Fingerprint
版本指纹最佳实践
本文将展示版本指纹的最佳编写实践、规范和示例模版
相关定义(Relevant Definition)
版本变量名(Version Variable)
在xray中,我们约定版本变量名为: version,以下是一个包含版本指纹的示例模版
示例模版1(Sample Template 1)
以下是对示例模版1内容的说明:
首先我们在detail中声明了此yaml用到了fingerprint中的cpe和version字段,用来在命中指纹时输出产品CPE和版本信息。version字段的值是模版渲染的{{version}}
,
它的值来源于get_version这条rule中正则提取的版本变量version。
编写规范(Preparation of norms)
版本指纹的编写规范和产品指纹的编写规范基本一致,可参考:指纹编写规范, 有一点需要额外注意的是版本检测规则尽量不要影响到产品检测规则的效果,具体的写法可以参考示例模版1中:expression: r1() && (r2() || true) 类似这样的写法。
最佳实践(Best Practices)
在提取版本号时通常会用到正则表达式相关的两个函数submatch或bsubmatch,具体函数定义和示例用法可参考:regex。
在测试正则语句提取目标字符串时推荐在:regex101 这个在线网站上选择FLAVOR为Golang进行测试。
以下是另外两个可供参考的示例模版