룰 파일 = vi ./local.rules (/etc/nsm/rules)
Alert TCP $sEXTERNAL_NET any -> $HOME_NET any (msg:"Path Traversalvuln ../../"; content:"|2E2E2F2E2E2F|"; sid:2016120201;rev:1;)
// TCP 로 얼럿을 주며 EXTERNAL 은 외부 HOME_NET은 내부 즉, 외부에서 내부로 들어오는 트래픽을 감지한다.
감지시 msg를 출력하는데 content 내용은 ../../ 를 ASCII 헥스 코드로 인코딩해서 넣은것이다.
sid는 룰을 식별하기 위한 식별자로써 날짜를 넣었고 rev는 룰 수정 횟수이다.
../../ 즉 / 슬래시 형태를 쓰는것은 리눅스에서 경로순회 취약점을 탐지하기 위한 코드이다.
Alert TCP $sEXTERNAL_NET any -> $HOME_NET any (msg:"Path Traversalvuln ..\..\"; content:"|2E2E5C2E2E5C|"; sid:2016120202;rev:1;)
// 내용은 위와 같으나 / 대신 \ 를 넣어 윈도우에 해당하는 경로순회 취약점을 탐지한다.
룰 수정 후 파일을 저장 하고 rule-update 명령어로 업데이트 수행
만약 snort 룰만 룰 업데이트 적용이 안되는 경우
nsm --sensor --restart --only-snort-alert 명령어를 사용한다.
'8. 정보보안 노트 정리' 카테고리의 다른 글
메타스플로잇 핸들러와 msfvenom 사용하기 (0) | 2023.12.26 |
---|---|
PentesterLab [해킹 실습용 웹사이트 구성] (0) | 2023.12.26 |
Security Onion -> OWASP Zap XSS 등 보안규칙 적용[http_uri,http_client_body 옵션] (0) | 2023.12.26 |
PCAP 파일 및 멀웨어 소스 제공 사이트 (0) | 2023.12.26 |
침입탐지, 보안 모니터링, 로그 관리를 하는 Security Onion 설치 (0) | 2023.12.26 |