<html><body><div style="color:#000; background-color:#fff; font-family:times new roman, new york, times, serif;font-size:12pt"><div>Hi,</div><div><br></div><div>First, Congrats All for Suricata v1.3 !</div><div><br></div><div>Im continue my testing, and maybe discovered then Suricata not fire when dir traversal are encoded like this:</div><div><br></div><pre>GET /sdk/%2E%2E/%2E%2E/%2E%2E/%2E%2E/%2E%2E/%2E%2E//etc/vmware/hostd/vmInventory.xml HTTP/1.1
<br>(Thx Nmap Scripting Engine [nse])<br>
Someone confirm this please? (if yes Im open a new redmine ticket)<br><br>ok if I create this rule:<br> ... content:"../"; http_uri; ...<br><br>1) Suricata fire with "GET /sdk/../..."<br><br>2) Suricata not fire with (simple encoded) "GET /sdk/%2E%2E/..."<br><br>3) Suricata fire with (double encoded) "GET /sdk/%252E%252E%252F..."<br><br>Regards<br>Rmkml<br><br>http://www.twitter.com/rmkml<br><br></pre></div></body></html>