我正在运行一个 Snort IDS,并且其中一个规则在 HTTP 标头<!--{1,200}-->的Referer字段中匹配。当我查看 pcap 时,似乎没有任何一致性。有时它看起来像 HTML。在一种情况下,有<!--SS_END_SNIPPET (2,17)-->(或类似的东西)。
我在这里搜索了谷歌,但还没有找到任何可以解释这一点的东西,我无法弄清楚其目的可能是什么。
签名是一套的。如果我可以改进它以捕捉它应该寻找的东西,我想改变它。它会产生很多匹配。或者,也许我想完全消除它。
这样做的目的是什么,它与跨站点脚本有什么关系?