decode-event: Add test for too small UDP and TCP packets

Add test for IPv4 and IPv6 packets that set proto/next-header to UDP and
TCP but have no payload.

Bug: #6086.

tests: add check for bug 6149

Related to
Bug #6149

datasets: test to load invalid encoded string

run.py: allow matches on substrings in yaml

gitignore: ignore csv file generated by test

datasets-bug-5109 test always generates a csv file. Make sure we don't
mistankenly add it to git.

tests: add test for multi-eve logging

test: add test for bug 6109

In IDS mode, with midstream disabled, it seems that the exception policy
'reject' is applying actions that should only be taken in IPS mode. This
leads to the flow being dropped (or logged as such?) in IDS mode. This
test showcases this.

Bug #6109

tests: add rule types check

tests/datasets-parent-path: skip filter checks on windows

The test is still run as validating the exit code is still useful.

run.py: allow python lambda expression for requires

Add a new require type, "lambda" which will require the Python lambda
expression to return a truthy value.

run.py: use suricata_bin for suricata binary

suricata_bin is set correctly on startup for Windows or Linux. Fixes
running suricata-verify on certain Windows environments.

tests/datasets: test for dataset write disabled

Test the configuration flag to disable dataset writes from rules.

Ticket: #6123

tests/datasets: test absolute and parent directory paths

Test that Suricata fails to load rules that use a state path with an
absolute filename, or contains a traversal into a parent directory is
not allowed.

Ticket: #6118

readme: add exit-code example

Document how a specific exit-code can be tested for.

lua: enable lua rules for tests that use lua rules

tests/midstream: update test with midstream-policy

exception-policy-midstream-03: make README more explanatory.
bug-2491-02: adjust midstream-policy config value, as "drop-flow" is no
longer valid when midstream is enabled.

Related to
Bug #5825

tests: add bug-5825 tests for ips mode

Related to
Bug #5825

tests: add exception policy tests for midstream ids

Related to
Bug #5825

alert-testmyids: add target to rule

Choose a simple test to add the target keyword to as no other tests do
this. This will excercise the "source" and "target" fields in the JSON
schema.

tests/content: Validate dist/with length checks

Ticket: 5740

This commit adds tests that validate the distance and within values are
constrained appropriately to the range [0, 1045876]

run: Improve 'lt' version checking

This commit improves version checking for the 'less than' case
the Suricata version exceeds the `lt-version` value.

E.g., when Suricata is 7.0.0 and the lt-version specifies 6.0.1

test/vlan: 3-level VLAN test

Issue: 2816

This commit tests for 3-level VLAN encapsulations.

http: check that custom logging does not collide

for content range header for instance

github: add pull request template

For now it just asks for a Redmine ticket URL. We can use this to link
Suricata-Verify pull requests to Suricata features and pull requests,
potentially creating a script to update S-V pull requests when the
ticket status changes, or a Suricata pull request has been merged.

http2: move http.request_header keyword to new test

as it requires min version 7, and we do not want to mix it
with rules that already worked for version 6

ftp: fix command_data length

tests: fix sip based drop test for 6.0.x

tests: update for fixed rate_filter drops

tests: fix drop tests

tests: test flow droped but applayer event logged

It seems that Suricata will log an applayer event for a dropped flow,
for the second packet of the flow. This test demonstrates such behavior,
so we can investigate it.

Related to
Task #5510

run.py: Add dir in the output

These changes were based on Blithe Brandon's PR #344
Task: #3144

tests: fix smtp long data line test on 6.0.x

detect-icmp-id: add tests

Task: #5622

tests: add test for flow.memcap exception policy

ssh: do not check for useless tx_id always 0

http2: adds more signature keywords test

Ticket: #4067

github-ci: fix almalinux version

AlmaLinux:latest is now 9, and this job is for AlmaLinux 8.

smtp: add test for long DATA line

tests: add test for bug 2917

detect/content: Add negated endswith tests

Issue: 5541

This commit adds test cases for the issue discovered in 5541 so that
negated endswith are handled properly.

3 tests
- Negated endswith content that *should* match
- Negated endswith content that *shouldn't* match
- Negated endswith content that *should* match with a content match
  following it

For versions greater than 6.0.11

test/run: Support `gt-version` verb

This commit adds support for the `gt-version` verb. This verb is used
when the current version is X but the test(s) is(are) only supported in
versions greater than X.

rfb: test rfb frames

Adds test for krb5_msg_type keyword

smb: update pcap for test about ntlmssp

Turning off a ntlmssp bitflag, so that we are sure we pick the
right bit which is set for version parsing.

detect: adds test with bsize:0

Adds test about http.connection with to client

Ticket: #5746

Adds test about http mime with truncated file

due to request.body_limit configuration value

tests: add test for bug 5867 FP drop log events

Bug #5867

tests: fix smb bug 5770 pcap

tests: add test for bug 5881 stream overlap issue

tests: add tcp fast open tests

Adds test about smb2 for bug 5786

Adds smb test for ticket 5770

tests: add tests for unseen http midstream traffic

In a pcap where just `http` midstream traffic is seen, Suri is
unable to see the packtes as `http` traffic (Wireshark tags them
correctly).

This also seems to result in Suri sometimes not adding the packet
payload to the associated alert event in the eve-log.

`bug-5437-01` has the pcap where http packets are not seen `bug-5437-02`
has a more complete pcap, and the same packets are properly
identified by Suri.

Related to
Bug #5437

Adds test with multiple HTTP 100 responses

tests: test defrag exception policy with drop-flow

Defrag memcap and flow memcap do not support flow action for the
exception policies, as there is no flow when the exception condition is
hit. In such cases, the exception policy must be considered as
`drop-packet`. This commit changes the defrag exception policy test to
check if this behavior is working.

Adds test about ftp port when memcap is reached

Ticket: #5701

smb: fix test for master6

Difference with 7 is missing feature file deletion
Addition since 6.0.0 is async response cf smb2.aid wireshark filter

Ticket: #5820

tests: add http_uri parsing test

tests: add stream_size parsing test

tests: add rules testing with engine analysis

Tests check engine-analysis representation of rules.

tests: ET open rule parsing test: update rules

tests: add 5929 test for http2

tests: add ticket 5929 test

base64_data: add tests for bug 5885

tests/quic-ietf: fix test

Suricata was matching on the wrong ja3.

mqtt-events-unintroduced: fix test

On inspection of the pcap, the signature 2226005 should only alert
once.

Issue: 5799

mqtt-events-missing-connect: fix test

On inspection of the pcap, the signature 2226000 should only alert once.

Issue: 5799

mqtt-events-invalid-qos: fix test

On inspection of the pcap, the signature 2226006 should only alert once.

Issue: 5799

test: issue 4759

tests: fix exception test pcap paths

smtp-eve: fix filesize and version check

Earlier, the CRLFs that were a part of the file were also stripped off
as a part of finding and stripping the delimiters in the MIME handler.
This was fixed as a part of
https://redmine.openinfosecfoundation.org/issues/5725.
This patch fixes the test too to reflect the fix.

Ticket: 5821

file: Add tests for file_data prefilter keyword

Tests the `prefilter` keyword for `file_data` and `file.data`

Ticket #5801

createst: update the default README

createst: Create a default README with every test

Feature: #5210

tls: add test for tls.subject keyword

Adds tests for `tls.subject` legacy keyword and `tls.cert_subject` new keyword.
Ticket #5544

tls: add test for tls.issuerdn keyword

Adds tests for `tls.issuerdn` legacy keyword and `tls.cert_issuer` new keyword.
Ticket #5544

tls: organize tls tests into folders

ttl: add tests for prefilter keyword for ipv6 packets

Ticket #5800

readme: remove mention to pcapng file type

Since we're not accepting this format for now, better not to be
misleading.

test: Pin minimum version on eve output/smb2 tests

This PR sets the minimum version for tests changed to reflect new or
modified behavior in versions past mater-6.0.x

tests: Create tests for master-6.0.x branch

This commit introduces master-6.0.x specific tests that cover areas
where functionality is improved or changing for later versions.

tests: add test for bug 5783

log: Updates due to 5836

This commit is needed to accommodate Suricata's changed behavior that
exits if a log file can't be opened at startup time.

tests: disable bug 5198

Needs Suricata fix tracked in 5836.

tests: add test for bug 3286

tests: fix smb test for 6.0.x

framework: explicit utf-8 encoding for reading json

As the default encoding is platform dependent

tests: smb2 file sha logging test

github-ci: only run suricata-verify once on Ubuntu

On Ubuntu verify was being run once with the output dir in tree, and
another time elsewhere.  Instead, on Ubuntu just run once with --outdir,
and run on Alma without --outdir to cover both cases and save some time.

github-ci: update checkout action to v3

tests/log: Verify bug 5198

This issue requires an ASAN build -- it doesn't reproduce without ASAN.

Issue: 5198

tests/bsize Add test cases for bsize

This commit adds several test cases for the `bsize` keyword.

These tests apply to Suricata 7.0.x and newer.

tests: test midstream w midstream exception policy

Related to
Bug #5765

test: test logging TLS dates less than 1970

Issue: 5817

ttl: add tests for prefilter keyword

Ticket #5800

test: configuration file includes

Test configuration file includes that also include the new fully
qualified name overrides.

Pay attention to our "_" to "-" translation which should not happen for
variables.

tests/ftp: add checks for too long alerts

Related issue: 5235

tests: fix bad http host rule tests

The test.yaml files were missing the command set to compare eve.json
output and to run without a pcap file, therefore being simply skipped
for lack of a pcap file.

Also took the opportunity to make these compatible with new error
message formats for Suricata 7.

Test 1 also had a typo in the expected message to be checked, making it
fail.

decode: Tests for unknown/arp counters

Issue: 5761

This commit adds tests for decode counters which are new
- decode.arp
- decode.unknown_ethertype