w3af (Web Application Attack and Audit Framework) scanner detection rule
w3af는 sourceforge에 나온 스캐닝 툴이자 공격 툴입니다.
사용법은
http://w3af.svn.sourceforge.net/viewvc/w3af/trunk/readme/EN/w3afUsersGuide.pdf
다음 링크에 자세하게 나옵니다.
이 툴의 특징은 특정한 User-Agent를 사용합니다.
User-agent: w3af.sourceforge.net
alert tcp any any -> any 80 (content:”|0d0a|User-Agent|3a20|w3af.sourceforge.net|0d0a|”; nocase;)
alert tcp any any -> any 80 (content:”User-Agent”; nocase; content:”w3af.sourceforge.net”; nocase; distance:0; within:50; pcre:”/^User\x2dAgent\3a\s+w3af\x2esourceforge\x2enet\x0d\x0a/smi”;)
alert tcp any any -> any 80 (content:”w3af.sourceforge.net”; nocase; pcre:”/^User\x2dAgent\3a\s+w3af\x2esourceforge\x2enet\x0d\x0a/smi”;)
3가지 다 비슷하나 차이점이 있습니다.
1번째는 pcre를 사용하지 않았고
2,3 번째는 사용했습니다.
2번째 fastpattern match 는 User-Agent입니다.
hit수가 많을 수 있으므로 unique한 w3f.sourceforge.net를 찾고 pcre를 적용합니다.
About this entry
You’re currently reading “w3af (Web Application Attack and Audit Framework) scanner detection rule,” an entry on Snort rules
- 게시일:
- 7월 21, 2009 / 10:06 am
- 카테고리:
- Rule Create
No comments yet
Jump to comment form | comment rss [?] | trackback uri [?]