Sto cercando di capire le regole di scrittura per snort. Ulteriore obiettivo è il rilevamento di iniezioni SQL come qui .
Ho letto la documentazione delle regole dello snort e ho creato questa regola:
alert tcp any any -> any 80 (msg:"SQL Injection - Paranoid"; content:".php"; http_raw_header; sid:51233333;)
all'interno di /etc/snort/rules/mysql.rules che è stato reimpostato da /etc/snort/snort.conf . Mi aspettavo che questa regola dovesse allertare ogni singola chiamata di un php, ma non sarebbe stato registrato nulla. Ho anche provato http_header e http_uri invece di http_raw_header .
Io chiamo snort in questo modo:
sudo snort -A console -c /etc/snort/snort.conf
Qualcuno potrebbe dirmi per favore come registrare ogni chiamata di un ".php" tramite HTTP? Quindi sono in grado di andare avanti con i prossimi passi.
Ulteriori informazioni sul mio ambiente: Snort è in esecuzione in una scatola virtuale con Ubuntu 15.04 come sistema operativo. La rete è in bridging e la modalità promiscua è abilitata per tutte le VM. All'interno della stessa VM è in esecuzione un server XAMPP con mutillidae che dovrebbe essere attaccato. Se hai bisogno di ulteriori informazioni fammi sapere! Tutto il consiglio sarebbe apprezzato! Grazie!