<div dir="ltr">Hey Devs!<div><br></div><div>I wanted to throw an idea out there to see if anyone knows if this idea is already in the works or even feasible. On our Lua scripting page, we <b>currently </b>support the following buffers:</div><div><div><br></div><div>packet -- entire packet, including headers</div><div>payload -- packet payload (not stream)</div><div>http.uri</div><div>http.uri.raw</div><div>http.request_line</div><div>http.request_headers</div><div>http.request_headers.raw</div><div>http.request_cookie</div><div>http.request_user_agent</div><div>http.request_body</div><div>http.response_headers</div><div>http.response_headers.raw</div><div>http.response_body</div><div>http.response_cookie</div></div><div><br></div><div>Ref: <a href="https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Lua_scripting">https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Lua_scripting</a></div><div><br></div><div>Would it be possible to register any new buffers to this list? In particular, how do you think we could go about adding some TLS keywords:</div><div>tls.version<br></div><div>tls.subject<br></div><div>tls.issuerdn<br></div><div>tls.fingerprint<br></div><div><br></div><div>Ref: <a href="https://redmine.openinfosecfoundation.org/projects/suricata/wiki/TLS-keywords">https://redmine.openinfosecfoundation.org/projects/suricata/wiki/TLS-keywords</a></div><div><br></div><div>These would open up a lot of power for scripting complex detections of TLS-related attacks and exploits.</div><div><br></div><div>Thanks!</div><div>Nasir Bilal</div></div>