API tools faq
paste
Advertisement
joshuascottpaul

default_filter.xml with night.k...@gmail.com fixes applied

joshuascottpaul
Apr 29th, 2012
2,517
0
Never
Add comment
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
XML 32.88 KB | None | 0 0
raw download clone embed print report
  1. <filters>
  2.     <filter>
  3.         <id>1</id>
  4.         <rule><![CDATA[(?:"[^"]*[^-]?>)|(?:[^\w\s]\s*\/>)|(?:>")]]></rule>
  5.         <description>finds html breaking injections including whitespace attacks</description>
  6.         <tags>
  7.             <tag>xss</tag>
  8.             <tag>csrf</tag>
  9.         </tags>
  10.         <impact>4</impact>
  11.     </filter>
  12.     <filter>
  13.         <id>2</id>
  14.         <rule><![CDATA[(?:"+.*[<=]\s*"[^"]+")|(?:"\s*\w+\s*=)|(?:>\w=\/)|(?:#.+\)["\s]*>)|(?:"\s*(?:src|style|on\w+)\s*=\s*")|(?:[^"]?"[,;\s]+\w*[\[\(])]]></rule>
  15.         <description>finds attribute breaking injections including whitespace attacks</description>
  16.         <tags>
  17.             <tag>xss</tag>
  18.             <tag>csrf</tag>
  19.         </tags>
  20.         <impact>4</impact>
  21.     </filter>
  22.     <filter>
  23.         <id>3</id>
  24.         <rule><![CDATA[(?:^>[\w\s]*<\/?\w{2,}>)]]></rule>
  25.         <description>finds unquoted attribute breaking injections</description>
  26.         <tags>
  27.             <tag>xss</tag>
  28.             <tag>csrf</tag>
  29.         </tags>
  30.         <impact>2</impact>
  31.     </filter>
  32.     <filter>
  33.         <id>4</id>
  34.         <rule><![CDATA[(?:[+\/]\s*name[\W\d]*[)+])|(?:;\W*url\s*=)|(?:[^\w\s\/?:>]\s*(?:location|referrer|name)\s*[^\/\w\s-])]]></rule>
  35.         <description>Detects url-, name-, JSON, and referrer-contained payload attacks</description>
  36.         <tags>
  37.             <tag>xss</tag>
  38.             <tag>csrf</tag>
  39.         </tags>
  40.         <impact>5</impact>
  41.     </filter>
  42.     <filter>
  43.         <id>5</id>
  44.         <rule><![CDATA[(?:\W\s*hash\s*[^\w\s-])|(?:\w=\W*[^,]*,[^\s(]\s*\()|(?:\?"[^\s"]":)|(?:(?<!\/)__[a-z]+__)|(?:(?:^|[\s)\]\}])(?:s|g)etter\s*=)]]></rule>
  45.         <description>Detects hash-contained xss payload attacks, setter usage and property overloading</description>
  46.         <tags>
  47.             <tag>xss</tag>
  48.             <tag>csrf</tag>
  49.         </tags>
  50.         <impact>5</impact>
  51.     </filter>
  52.     <filter>
  53.         <id>6</id>
  54.         <rule><![CDATA[(?:with\s*\(\s*.+\s*\)\s*\w+\s*\()|(?:(?:do|while|for)\s*\([^)]*\)\s*\{)|(?:\/[\w\s]*\[\W*\w)]]></rule>
  55.         <description>Detects self contained xss via with(), common loops and regex to string conversion</description>
  56.         <tags>
  57.             <tag>xss</tag>
  58.             <tag>csrf</tag>
  59.         </tags>
  60.         <impact>5</impact>
  61.     </filter>
  62.     <filter>
  63.         <id>7</id>
  64.         <rule><![CDATA[(?:[=(].+\?.+:)|(?:with\([^)]*\)\))|(?:\.\s*source\W)]]></rule>
  65.         <description>Detects JavaScript with(), ternary operators and XML predicate attacks</description>
  66.         <tags>
  67.             <tag>xss</tag>
  68.             <tag>csrf</tag>
  69.         </tags>
  70.         <impact>5</impact>
  71.     </filter>
  72.     <filter>
  73.         <id>8</id>
  74.         <rule><![CDATA[(?:\/\w*\s*\)\s*\()|(?:\([\w\s]+\([\w\s]+\)[\w\s]+\))|(?:(?<!(?:mozilla\/\d\.\d\s))\([^)[]+\[[^\]]+\][^)]*\))|(?:[^\s!][{([][^({[]+[{([][^}\])]+[}\])][\s+",\d]*[}\])])|(?:"\)?\]\W*\[)|(?:=\s*[^\s:;]+\s*[{([][^}\])]+[}\])];)]]></rule>
  75.         <description>Detects self-executing JavaScript functions</description>
  76.         <tags>
  77.             <tag>xss</tag>
  78.             <tag>csrf</tag>
  79.         </tags>
  80.         <impact>5</impact>
  81.     </filter>
  82.     <filter>
  83.         <id>9</id>
  84.         <rule><![CDATA[(?:\\u00[a-f0-9]{2})|(?:\\x0*[a-f0-9]{2})|(?:\\\d{2,3})]]></rule>
  85.         <description>Detects the IE octal, hex and unicode entities</description>
  86.         <tags>
  87.             <tag>xss</tag>
  88.             <tag>csrf</tag>
  89.         </tags>
  90.         <impact>2</impact>
  91.     </filter>
  92.     <filter>
  93.         <id>10</id>
  94.         <rule><![CDATA[(?:(?:\/|\\)?\.+(\/|\\)(?:\.+)?)|(?:\w\.exe\??\s)|(?:;\s*\w+\s*\/[\w*-]+\/)|(?:\d\.\dx\|)|(?:%(?:c0\.|af\.|5c\.))|(?:\/(?:%2e){2})]]></rule>
  95.         <description>Detects basic directory traversal</description>
  96.         <tags>
  97.             <tag>dt</tag>
  98.             <tag>id</tag>
  99.             <tag>lfi</tag>
  100.         </tags>
  101.         <impact>5</impact>
  102.     </filter>
  103.     <filter>
  104.         <id>11</id>
  105.         <rule><![CDATA[(?:%c0%ae\/)|(?:(?:\/|\\)(home|conf|usr|etc|proc|opt|s?bin|local|dev|tmp|kern|[br]oot|sys|system|windows|winnt|program|%[a-z_-]{3,}%)(?:\/|\\))|(?:(?:\/|\\)inetpub|localstart\.asp|boot\.ini)]]></rule>
  106.         <description>Detects specific directory and path traversal</description>
  107.         <tags>
  108.             <tag>dt</tag>
  109.             <tag>id</tag>
  110.             <tag>lfi</tag>
  111.         </tags>
  112.         <impact>5</impact>
  113.     </filter>
  114.     <filter>
  115.         <id>12</id>
  116.         <rule><![CDATA[(?:etc\/\W*passwd)]]></rule>
  117.         <description>Detects etc/passwd inclusion attempts</description>
  118.         <tags>
  119.             <tag>dt</tag>
  120.             <tag>id</tag>
  121.             <tag>lfi</tag>
  122.         </tags>
  123.         <impact>5</impact>
  124.     </filter>
  125.     <filter>
  126.         <id>13</id>
  127.         <rule><![CDATA[(?:%u(?:ff|00|e\d)\w\w)|(?:(?:%(?:e\w|c[^3\W]|))(?:%\w\w)(?:%\w\w)?)]]></rule>
  128.         <description>Detects halfwidth/fullwidth encoded unicode HTML breaking attempts</description>
  129.         <tags>
  130.             <tag>xss</tag>
  131.             <tag>csrf</tag>
  132.         </tags>
  133.         <impact>3</impact>
  134.     </filter>
  135.     <filter>
  136.         <id>14</id>
  137.         <rule><![CDATA[(?:#@~\^\w+)|(?:\wscript:|@import[^\w]|;base64|base64,)|(?:\w\s*\([\w\s]+,[\w\s]+,[\w\s]+,[\w\s]+,[\w\s]+,[\w\s]+\))]]></rule>
  138.         <description>Detects possible includes, VBSCript/JScript encodeed and packed functions</description>
  139.         <tags>
  140.             <tag>xss</tag>
  141.             <tag>csrf</tag>
  142.             <tag>id</tag>
  143.             <tag>rfe</tag>
  144.         </tags>
  145.         <impact>5</impact>
  146.     </filter>
  147.     <filter>
  148.         <id>15</id>
  149.         <rule><![CDATA[([^*:\s\w,.\/?+-]\s*)?(?<![a-z]\s)(?<![a-z\/_@\-\|])(\s*return\s*)?(?:create(?:element|attribute|textnode)|[a-z]+events?|setattribute|getelement\w+|appendchild|createrange|createcontextualfragment|removenode|parentnode|decodeuricomponent|\wettimeout|(?:ms)?setimmediate|option|useragent)(?(1)[^\w%"]|(?:\s*[^@\s\w%",.+\-]))]]></rule>
  150.         <description>Detects JavaScript DOM/miscellaneous properties and methods</description>
  151.         <tags>
  152.             <tag>xss</tag>
  153.             <tag>csrf</tag>
  154.             <tag>id</tag>
  155.             <tag>rfe</tag>
  156.         </tags>
  157.         <impact>6</impact>
  158.     </filter>
  159.     <filter>
  160.         <id>16</id>
  161.         <rule><![CDATA[([^*\s\w,.\/?+-]\s*)?(?<![a-mo-z]\s)(?<![a-z\/_@])(\s*return\s*)?(?:alert|inputbox|showmod(?:al|eless)dialog|showhelp|infinity|isnan|isnull|iterator|msgbox|executeglobal|expression|prompt|confirm|dialog|urn|(?:un)?eval|exec|execscript|tostring|status|execute|window|unescape|navigate|jquery|getscript|extend|prototype)(?(1)[^\w%"]|(?:\s*[^@\s\w%",.:\/+\-]))]]></rule>
  162.         <description>Detects possible includes and typical script methods</description>
  163.         <tags>
  164.             <tag>xss</tag>
  165.             <tag>csrf</tag>
  166.             <tag>id</tag>
  167.             <tag>rfe</tag>
  168.         </tags>
  169.         <impact>5</impact>
  170.     </filter>
  171.     <filter>
  172.         <id>17</id>
  173.         <rule><![CDATA[([^*:\s\w,.\/?+-]\s*)?(?<![a-z]\s)(?<![a-z\/_@])(\s*return\s*)?(?:hash|name|href|navigateandfind|close|constructor|port|protocol|assign|replace|back|forward|document|ownerdocument|window|top|this|self|parent|frames|_?content|cookie|innerhtml|innertext|csstext+?|outerhtml|print|moveby|resizeto|createstylesheet|stylesheets)(?(1)[^\w%"]|(?:\s*[^@\/\s\w%.+\-]))]]></rule>
  174.         <description>Detects JavaScript object properties and methods</description>
  175.         <tags>
  176.             <tag>xss</tag>
  177.             <tag>csrf</tag>
  178.             <tag>id</tag>
  179.             <tag>rfe</tag>
  180.         </tags>
  181.         <impact>4</impact>
  182.     </filter>
  183.     <filter>
  184.         <id>18</id>
  185.         <rule><![CDATA[([^*:\s\w,.\/?+-]\s*)?(?<![a-z]\s)(?<![a-z\/_@\-\|])(\s*return\s*)?(?:join|pop|push|reverse|reduce|concat|map|shift|sp?lice|sort|unshift)(?(1)[^\w%"]|(?:\s*[^@\s\w%,.+\-]))]]></rule>
  186.         <description>Detects JavaScript array properties and methods</description>
  187.         <tags>
  188.             <tag>xss</tag>
  189.             <tag>csrf</tag>
  190.             <tag>id</tag>
  191.             <tag>rfe</tag>
  192.         </tags>
  193.         <impact>4</impact>
  194.     </filter>
  195.     <filter>
  196.         <id>19</id>
  197.         <rule><![CDATA[([^*:\s\w,.\/?+-]\s*)?(?<![a-z]\s)(?<![a-z\/_@\-\|])(\s*return\s*)?(?:set|atob|btoa|charat|charcodeat|charset|concat|crypto|frames|fromcharcode|indexof|lastindexof|match|navigator|toolbar|menubar|replace|regexp|slice|split|substr|substring|escape|\w+codeuri\w*)(?(1)[^\w%"]|(?:\s*[^@\s\w%,.+\-]))]]></rule>
  198.         <description>Detects JavaScript string properties and methods</description>
  199.         <tags>
  200.             <tag>xss</tag>
  201.             <tag>csrf</tag>
  202.             <tag>id</tag>
  203.             <tag>rfe</tag>
  204.         </tags>
  205.         <impact>4</impact>
  206.     </filter>
  207.     <filter>
  208.         <id>20</id>
  209.         <rule><![CDATA[(?:\)\s*\[)|([^*":\s\w,.\/?+-]\s*)?(?<![a-z]\s)(?<![a-z_@\|])(\s*return\s*)?(?:globalstorage|sessionstorage|postmessage|callee|constructor|content|domain|prototype|try|catch|top|call|apply|function|object|array|string|math|if|elseif|case|switch|regex|boolean|location|(?:ms)?setimmediate|settimeout|setinterval|void|setexpression|namespace|while)(?(1)[^\w%"]|(?:\s*[^@\s\w%".+\-\/]))]]></rule>
  210.         <description>Detects JavaScript language constructs</description>
  211.         <tags>
  212.             <tag>xss</tag>
  213.             <tag>csrf</tag>
  214.             <tag>id</tag>
  215.             <tag>rfe</tag>
  216.         </tags>
  217.         <impact>4</impact>
  218.     </filter>
  219.     <filter>
  220.         <id>21</id>
  221.         <rule><![CDATA[(?:,\s*(?:alert|showmodaldialog|eval)\s*,)|(?::\s*eval\s*[^\s])|([^:\s\w,.\/?+-]\s*)?(?<![a-z\/_@])(\s*return\s*)?(?:(?:document\s*\.)?(?:.+\/)?(?:alert|eval|msgbox|showmod(?:al|eless)dialog|showhelp|prompt|confirm|dialog|open))\s*(?:[^.a-z\s\-]|(?:\s*[^\s\w,.@\/+-]))|(?:java[\s\/]*\.[\s\/]*lang)|(?:\w\s*=\s*new\s+\w+)|(?:&\s*\w+\s*\)[^,])|(?:\+[\W\d]*new\s+\w+[\W\d]*\+)|(?:document\.\w)]]></rule>
  222.         <description>Detects very basic XSS probings</description>
  223.         <tags>
  224.             <tag>xss</tag>
  225.             <tag>csrf</tag>
  226.             <tag>id</tag>
  227.             <tag>rfe</tag>
  228.         </tags>
  229.         <impact>3</impact>
  230.     </filter>
  231.     <filter>
  232.         <id>22</id>
  233.         <rule><![CDATA[(?:=\s*(?:top|this|window|content|self|frames|_content))|(?:\/\s*[gimx]*\s*[)}])|(?:[^\s]\s*=\s*script)|(?:\.\s*constructor)|(?:default\s+xml\s+namespace\s*=)|(?:\/\s*\+[^+]+\s*\+\s*\/)]]></rule>
  234.         <description>Detects advanced XSS probings via Script(), RexExp, constructors and XML namespaces</description>
  235.         <tags>
  236.             <tag>xss</tag>
  237.             <tag>csrf</tag>
  238.             <tag>id</tag>
  239.             <tag>rfe</tag>
  240.         </tags>
  241.         <impact>5</impact>
  242.     </filter>  
  243.     <filter>
  244.         <id>23</id>
  245.         <rule><![CDATA[(?:\.\s*\w+\W*=)|(?:\W\s*(?:location|document)\s*\W[^({[;]+[({[;])|(?:\(\w+\?[:\w]+\))|(?:\w{2}\s*=\s*\d+[^&\w]\w+)|(?:\]\s*\(\s*\w+)]]></rule>
  246.         <description>Detects JavaScript location/document property access and window access obfuscation</description>
  247.         <tags>
  248.             <tag>xss</tag>
  249.             <tag>csrf</tag>
  250.         </tags>
  251.         <impact>5</impact>
  252.     </filter>    
  253.     <filter>
  254.         <id>24</id>
  255.         <rule><![CDATA[(?:[".]script\s*\()|(?:\$\$?\s*\(\s*[\w"])|(?:\/[\w\s]+\/\.)|(?:=\s*\/\w+\/\s*\.)|(?:(?:this|window|top|parent|frames|self|content)\[\s*[(,"]*\s*[\w\$])|(?:,\s*new\s+\w+\s*[,;)])]]></rule>
  256.         <description>Detects basic obfuscated JavaScript script injections</description>
  257.         <tags>
  258.             <tag>xss</tag>
  259.             <tag>csrf</tag>
  260.         </tags>
  261.         <impact>5</impact>
  262.     </filter>
  263.     <filter>
  264.         <id>25</id>
  265.         <rule><![CDATA[(?:=\s*[$\w]\s*[\(\[])|(?:\(\s*(?:this|top|window|self|parent|_?content)\s*\))|(?:src\s*=s*(?:\w+:|\/\/))|(?:\w\[("\w+"|\w+\|\|))|(?:[\d\W]\|\|[\d\W]|\W=\w+,)|(?:\/\s*\+\s*[a-z"])|(?:=\s*\$[^([]*\()|(?:=\s*\(\s*")]]></rule>
  266.         <description>Detects obfuscated JavaScript script injections</description>
  267.         <tags>
  268.             <tag>xss</tag>
  269.             <tag>csrf</tag>
  270.         </tags>
  271.         <impact>5</impact>
  272.     </filter>
  273.     <filter>
  274.         <id>26</id>
  275.         <rule><![CDATA[(?:[^:\s\w]+\s*[^\w\/](href|protocol|host|hostname|pathname|hash|port|cookie)[^\w])]]></rule>
  276.         <description>Detects JavaScript cookie stealing and redirection attempts</description>
  277.         <tags>
  278.             <tag>xss</tag>
  279.             <tag>csrf</tag>
  280.         </tags>
  281.         <impact>4</impact>
  282.     </filter>
  283.     <filter>
  284.         <id>27</id>
  285.         <rule><![CDATA[(?:(?:vbs|vbscript|data):.*[,+])|(?:\w+\s*=\W*(?!https?)\w+:)|(jar:\w+:)|(=\s*"?\s*vbs(?:ript)?:)|(language\s*=\s?"?\s*vbs(?:ript)?)|on\w+\s*=\*\w+\-"?]]></rule>
  286.         <description>Detects data: URL injections, VBS injections and common URI schemes</description>
  287.         <tags>
  288.             <tag>xss</tag>
  289.             <tag>rfe</tag>
  290.         </tags>
  291.         <impact>5</impact>
  292.     </filter>
  293.     <filter>
  294.         <id>28</id>
  295.         <rule><![CDATA[(?:firefoxurl:\w+\|)|(?:(?:file|res|telnet|nntp|news|mailto|chrome)\s*:\s*[%&#xu\/]+)|(wyciwyg|firefoxurl\s*:\s*\/\s*\/)]]></rule>
  296.         <description>Detects IE firefoxurl injections, cache poisoning attempts and local file inclusion/execution</description>
  297.         <tags>
  298.             <tag>xss</tag>
  299.             <tag>rfe</tag>
  300.             <tag>lfi</tag>
  301.             <tag>csrf</tag>
  302.         </tags>
  303.         <impact>5</impact>
  304.     </filter>
  305.     <filter>
  306.         <id>29</id>    
  307.         <rule><![CDATA[(?:binding\s?=|moz-binding|behavior\s?=)|(?:[\s\/]style\s*=\s*[-\\])]]></rule>
  308.         <description>Detects bindings and behavior injections</description>
  309.         <tags>
  310.             <tag>xss</tag>
  311.             <tag>csrf</tag>
  312.             <tag>rfe</tag>
  313.         </tags>
  314.         <impact>4</impact>
  315.     </filter>
  316.     <filter>
  317.         <id>30</id>
  318.         <rule><![CDATA[(?:=\s*\w+\s*\+\s*")|(?:\+=\s*\(\s")|(?:!+\s*[\d.,]+\w?\d*\s*\?)|(?:=\s*\[s*\])|(?:"\s*\+\s*")|(?:[^\s]\[\s*\d+\s*\]\s*[;+])|(?:"\s*[&|]+\s*")|(?:\/\s*\?\s*")|(?:\/\s*\)\s*\[)|(?:\d\?.+:\d)|(?:]\s*\[\W*\w)|(?:[^\s]\s*=\s*\/)]]></rule>
  319.         <description>Detects common XSS concatenation patterns 1/2</description>
  320.         <tags>
  321.             <tag>xss</tag>
  322.             <tag>csrf</tag>
  323.             <tag>id</tag>
  324.             <tag>rfe</tag>
  325.         </tags>
  326.         <impact>4</impact>
  327.     </filter>
  328.     <filter>
  329.         <id>31</id>
  330.         <rule><![CDATA[(?:=\s*\d*\.\d*\?\d*\.\d*)|(?:[|&]{2,}\s*")|(?:!\d+\.\d*\?")|(?:\/:[\w.]+,)|(?:=[\d\W\s]*\[[^]]+\])|(?:\?\w+:\w+)]]></rule>
  331.         <description>Detects common XSS concatenation patterns 2/2</description>
  332.         <tags>
  333.             <tag>xss</tag>
  334.             <tag>csrf</tag>
  335.             <tag>id</tag>
  336.             <tag>rfe</tag>
  337.         </tags>
  338.         <impact>4</impact>
  339.     </filter>
  340.     <filter>
  341.         <id>32</id>
  342.         <rule><![CDATA[(?:[^\w\s=]on(?!g\&gt;)\w+[^=_+-]*=[^$]+(?:\W|\&gt;)?)]]></rule>
  343.         <description>Detects possible event handlers</description>
  344.         <tags>
  345.             <tag>xss</tag>
  346.             <tag>csrf</tag>
  347.         </tags>
  348.         <impact>4</impact>
  349.     </filter>
  350.     <filter>
  351.         <id>33</id>
  352.         <rule><![CDATA[(?:\<\w*:?\s(?:[^\>]*)t(?!rong))|(?:\<scri)|(<\w+:\w+)]]></rule>
  353.         <description>Detects obfuscated script tags and XML wrapped HTML</description>
  354.         <tags>
  355.             <tag>xss</tag>
  356.         </tags>
  357.         <impact>4</impact>
  358.     </filter>
  359.     <filter>
  360.         <id>34</id>
  361.         <rule><![CDATA[(?:\<\/\w+\s\w+)|(?:@(?:cc_on|set)[\s@,"=])]]></rule>
  362.         <description>Detects attributes in closing tags and conditional compilation tokens</description>
  363.         <tags>
  364.             <tag>xss</tag>
  365.             <tag>csrf</tag>
  366.         </tags>
  367.         <impact>4</impact>
  368.     </filter>
  369.     <filter>
  370.         <id>35</id>
  371.         <rule><![CDATA[(?:--[^\n]*$)|(?:\<!-|-->)|(?:[^*]\/\*|\*\/[^*])|(?:(?:[\W\d]#|--|{)$)|(?:\/{3,}.*$)|(?:<!\[\W)|(?:\]!>)]]></rule>
  372.         <description>Detects common comment types</description>
  373.         <tags>
  374.             <tag>xss</tag>
  375.             <tag>csrf</tag>
  376.             <tag>id</tag>
  377.         </tags>
  378.         <impact>3</impact>
  379.     </filter>
  380.     <filter>
  381.         <id>37</id>
  382.         <rule><![CDATA[(?:\<base\s+)|(?:<!(?:element|entity|\[CDATA))]]></rule>
  383.         <description>Detects base href injections and XML entity injections</description>
  384.         <tags>
  385.             <tag>xss</tag>
  386.             <tag>csrf</tag>
  387.             <tag>id</tag>
  388.         </tags>
  389.         <impact>5</impact>
  390.     </filter>
  391.     <filter>
  392.         <id>38</id>
  393.         <rule><![CDATA[(?:\<[\/]?(?:[i]?frame|applet|isindex|marquee|keygen|script|audio|video|input|button|textarea|style|base|body|meta|link|object|embed|param|plaintext|xm\w+|image|im(?:g|port)))]]></rule>
  394.         <description>Detects possibly malicious html elements including some attributes</description>
  395.         <tags>
  396.             <tag>xss</tag>
  397.             <tag>csrf</tag>
  398.             <tag>id</tag>
  399.             <tag>rfe</tag>
  400.             <tag>lfi</tag>
  401.         </tags>
  402.         <impact>4</impact>
  403.     </filter>  
  404.     <filter>
  405.         <id>39</id>
  406.         <rule><![CDATA[(?:\\x[01fe][\db-ce-f])|(?:%[01fe][\db-ce-f])|(?:&#[01fe][\db-ce-f])|(?:\\[01fe][\db-ce-f])|(?:&#x[01fe][\db-ce-f])]]></rule>
  407.         <description>Detects nullbytes and other dangerous characters</description>
  408.         <tags>
  409.             <tag>id</tag>
  410.             <tag>rfe</tag>
  411.             <tag>xss</tag>
  412.         </tags>
  413.         <impact>5</impact>
  414.     </filter>  
  415.     <filter>
  416.         <id>40</id>
  417.         <rule><![CDATA[(?:\)\s*when\s*\d+\s*then)|(?:"\s*(?:#|--|{))|(?:\/\*!\s?\d+)|(?:ch(?:a)?r\s*\(\s*\d)|(?:(?:(n?and|x?or|not)\s+|\|\||\&\&)\s*\w+\()]]></rule>
  418.         <description>Detects MySQL comments, conditions and ch(a)r injections</description>
  419.         <tags>
  420.             <tag>sqli</tag>
  421.             <tag>id</tag>
  422.             <tag>lfi</tag>
  423.         </tags>
  424.         <impact>6</impact>
  425.     </filter>  
  426.     <filter>
  427.         <id>41</id>
  428.         <rule><![CDATA[(?:[\s()]case\s*\()|(?:\)\s*like\s*\()|(?:having\s*[^\s]+\s*[^\w\s])|(?:if\s?\([\d\w]\s*[=<>~])]]></rule>
  429.         <description>Detects conditional SQL injection attempts</description>
  430.         <tags>
  431.             <tag>sqli</tag>
  432.             <tag>id</tag>
  433.             <tag>lfi</tag>
  434.         </tags>
  435.         <impact>6</impact>
  436.     </filter>  
  437.     <filter>
  438.         <id>42</id>
  439.         <rule><![CDATA[(?:"\s*or\s*"?\d)|(?:\\x(?:23|27|3d))|(?:^.?"$)|(?:(?:^["\\]*(?:[\d"]+|[^"]+"))+\s*(?:n?and|x?or|not|\|\||\&\&)\s*[\w"[+&!@(),.-])|(?:[^\w\s]\w+\s*[|-]\s*"\s*\w)|(?:@\w+\s+(and|or)\s*["\d]+)|(?:@[\w-]+\s(and|or)\s*[^\w\s])|(?:[^\w\s:]\s*\d\W+[^\w\s]\s*".)|(?:\Winformation_schema|table_name\W)]]></rule>
  440.         <description>Detects classic SQL injection probings 1/2</description>
  441.         <tags>
  442.             <tag>sqli</tag>
  443.             <tag>id</tag>
  444.             <tag>lfi</tag>
  445.         </tags>
  446.         <impact>6</impact>
  447.     </filter>  
  448.     <filter>
  449.         <id>43</id>
  450.         <rule><![CDATA[(?:"\s*\*.+(?:or|id)\W*"\d)|(?:\^")|(?:^[\w\s"-]+(?<=and\s)(?<=or\s)(?<=xor\s)(?<=nand\s)(?<=not\s)(?<=\|\|)(?<=\&\&)\w+\()|(?:"[\s\d]*[^\w\s]+\W*\d\W*.*["\d])|(?:"\s*[^\w\s?]+\s*[^\w\s]+\s*")|(?:"\s*[^\w\s]+\s*[\W\d].*(?:#|--))|(?:".*\*\s*\d)|(?:"\s*or\s[^\d]+[\w-]+.*\d)|(?:[()*<>%+-][\w-]+[^\w\s]+"[^,])]]></rule>
  451.         <description>Detects classic SQL injection probings 2/2</description>
  452.         <tags>
  453.             <tag>sqli</tag>
  454.             <tag>id</tag>
  455.             <tag>lfi</tag>
  456.         </tags>
  457.         <impact>6</impact>
  458.     </filter>
  459.     <filter>
  460.         <id>44</id>
  461.         <rule><![CDATA[(?:\d"\s+"\s+\d)|(?:^admin\s*"|(\/\*)+"+\s?(?:--|#|\/\*|{)?)|(?:"\s*or[\w\s-]+\s*[+<>=(),-]\s*[\d"])|(?:"\s*[^\w\s]?=\s*")|(?:"\W*[+=]+\W*")|(?:"\s*[!=|][\d\s!=+-]+.*["(].*$)|(?:"\s*[!=|][\d\s!=]+.*\d+$)|(?:"\s*like\W+[\w"(])|(?:\sis\s*0\W)|(?:where\s[\s\w\.,-]+\s=)|(?:"[<>~]+")]]></rule>
  462.         <description>Detects basic SQL authentication bypass attempts 1/3</description>
  463.         <tags>
  464.             <tag>sqli</tag>
  465.             <tag>id</tag>
  466.             <tag>lfi</tag>
  467.         </tags>
  468.         <impact>7</impact>
  469.     </filter>
  470.     <filter>
  471.         <id>45</id>
  472.         <rule><![CDATA[(?:union\s*(?:all|distinct|[(!@]+)?\s*[([]*\s*select)|(?:\w\s+like\s+\")|(?:like\s*"\%)|(?:"\s*like\W*["\d])|(?:"\s*(?:n?and|x?or|not |\|\||\&\&)\s+[\s\w]+=\s*\w+\s*having)|(?:"\s*\*\s*\w+\W+")|(?:"\s*[^?\w\s=.,;)(]+\s*[(@"]*\s*\w+\W+\w)|(?:select\s*[\[\]()\s\w\.,"-]+from)|(?:find_in_set\s*\()]]></rule>
  473.         <description>Detects basic SQL authentication bypass attempts 2/3</description>
  474.         <tags>
  475.             <tag>sqli</tag>
  476.             <tag>id</tag>
  477.             <tag>lfi</tag>
  478.         </tags>
  479.         <impact>7</impact>
  480.     </filter>
  481.      <filter>
  482.         <id>46</id>
  483.         <rule><![CDATA[(?:in\s*\(+\s*select)|(?:(?:n?and|x?or|not |\|\||\&\&)\s+[\s\w+]+(?:regexp\s*\(|sounds\s+like\s*"|[=\d]+x))|("\s*\d\s*(?:--|#))|(?:"[%&<>^=]+\d\s*(=|or))|(?:"\W+[\w+-]+\s*=\s*\d\W+")|(?:"\s*is\s*\d.+"?\w)|(?:"\|?[\w-]{3,}[^\w\s.,]+")|(?:"\s*is\s*[\d.]+\s*\W.*")]]></rule>
  484.         <description>Detects basic SQL authentication bypass attempts 3/3</description>
  485.         <tags>
  486.             <tag>sqli</tag>
  487.             <tag>id</tag>
  488.             <tag>lfi</tag>
  489.         </tags>
  490.         <impact>7</impact>
  491.     </filter>
  492.     <filter>
  493.         <id>47</id>
  494.         <rule><![CDATA[(?:[\d\W]\s+as\s*["\w]+\s*from)|(?:^[\W\d]+\s*(?:union|select|create|rename|truncate|load|alter|delete|update|insert|desc))|(?:(?:select|create|rename|truncate|load|alter|delete|update|insert|desc)\s+(?:(?:group_)concat|char|load_file)\s?\(?)|(?:end\s*\);)|("\s+regexp\W)|(?:[\s(]load_file\s*\()]]></rule>
  495.         <description>Detects concatenated basic SQL injection and SQLLFI attempts</description>
  496.         <tags>
  497.             <tag>sqli</tag>
  498.             <tag>id</tag>
  499.             <tag>lfi</tag>
  500.         </tags>
  501.         <impact>5</impact>
  502.     </filter>
  503.     <filter>
  504.         <id>48</id>
  505.         <rule><![CDATA[(?:@.+=\s*\(\s*select)|(?:\d+\s*or\s*\d+\s*[\-+])|(?:\/\w+;?\s+(?:having|and|or|select)\W)|(?:\d\s+group\s+by.+\()|(?:(?:;|#|--)\s*(?:drop|alter))|(?:(?:;|#|--)\s*(?:update|insert)\s*\w{2,})|(?:[^\w]SET\s*@\w+)|(?:(?:n?and|x?or|not |\|\||\&\&)[\s(]+\w+[\s)]*[!=+]+[\s\d]*["=()])]]></rule>
  506.         <description>Detects chained SQL injection attempts 1/2</description>
  507.         <tags>
  508.             <tag>sqli</tag>
  509.             <tag>id</tag>
  510.         </tags>
  511.         <impact>6</impact>
  512.     </filter>
  513.     <filter>
  514.         <id>49</id>
  515.         <rule><![CDATA[(?:"\s+and\s*=\W)|(?:\(\s*select\s*\w+\s*\()|(?:\*\/from)|(?:\+\s*\d+\s*\+\s*@)|(?:\w"\s*(?:[-+=|@]+\s*)+[\d(])|(?:coalesce\s*\(|@@\w+\s*[^\w\s])|(?:\W!+"\w)|(?:";\s*(?:if|while|begin))|(?:"[\s\d]+=\s*\d)|(?:order\s+by\s+if\w*\s*\()|(?:[\s(]+case\d*\W.+[tw]hen[\s(])]]></rule>
  516.         <description>Detects chained SQL injection attempts 2/2</description>
  517.         <tags>
  518.             <tag>sqli</tag>
  519.             <tag>id</tag>
  520.         </tags>
  521.         <impact>6</impact>
  522.     </filter>
  523.     <filter>
  524.         <id>50</id>
  525.         <rule><![CDATA[(?:(select|;)\s+(?:benchmark|if|sleep)\s*?\(\s*\(?\s*\w+)]]></rule>
  526.         <description>Detects SQL benchmark and sleep injection attempts including conditional queries</description>
  527.         <tags>
  528.             <tag>sqli</tag>
  529.             <tag>id</tag>
  530.         </tags>
  531.         <impact>4</impact>
  532.     </filter>
  533.     <filter>
  534.         <id>51</id>
  535.         <rule><![CDATA[(?:create\s+function\s+\w+\s+returns)|(?:;\s*(?:select|create|rename|truncate|load|alter|delete|update|insert|desc)\s*[\[(]?\w{2,})]]></rule>
  536.         <description>Detects MySQL UDF injection and other data/structure manipulation attempts</description>
  537.         <tags>
  538.             <tag>sqli</tag>
  539.             <tag>id</tag>
  540.         </tags>
  541.         <impact>6</impact>
  542.     </filter>
  543.     <filter>
  544.         <id>52</id>
  545.         <rule><![CDATA[(?:alter\s*\w+.*character\s+set\s+\w+)|(";\s*waitfor\s+time\s+")|(?:";.*:\s*goto)]]></rule>
  546.         <description>Detects MySQL charset switch and MSSQL DoS attempts</description>
  547.         <tags>
  548.             <tag>sqli</tag>
  549.             <tag>id</tag>
  550.         </tags>
  551.         <impact>6</impact>
  552.     </filter>
  553.     <filter>
  554.         <id>53</id>
  555.         <rule><![CDATA[(?:procedure\s+analyse\s*\()|(?:;\s*(declare|open)\s+[\w-]+)|(?:create\s+(procedure|function)\s*\w+\s*\(\s*\)\s*-)|(?:declare[^\w]+[@#]\s*\w+)|(exec\s*\(\s*@)]]></rule>
  556.         <description>Detects MySQL and PostgreSQL stored procedure/function injections</description>
  557.         <tags>
  558.             <tag>sqli</tag>
  559.             <tag>id</tag>
  560.         </tags>
  561.         <impact>7</impact>
  562.     </filter>
  563.     <filter>
  564.         <id>54</id>
  565.         <rule><![CDATA[(?:select\s*pg_sleep)|(?:waitfor\s*delay\s?"+\s?\d)|(?:;\s*shutdown\s*(?:;|--|#|\/\*|{))]]></rule>
  566.         <description>Detects Postgres pg_sleep injection, waitfor delay attacks and database shutdown attempts</description>
  567.         <tags>
  568.             <tag>sqli</tag>
  569.             <tag>id</tag>
  570.         </tags>
  571.         <impact>5</impact>
  572.     </filter>
  573.     <filter>
  574.         <id>55</id>
  575.         <rule><![CDATA[(?:\sexec\s+xp_cmdshell)|(?:"\s*!\s*["\w])|(?:from\W+information_schema\W)|(?:(?:(?:current_)?user|database|schema|connection_id)\s*\([^\)]*)|(?:";?\s*(?:select|union|having)\s*[^\s])|(?:\wiif\s*\()|(?:exec\s+master\.)|(?:union select @)|(?:union[\w(\s]*select)|(?:select.*\w?user\()|(?:into[\s+]+(?:dump|out)file\s*")]]></rule>
  576.         <description>Detects MSSQL code execution and information gathering attempts</description>
  577.         <tags>
  578.             <tag>sqli</tag>
  579.             <tag>id</tag>
  580.         </tags>
  581.         <impact>5</impact>
  582.     </filter>
  583.     <filter>
  584.         <id>56</id>
  585.         <rule><![CDATA[(?:merge.*using\s*\()|(execute\s*immediate\s*")|(?:\W+\d*\s*having\s*[^\s\-])|(?:match\s*[\w(),+-]+\s*against\s*\()]]></rule>
  586.         <description>Detects MATCH AGAINST, MERGE, EXECUTE IMMEDIATE and HAVING injections</description>
  587.         <tags>
  588.             <tag>sqli</tag>
  589.             <tag>id</tag>
  590.         </tags>
  591.         <impact>5</impact>
  592.     </filter>
  593.     <filter>
  594.         <id>57</id>
  595.         <rule><![CDATA[(?:,.*[)\da-f"]"(?:".*"|\Z|[^"]+))|(?:\Wselect.+\W*from)|((?:select|create|rename|truncate|load|alter|delete|update|insert|desc)\s*\(\s*space\s*\()]]></rule>
  596.         <description>Detects MySQL comment-/space-obfuscated injections and backtick termination</description>
  597.         <tags>
  598.             <tag>sqli</tag>
  599.             <tag>id</tag>
  600.         </tags>
  601.         <impact>5</impact>
  602.     </filter>  
  603.     <filter>
  604.         <id>58</id>
  605.         <rule><![CDATA[(?:@[\w-]+\s*\()|(?:]\s*\(\s*["!]\s*\w)|(?:<[?%](?:php)?.*(?:[?%]>)?)|(?:;[\s\w|]*\$\w+\s*=)|(?:\$\w+\s*=(?:(?:\s*\$?\w+\s*[(;])|\s*".*"))|(?:;\s*\{\W*\w+\s*\()]]></rule>
  606.         <description>Detects code injection attempts 1/3</description>
  607.         <tags>
  608.             <tag>id</tag>
  609.             <tag>rfe</tag>
  610.             <tag>lfi</tag>
  611.         </tags>
  612.         <impact>7</impact>
  613.     </filter>  
  614.     <filter>
  615.         <id>59</id>
  616.         <rule><![CDATA[(?:(?:[;]+|(<[?%](?:php)?)).*(?:define|eval|file_get_contents|include|require|require_once|set|shell_exec|phpinfo|system|passthru|preg_\w+|execute)\s*["(@])]]></rule>
  617.         <description>Detects code injection attempts 2/3</description>
  618.         <tags>
  619.             <tag>id</tag>
  620.             <tag>rfe</tag>
  621.             <tag>lfi</tag>
  622.         </tags>
  623.         <impact>7</impact>
  624.     </filter>
  625.     <filter>
  626.         <id>60</id>
  627.         <rule><![CDATA[(?:(?:[;]+|(<[?%](?:php)?)).*[^\w](?:echo|print|print_r|var_dump|[fp]open))|(?:;\s*rm\s+-\w+\s+)|(?:;.*{.*\$\w+\s*=)|(?:\$\w+\s*\[\]\s*=\s*)]]></rule>
  628.         <description>Detects code injection attempts 3/3</description>
  629.         <tags>
  630.             <tag>id</tag>
  631.             <tag>rfe</tag>
  632.             <tag>lfi</tag>
  633.         </tags>
  634.         <impact>7</impact>
  635.     </filter>
  636.     <filter>
  637.         <id>62</id>
  638.         <rule><![CDATA[(?:function[^(]*\([^)]*\))|(?:(?:delete|void|throw|instanceof|new|typeof)[^\w.]+\w+\s*[([])|([)\]]\s*\.\s*\w+\s*=)|(?:\(\s*new\s+\w+\s*\)\.)]]></rule>
  639.         <description>Detects common function declarations and special JS operators</description>
  640.         <tags>
  641.             <tag>id</tag>
  642.             <tag>rfe</tag>
  643.             <tag>lfi</tag>
  644.         </tags>
  645.         <impact>5</impact>
  646.     </filter>  
  647.     <filter>
  648.         <id>63</id>
  649.         <rule><![CDATA[(?:[\w.-]@[\w.-]+%(?:[01][\db-ce-f])+\w+:)]]></rule>
  650.         <description>Detects common mail header injections</description>
  651.         <tags>
  652.             <tag>id</tag>
  653.             <tag>spam</tag>
  654.         </tags>
  655.         <impact>5</impact>
  656.     </filter>
  657.     <filter>
  658.         <id>64</id>
  659.         <rule><![CDATA[(?:\.pl\?\w+=\w?\|\w+;)|(?:\|\(\w+=\*)|(?:\*\s*\)+\s*;)]]></rule>
  660.         <description>Detects perl echo shellcode injection and LDAP vectors</description>
  661.         <tags>
  662.             <tag>lfi</tag>
  663.             <tag>rfe</tag>
  664.         </tags>
  665.         <impact>5</impact>
  666.     </filter>
  667.     <filter>
  668.         <id>65</id>
  669.         <rule><![CDATA[(?:(^|\W)const\s+[\w\-]+\s*=)|(?:(?:do|for|while)\s*\([^;]+;+\))|(?:(?:^|\W)on\w+\s*=[\w\W]*(?:on\w+|alert|eval|print|confirm|prompt))|(?:groups=\d+\(\w+\))|(?:(.)\1{128,})]]></rule>
  670.         <description>Detects basic XSS DoS attempts</description>
  671.         <tags>
  672.             <tag>rfe</tag>
  673.             <tag>dos</tag>
  674.         </tags>
  675.         <impact>5</impact>
  676.     </filter>
  677.     <filter>
  678.         <id>67</id>
  679.         <rule><![CDATA[(?:\({2,}\+{2,}:{2,})|(?:\({2,}\+{2,}:+)|(?:\({3,}\++:{2,})|(?:\$\[!!!\])]]></rule>
  680.         <description>Detects unknown attack vectors based on PHPIDS Centrifuge detection</description>
  681.         <tags>
  682.             <tag>xss</tag>
  683.             <tag>csrf</tag>
  684.             <tag>id</tag>
  685.             <tag>rfe</tag>
  686.             <tag>lfi</tag>
  687.         </tags>
  688.         <impact>7</impact>
  689.     </filter>
  690.     <filter>
  691.         <id>68</id>
  692.         <rule><![CDATA[(?:[\s\/"]+[-\w\/\\\*]+\s*=.+(?:\/\s*>))]]></rule>
  693.         <description>Finds attribute breaking injections including obfuscated attributes</description>
  694.         <tags>
  695.             <tag>xss</tag>
  696.             <tag>csrf</tag>
  697.         </tags>
  698.         <impact>4</impact>
  699.     </filter>
  700.     <filter>
  701.         <id>69</id>
  702.         <rule><![CDATA[(?:(?:msgbox|eval)\s*\+|(?:language\s*=\*vbscript))]]></rule>
  703.         <description>Finds basic VBScript injection attempts</description>
  704.         <tags>
  705.             <tag>xss</tag>
  706.             <tag>csrf</tag>
  707.         </tags>
  708.         <impact>4</impact>
  709.     </filter>
  710.     <filter>
  711.         <id>70</id>
  712.         <rule><![CDATA[(?:\[\$(?:ne|eq|lte?|gte?|n?in|mod|all|size|exists|type|slice|or)\])]]></rule>
  713.         <description>Finds basic MongoDB SQL injection attempts</description>
  714.         <tags>
  715.             <tag>sqli</tag>
  716.         </tags>
  717.         <impact>4</impact>
  718.     </filter>
  719.     <filter>
  720.         <id>71</id>
  721.         <rule><![CDATA[(?:[\s\d\/"]+(?:on\w+|style|poster|background)=[$"\w])|(?:-type\s*:\s*multipart)]]></rule>
  722.         <description>finds malicious attribute injection attempts and MHTML attacks</description>
  723.         <tags>
  724.             <tag>xss</tag>
  725.             <tag>csrf</tag>
  726.         </tags>
  727.         <impact>6</impact>
  728.     </filter>
  729.   <filter>
  730.         <id>72</id>
  731.         <rule><![CDATA[(?:(sleep\((\s*)(\d*)(\s*)\)|benchmark\((.*)\,(.*)\)))]]></rule>
  732.         <description>Detects blind sqli tests using sleep() or benchmark().</description>
  733.         <tags>
  734.             <tag>sqli</tag>
  735.             <tag>id</tag>
  736.         </tags>
  737.         <impact>4</impact>
  738.     </filter>
  739.     <filter>
  740.         <id>73</id>
  741.         <rule><![CDATA[(?:(\%[sS][yY][sS][tT][eE][mM][rR][oO][oO][tT]\%))]]></rule>
  742.         <description>An attacker is trying to locate a file to read or write.</description>
  743.         <tags>
  744.             <tag>files</tag>
  745.             <tag>id</tag>
  746.         </tags>
  747.         <impact>4</impact>
  748.     </filter>  
  749.     <filter>
  750.         <id>75</id>
  751.         <rule><![CDATA[(?:(((.*)\%[c|d|i|e|f|g|o|s|u|x|p|n]){8}))]]></rule>
  752.         <description>Looking for a format string attack</description>
  753.         <tags>
  754.             <tag>format string</tag>
  755.         </tags>
  756.         <impact>4</impact>
  757.     </filter>
  758.     <filter>
  759.         <id>76</id>
  760.         <rule><![CDATA[(?:(union(.*)select(.*)from))]]></rule>
  761.         <description>Looking for basic sql injection. Common attack string for mysql, oracle and others.</description>
  762.         <tags>
  763.             <tag>sqli</tag>
  764.             <tag>id</tag>
  765.         </tags>
  766.         <impact>3</impact>
  767.     </filter>
  768.     <filter>
  769.         <id>77</id>
  770.         <rule><![CDATA[(?:^(-0000023456|4294967295|4294967296|2147483648|2147483647|0000012345|-2147483648|-2147483649|0000023456|2.2250738585072007e-308|1e309)$)]]></rule>
  771.         <description>Looking for intiger overflow attacks, these are taken from skipfish, except 2.2250738585072007e-308 is the "magic number" crash</description>
  772.         <tags>
  773.             <tag>sqli</tag>
  774.             <tag>id</tag>
  775.         </tags>
  776.         <impact>3</impact>
  777.     </filter>        
  778. </filters>
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement
Public Pastes
Advertisement
We use cookies for various purposes including analytics. By continuing to use Pastebin, you agree to our use of cookies as described in the Cookies Policy.  OK, I Understand
Not a member of Pastebin yet?
Sign Up, it unlocks many cool features!