Règles (2)

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-IIS .asp$data access";flags: A+; uricontent:".asp|3a3a|$data"; nocase; reference:cve,CVE-1999-0278; classtype:attempted-recon;) 

Dans cette règle, on peut voir l'utilisation de variables
pré-définies. L'utilisation d'une référence officielle pour le type de
signature. On a positionné le flags : A+, on prend en compte tous les
drapeaux si le flag ACK est placé. On utilise le uricontent pour vérifier
les valeurs dans les paramètres HTTP. On utilise "nocase" pour ne pas être
sensible aux majuscules/miniscules. Le format des données peut être en
ASCII ou en bytecode (||).