Правило Snort для Java-скрипта не работает

Существует возможность номализации javascript в препроцессоре http. Вы должны убедиться, что это включено, иначе такие функции, как unescape, не будут такими, как вы ожидаете. однако вы все равно должны увидеть «unescape», поэтому я не совсем уверен, что это ваша проблема. Вы можете прочитать о том, как настроить этот параметр в руководстве snort в параметрах конфигурации сервера. Вот фрагмент из руководства по этому варианту:

"normalize_javascript Этот параметр включает нормализацию Javascript в теле ответа HTTP. Перед настройкой этого параметра следует выбрать параметр конфигурации extended_response_inspection. Когда этот параметр включен, Http Inspect ищет Javascript в теле ответа HTTP, выполняя поиск <script> теги и начинает его нормализацию. Когда Http Inspect видит тег <script> без типа, он считается javascript. Запутанные данные в функциях javascript, таких как unescape, String.fromCharCode, decodeURI, decodeURIComponent, будут Компонент unescape/decodeURI/decodeURIComponent обрабатывает различные кодировки: %XX, %uXXXX, XX и uXXXXi. Помимо этих кодировок, Http Inspect также обнаружит последовательные пробелы и нормализует их до одного пробела. нормализовать плюс и объединить строки. Параметр правила file_data можно использовать для доступа к этому нормализованному буферу из правила. предупреждение процессора с SID 9 и GID 120 генерируется, когда уровни запутывания в Http Inspect равны или превышают 2».

Если это все еще не работает, вам следует проверить следующее:

Возможно, значение server_flow_depth в http://manual.snort.org/node17.html#SECTION003274000000000000000 слишком низкое. Значение по умолчанию — 300, поэтому, если «<script>» находится в первых 300 байтах, а «unescape» — после 300 байт, snort не будет проверять так далеко. Попробуйте установить это значение на 65535. Вы сможете проверить это, сопоставив содержимое для «</script>», если это не генерирует предупреждение, скорее всего, это настройка.