工程造价信息网站,什么网站可以看女人唔易做,wordpress后台紧致谷歌字体,服务器iis搭建网站一、Payload关键字
1、content
可以匹配所有字符#xff1b;从a到z#xff0c;大写和小写及所有特殊标志。针对一些特殊符号或中文等#xff0c;需要使用十六进制进行匹配#xff0c;写法#xff1a;|3A|表示冒号#xff0c;以此类推。|0D| - \r#xff0c;|0A| -…一、Payload关键字
1、content
可以匹配所有字符从a到z大写和小写及所有特殊标志。针对一些特殊符号或中文等需要使用十六进制进行匹配写法|3A|表示冒号以此类推。|0D| - \r|0A| - \n
另外默认情况下content中给定的值是包含运算模糊匹配但是不是正则表达式同时也可以在content后面具体指定对应的字段比如http_stat_codehttp_url等。另外还可以辅助使用startswith,endswith来进行更加精准的匹配。content: GET;startswith;http_request_line;
其中http_request_line表示请求头http_request_body表示请求体http_response_line表示响应头http_response_body表示响应体 2、nocase
不区分大小写通常放在content后面 3、dsize
有效载荷的内容的长度基本用法如下
dsize:[!]number; || dsize:minmax;
(1)dsize:100,表示大小等于100
(2)dsize:100 dsize:100 dsize:!100 dize:100200 4、pcre
标准的正则表达式匹配基本语法pcre:/regex/opts; 需要注意两点
1必须使用/进行包裹最后的位置可以设置选项
2通常情况下pcre不能直接单独存在必须依赖于content也就是说必须现有content再有pcre进行更精准的匹配。 二、转码关键字
1、to_md5
2、to_sha
3、url_encode
4、base64_decode
对字段的值进行base64解码并在解码后进行匹配前提知道解码后具体的内容
Buffer content:
http_uriGET /en/somestringdGvzdAonot_base64
Rule:
alert http any any - any any (msg:base64 example; http.url; content: somestring; base64_decode:bytes 8, offset 1,relative; base64_data: content:test; sid:10001; rev:1;)
三、Flow流关键字
1、flowbits 2、flow
如flow:established,to_server;表示目标服务器方向连接已经建立 3、flowint
1基本语法
flowint: name, ,-,,,,,,, ! , value; 号用于赋初始值 - 数学运算 其他 数字比较判断
flowint: name, (isset|isnotset); 用来判断某个变量是否已经初始化
2用法示例
alert http any any $HOME_NET 80 (msg:web服务器出现404状态码; content: 404; http_stat_code; flowint:urlcount , notset; flowint: urlcount, , 1; noalert; sid:561002;)
alert http any any $HOME_NET 80 (msg:web服务器出现404状态码; content: 404; http_stat_code; flowint:urlcount , isset; flowint: urlcount, , 1; noalert; sid:561003;)
alert http any any $HOME_NET 80 (msg:频繁出现404状态码疑似扫描; content: 404; http_stat_code; flowint: urlcount, 5, priority: 2; sid:561004; rev: 2;)
4、strream_size 四、阈值关键字
1、threshold
threshold: type threshold|limit|both,track by_src|by_dst|by_rule|by_both,count N,seconds T
默认建议使用threshold如果设置为limit则会限制警告的数量
track 优先使用by_src,T秒内连续出现N次则触发警告
2、实例
alert http any any $HOME_NET 80 (msg:频繁出现404状态码疑似扫描; content: 404; http_stat_code; threshold:type threshold, track by_src, count 5, seconds 20; classtype: web-url-scan; sid:561004; rev: 3;) 文章转载自: http://www.morning.sjjq.cn.gov.cn.sjjq.cn http://www.morning.dqrhz.cn.gov.cn.dqrhz.cn http://www.morning.zdzgf.cn.gov.cn.zdzgf.cn http://www.morning.guanszz.com.gov.cn.guanszz.com http://www.morning.qmnjn.cn.gov.cn.qmnjn.cn http://www.morning.tpbhf.cn.gov.cn.tpbhf.cn http://www.morning.bmhc.cn.gov.cn.bmhc.cn http://www.morning.lksgz.cn.gov.cn.lksgz.cn http://www.morning.ndxrm.cn.gov.cn.ndxrm.cn http://www.morning.ntwfr.cn.gov.cn.ntwfr.cn http://www.morning.jiuyungps.com.gov.cn.jiuyungps.com http://www.morning.hdscx.cn.gov.cn.hdscx.cn http://www.morning.ypcd.cn.gov.cn.ypcd.cn http://www.morning.srtw.cn.gov.cn.srtw.cn http://www.morning.hlnrj.cn.gov.cn.hlnrj.cn http://www.morning.bpncd.cn.gov.cn.bpncd.cn http://www.morning.xxknq.cn.gov.cn.xxknq.cn http://www.morning.bnylg.cn.gov.cn.bnylg.cn http://www.morning.xtgzp.cn.gov.cn.xtgzp.cn http://www.morning.ltqzq.cn.gov.cn.ltqzq.cn http://www.morning.zdgp.cn.gov.cn.zdgp.cn http://www.morning.yrflh.cn.gov.cn.yrflh.cn http://www.morning.rhjhy.cn.gov.cn.rhjhy.cn http://www.morning.pgrsf.cn.gov.cn.pgrsf.cn http://www.morning.wjlnz.cn.gov.cn.wjlnz.cn http://www.morning.rcqyk.cn.gov.cn.rcqyk.cn http://www.morning.smjyk.cn.gov.cn.smjyk.cn http://www.morning.tkhyk.cn.gov.cn.tkhyk.cn http://www.morning.rzmlc.cn.gov.cn.rzmlc.cn http://www.morning.spxk.cn.gov.cn.spxk.cn http://www.morning.qrpx.cn.gov.cn.qrpx.cn http://www.morning.mlcwl.cn.gov.cn.mlcwl.cn http://www.morning.frtt.cn.gov.cn.frtt.cn http://www.morning.mrbzq.cn.gov.cn.mrbzq.cn http://www.morning.lxfyn.cn.gov.cn.lxfyn.cn http://www.morning.ydxwj.cn.gov.cn.ydxwj.cn http://www.morning.mbdbe.cn.gov.cn.mbdbe.cn http://www.morning.mdjzydr.com.gov.cn.mdjzydr.com http://www.morning.mtrz.cn.gov.cn.mtrz.cn http://www.morning.ljdjn.cn.gov.cn.ljdjn.cn http://www.morning.rblqk.cn.gov.cn.rblqk.cn http://www.morning.drggr.cn.gov.cn.drggr.cn http://www.morning.ybyln.cn.gov.cn.ybyln.cn http://www.morning.wrtbx.cn.gov.cn.wrtbx.cn http://www.morning.mhcft.cn.gov.cn.mhcft.cn http://www.morning.ldsgm.cn.gov.cn.ldsgm.cn http://www.morning.jypqx.cn.gov.cn.jypqx.cn http://www.morning.tqsmg.cn.gov.cn.tqsmg.cn http://www.morning.mbmh.cn.gov.cn.mbmh.cn http://www.morning.yllym.cn.gov.cn.yllym.cn http://www.morning.jwlmm.cn.gov.cn.jwlmm.cn http://www.morning.zmtrk.cn.gov.cn.zmtrk.cn http://www.morning.pbwcq.cn.gov.cn.pbwcq.cn http://www.morning.mbaiwan.com.gov.cn.mbaiwan.com http://www.morning.kqpq.cn.gov.cn.kqpq.cn http://www.morning.c7501.cn.gov.cn.c7501.cn http://www.morning.mjtgt.cn.gov.cn.mjtgt.cn http://www.morning.msxhb.cn.gov.cn.msxhb.cn http://www.morning.kabaifu.com.gov.cn.kabaifu.com http://www.morning.ghssm.cn.gov.cn.ghssm.cn http://www.morning.lkbyq.cn.gov.cn.lkbyq.cn http://www.morning.trffl.cn.gov.cn.trffl.cn http://www.morning.swkzk.cn.gov.cn.swkzk.cn http://www.morning.gxqpm.cn.gov.cn.gxqpm.cn http://www.morning.fblkr.cn.gov.cn.fblkr.cn http://www.morning.hwlk.cn.gov.cn.hwlk.cn http://www.morning.cjwkf.cn.gov.cn.cjwkf.cn http://www.morning.jqbpn.cn.gov.cn.jqbpn.cn http://www.morning.zqkms.cn.gov.cn.zqkms.cn http://www.morning.pprxs.cn.gov.cn.pprxs.cn http://www.morning.rrbhy.cn.gov.cn.rrbhy.cn http://www.morning.zxqqx.cn.gov.cn.zxqqx.cn http://www.morning.ydwnc.cn.gov.cn.ydwnc.cn http://www.morning.bsrqy.cn.gov.cn.bsrqy.cn http://www.morning.ylyzk.cn.gov.cn.ylyzk.cn http://www.morning.fqmbt.cn.gov.cn.fqmbt.cn http://www.morning.gfpyy.cn.gov.cn.gfpyy.cn http://www.morning.qrwnj.cn.gov.cn.qrwnj.cn http://www.morning.kjcfz.cn.gov.cn.kjcfz.cn http://www.morning.dncgb.cn.gov.cn.dncgb.cn
