Sdílet prostřednictvím


Pravidla a skupiny pravidel DRS Firewallu webových aplikací

Azure Web Application Firewall ve službě Azure Front Door chrání webové aplikace před běžnými ohroženími zabezpečení a zneužitím. Sady pravidel spravovaných Azure poskytují snadný způsob, jak nasadit ochranu před běžnou sadou bezpečnostních hrozeb. Vzhledem k tomu, že Azure tyto sady pravidel spravuje, pravidla se aktualizují podle potřeby, aby se chránila před novými podpisy útoků.

Výchozí sada pravidel (DRS) obsahuje také pravidla kolekce Microsoft Threat Intelligence, která jsou napsaná ve spolupráci s týmem Microsoft Intelligence, která poskytují zvýšené pokrytí, opravy konkrétních ohrožení zabezpečení a lepší snížení falešně pozitivních výsledků.

Poznámka:

Při změně verze sady pravidel v zásadách WAF se všechna existující přizpůsobení, která jste provedli v sadě pravidel, resetují na výchozí hodnoty nové sady pravidel. Viz: Upgrade nebo změna verze sady pravidel.

Výchozí sady pravidel

Služba DRS spravovaná v Azure zahrnuje pravidla pro následující kategorie hrozeb:

  • Skriptování mezi weby
  • Útoky v Javě
  • Zahrnutí místních souborů
  • Útoky prostřednictvím injektáže PHP
  • Vzdálené spuštění příkazu
  • Zahrnutí vzdálených souborů
  • Fixace relace
  • Ochrana před útoky prostřednictvím injektáže SQL.
  • Útoky na protokol

Číslo verze drs se zvýší při přidání nových podpisů útoku do sady pravidel.

Služba DRS je ve výchozím nastavení povolená v režimu detekce ve vašich zásadách WAF. Můžete zakázat nebo povolit jednotlivá pravidla v rámci služby DRS tak, aby splňovala požadavky vaší aplikace. Pro každé pravidlo můžete také nastavit konkrétní akce. Dostupné akce jsou Povolit, Blokovat, Protokol a Přesměrování.

Někdy může být potřeba vynechat určité atributy požadavků z vyhodnocení firewallu webových aplikací (WAF). Běžným příkladem jsou tokeny vložené službou Active Directory, které se používají k ověřování. Můžete nakonfigurovat seznam vyloučení pro spravované pravidlo, skupinu pravidel nebo celou sadu pravidel. Další informace najdete v tématu Azure Web Application Firewall v seznamech vyloučení služby Azure Front Door.

Ve výchozím nastavení používají DRS verze 2.0 a vyšší skóre anomálií, když požadavek odpovídá pravidlu. Verze DRS starší než 2.0 blokují požadavky, které aktivují pravidla. Vlastní pravidla je také možné nakonfigurovat ve stejné zásadě WAF, pokud chcete obejít některá z předkonfigurovaných pravidel v DRS.

Vlastní pravidla se vždy použijí před vyhodnocením pravidel v DRS. Pokud požadavek odpovídá vlastnímu pravidlu, použije se odpovídající akce pravidla. Požadavek se buď zablokuje, nebo se předává do back-endu. Nezpracovávají se žádná jiná vlastní pravidla ani pravidla v DRS. DrS můžete také odebrat ze zásad WAF.

Pravidla kolekce Microsoft Threat Intelligence

Pravidla shromažďování hrozeb Společnosti Microsoft jsou napsána ve spolupráci s týmem Microsoft Threat Intelligence, která poskytují zvýšené pokrytí, opravy konkrétních ohrožení zabezpečení a lepší falešně pozitivní snížení.

Ve výchozím nastavení pravidla kolekce Microsoft Threat Intelligence Nahrazují některá předdefinovaná pravidla DRS, což způsobuje jejich zakázání. Například id pravidla 942440, zjištěná sekvence komentářů SQL, byla zakázána a nahrazena pravidlem kolekce Microsoft Threat Intelligence 99031002. Nahrazené pravidlo snižuje riziko falešně pozitivních detekcí z legitimních požadavků.

Bodování anomálií

Při použití DRS 2.0 nebo novější používá WAF bodování anomálií. Provoz, který odpovídá jakémukoli pravidlu, se okamžitě neblokuje, ani když je váš WAF v režimu prevence. Místo toho sady pravidel OWASP definují závažnost pro každé pravidlo: Kritické, Chyba, Upozornění nebo Oznámení. Závažnost ovlivňuje číselnou hodnotu požadavku, která se nazývá skóre anomálií. Pokud požadavek nahromáždí skóre anomálií 5 nebo vyšší, waF provede na požadavku akci.

Závažnost pravidla Hodnota přispěla ke skóre anomálií
Kritické 5
Chyba 4
Upozorňující 3
Upozornění: 2

Při konfiguraci WAF můžete rozhodnout, jak WAF zpracovává požadavky, které překračují prahovou hodnotu skóre anomálií 5. Tři možnosti akce skóre anomálií jsou Blok, Protokol nebo Přesměrování. Akce skóre anomálií, kterou vyberete v době konfigurace, se použije u všech požadavků, které překračují prahovou hodnotu skóre anomálií.

Pokud je například skóre anomálií v požadavku 5 nebo vyšší a WAF je v režimu prevence s akcí skóre anomálií nastavenou na Hodnotu Blokovat, požadavek se zablokuje. Pokud je skóre anomálií v požadavku 5 nebo vyšší a WAF je v režimu detekce, požadavek se zaprotokoluje, ale není zablokovaný.

Jedna shoda kritických pravidel stačí, aby WAF zablokovala požadavek v režimu prevence s akcí skóre anomálií nastavenou na Blokovat, protože celkové skóre anomálií je 5. Jedno pravidlo upozornění ale pouze zvyšuje skóre anomálií o 3, což nestačí k blokování provozu. Při aktivaci pravidla anomálií se v protokolech zobrazí odpovídající akce. Pokud je skóre anomálií 5 nebo vyšší, aktivuje se samostatné pravidlo s akcí skóre anomálií nakonfigurovanou pro sadu pravidel. Výchozí akce skóre anomálií je Blok, což vede k položce protokolu s akcí blocked.

Pokud waf používá starší verzi výchozí sady pravidel (před DRS 2.0), spustí se waF v tradičním režimu. Provoz, který odpovídá jakémukoli pravidlu, se považuje za nezávislý na všech ostatních shodách pravidel. V tradičním režimu nemáte přehled o úplné sadě pravidel, která se konkrétní žádost shodovala.

Verze služby DRS, kterou používáte, také určuje, které typy obsahu jsou podporovány pro kontrolu těla žádosti. Další informace najdete v tématu Jaké typy obsahu WAF podporuje? v nejčastějších dotazech.

Upgrade nebo změna verze sady pravidel

Pokud upgradujete nebo přiřazujete novou verzi sady pravidel a chcete zachovat stávající přepsání a vyloučení pravidel, doporučujeme použít PowerShell, rozhraní příkazového řádku, rozhraní REST API nebo šablony k provádění změn verze sady pravidel. Nová verze sady pravidel může obsahovat novější pravidla, další skupiny pravidel a můžou mít aktualizace stávajících podpisů, které vynucují lepší zabezpečení a snižují falešně pozitivní výsledky. Doporučuje se ověřit změny v testovacím prostředí, vyladit je v případě potřeby a pak nasadit v produkčním prostředí.

Poznámka:

Pokud k přiřazení nové spravované sady pravidel k zásadám WAF používáte Azure Portal, všechny předchozí vlastní nastavení ze stávající sady spravovaných pravidel, jako je stav pravidla, akce pravidel a vyloučení na úrovni pravidel, se resetují na výchozí hodnoty nové sady spravovaných pravidel. Při přiřazování nové sady pravidel ale nebudou mít žádná vlastní pravidla nebo nastavení zásad vliv. Před nasazením v produkčním prostředí budete muset před nasazením pravidla předefinovat přepsání a ověřit změny.

DRS 2.1

Pravidla DRS 2.1 nabízejí lepší ochranu než starší verze DRS. Obsahuje další pravidla vyvinutá týmem Microsoft Threat Intelligence a aktualizacemi podpisů, aby se snížily falešně pozitivní výsledky. Podporuje také transformace nad rámec dekódování adresy URL.

DrS 2.1 obsahuje 17 skupin pravidel, jak je znázorněno v následující tabulce. Každá skupina obsahuje více pravidel a můžete přizpůsobit chování jednotlivých pravidel, skupin pravidel nebo celé sady pravidel. DrS 2.1 je směrný plán od základní sady základních pravidel OWASP (Open Web Application Security Project) 3.3.2 (CRS) a obsahuje další proprietární pravidla ochrany vyvinutá týmem Microsoft Threat Intelligence.

Další informace najdete v tématu Ladění firewallu webových aplikací (WAF) pro Službu Azure Front Door.

Poznámka:

DRS 2.1 je k dispozici pouze ve službě Azure Front Door Premium.

Skupina pravidla ruleGroupName Popis
Obecné Obecné Obecná skupina
VYNUCENÍ METODY METHOD-ENFORCEMENT Metody uzamčení (PUT, PATCH)
VYNUCENÍ PROTOKOLU PROTOCOL-ENFORCEMENT Ochrana před problémy s protokolem a kódováním
ÚTOK PROTOKOLEM PROTOCOL-ATTACK Ochrana před vkládáním hlaviček, pašováním žádostí a rozdělením odpovědí
APPLICATION-ATTACK-LFI LFI Ochrana před útoky na soubory a cesty
APPLICATION-ATTACK-RFI RFI Ochrana před vzdálenými útoky na zahrnutí souborů (RFI)
APPLICATION-ATTACK-RCE RCE Ochrana znovu vzdálených útoků na spouštění kódu
APPLICATION-ATTACK-PHP PHP Ochrana před útoky prostřednictvím injektáže PHP
APPLICATION-ATTACK-NodeJS NODEJS Ochrana před útoky JS uzlu
APPLICATION-ATTACK-XSS XSS Ochrana před skriptovacími útoky mezi weby
APPLICATION-ATTACK-SQLI SQLI Ochrana před útoky prostřednictvím injektáže SQL
OPRAVA ÚTOKU NA APLIKACI FIX Ochrana před útoky na opravu relací
APPLICATION-ATTACK-SESSION-JAVA JAVA Ochrana před útoky JAVA
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Ochrana před útoky web shellu
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec Ochrana před útoky AppSec
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI Ochrana před útoky SQLI
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs Ochrana před útoky CVE

Zakázaná pravidla

Následující pravidla jsou ve výchozím nastavení pro DRS 2.1 zakázaná.

ID pravidla Skupina pravidla Popis Detaily
942110 SQLI Útok prostřednictvím injektáže SQL: Zjistilo se běžné testování injektáže Nahrazeno pravidlem MSTIC 99031001
942150 SQLI Útok prostřednictvím injektáže SQL Nahrazeno pravidlem MSTIC 99031003
942260 SQLI Zjistí pokusy o obejití základního ověřování SQL 2/3. Nahrazeno pravidlem MSTIC 99031004
942430 SQLI Omezená detekce anomálií znaků SQL (args): počet překročení počtu speciálních znaků (12) Příliš mnoho falešně pozitivních výsledků
942440 SQLI Zjištěná sekvence komentářů SQL Nahrazeno pravidlem MSTIC 99031002
99005006 MS-ThreatIntel-WebShells Pokus o interakci Spring4Shellu Povolení pravidla, které brání ohrožení zabezpečení SpringShellu
99001014 MS-ThreatIntel-CVEs Pokus o injektáže směrovacího výrazu Spring Cloudu CVE-2022-22963 Povolení pravidla, které brání ohrožení zabezpečení SpringShellu
99001015 MS-ThreatIntel-WebShells Pokus o zneužití objektu nebezpečné třídy Spring Framework CVE-2022-22965 Povolení pravidla, které brání ohrožení zabezpečení SpringShellu
99001016 MS-ThreatIntel-WebShells Pokus o injektáž ovladače brány Spring Cloud CVE-2022-22947 Povolení pravidla, které brání ohrožení zabezpečení SpringShellu
99001017 MS-ThreatIntel-CVEs Pokus o nahrání souboru Apache Struts zneužití CVE-2023-50164 Povolení pravidla, které brání ohrožení zabezpečení Apache Struts

DRS 2.0

Pravidla DRS 2.0 nabízejí lepší ochranu než starší verze DRS. DRS 2.0 také podporuje transformace nad rámec dekódování adresy URL.

DRS 2.0 obsahuje 17 skupin pravidel, jak je znázorněno v následující tabulce. Každá skupina obsahuje více pravidel. Můžete zakázat jednotlivá pravidla a celé skupiny pravidel.

Poznámka:

DRS 2.0 je k dispozici pouze ve službě Azure Front Door Premium.

Skupina pravidla ruleGroupName Popis
Obecné Obecné Obecná skupina
VYNUCENÍ METODY METHOD-ENFORCEMENT Metody uzamčení (PUT, PATCH)
VYNUCENÍ PROTOKOLU PROTOCOL-ENFORCEMENT Ochrana před problémy s protokolem a kódováním
ÚTOK PROTOKOLEM PROTOCOL-ATTACK Ochrana před vkládáním hlaviček, pašováním žádostí a rozdělením odpovědí
APPLICATION-ATTACK-LFI LFI Ochrana před útoky na soubory a cesty
APPLICATION-ATTACK-RFI RFI Ochrana před vzdálenými útoky na zahrnutí souborů (RFI)
APPLICATION-ATTACK-RCE RCE Ochrana znovu vzdálených útoků na spouštění kódu
APPLICATION-ATTACK-PHP PHP Ochrana před útoky prostřednictvím injektáže PHP
APPLICATION-ATTACK-NodeJS NODEJS Ochrana před útoky JS uzlu
APPLICATION-ATTACK-XSS XSS Ochrana před skriptovacími útoky mezi weby
APPLICATION-ATTACK-SQLI SQLI Ochrana před útoky prostřednictvím injektáže SQL
OPRAVA ÚTOKU NA APLIKACI FIX Ochrana před útoky na opravu relací
APPLICATION-ATTACK-SESSION-JAVA JAVA Ochrana před útoky JAVA
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Ochrana před útoky web shellu
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec Ochrana před útoky AppSec
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI Ochrana před útoky SQLI
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs Ochrana před útoky CVE

DRS 1.1

Skupina pravidla ruleGroupName Popis
ÚTOK PROTOKOLEM PROTOCOL-ATTACK Ochrana před vkládáním hlaviček, pašováním žádostí a rozdělením odpovědí
APPLICATION-ATTACK-LFI LFI Ochrana před útoky na soubory a cesty
APPLICATION-ATTACK-RFI RFI Ochrana před vzdálenými útoky na zahrnutí souborů
APPLICATION-ATTACK-RCE RCE Ochrana před vzdáleným spuštěním příkazu
APPLICATION-ATTACK-PHP PHP Ochrana před útoky prostřednictvím injektáže PHP
APPLICATION-ATTACK-XSS XSS Ochrana před skriptovacími útoky mezi weby
APPLICATION-ATTACK-SQLI SQLI Ochrana před útoky prostřednictvím injektáže SQL
OPRAVA ÚTOKU NA APLIKACI FIX Ochrana před útoky na opravu relací
APPLICATION-ATTACK-SESSION-JAVA JAVA Ochrana před útoky JAVA
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Ochrana před útoky web shellu
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec Ochrana před útoky AppSec
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI Ochrana před útoky SQLI
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs Ochrana před útoky CVE

DRS 1.0

Skupina pravidla ruleGroupName Popis
ÚTOK PROTOKOLEM PROTOCOL-ATTACK Ochrana před vkládáním hlaviček, pašováním žádostí a rozdělením odpovědí
APPLICATION-ATTACK-LFI LFI Ochrana před útoky na soubory a cesty
APPLICATION-ATTACK-RFI RFI Ochrana před vzdálenými útoky na zahrnutí souborů
APPLICATION-ATTACK-RCE RCE Ochrana před vzdáleným spuštěním příkazu
APPLICATION-ATTACK-PHP PHP Ochrana před útoky prostřednictvím injektáže PHP
APPLICATION-ATTACK-XSS XSS Ochrana před skriptovacími útoky mezi weby
APPLICATION-ATTACK-SQLI SQLI Ochrana před útoky prostřednictvím injektáže SQL
OPRAVA ÚTOKU NA APLIKACI FIX Ochrana před útoky na opravu relací
APPLICATION-ATTACK-SESSION-JAVA JAVA Ochrana před útoky JAVA
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Ochrana před útoky web shellu
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs Ochrana před útoky CVE

Bot Manager 1.0

Sada pravidel Bot Manageru 1.0 poskytuje ochranu před škodlivými roboty a detekcí dobrých robotů. Pravidla poskytují podrobnou kontrolu nad roboty zjištěnými WAF tím, že kategorizují provoz robota jako dobrý, chybný nebo neznámý robot.

Skupina pravidla Popis
BadBots Ochrana před špatnými roboty
GoodBots Identifikace vhodných robotů
Neznámé roboty Identifikace neznámých robotů

Bot Manager 1.1

Sada pravidel Bot Manageru 1.1 je vylepšení sady pravidel Bot Manageru 1.0. Poskytuje vylepšenou ochranu před škodlivými roboty a zvyšuje dobrou detekci robotů.

Skupina pravidla Popis
BadBots Ochrana před špatnými roboty
GoodBots Identifikace vhodných robotů
Neznámé roboty Identifikace neznámých robotů

Následující skupiny pravidel a pravidla jsou k dispozici při použití služby Azure Web Application Firewall ve službě Azure Front Door.

2.1 sady pravidel

OBECNÉ

RuleId Popis
200002 Analýza textu požadavku se nezdařila.
200003 Text žádosti s více částmi selhal s přísným ověřením.

Vynucení metody

RuleId Popis
911100 Zásada nepovoluje metodu

Vynucení protokolu

RuleId Popis
920100 Neplatný řádek požadavku HTTP.
920120 Došlo k pokusu o obejití více částí nebo dat formulářů.
920121 Došlo k pokusu o obejití více částí nebo dat formulářů.
920160 Hlavička HTTP pro délku obsahu není číselná.
920170 GET nebo HEAD Request with body content.
920171 GET nebo HEAD Request with Transfer-Encoding.
920180 Požadavek POST chybí hlavička Content-Length.
920181 Hlavičky Content-Length a Transfer-Encoding jsou k dispozici 99001003.
920190 Rozsah: Neplatná hodnota posledního bajtu.
920200 Rozsah: Příliš mnoho polí (6 nebo více).
920201 Rozsah: Příliš mnoho polí pro požadavek PDF (35 nebo více).
920210 Byla nalezena data záhlaví více nebo konfliktních připojení.
920220 Pokus o útok na zneužití kódování adresy URL.
920230 Bylo zjištěno více kódování adresy URL.
920240 Pokus o útok na zneužití kódování adresy URL.
920260 Pokus o útok na zneužití kódování Unicode s plnou šířkou nebo poloviční šířkou
920270 Neplatný znak v požadavku (znak null).
920271 Neplatný znak v požadavku (netisknutelné znaky)
920280 Požadavek chybí hlavička hostitele.
920290 Prázdná hlavička hostitele
920300 Požadavek chybí hlavička Accept.
920310 Požadavek má prázdnou hlavičku Accept.
920311 Požadavek má prázdnou hlavičku Accept.
920320 Chybí hlavička uživatelského agenta.
920330 Prázdná hlavička uživatelského agenta.
920340 Požadavek obsahující obsah, ale chybí hlavička Content-Type.
920341 Požadavek obsahující obsah vyžaduje hlavičku Content-Type.
920350 Hlavička hostitele je číselná IP adresa.
920420 Zásady nepovolují typ obsahu požadavku.
920430 Zásady nepovolují verzi protokolu HTTP.
920440 Přípona souboru ADRESY URL je omezena zásadami.
920450 Hlavička HTTP je omezena zásadami.
920470 Neplatná hlavička Content-Type
920480 Zásady nepovolují znakové sady typu obsahu.
920500 Pokus o přístup k záložnímu nebo pracovnímu souboru

Útok na protokol

RuleId Popis
921110 Útok na pašování požadavků HTTP
921120 HTTP Response Splitting Attack
921130 HTTP Response Splitting Attack
921140 Útok prostřednictvím injektáže hlaviček HTTP prostřednictvím hlaviček
921150 Útok prostřednictvím injektáže hlaviček HTTP prostřednictvím datové části (zjištěný CR/LF)
921151 Útok prostřednictvím injektáže hlaviček HTTP prostřednictvím datové části (zjištěný CR/LF)
921160 Útok prostřednictvím injektáže hlaviček HTTP přes datovou část (zjištěný CR/LF a název hlavičky)
921190 Zjistilo se rozdělení HTTP (CR/LF v názvu souboru požadavku)
921200 Útok prostřednictvím injektáže LDAP

LFI: Zahrnutí místního souboru

RuleId Popis
930100 Útok procházení cesty (/.). /)
930110 Útok procházení cesty (/.). /)
930120 Pokus o přístup k souborům operačního systému
930130 Pokus o přístup k souborům s omezeným přístupem

RFI: Zahrnutí vzdáleného souboru

RuleId Popis
931100 Možný útok na zahrnutí vzdálených souborů (RFI): Parametr adresy URL s použitím IP adresy
931110 Možný útok na zahrnutí vzdálených souborů (RFI): Běžný název ohrožených parametrů RFI, který používá datovou část w/URL
931120 Možný útok na zahrnutí vzdálených souborů (RFI): Datová část adresy URL použitá pomocí znaku otazníku (?)
931130 Možný útok na zahrnutí vzdálených souborů (RFI): Odkaz na mimo doménu nebo odkaz

RCE: Vzdálené spuštění příkazu

RuleId Popis
932100 Vzdálené spuštění příkazu: Injektáž příkazů systému Unix
932105 Vzdálené spuštění příkazu: Injektáž příkazů systému Unix
932110 Vzdálené spuštění příkazu: Injektáž příkazů systému Windows
932115 Vzdálené spuštění příkazu: Injektáž příkazů systému Windows
932120 Vzdálené spuštění příkazu: Byl nalezen příkaz Windows PowerShellu.
932130 Vzdálené spuštění příkazu: Byl nalezen výraz prostředí Unix shell nebo ohrožení zabezpečení confluence (CVE-2022-26134)
932140 Vzdálené spuštění příkazu: Byl nalezen příkaz Windows FOR/IF.
932150 Vzdálené spuštění příkazu: Přímé spouštění příkazů systému Unix
932160 Vzdálené spuštění příkazu: Byl nalezen kód prostředí Unix
932170 Vzdálené spouštění příkazů: Shellshock (CVE-2014-6271)
932171 Vzdálené spouštění příkazů: Shellshock (CVE-2014-6271)
932180 Omezený pokus o nahrání souboru

Útoky PHP

RuleId Popis
933100 Útok prostřednictvím injektáže PHP: Nalezena levá/pravá značka
933110 Útok prostřednictvím injektáže PHP: Nalezen soubor skriptu PHP
933120 Útok prostřednictvím injektáže PHP: Nalezena direktiva konfigurace
933130 Útok prostřednictvím injektáže PHP: Nalezeny proměnné
933140 Útok prostřednictvím injektáže PHP: Nalezen vstupně-výstupní stream
933150 Útok prostřednictvím injektáže PHP: Byl nalezen název vysoce rizikové funkce PHP.
933151 Útok prostřednictvím injektáže PHP: Nalezen název středně rizikové funkce PHP
933160 Útok prostřednictvím injektáže PHP: Nalezeno volání vysoce rizikové funkce PHP
933170 Útok prostřednictvím injektáže PHP: Serializovaná injektáž objektů
933180 Útok prostřednictvím injektáže PHP: Nalezeno volání proměnné funkce
933200 Útok prostřednictvím injektáže PHP: Zjistilo se schéma obálky
933210 Útok prostřednictvím injektáže PHP: Nalezeno volání proměnné funkce

Útoky JS uzlu

RuleId Popis
934100 útok prostřednictvím injektáže Node.js

XSS: Skriptování mezi weby

RuleId Popis
941100 Útok XSS zjištěn prostřednictvím libinjection
941101 Útok XSS zjištěn prostřednictvím libinjection
Pravidlo detekuje požadavky s hlavičkou Referer .
941110 Filtr XSS – kategorie 1: Vektor značky skriptu
941120 Filtr XSS – kategorie 2: Vektor obslužné rutiny události
941130 Filtr XSS – kategorie 3: Vektor atributu
941140 Filtr XSS – kategorie 4: Vektor URI JavaScriptu
941150 Filtr XSS – kategorie 5: Nepovolené atributy HTML
941160 NoScript XSS InjectionChecker: Injektáž HTML
941170 NoScript XSS InjectionChecker: Injektáž atributů
941180 Klíčová slova seznamu blokovaných uzlů
941190 XSS s využitím šablon stylů
941200 XSS s využitím rámců VML
941210 XSS s využitím obfuskovaného JavaScriptu
941220 XSS s využitím obfuskovaného skriptu VB
941230 XSS s využitím embed značky
941240 XSS s využitím import nebo implementation atributem
941250 Filtry IE XSS – zjištěný útok
941260 XSS s využitím meta značky
941270 XSS s využitím link href
941280 XSS s využitím base značky
941290 XSS s využitím applet značky
941300 XSS s využitím object značky
941310 Filtr XSS s poškozeným kódováním US-ASCII – zjištěný útok
941320 Zjištěný možný útok XSS – obslužná rutina značky HTML
941330 Filtry IE XSS – zjištěný útok
941340 Filtry IE XSS – zjištěný útok
941350 Kódování UTF-7 IE XSS – zjištěn útok
941360 Zjistilo se obfuskace JavaScriptu
941370 Byla nalezena globální proměnná JavaScriptu.
941380 Zjištěná injektáž šablony na straně klienta AngularJS

SQLI: Injektáž SQL

RuleId Popis
942100 Útok prostřednictvím injektáže SQL Zjištěn prostřednictvím libinjection.
942110 Útok prostřednictvím injektáže SQL: Zjistilo se běžné testování injektáže.
942120 Útok prostřednictvím injektáže SQL: Zjistil se operátor SQL.
942140 Útok prostřednictvím injektáže SQL: Byly zjištěny běžné názvy databází.
942150 Útok prostřednictvím injektáže SQL
942160 Detekuje slepé testy SQLI pomocí sleep() nebo benchmark().
942170 Detekuje srovnávací test SQL a pokusy o injektáž režimu spánku, včetně podmíněných dotazů.
942180 Detekuje pokusy o obejití základního ověřování SQL 1/3.
942190 Detekuje spuštění kódu MSSQL a pokusy o shromažďování informací.
942200 Detekuje injektáže komentáře MySQL /space-obfuscated injektáže a ukončení backtick.
942210 Detekuje zřetězený pokus o injektáž SQL 1/2.
942220 Hledáte celočíselné útoky přetečení, ty jsou převzaty z skipfish, s výjimkou 3.0.00738585072007e-308 je "kouzelné číslo".
942230 Detekuje pokusy o podmíněné injektáže SQL.
942240 Detekuje přepínač znakové sady MySQL a pokusy o MSSQL DoS.
942250 Detekuje injektáže POZVYHLEDAT PROTI, SLOUČIT a PROVÉST OKAMŽITÉ injektáže.
942260 Detekuje pokusy o obejití základního ověřování SQL 2/3.
942270 Hledáte základní injektáž SQL. Běžný řetězec útoku pro MySQL, Oracle a další.
942280 Detekuje injektáž pg_sleep Postgres, čekání na útoky zpoždění a pokusy o vypnutí databáze.
942290 Najde základní pokusy o injektáž MONgoDB SQL.
942300 Detekuje injektáže, podmínky a injektáže MySQL (a)r.
942310 Detekuje zřetězený pokus o injektáž SQL 2/2.
942320 Detekuje uložené procedury /injektáže funkcí MySQL a PostgreSQL.
942330 Detekuje klasické sondy injektáže SQL 1/2.
942340 Detekuje pokusy o obejití základního ověřování SQL 3/3.
942350 Detekuje injektáž definovanou uživatelem MySQL a další pokusy o manipulaci s daty a strukturou.
942360 Detekuje zřetězené základní injektáž SQL a pokusy SQLLFI.
942361 Detekuje základní injektáž SQL na základě změny nebo sjednocení klíčového slova.
942370 Detekuje klasické sondy injektáže SQL 2/2.
942380 Útok prostřednictvím injektáže SQL
942390 Útok prostřednictvím injektáže SQL
942400 Útok prostřednictvím injektáže SQL
942410 Útok prostřednictvím injektáže SQL
942430 Omezená detekce anomálií znaků SQL (args): počet překročení počtu speciálních znaků (12)
942440 Zjistilo se pořadí komentářů SQL.
942450 Identifikované šestnáctkové kódování SQL
942460 Upozornění na detekci anomálií metaznaku – opakující se neslovné znaky
942470 Útok prostřednictvím injektáže SQL
942480 Útok prostřednictvím injektáže SQL
942500 Zjistil se vložený komentář MySQL.
942510 Byl zjištěn pokus o obejití SQLi pomocí zjišťovaných záškrtů nebo zpětných znamétek.

Fixace relace

RuleId Popis
943100 Možný útok na opravu relace: Nastavení hodnot souborů cookie v HTML
943110 Možný útok na opravu relace: Název parametru SessionID s refererem mimo doménu
943120 Možný útok na opravu relace: Název parametru SessionID bez referreru

Útoky v Javě

RuleId Popis
944100 Vzdálené spouštění příkazů: Apache Struts, Oracle WebLogic
944110 Detekuje potenciální spuštění datové části.
944120 Možné spuštění datové části a vzdálené spuštění příkazu
944130 Podezřelé třídy Javy
944200 Využívání deserializace Javy Apache Commons
944210 Možné použití serializace Java
944240 Vzdálené spuštění příkazu: Serializace Java a chyba zabezpečení Log4j (CVE-2021-44228, CVE-2021-45046)
944250 Vzdálené spouštění příkazů: Zjištěna podezřelá metoda Java

MS-ThreatIntel-WebShells

RuleId Popis
99005002 Pokus o interakci webového prostředí (POST)
99005003 Pokus o nahrání webového prostředí (POST) – CHOPPER PHP
99005004 Pokus o nahrání webového prostředí (POST) – SLUŽBA CHOPPER ASPX
99005005 Pokus o interakci s webovým prostředím
99005006 Pokus o interakci Spring4Shellu

MS-ThreatIntel-AppSec

RuleId Popis
99030001 Cesta Procházení úniků v headers (/.. /./.. /)
99030002 Cesta procházení úniku v textu žádosti (/.). /./.. /)

MS-ThreatIntel-SQLI

RuleId Popis
99031001 Útok prostřednictvím injektáže SQL: Zjistilo se běžné testování injektáže
99031002 Zjištěná sekvence komentářů SQL
99031003 Útok prostřednictvím injektáže SQL
99031004 Zjistí pokusy o obejití základního ověřování SQL 2/3.

MS-ThreatIntel-CVEs

RuleId Popis
99001001 Pokus o zneužití rozhraní REST API s známými přihlašovacími údaji f5 tmui (CVE-2020-5902)
99001002 Pokus o procházení adresáře Citrix NSC_USER CVE-2019-19781
99001003 Pokus o zneužití konektoru widgetu Atlassian Confluence CVE-2019-3396
99001004 Pokus o zneužití vlastní šablony Pulse Secure CVE-2020-8243
99001005 Pokus o zneužití převaděče typů SharePointu CVE-2020-0932
99001006 Pokus o procházení adresáře Pulse Connect CVE-2019-11510
99001007 Pokus o zahrnutí místního souboru Junos OS J-Web CVE-2020-1631
99001008 Pokus o procházení cesty Fortinet CVE-2018-13379
99001009 Pokus o injektáž Apache struts CVE-2017-5638
99001010 Pokus o injektáž Apache struts CVE-2017-12611
99001011 Pokus o procházení cesty Oracle WebLogic CVE-2020-14882
99001012 Pokus o zneužití nezabezpečeného deserializace Telerik WebUI CVE-2019-18935
99001013 Pokus o nezabezpečenou deserializaci XML SharePointu CVE-2019-0604
99001014 Pokus o injektáže směrovacího výrazu Spring Cloudu CVE-2022-22963
99001015 Pokus o zneužití objektu nebezpečné třídy Spring Framework CVE-2022-22965
99001016 Pokus o injektáž ovladače brány Spring Cloud CVE-2022-22947
99001017 Pokus o nahrání souboru Apache Struts – cve-2023-50164

Poznámka:

Při kontrole protokolů WAF se může zobrazit ID pravidla 949110. Popis pravidla může zahrnovat překročení skóre příchozí anomálie.

Toto pravidlo označuje, že celkové skóre anomálií požadavku překročilo maximální povolené skóre. Další informace najdete v tématu Bodování anomálií.

Při ladění zásad WAF je potřeba prozkoumat další pravidla aktivovaná požadavkem, abyste mohli upravit konfiguraci WAF. Další informace najdete v tématu Ladění firewallu webových aplikací Azure pro Azure Front Door.

Další kroky