";nocase;http_method; pcre:"/A{10, }/iP"; sid:10000001;rev:1;classtype:web-application-attack;msg:"CVE-2010-0361";)</div><div>and I used curl to send such a request</div><div>              curl -X OPTIONS -O '192.168.2.112' --data "AAAAAAAAAAAAAAAAAAAAAA"</div><div>snort didn't trigger any alerts. Then I changed the rule to detect HTTP POST, and put it this way</div><div>                <span style="line-height: 23.8px;"> alert tcp any any -> any any (content:"POST";nocase;http_method; pcre:"/A{10, }/iP"; sid:10000001;rev:1;classtype:web-application-attack;msg:"CVE-2010-0361";)</span></div><div><span style="line-height: 23.8px;">and used curl to send POST request</span></div><div><span style="line-height: 23.8px;">                </span><span style="line-height: 23.8px;">curl -X POST -O '192.168.2.112' --data "AAAAAAAAAAAAAAAAAAAAAA"</span></div><div><span style="line-height: 23.8px;">this time, snort triggered a alert, very strange. Am I missing anything?</span></div><div><span style="line-height: 23.8px;">Many thanks.</span></div></div><br><br><span title="neteasefooter"><p> </p></span>