<p dir="ltr">You should be able to include the Emerging Threats sigs by including the copyright per the BSD 3-Clause they use.</p>
<p dir="ltr">To be extra cautious, you could just provide a way to pull down the latest signatures and process them.</p>
<div class="gmail_quote">On Oct 8, 2013 9:51 AM, "Andres Riancho" <<a href="mailto:andres.riancho@gmail.com">andres.riancho@gmail.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Victor,<br>
<br>
On Tue, Oct 8, 2013 at 7:48 AM, Victor Julien <<a href="mailto:lists@inliniac.net">lists@inliniac.net</a>> wrote:<br>
> On 10/08/2013 03:05 AM, Andres Riancho wrote:<br>
>> List,<br>
>><br>
>>     Let me introduce myself, my name is Andres Riancho and I'm the<br>
>> w3af [0] project leader. w3af is an open source web application<br>
>> security scanner, and I was thinking about integrating a small subset<br>
>> of suricata's rules into it.<br>
>><br>
>>     The idea is rather simple, parse the rules which identify<br>
>> botnets/malware in http response bodies and apply them to each http<br>
>> response that w3af gets from the target site while it's crawling it.<br>
>> If a match is found, report a vulnerability to the user; that<br>
>> vulnerability will contain all the information (URLs, fix, more info,<br>
>> etc.) provided by the suricata rule.<br>
>><br>
>>     My questions to the suricata community are:<br>
>>         * What do you think about the idea?<br>
>>         * Do you expect this to trigger lots of false positives? How<br>
>> could I reduce them?<br>
><br>
> The closer the logic is to how we process http, the less fp's you should<br>
> get.<br>
<br>
Makes sense. Also, a question for Suricata admins that analyze lots of<br>
traffic: Are there any specific signatures for http response content<br>
matching I should disable?<br>
<br>
>>         * w3af is GPLv2.0, can I bundle the suricata rules with it?<br>
><br>
> Suricata ships only a special kind of rules (decoder events and other<br>
> events the engine itself generates), for the rest ppl mostly use ET<br>
> and/or VRT.<br>
<br>
Thanks for the clarification on suricata rules, VRT and ET.<br>
<br>
PS: I'm an IDS noob, when you say VRT it is [0] and ET is [1] , correct?<br>
<br>
[0] <a href="http://www.snort.org/vrt" target="_blank">http://www.snort.org/vrt</a><br>
[1] <a href="http://www.emergingthreats.net/" target="_blank">http://www.emergingthreats.net/</a><br>
<br>
>>         * Is there any well tested suricata rule parser written in python?<br>
><br>
> rule2alert is written in python and generates pcaps based on rules, so<br>
> it should parse them fairly well: <a href="https://github.com/pevma/rule2alert" target="_blank">https://github.com/pevma/rule2alert</a><br>
<br>
Excellent, will use that one<br>
<br>
>>         * Any similar project you want me to look into?<br>
>>         * Are there major differences between snort and suricata<br>
>> rules? Which ruleset should I use for this task?<br>
><br>
> It's not really about snort vs suricata, but more about using ET vs VRT<br>
> I think. The ET set is BSD licensed mostly iirc, so you should be able<br>
> to use that.<br>
<br>
Well, BSD and GPL are incompatible licenses, but I'll try to find out<br>
more about the licensing of ET and VRT<br>
<br>
> --<br>
> ---------------------------------------------<br>
> Victor Julien<br>
> <a href="http://www.inliniac.net/" target="_blank">http://www.inliniac.net/</a><br>
> PGP: <a href="http://www.inliniac.net/victorjulien.asc" target="_blank">http://www.inliniac.net/victorjulien.asc</a><br>
> ---------------------------------------------<br>
><br>
> _______________________________________________<br>
> Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>
> Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a><br>
> List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
> OISF: <a href="http://www.openinfosecfoundation.org/" target="_blank">http://www.openinfosecfoundation.org/</a><br>
<br>
<br>
<br>
--<br>
Andrés Riancho<br>
Project Leader at w3af - <a href="http://w3af.org/" target="_blank">http://w3af.org/</a><br>
Web Application Attack and Audit Framework<br>
Twitter: @w3af<br>
GPG: 0x93C344F3<br>
_______________________________________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
OISF: <a href="http://www.openinfosecfoundation.org/" target="_blank">http://www.openinfosecfoundation.org/</a><br>
</blockquote></div>