]> git.ipfire.org Git - thirdparty/suricata-verify.git/log
thirdparty/suricata-verify.git
2 days agobackport: support issue 8582 tests for 8 master
Philippe Antoine [Tue, 7 Jul 2026 08:43:47 +0000 (10:43 +0200)] 
backport: support issue 8582 tests for 8

2 days agobackport: support issue 8590 tests for 8
Philippe Antoine [Tue, 7 Jul 2026 08:42:48 +0000 (10:42 +0200)] 
backport: support issue 8590 tests for 8

4 days agotests: test for filestore fd exhaustion
Jason Ish [Thu, 11 Jun 2026 20:48:38 +0000 (14:48 -0600)] 
tests: test for filestore fd exhaustion

Test that we don't leak file descriptors when configured to not keep any
open.

8 days agotests: add substate validation tests 3228/head
Victor Julien [Thu, 9 Jul 2026 08:24:17 +0000 (10:24 +0200)] 
tests: add substate validation tests

8 days agotests: add tests for checking http2/doh2 global logging
Victor Julien [Wed, 8 Jul 2026 10:28:33 +0000 (12:28 +0200)] 
tests: add tests for checking http2/doh2 global logging

Validate that these txs are logged in time.

8 days agotests: add doh2 firewall tests
Victor Julien [Fri, 3 Jul 2026 06:28:13 +0000 (08:28 +0200)] 
tests: add doh2 firewall tests

8 days agotests: add http2 engine analysis test
Victor Julien [Thu, 2 Jul 2026 12:43:51 +0000 (14:43 +0200)] 
tests: add http2 engine analysis test

8 days agotests: add test for disabled doh2
Victor Julien [Thu, 2 Jul 2026 09:54:57 +0000 (11:54 +0200)] 
tests: add test for disabled doh2

8 days agotests: expand dns over http2 tests with more keywords
Victor Julien [Tue, 30 Jun 2026 10:20:48 +0000 (12:20 +0200)] 
tests: expand dns over http2 tests with more keywords

8 days agotests: add tx substate tests
Victor Julien [Wed, 10 Jun 2026 05:42:00 +0000 (07:42 +0200)] 
tests: add tx substate tests

8 days agotests: update http2 tests for stream/global split
Victor Julien [Wed, 10 Jun 2026 03:34:16 +0000 (05:34 +0200)] 
tests: update http2 tests for stream/global split

8 days agoflowbits: add test for max in a sig
Shivani Bhardwaj [Fri, 22 May 2026 11:14:48 +0000 (16:44 +0530)] 
flowbits: add test for max in a sig

Task 8596

8 days agotests: pipelined rset and mail from after a completed message 3225/head
Jason Ish [Wed, 8 Jul 2026 23:31:04 +0000 (17:31 -0600)] 
tests: pipelined rset and mail from after a completed message

The rset reply must not complete the transaction created by the
pipelined mail from.

8 days agotests: add no helo smtp rset and quit tests
Jason Ish [Wed, 8 Jul 2026 22:42:52 +0000 (16:42 -0600)] 
tests: add no helo smtp rset and quit tests

Tests kept minimal, we're just tracking transaction counts for when an
rset or quit arrives before helo.

8 days agotests: expect one less transaction for some smtp tests
Jason Ish [Wed, 8 Jul 2026 21:37:48 +0000 (15:37 -0600)] 
tests: expect one less transaction for some smtp tests

The SMTP parser no longer generates an SMTP transaction for the BYE.

8 days agotests: smtp firewall test for pipelined rset
Jason Ish [Tue, 7 Jul 2026 22:14:54 +0000 (16:14 -0600)] 
tests: smtp firewall test for pipelined rset

8 days agotests: smtp test for pipe issue
Jason Ish [Tue, 7 Jul 2026 22:13:02 +0000 (16:13 -0600)] 
tests: smtp test for pipe issue

In main, the second transaction misses the "email" object.

8 days agotests: add smtp pipelined post-DATA regression test
Jason Ish [Tue, 7 Jul 2026 21:41:24 +0000 (15:41 -0600)] 
tests: add smtp pipelined post-DATA regression test

Add a firewall SMTP fixture where a second MAIL FROM is sent before the
previous DATA completion reply. The checks require the second message to
be logged as a distinct transaction with its own sender and recipient.

8 days agotests: update very small MIME SMTP packet
Jason Ish [Fri, 3 Jul 2026 20:03:13 +0000 (14:03 -0600)] 
tests: update very small MIME SMTP packet

This very-small-input MIME fixture still logs the same decoded message,
but the SMTP transaction event now waits for response-side completion.
The event therefore moves from packet 14 to packet 15.

Update only the tx 0 SMTP event pcap_cnt while keeping the HELO-only
timeout transaction assertion unchanged.

8 days agotests: update small remainder MIME SMTP packet
Jason Ish [Fri, 3 Jul 2026 20:02:59 +0000 (14:02 -0600)] 
tests: update small remainder MIME SMTP packet

The small-remainder MIME input still decodes into the same SMTP
transaction fields. Because SMTP transaction logging now waits for the
server response progress to complete, the tx 0 SMTP event appears on
packet 15 instead of packet 14.

Adjust only the primary SMTP event pcap_cnt; the HELO-only timeout
transaction check stays unchanged.

8 days agotests: update MIME removed-space SMTP packet
Jason Ish [Fri, 3 Jul 2026 20:02:43 +0000 (14:02 -0600)] 
tests: update MIME removed-space SMTP packet

The MIME parser still produces the same decoded message for this
removed-space input. With SMTP transaction completion now tied to the
response progress state, the SMTP event is emitted one packet later.

Move the tx 0 SMTP event pcap_cnt from 14 to 15 and leave the timeout
transaction check unchanged.

8 days agotests: update odd MIME length SMTP packet
Jason Ish [Fri, 3 Jul 2026 20:02:30 +0000 (14:02 -0600)] 
tests: update odd MIME length SMTP packet

The odd-length MIME message is decoded into the same SMTP transaction
fields, but the transaction event is delayed until the server response
completes the SMTP progress state. That moves the tx 0 SMTP event from
packet 14 to packet 15.

Keep the existing decoded-message assertions and adjust only the event
packet number.

8 days agotests: update short filename SMTP packet
Jason Ish [Fri, 3 Jul 2026 20:02:15 +0000 (14:02 -0600)] 
tests: update short filename SMTP packet

This attachment fixture still emits the same fileinfo and decoded
filename data. After SMTP transaction completion became response-gated,
the SMTP transaction event for tx 0 is logged on packet 15 instead of
packet 14.

Update only the SMTP event pcap_cnt; the fileinfo packet and attachment
assertions remain unchanged.

8 days agotests: update long filename SMTP packet
Jason Ish [Fri, 3 Jul 2026 20:01:58 +0000 (14:01 -0600)] 
tests: update long filename SMTP packet

The long-filename anomaly still fires on the server packet where it is
parsed, and the fileinfo event remains on packet 15. The SMTP
transaction event now also lands on packet 15 because transaction
logging waits for response-side completion after DATA.

Adjust only the SMTP event pcap_cnt for the parsed attachment
transaction, leaving the anomaly and fileinfo expectations intact.

8 days agotests: update MIME URL SMTP packet
Jason Ish [Fri, 3 Jul 2026 20:01:27 +0000 (14:01 -0600)] 
tests: update MIME URL SMTP packet

The URL-bearing MIME transaction is still decoded correctly, but SMTP
transaction logging now waits for the server response completion state.
That moves the SMTP event containing email.url from packet 14 to packet
15.

Update only the transaction event pcap_cnt; the expected decoded URL and
envelope fields are unchanged.

8 days agotests: update MIME line SMTP packet
Jason Ish [Fri, 3 Jul 2026 20:01:14 +0000 (14:01 -0600)] 
tests: update MIME line SMTP packet

The SMTP transaction for this line-parsing MIME fixture is complete only
after the server response progress reaches complete. The decoded message
fields are unchanged, but the SMTP event is emitted one packet later.

Move the tx 0 SMTP event pcap_cnt from 14 to 15 and leave the timeout
HELO transaction check as-is.

8 days agotests: update second full MIME SMTP packet
Jason Ish [Fri, 3 Jul 2026 20:00:59 +0000 (14:00 -0600)] 
tests: update second full MIME SMTP packet

The parsed MIME email transaction is now logged after the SMTP response
completion state is seen. In this fixture that moves the tx 0 SMTP event
from packet 14 to packet 15 without changing the parsed envelope or
email fields.

Update only the SMTP event pcap_cnt so the test reflects the new
transaction-completion timing.

8 days agotests: update full MIME message SMTP packet
Jason Ish [Fri, 3 Jul 2026 20:00:46 +0000 (14:00 -0600)] 
tests: update full MIME message SMTP packet

SMTP transaction logging now waits for the response-side completion
state instead of logging when the client finishes DATA. This MIME test
still parses the same message content, but the SMTP event for tx 0 is
emitted one packet later.

Move only the SMTP transaction event pcap_cnt from 14 to 15; the
helo-only timeout transaction expectation is unchanged.

8 days agotests: update email subject smtp log packet
Jason Ish [Fri, 3 Jul 2026 19:51:21 +0000 (13:51 -0600)] 
tests: update email subject smtp log packet

The email subject content is still detected while request DATA is
inspected on packet 13. After the SMTP progress-state change, the
transaction is not logged until the server response completes the
response-side progress, so the SMTP event with the parsed Subject header
now appears on packet 14.

Keep the alert timing assertion intact and update only the SMTP
transaction event pcap_cnt.

8 days agotests: update email message-id smtp log packet
Jason Ish [Fri, 3 Jul 2026 19:51:02 +0000 (13:51 -0600)] 
tests: update email message-id smtp log packet

The SMTP message-id rule still alerts as soon as request-side DATA
inspection completes on packet 13. With transaction completion now gated
by the later response progress state, the SMTP transaction event
containing the parsed Message-ID is logged on packet 14.

Adjust only the SMTP event pcap_cnt expectation so the test continues to
assert the split between detection timing and transaction logging.

8 days agotests: update email date smtp log packet
Jason Ish [Fri, 3 Jul 2026 19:50:45 +0000 (13:50 -0600)] 
tests: update email date smtp log packet

SMTP transactions now complete only after both the request and response
progress states reach complete. The date rule still alerts on packet 13
when the request data is inspected, but the SMTP event carrying the
parsed Date header is emitted on the following server response packet.

Keep the alert check at packet 13 and move only the SMTP event
expectation to packet 14.

8 days agotests: fix smtp test for progress changes
Jason Ish [Fri, 3 Jul 2026 19:02:31 +0000 (13:02 -0600)] 
tests: fix smtp test for progress changes

This test now shows the previously commented out invalid reply as we
don't complete the tx at end of client data, but instead on the server
response. And this server response at end of data is considered invalid
and is now logged as such.

8 days agotests: update smtp-file-data-01 for tx progress changes
Jason Ish [Fri, 3 Jul 2026 18:16:32 +0000 (12:16 -0600)] 
tests: update smtp-file-data-01 for tx progress changes

The SMTP TX now completes after the server response from DATA, not when
the client sends end of data. So the pcap_cnt for this test is now 91
instead of 89.

8 days agotests: update smtp-file-data-02 for tx progress changes
Jason Ish [Fri, 3 Jul 2026 18:11:46 +0000 (12:11 -0600)] 
tests: update smtp-file-data-02 for tx progress changes

The SMTP TX now completes after the server response from DATA, not when
the client sends end of data. So the pcap_cnt for this test is now 53
instead of 51.

8 days agotests: smtp firewall test for blocked sender in back to back
Jason Ish [Thu, 2 Jul 2026 21:51:25 +0000 (15:51 -0600)] 
tests: smtp firewall test for blocked sender in back to back

8 days agotests: smtp firewall test for back to back messages
Jason Ish [Thu, 2 Jul 2026 21:48:10 +0000 (15:48 -0600)] 
tests: smtp firewall test for back to back messages

8 days agotests: smtp firewall test for rset then quit
Jason Ish [Thu, 2 Jul 2026 21:46:00 +0000 (15:46 -0600)] 
tests: smtp firewall test for rset then quit

8 days agotests: smtp firewall test for out of order commands
Jason Ish [Thu, 2 Jul 2026 21:44:21 +0000 (15:44 -0600)] 
tests: smtp firewall test for out of order commands

8 days agotests: smtp firewall test for nested mail from
Jason Ish [Thu, 2 Jul 2026 21:38:21 +0000 (15:38 -0600)] 
tests: smtp firewall test for nested mail from

8 days agotests: smtp firewall test for quit after mail from
Jason Ish [Thu, 2 Jul 2026 21:06:12 +0000 (15:06 -0600)] 
tests: smtp firewall test for quit after mail from

Checks that we never trigger on request_data hook if we quit before data.

8 days agotests: add smtp firewall test with rset after rcpt to
Jason Ish [Thu, 2 Jul 2026 20:33:24 +0000 (14:33 -0600)] 
tests: add smtp firewall test with rset after rcpt to

Accept based test that an RSET after RCPT TO is accepted.

8 days agotests: smtp firewall test for subsequent blocked sender
Jason Ish [Thu, 2 Jul 2026 20:24:04 +0000 (14:24 -0600)] 
tests: smtp firewall test for subsequent blocked sender

Test that if the first MAIL FROM is from an OK sender, but then we RSET,
that the next transaction from a NOT OK sender gets blocked.

8 days agotests: smtp firewall test for rset after mail from
Jason Ish [Thu, 2 Jul 2026 18:28:33 +0000 (12:28 -0600)] 
tests: smtp firewall test for rset after mail from

This is an accept based test to test that we move onto the next
transaction without issue when an RSET is issued after mail from.

8 days agotests: add smtp firewall test with a more interactive session
Jason Ish [Wed, 1 Jul 2026 22:43:31 +0000 (16:43 -0600)] 
tests: add smtp firewall test with a more interactive session

Its an allow test for allowed mail from/rcpt to, but has a less standard
interaction:

<--- 220 mail.example.com ESMTP Postfix

---> helo client.example.com
<--- 250 mail.example.com

---> NOOP
<--- 250 2.0.0 Ok

---> VRFY bob
<--- 252 2.0.0 bob

---> EXPN staff
<--- 500 5.5.2 Error: command not recognized

---> HELP
<--- 500 5.5.2 Error: command not recognized

---> mail from:<alice@example.com>
<--- 250 2.1.0 Ok

---> NOOP
<--- 250 2.0.0 Ok

---> rcpt to:<bob@example.com>
<--- 250 2.1.5 Ok

---> data
<--- 354 End data with <CR><LF>.<CR><LF>

---> (message body)
---> .
<--- 250 2.0.0 Ok: queued as <id>

---> QUIT
<--- 221 2.0.0 Bye

8 days agotests: smtp firewall test for when one of rcpt is allowed
Jason Ish [Wed, 1 Jul 2026 16:23:14 +0000 (10:23 -0600)] 
tests: smtp firewall test for when one of rcpt is allowed

The idea is that just one of the recipients needs to be allowed for the
SMTP session to continue.

8 days agotests: smtp firewall test with drop for not allowed rcpt
Jason Ish [Wed, 1 Jul 2026 16:22:55 +0000 (10:22 -0600)] 
tests: smtp firewall test with drop for not allowed rcpt

8 days agotests: smtp firewall test with blocked rcpt to
Jason Ish [Tue, 30 Jun 2026 23:06:46 +0000 (17:06 -0600)] 
tests: smtp firewall test with blocked rcpt to

8 days agotests: smtp firewall test with blocked sender
Jason Ish [Tue, 30 Jun 2026 22:55:12 +0000 (16:55 -0600)] 
tests: smtp firewall test with blocked sender

8 days agotests: simple smtp firewall test with send/rcpt validation
Jason Ish [Tue, 30 Jun 2026 22:39:51 +0000 (16:39 -0600)] 
tests: simple smtp firewall test with send/rcpt validation

Only allows mail from/rcpt to specific addresses.

8 days agotests: add trivial smtp firewall test
Jason Ish [Mon, 29 Jun 2026 21:49:28 +0000 (15:49 -0600)] 
tests: add trivial smtp firewall test

8 days agosnmp: adds check for trap_address keyword
Philippe Antoine [Wed, 3 Jun 2026 19:14:08 +0000 (21:14 +0200)] 
snmp: adds check for trap_address keyword

8 days agosnmp: adds test for trap_oid keyword
Philippe Antoine [Wed, 3 Jun 2026 18:53:34 +0000 (20:53 +0200)] 
snmp: adds test for trap_oid keyword

Ticket: 8485

9 days agodetect: verify app-layer-protocol pipe-separated value list 3222/head
Yash Datre [Wed, 8 Jul 2026 02:38:50 +0000 (02:38 +0000)] 
detect: verify app-layer-protocol pipe-separated value list

Add suricata-verify coverage for the app-layer-protocol keyword's
pipe-separated value list and its matching behaviour:

- multi-value and negated (NOR) matching, the unknown-window idiom, and the
  firewall default-policy boundary
- default AppProtoEquals() equivalences (dns matches a doh2 flow) and the
  exact option (dns,exact does not match doh2; http,exact rejected at load)
- engine-analysis JSON output of the effective match set
- prefilter accepted for a single-value rule, rejected for a multi-value rule
- rejection of duplicate/overlapping negated keywords

Ticket: 7705

10 days agoftp: fix tests for bug 8849 about max-tx suricata-7.0.17 suricata-8.0.6
Philippe Antoine [Tue, 9 Jun 2026 19:44:11 +0000 (21:44 +0200)] 
ftp: fix tests for bug 8849 about max-tx

Ticket: 8592

We stop the parsing to avoid getting quadratic complexity
by having one TCP chunk creating many transactions, and the limit
being enforced only for non-complete txs while we iterate the
complete list of transactions

11 days agotests: add test for sip body evasion 3216/head
Giuseppe Longo [Wed, 24 Jun 2026 20:04:08 +0000 (22:04 +0200)] 
tests: add test for sip body evasion

Test created by catenacyber.

Ticket #8582

11 days agorules: add test with frame + transform without content
Philippe Antoine [Thu, 11 Jun 2026 07:42:22 +0000 (09:42 +0200)] 
rules: add test with frame + transform without content

Ticket: 8590

2 weeks agobackport: support issue 8644 tests for 7 3205/head 3214/head
Philippe Antoine [Tue, 30 Jun 2026 10:16:19 +0000 (12:16 +0200)] 
backport: support issue 8644 tests for 7

2 weeks agotests: update ftp tests for 8.0.6 3201/head 3203/head
Jason Ish [Tue, 30 Jun 2026 16:07:57 +0000 (10:07 -0600)] 
tests: update ftp tests for 8.0.6

With the backport of the FTP firewall work we can set the version on
these tests to 8.0.6.

2 weeks agobackport: support issue 8660 tests for 8 3198/head
Philippe Antoine [Tue, 23 Jun 2026 07:19:43 +0000 (09:19 +0200)] 
backport: support issue 8660 tests for 8

2 weeks agobackport: support issue 8643 tests for 8
Philippe Antoine [Tue, 23 Jun 2026 07:19:42 +0000 (09:19 +0200)] 
backport: support issue 8643 tests for 8

3 weeks agotests: add DHCP single-direction transaction tests for bug 8621 3197/head
Jeff Lucovsky [Tue, 9 Jun 2026 14:00:49 +0000 (10:00 -0400)] 
tests: add DHCP single-direction transaction tests for bug 8621

DHCP is a stateless parser where each datagram is its own standalone,
single-direction transaction. Verify that a request/reply exchange alerts
once per datagram rather than once per direction, and that directional
rules only match the transaction for their own direction.

bug-8621-01 checks a generic dhcp rule fires exactly once on the request
and once on the reply. bug-8621-02 checks a flow:to_server rule only
matches the request and a flow:to_client rule only matches the reply.

Issue: 8621

3 weeks agodetect/krb: adds check for krb_err_code keyword 3192/head
Philippe Antoine [Thu, 11 Jun 2026 08:23:26 +0000 (10:23 +0200)] 
detect/krb: adds check for krb_err_code keyword

Ticket: 8648

3 weeks agotests: add check for client provided ftp STOU filename 3189/head
Jason Ish [Wed, 24 Jun 2026 16:28:17 +0000 (10:28 -0600)] 
tests: add check for client provided ftp STOU filename

With STOU, a filename is optional. If provided, ensure that our fileinfo
records to have this user provided filename instead of the <stou> stub.

3 weeks agotests: mark existing ftp firewall tests as lt-version 9
Jason Ish [Tue, 23 Jun 2026 23:22:13 +0000 (17:22 -0600)] 
tests: mark existing ftp firewall tests as lt-version 9

Until the new work is backported, if ever.

3 weeks agotests: add ftp firewall test for ftpbounce
Jason Ish [Tue, 23 Jun 2026 22:38:28 +0000 (16:38 -0600)] 
tests: add ftp firewall test for ftpbounce

3 weeks agotests: update ftp firewall nlst test with ftp.reply_received
Jason Ish [Tue, 23 Jun 2026 22:28:58 +0000 (16:28 -0600)] 
tests: update ftp firewall nlst test with ftp.reply_received

3 weeks agotests: update ftp firewall test to use ftp.reply
Jason Ish [Tue, 23 Jun 2026 22:23:52 +0000 (16:23 -0600)] 
tests: update ftp firewall test to use ftp.reply

3 weeks agotests: add ftp firewall test for ftp.dynamic_port
Jason Ish [Tue, 23 Jun 2026 22:17:28 +0000 (16:17 -0600)] 
tests: add ftp firewall test for ftp.dynamic_port

3 weeks agotests: add ftp firewall test to drop non-anonymous user command
Jason Ish [Tue, 23 Jun 2026 22:04:57 +0000 (16:04 -0600)] 
tests: add ftp firewall test to drop non-anonymous user command

Otherwise uses all default policies to pass FTP.

3 weeks agotests: add ftp firewall test for STOU without a filename
Jason Ish [Tue, 23 Jun 2026 06:01:07 +0000 (00:01 -0600)] 
tests: add ftp firewall test for STOU without a filename

3 weeks agotests: update ftp fireall tests for STOU command
Jason Ish [Tue, 23 Jun 2026 03:34:36 +0000 (21:34 -0600)] 
tests: update ftp fireall tests for STOU command

3 weeks agotests: update tests for ftp firewall APPE command
Jason Ish [Tue, 23 Jun 2026 02:21:52 +0000 (20:21 -0600)] 
tests: update tests for ftp firewall APPE command

3 weeks agotests: add ftp firewall tests for LIST and MLSD
Jason Ish [Tue, 23 Jun 2026 02:11:52 +0000 (20:11 -0600)] 
tests: add ftp firewall tests for LIST and MLSD

3 weeks agotests: ftp firewall test with more specific allows
Jason Ish [Mon, 22 Jun 2026 23:46:09 +0000 (17:46 -0600)] 
tests: ftp firewall test with more specific allows

Also tests:
- default policy for ftp data
- ftp.mode
- ftp.command
- ftp.command_data
- ftp.completion_code

3 weeks agotests/output-eve-ftp-data: update for nlst changes
Jason Ish [Mon, 22 Jun 2026 22:31:58 +0000 (16:31 -0600)] 
tests/output-eve-ftp-data: update for nlst changes

FTP data flows are now setup for NLST.

3 weeks agotests: add firewall ftp tests for nlst on the data channel
Jason Ish [Sat, 20 Jun 2026 01:21:27 +0000 (19:21 -0600)] 
tests: add firewall ftp tests for nlst on the data channel

3 weeks agobackport: support issue 8670 tests for 8 3185/head
Philippe Antoine [Mon, 22 Jun 2026 19:31:45 +0000 (21:31 +0200)] 
backport: support issue 8670 tests for 8

3 weeks agobackport: support issue 8625 tests for 8
Philippe Antoine [Mon, 22 Jun 2026 19:31:44 +0000 (21:31 +0200)] 
backport: support issue 8625 tests for 8

3 weeks agobackport: support issue 8655 tests for 8
Philippe Antoine [Mon, 22 Jun 2026 19:31:43 +0000 (21:31 +0200)] 
backport: support issue 8655 tests for 8

3 weeks agoci: have one run with ASAN enabled 3182/head
Philippe Antoine [Sun, 21 Jun 2026 20:14:56 +0000 (22:14 +0200)] 
ci: have one run with ASAN enabled

Ticket: 8532

3 weeks agosecurity-8642-swf: add SWF depth wrap regression
Jason Ish [Tue, 9 Jun 2026 20:53:35 +0000 (14:53 -0600)] 
security-8642-swf: add SWF depth wrap regression

3 weeks agoftp: fix test for ftp.reply_received
Philippe Antoine [Thu, 18 Jun 2026 11:37:46 +0000 (13:37 +0200)] 
ftp: fix test for ftp.reply_received

Ticket: 8659

This test relied on the behavior that we put the parser into
error when having RETR after an invalid PASV
but we can see that every request has a response, even if the
response to the invalid RETR is
550 Failed to open file

3 weeks agoftp: adds test for RETR without previous PORT
Philippe Antoine [Tue, 16 Jun 2026 09:28:33 +0000 (11:28 +0200)] 
ftp: adds test for RETR without previous PORT

Ticket: 8659

3 weeks agosctp: adds a test with too many chunks 3178/head
Philippe Antoine [Sun, 21 Jun 2026 20:00:14 +0000 (22:00 +0200)] 
sctp: adds a test with too many chunks

Ticket: 8661

3 weeks agodatajson: add tests for non strings
Philippe Antoine [Tue, 2 Jun 2026 09:13:48 +0000 (11:13 +0200)] 
datajson: add tests for non strings

Ticket: 8624

3 weeks agotest/xor: add tests for inline variable key and offset syntax 3175/head
Jeff Lucovsky [Sat, 28 Mar 2026 14:28:54 +0000 (10:28 -0400)] 
test/xor: add tests for inline variable key and offset syntax

Add 15 test cases for the 'extract <nbytes> <offset>' inline variable key
syntax and the optional 'offset' parameter of the xor transform.

Positive tests:
  01 - 1-byte var key at body offset 0, XOR from offset 1; 1 alert
  02 - same as 01, content absent in decoded data; 0 alerts
  03 - 4-byte var key at body offset 0, XOR from offset 4; 1 alert
  06 - extra whitespace in offset syntax accepted; 1 alert
  10 - xor preceded by content keyword on same buffer; 1 alert
  12 - two rules with different var key locations both alert;
       verifies independent buffer per key location
  13 - var key location beyond buffer end; transform skips, 0 alerts
  14 - var key on http.uri buffer; verifies transform is not limited
       to http.request_body; 1 alert
  15 - static key and variable key rules on the same buffer both alert;
       verifies independent transforms for each key type; 2 alerts
  16 - ensure that buffer is not transformed in place.

Error tests (rule load failures, exit code 1):
  04 - extract 0 0 (zero nbytes)
  05 - extract 1 (missing offset)
  07 - offset with non-numeric value
  08 - offset without comma or key
  09 - offset with empty value before comma
  11 - empty quoted hex key

Issue: 8671

4 weeks agorules: adds test for pcre \X engine analysis 3169/head 3173/head
Philippe Antoine [Wed, 17 Jun 2026 16:04:45 +0000 (18:04 +0200)] 
rules: adds test for pcre \X engine analysis

Ticket: 8634

4 weeks agotests: add basic ftp firewall upload tests 3167/head 3170/head
Jason Ish [Tue, 16 Jun 2026 20:20:42 +0000 (14:20 -0600)] 
tests: add basic ftp firewall upload tests

Not exhaustive, but complimentary to the download tests for reviewing
tickets 8662 and 8663.

4 weeks agotests: ftp active download test for firewall
Jason Ish [Mon, 15 Jun 2026 23:18:54 +0000 (17:18 -0600)] 
tests: ftp active download test for firewall

This demonstrats how testing for "ftpdata_command: retr" is not possible
for active ftp without a Suricata fix.

4 weeks agotests: ftp passive download test for firewall
Jason Ish [Mon, 15 Jun 2026 23:14:12 +0000 (17:14 -0600)] 
tests: ftp passive download test for firewall

Notes:

- ftp-data:request_started and ftp-data:request_complete never reached

4 weeks agoftp: add active and passive data tests
Jason Ish [Wed, 10 Jun 2026 22:53:57 +0000 (16:53 -0600)] 
ftp: add active and passive data tests

Some observations:

- On the data channel, ftpdata_command:retr matches in the to_client
  direction, for passive and active.

- On the data channel, ftpdata_command:stor matches in the to_server
  direction. This matches the direction of the file, but it is the
  client that send the STOR request. Does this make sense?

- On the data channel, file_data matches in the direction of the TCP
  connection to differs for active and passive mode. This almost seems
  counter intuitive to how ftpdata_command works. But a direction is not
  required here so I'm not sure it matters much to rule writers.

4 weeks agorunner: allow rule file to be referenced by filename
Jason Ish [Wed, 10 Jun 2026 22:17:59 +0000 (16:17 -0600)] 
runner: allow rule file to be referenced by filename

Useful to point to a common rule file from another test like we do with
PCAPs.

4 weeks agotests: support firewall tests in 8 3166/head
Victor Julien [Mon, 18 May 2026 09:59:48 +0000 (11:59 +0200)] 
tests: support firewall tests in 8

5 weeks agopcap-file-stdin: read pcap from stdin via /dev/stdin 3163/head
Samaresh Kumar Singh [Thu, 21 May 2026 18:45:25 +0000 (13:45 -0500)] 
pcap-file-stdin: read pcap from stdin via /dev/stdin

Feed a one packet pcap into Suricata via /dev/stdin to exercise the
non-seekable file handling fix in OISF/suricata#15384 for Bug #8464.
Without the fix InitPcapFile calls setvbuf on the FILE underlying the
pcap handle after libpcap has already consumed the pcap header, glibc
cannot recover on a non-seekable fd, the first pcap_next_ex returns
-1, and no packets are decoded.

The test overrides the default invocation with a command that pipes
input.pcap into Suricata reading from /dev/stdin. The rule alerts on
a deterministic content match in the TCP payload, and the check
asserts that exactly one alert with sid 1 lands in eve. On the pre
fix code the run produces zero alerts and the test fails. On the
fixed code one alert is observed and the test passes.

Bug: #8464.

5 weeks agoconf: adds test that we do not crash on yaml null 3162/head
Philippe Antoine [Fri, 12 Jun 2026 06:45:43 +0000 (08:45 +0200)] 
conf: adds test that we do not crash on yaml null

Ticket: 8651

5 weeks agosip: test that ssdp is not identified as sip 2959/head 3159/head
Giuseppe Longo [Sat, 7 Mar 2026 11:46:55 +0000 (12:46 +0100)] 
sip: test that ssdp is not identified as sip

5 weeks agotests: improve and add dns lte tests 3157/head
Victor Julien [Wed, 10 Jun 2026 13:15:25 +0000 (15:15 +0200)] 
tests: improve and add dns lte tests

5 weeks agotests: add test for dns:< auto-accept-prior mix with packet:filter
Yash Datre [Thu, 4 Jun 2026 23:26:42 +0000 (23:26 +0000)] 
tests: add test for dns:< auto-accept-prior mix with packet:filter

Test accept:flow dns:<state (auto-accept prior hooks syntax) confirming
correct handling of the packet:filter table.

5 weeks agotests: add test for sctp keywords
Giuseppe Longo [Tue, 31 Mar 2026 08:03:58 +0000 (10:03 +0200)] 
tests: add test for sctp keywords

Ticket #4251

5 weeks agodatasets: add match subdomain test
Antoine Abou Faysal [Fri, 20 Mar 2026 17:14:46 +0000 (19:14 +0200)] 
datasets: add match subdomain test

Ticket: 8385