Sono molto confuso su esattamente cosa fa http_uri. Qualcuno può spiegarmelo con i campi uri NORMALIZZATI e NON NORMALIZZATI?
Sono molto confuso su esattamente cosa fa http_uri. Qualcuno può spiegarmelo con i campi uri NORMALIZZATI e NON NORMALIZZATI?
Le parole chiave uri normalizzate e non normalizzate funzionano in modo diverso in snort. Normalizzazione significa analisi di http_uri e quindi memorizzazione nel buffer per la corrispondenza. Tuttavia in uri non normalizzato verrà salvato direttamente nel buffer senza analisi. Ad esempio, supponiamo che la richiesta http sia come
/somefile.php?username=%27;echo%20
Quindi per uri normalizzato ogni carattere esadecimale verrà rappresentato nel corrispondente valore ASCII, quindi dopo la normalizzazione la richiesta sarà simile a
/somefile.php?username = '; echo
allora questa stringa verrà memorizzata nel buffer per ulteriore corrispondenza. In caso di uri non normalizzato la richiesta verrà archiviata nel buffer così come lo è per ulteriori corrispondenze.