Блог

В Suricata 6.0.0 beta 1 я заметил, что добавлено ключевое слово url_decode rule. И почему url_decode поддерживается при преобразовании, в то время как base64_decode реализован другим способом? Например, для оповещения требуется объединение base64_decode с base64_data? Кажется более разумным преобразовать base64_decode в преобразование точно так же, как url_decode.

Ну, я предполагаю, что base64_decode может поддерживать все виды буферов, вместо этого url_decode еще не применяется ко всем буферам.