Compartir a través de


Grupos de reglas de DRS de Web Application Firewall y reglas para

Azure Web Application Firewall en Azure Front Door protege las aplicaciones web frente a vulnerabilidades comunes y vulnerabilidades de seguridad. Los conjuntos de reglas administrados por Azure proporcionan una forma fácil de implementar la protección frente a un conjunto común de amenazas de seguridad. Dado que Azure administra los conjuntos de reglas, las reglas se actualizan según sea necesario para proteger frente a firmas de ataque nuevas.

El conjunto de reglas predeterminado (DRS) también incluye las reglas de recopilación de Inteligencia sobre amenazas de Microsoft que se escriben en colaboración con el equipo de Inteligencia de Microsoft para proporcionar una mayor cobertura, revisiones para las vulnerabilidades específicas y una mejor reducción de los falsos positivos.

Nota:

Cuando se cambia una versión del conjunto de reglas en una directiva de WAF, las personalizaciones existentes realizadas en el conjunto de reglas se restablecerán a los valores predeterminados del nuevo conjunto de reglas. Consulte: Actualización o cambio de versión del conjunto de reglas.

Conjuntos de reglas predeterminados

El DRS administrado por Azure incluye reglas frente a las siguientes categorías de amenaza:

  • Scripting entre sitios
  • Ataques de Java
  • Inclusión de archivos locales
  • Ataques por inyección de PHP
  • Ejecución de comandos remotos
  • Inclusión de archivos remotos
  • Fijación de sesión
  • Protección contra la inyección de código SQL
  • Atacantes de protocolo

El número de versión de DRS aumenta a medida que se van agregando nuevas firmas de ataque al conjunto de reglas.

DRS está habilitado de forma predeterminada en el modo de detección de las directivas de WAF. Puede deshabilitar o habilitar reglas individualmente en el DRS según las necesidades de su aplicación. También puede definir acciones específicas para cada regla. Las acciones disponibles son: Permitir, bloquear, registrar y redirigir.

A veces, es posible que tenga que omitir determinados atributos de solicitud de una evaluación del firewall de aplicaciones web (WAF). Un ejemplo común son los tokens insertados de Active Directory que se usan para la autenticación. Puede configurar una lista de exclusión para una regla administrada, un grupo de reglas o todo el conjunto de reglas. Para obtener más información, consulte Listas de exclusión de Azure Web Application Firewall en Azure Front Door.

De forma predeterminada, las versiones 2.0 y posteriores de DRS usan la puntuación de anomalías cuando una solicitud coincide con una regla. Las versiones de DRS anteriores a la 2.0 bloquean las solicitudes que desencadenan las reglas. Además, las reglas personalizadas pueden configurarse en la misma directiva del WAF si quiere omitir cualquiera de las reglas previamente configuradas en el DRS.

Las reglas personalizadas se aplican siempre antes de que se evalúen las reglas del DRS. Si una solicitud coincide con una regla personalizada, se aplica la acción de la regla correspondiente. La solicitud se bloquea o se pasa por el back-end. No se procesa ninguna otra regla personalizada ni las reglas del DRS. También puede quitar el DRS de las directivas de WAF.

Reglas de recopilación de Inteligencia sobre amenazas de Microsoft

Las reglas de recopilación de Inteligencia sobre amenazas de Microsoft se escriben en colaboración con el equipo de Inteligencia sobre amenazas de Microsoft para proporcionar una mayor cobertura, revisiones para vulnerabilidades específicas y una mejor reducción de falsos positivos.

De forma predeterminada, las reglas de recopilación de Inteligencia sobre amenazas de Microsoft reemplazan algunas de las reglas de DRS integradas, lo que hace que se deshabiliten. Por ejemplo, el identificador de regla 942440, Secuencia de comentarios SQL detectada, se ha deshabilitado y se ha reemplazado por la regla 99031002 de recopilación de Inteligencia sobre amenazas de Microsoft. La regla reemplazada reduce el riesgo de detección de falsos positivos de solicitudes legítimas.

Puntuación de anomalías

Cuando se usa DRS 2.0 o posterior, WAF usa la puntuación de anomalías. El tráfico que cumpla cualquiera de las reglas no se bloquea inmediatamente, aun cuando WAF esté en modo de prevención. En vez de ello, los conjuntos de reglas OWASP definen una gravedad para cada regla: Crítica, Error, Advertencia o Aviso. Dicha gravedad afecta a un valor numérico de la solicitud, lo que se conoce como puntuación de anomalías. Si una solicitud acumula una puntuación de anomalías de 5 o superior, el WAF toma medidas en la solicitud.

Gravedad de las reglas Valor de contribución a una puntuación de anomalías
Crítico 5
Error 4
Advertencia 3
Aviso 2

Al configurar el WAF, puede decidir cómo controla el WAF las solicitudes que superan el umbral de puntuación de anomalías de 5. Las tres opciones de acción de puntuación de anomalías son Bloquear, Registrar o Redirigir. La acción de puntuación de anomalías que seleccione en el momento de la configuración se aplica a todas las solicitudes que superen el umbral de puntuación de anomalías.

Por ejemplo, si la puntuación de anomalía es de 5 o superior en una solicitud y el WAF está en modo de prevención con la acción de puntuación de anomalías establecida en Bloquear, la solicitud se bloquea. Si la puntuación de anomalía es 5 o superior en una solicitud y el WAF está en modo detección, la solicitud se registra pero no se bloquea.

Cumplir una única regla Crítica es suficiente para que el WAF bloquee una solicitud cuando está en modo de Prevención con la acción de puntuación de anomalía establecida en Bloquear, ya que la puntuación de anomalía general es de 5. Pero cumplir una regla de tipo Advertencia solo aumenta la puntuación de anomalías en 3, lo cual no basta per se para bloquear el tráfico. Cuando se desencadena una regla de anomalías, muestra una acción "coincidente" en los registros. Si la puntuación de anomalía es de 5 o superior, se activa una regla independiente con la acción de puntuación de anomalía configurada para el conjunto de reglas. La acción de puntuación de anomalías predeterminada es Bloquear, lo que da como resultado una entrada de registro con la acción blocked.

Cuando el WAF usa una versión anterior del conjunto de reglas predeterminado (previa a DRS 2.0), el WAF se ejecuta en el modo tradicional. donde el tráfico que coincide con una regla se considera de manera independiente de si se cumple otra regla. En el modo tradicional, no se puede ver el conjunto de reglas completo que una solicitud específica cumple.

La versión de DRS que use también determina qué tipos de contenido se admiten para inspeccionar el cuerpo de la solicitud. Para obtener más información, consulte ¿Qué tipos de contenido admite WAF? en las Preguntas frecuentes.

Actualización o cambio de la versión del conjunto de reglas

Si está actualizando o asignando una nueva versión del conjunto de reglas y desea conservar las anulaciones y exclusiones de reglas existentes, se recomienda utilizar PowerShell, CLI, API de REST o plantillas para realizar cambios en la versión del conjunto de reglas. Una nueva versión de un conjunto de reglas puede tener reglas más recientes, grupos de reglas adicionales y puede tener actualizaciones de firmas existentes para aplicar una mejor seguridad y reducir los falsos positivos. Se recomienda validar los cambios en un entorno de prueba, realizar los ajustes necesarios y después implementarlos en un entorno de producción.

Nota:

Si está usando Azure Portal para asignar un nuevo conjunto de reglas administrado a una directiva WAF, todas las personalizaciones anteriores del conjunto de reglas administrado existente, como el estado de las reglas, las acciones de las reglas y las exclusiones a nivel de reglas, se restablecerán a los valores predeterminados del nuevo conjunto de reglas administrado. Sin embargo, las reglas personalizadas o la configuración de directivas no se verán afectadas durante la asignación del nuevo conjunto de reglas. Deberá volver a definir las invalidaciones de las reglas y validar los cambios antes de implementarlos en un entorno de producción.

DRS 2.1

Las reglas de DRS 2.1 ofrecen una mejor protección que las versiones anteriores del DRS. Incluye otras reglas desarrolladas por el equipo de inteligencia sobre amenazas de Microsoft y actualizaciones de firmas para reducir falsos positivos. También admite transformaciones más allá de la descodificación de direcciones URL.

DRS 2.1 incluye 17 grupos de reglas, tal como se muestra en la tabla siguiente. Cada grupo contiene varias reglas y puede personalizar el comportamiento de reglas individuales, grupos de reglas o un conjunto de reglas completo. DRS 2.1 se basa en el conjunto de reglas básicas (CRS) 3.3.2 de Open Web Application Security Project (OWASP) e incluye reglas de protección propias adicionales desarrolladas por el equipo de Inteligencia contra amenazas Microsoft.

Para obtener más información, vea Ajuste del firewall de aplicaciones web (WAF) en Azure Front Door.

Nota

DRS 2.1 solo está disponible en Azure Front Door Premium.

Grupo de reglas ruleGroupName Descripción
General General Grupo general
METHOD-ENFORCEMENT METHOD-ENFORCEMENT Métodos de bloqueo (PUT, PATCH)
PROTOCOL-ENFORCEMENT PROTOCOL-ENFORCEMENT Protección contra problemas de protocolo y codificación
PROTOCOL-ATTACK PROTOCOL-ATTACK Protección contra ataques por inyección de encabezado, contrabando de solicitudes y división de respuestas
APPLICATION-ATTACK-LFI LFI Protección contra ataques a archivos y rutas de acceso
APPLICATION-ATTACK-RFI RFI Protección contra ataques por inclusión de archivos remotos (RFI)
APPLICATION-ATTACK-RCE RCE Protección contra ataques de ejecución de código remoto
APPLICATION-ATTACK-PHP PHP Protección contra ataques por inyección de código PHP
APPLICATION-ATTACK-NodeJS NODEJS Protección frente a ataques de Node JS
APPLICATION-ATTACK-XSS XSS Protección contra ataques por scripts entre sitios
APPLICATION-ATTACK-SQLI SQLI Protección contra ataques por inyección de código SQL
APPLICATION-ATTACK-SESSION-FIXATION FIX Protección contra ataques por fijación de sesión
APPLICATION-ATTACK-SESSION-JAVA Java Protección contra ataques de JAVA
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Protección frente a ataques de shell web
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec Protección frente a ataques de AppSec
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI Protección frente a ataques de SQLI
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs Protección frente a ataques de CVE

Reglas deshabilitadas

Las reglas siguientes están deshabilitadas de forma predeterminada para DRS 2.1.

Identificador de la regla Grupo de reglas Descripción Detalles
942110 SQLI Ataque por inyección de código SQL: Pruebas de inyección de código detectadas Reemplazado por la regla 99031001 de MSTIC
942150 SQLI Ataque por inyección de código SQL Reemplazado por la regla 99031003 de MSTIC
942260 SQLI Detecta intentos básicos de omisión de la autenticación SQL (2/3) Reemplazado por la regla 99031004 de MSTIC
942430 SQLI Restringe la detección de anomalías de caracteres de SQL (args): número de caracteres especiales que se han excedido (12) Demasiados falsos positivos.
942440 SQLI Secuencia de comentario SQL detectada Reemplazado por la regla de 99031002 MSTIC
99005006 MS-ThreatIntel-WebShells Intento de interacción de Spring4Shell Habilitación de la regla para evitar la vulnerabilidad de SpringShell
99001014 MS-ThreatIntel-CVEs Intento de inserción de expresiones de enrutamiento de Spring Cloud CVE-2022-22963 Habilitación de la regla para evitar la vulnerabilidad de SpringShell
99001015 MS-ThreatIntel-WebShells Intento de explotación de objetos de clase no seguros de Spring Framework CVE-2022-22965 Habilitación de la regla para evitar la vulnerabilidad de SpringShell
99001016 MS-ThreatIntel-WebShells Intento de inyección de accionador de Spring Cloud Gateway CVE-2022-22947 Habilitación de la regla para evitar la vulnerabilidad de SpringShell
99001017 MS-ThreatIntel-CVEs Intento de explotación de carga de archivos de Apache Struts CVE-2023-50164. Habilitación de la regla para evitar la vulnerabilidad de Apache Struts

DRS 2.0

Las reglas de DRS 2.0 ofrecen una mejor protección que las versiones anteriores del DRS. DRS 2.0 también admite transformaciones más allá de la descodificación de direcciones URL.

DRS 2.0 incluye 17 grupos de reglas, tal como se muestra en la tabla siguiente. Cada grupo contiene varias reglas. Puede deshabilitar reglas individuales y grupos de reglas completos.

Nota:

DRS 2.0 solo está disponible en Azure Front Door Premium.

Grupo de reglas ruleGroupName Descripción
General General Grupo general
METHOD-ENFORCEMENT METHOD-ENFORCEMENT Métodos de bloqueo (PUT, PATCH)
PROTOCOL-ENFORCEMENT PROTOCOL-ENFORCEMENT Protección contra problemas de protocolo y codificación
PROTOCOL-ATTACK PROTOCOL-ATTACK Protección contra ataques por inyección de encabezado, contrabando de solicitudes y división de respuestas
APPLICATION-ATTACK-LFI LFI Protección contra ataques a archivos y rutas de acceso
APPLICATION-ATTACK-RFI RFI Protección contra ataques por inclusión de archivos remotos (RFI)
APPLICATION-ATTACK-RCE RCE Protección contra ataques de ejecución de código remoto
APPLICATION-ATTACK-PHP PHP Protección contra ataques por inyección de código PHP
APPLICATION-ATTACK-NodeJS NODEJS Protección frente a ataques de Node JS
APPLICATION-ATTACK-XSS XSS Protección contra ataques por scripts entre sitios
APPLICATION-ATTACK-SQLI SQLI Protección contra ataques por inyección de código SQL
APPLICATION-ATTACK-SESSION-FIXATION FIX Protección contra ataques por fijación de sesión
APPLICATION-ATTACK-SESSION-JAVA Java Protección contra ataques de JAVA
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Protección frente a ataques de shell web
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec Protección frente a ataques de AppSec
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI Protección frente a ataques de SQLI
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs Protección frente a ataques de CVE

DRS 1.1

Grupo de reglas ruleGroupName Descripción
PROTOCOL-ATTACK PROTOCOL-ATTACK Protección contra ataques por inyección de encabezado, contrabando de solicitudes y división de respuestas
APPLICATION-ATTACK-LFI LFI Protección contra ataques a archivos y rutas de acceso
APPLICATION-ATTACK-RFI RFI Protección contra ataques por inclusión de archivos remotos
APPLICATION-ATTACK-RCE RCE Protección contra la ejecución de comandos remotos
APPLICATION-ATTACK-PHP PHP Protección contra ataques por inyección de código PHP
APPLICATION-ATTACK-XSS XSS Protección contra ataques por scripts entre sitios
APPLICATION-ATTACK-SQLI SQLI Protección contra ataques por inyección de código SQL
APPLICATION-ATTACK-SESSION-FIXATION FIX Protección contra ataques por fijación de sesión
APPLICATION-ATTACK-SESSION-JAVA Java Protección contra ataques de JAVA
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Protección frente a ataques de shell web
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec Protección frente a ataques de AppSec
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI Protección frente a ataques de SQLI
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs Protección frente a ataques de CVE

DRS 1.0

Grupo de reglas ruleGroupName Descripción
PROTOCOL-ATTACK PROTOCOL-ATTACK Protección contra ataques por inyección de encabezado, contrabando de solicitudes y división de respuestas
APPLICATION-ATTACK-LFI LFI Protección contra ataques a archivos y rutas de acceso
APPLICATION-ATTACK-RFI RFI Protección contra ataques por inclusión de archivos remotos
APPLICATION-ATTACK-RCE RCE Protección contra la ejecución de comandos remotos
APPLICATION-ATTACK-PHP PHP Protección contra ataques por inyección de código PHP
APPLICATION-ATTACK-XSS XSS Protección contra ataques por scripts entre sitios
APPLICATION-ATTACK-SQLI SQLI Protección contra ataques por inyección de código SQL
APPLICATION-ATTACK-SESSION-FIXATION FIX Protección contra ataques por fijación de sesión
APPLICATION-ATTACK-SESSION-JAVA Java Protección contra ataques de JAVA
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Protección frente a ataques de shell web
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs Protección frente a ataques de CVE

Bot Manager 1.0

El conjunto de reglas de Bot Manager 1.0 proporciona protección contra bots malintencionados y detección de buenos bots. Las reglas proporcionan un control pormenorizado sobre los bots detectados por WAF mediante la categorización del tráfico de bots como bots buenos, maliciosos o desconocidos.

Grupo de reglas Descripción
BadBots Protección frente a bots defectuosos
GoodBots Identificación de bots correctos
UnknownBots Identificación de bots desconocidos

Bot Manager 1.1

El conjunto de reglas de Bot Manager 1.1 es una mejora del conjunto de reglas de Bot Manager 1.0. Proporciona protección mejorada contra bots malintencionados y mejora la detección de bots buenos.

Grupo de reglas Descripción
BadBots Protección frente a bots defectuosos
GoodBots Identificación de bots correctos
UnknownBots Identificación de bots desconocidos

Las reglas y los grupos de reglas siguientes están disponibles cuando se usa Azure Web Application Firewall en Azure Front Door.

2.1 Conjuntos de reglas

General

Identificador de regla Descripción
200002 Error al analizar el cuerpo de la solicitud
200003 Error de validación estricta del cuerpo de la solicitud de varias partes

Aplicación de métodos

Identificador de regla Descripción
911100 Método no permitido por la directiva

Cumplimiento del protocolo

RuleId Descripción
920100 Línea de solicitud HTTP no válida.
920120 Intento de omisión multiparte/datos de formulario.
920121 Intento de omisión multiparte/datos de formulario.
920160 El encabezado Content-Length HTTP no es numérico.
920170 Solicitud GET o HEAD con contenido del cuerpo
920171 GET o solicitud HEAD con codificación de transferencia.
920180 Falta el encabezado Content-Length en la solicitud POST.
920181 Los encabezados Content-Length y Transfer-Encoding presentan 99001003.
920190 Intervalo: último valor de bytes no válido.
920200 Intervalo: demasiados campos (6 o más).
920201 Intervalo: demasiados campos para la solicitud PDF (35 o más).
920210 Se han encontrado múltiples datos de encabezado de conexión en conflicto.
920220 Intento de ataque de abuso de codificación de direcciones URL.
920230 Se detectaron varias codificaciones de direcciones URL.
920240 Intento de ataque de abuso de codificación de direcciones URL.
920260 Intento de ataque de abuso de caracteres de ancho medio y ancho completo Unicode.
920270 Carácter no válido en la solicitud (carácter nulo).
920271 Carácter no válido en la solicitud (caracteres no imprimibles).
920280 Falta un encabezado host en la solicitud.
920290 Encabezado host vacío.
920300 A la solicitud le falta un encabezado de aceptación.
920310 La solicitud tiene un encabezado de aceptación vacío.
920311 La solicitud tiene un encabezado de aceptación vacío.
920320 Falta el encabezado de agente de usuario.
920330 Encabezado de agente de usuario vacío.
920340 La solicitud tiene contenido, pero falta el encabezado Content-Type.
920341 La solicitud que tiene contenido requiere el encabezado Content-Type.
920350 El encabezado host es una dirección IP numérica.
920420 La directiva no permite el tipo de contenido de la solicitud.
920430 La directiva no permite la versión del protocolo HTTP.
920440 La extensión de archivo URL está restringida por una directiva.
920450 El encabezado HTTP está restringido por una directiva.
920470 Encabezado Content-Type no válido.
920480 La directiva no permite el conjunto de caracteres de tipo de contenido de solicitud
920500 Intente acceder a una copia de seguridad o un archivo de trabajo

Ataque de protocolo

RuleId Descripción
921110 Ataque de contrabando de solicitudes HTTP
921120 Ataque de división de respuestas HTTP
921130 Ataque de división de respuestas HTTP
921140 Ataque por inyección de encabezado HTTP a través de encabezados
921150 Ataque por inyección de encabezado HTTP a través de la carga (Retorno de carro / Avance de línea detectado)
921151 Ataque por inyección de encabezado HTTP a través de la carga (Retorno de carro / Avance de línea detectado)
921160 Ataque por inyección de encabezado HTTP a través de la carga (Retorno de carro/Avance de línea y header-name detectados)
921190 División HTTP (CR/LF en el nombre de archivo de solicitud detectado)
921200 Ataque por inyección de LDAP

LFI: inclusión de archivos locales

RuleId Descripción
930100 Ataque punto punto barra (/.. /)
930110 Ataque punto punto barra (/.. /)
930120 Intento de acceso a archivo del sistema operativo
930130 Intento de acceso a archivo restringido

RFI: inclusión de archivos remotos

RuleId Descripción
931100 Posible ataque remoto de inclusión de archivos (RFI): el parámetro de dirección URL utiliza una dirección IP
931110 Posible ataque remoto de inclusión de archivos (RFI): nombre de parámetro vulnerable de RFI común utilizado con carga de dirección URL
931120 Posible ataque remoto de inclusión de archivos (RFI): carga de dirección URL utilizada con carácter de interrogación de cierre (?)
931130 Posible ataque remoto de inclusión de archivos [RFI]: Referencia o vínculo fuera del dominio

RCE: ejecución de comandos remotos

RuleId Descripción
932100 Ejecución de comandos remotos: Inyección de comandos Unix
932105 Ejecución de comandos remotos: Inyección de comandos Unix
932110 Ejecución de comandos remotos: Inyección de comando de Windows
932115 Ejecución de comandos remotos: Inyección de comando de Windows
932120 Ejecución de comandos remotos: comando de Windows PowerShell encontrado
932130 Ejecución remota de comandos: expresión de shell de Unix o vulnerabilidad de Confluence (CVE-2022-26134) encontrada
932140 Ejecución de comandos remotos: comando FOR/IF de Windows encontrado
932150 Ejecución de comandos remotos: Ejecución directa de comandos de Unix
932160 Ejecución de comandos remotos: código de shell de Unix encontrado
932170 Ejecución de comandos remotos: Shellshock (CVE-2014-6271)
932171 Ejecución de comandos remotos: Shellshock (CVE-2014-6271)
932180 Intento de acceso a archivo restringido

Ataques PHP

Identificador de regla Descripción
933100 Ataque por inyección en PHP: etiqueta de apertura o cierre encontrada
933110 Ataque por inyección en PHP: Carga de archivos de script PHP encontrada
933120 Ataque por inyección en PHP: directiva de configuración encontrada
933130 Ataque por inyección en PHP: Variables encontradas
933140 Ataque por inyección en PHP: Flujo de E/S encontrado
933150 Ataque por inyección en PHP: nombre de función de PHP de alto riesgo encontrado
933151 Ataque por inyección en PHP: Se encontró un nombre de función PHP de riesgo medio
933160 Ataque por inyección en PHP: llamada de función de PHP de alto riesgo encontrada
933170 Ataque por inyección en PHP: Inyección de objetos serializados
933180 Ataque por inyección en PHP: llamada de función de variable encontrada
933200 Ataque por inyección de PHP: esquema contenedor
933210 Ataque por inyección en PHP: llamada de función de variable encontrada

Ataques de Node JS

Identificador de regla Descripción
934100 Ataque por inyección de Node.js

XSS: scripting entre sitios

RuleId Descripción
941100 Ataque XSS detectado mediante libinjection
941101 Ataque XSS detectado mediante libinjection
La regla detecta solicitudes con un encabezado Referer.
941110 Filtro XSS - Categoría 1: vector de etiqueta de script
941120 Filtro XSS - Categoría 2: vector del controlador de eventos
941130 Filtro XSS - Categoría 3: vector de atributo
941140 Filtro XSS - Categoría 4: vector URI de JavaScript
941150 Filtro XSS - Categoría 5: atributos HTML no permitidos
941160 NoScript XSS InjectionChecker: Inyección HTML
941170 NoScript XSS InjectionChecker: Inyección de atributo
941180 Palabras clave de lista de bloqueados de node-validator
941190 XSS mediante hojas de estilos
941200 XSS mediante fotogramas VML
941210 XSS mediante JavaScript ofuscado
941220 XSS mediante VBScript ofuscado
941230 XSS mediante la etiqueta embed
941240 XSS mediante el atributo import o implementation
941250 Filtros XSS de IE: ataque detectado
941260 XSS mediante la etiqueta meta
941270 XSS mediante el href link
941280 XSS mediante la etiqueta base
941290 XSS mediante la etiqueta applet
941300 XSS mediante la etiqueta object
941310 Filtro XSS de codificación con formato incorrecto US-ASCII: ataque detectado
941320 Posible ataque XSS detectado: controlador de etiquetas HTML
941330 Filtros XSS de IE: ataque detectado
941340 Filtros XSS de IE: ataque detectado
941350 XSS de IE con codificación UTF-7: ataque detectado
941360 Ofuscación de JavaScript detectada
941370 Variable global de JavaScript encontrada
941380 Inserción de plantillas del lado cliente de AngularJS detectada

SQLI: inyección de código SQL

RuleId Descripción
942100 Ataque por inyección de código SQL detectado mediante libinjection.
942110 Ataque por inyección de código SQL: pruebas de inyección común detectadas.
942120 Ataque por inyección de código SQL: se detectó un operador SQL.
942140 Ataque por inyección de código SQL: nombres de base de datos comunes detectados.
942150 Ataque por inyección de código SQL
942160 Detección de pruebas de código SQLI a ciegas mediante sleep() o benchmark().
942170 Detección de intentos de inyección con las funciones benchmark y sleep de SQL que incluyen consultas condicionales.
942180 Detecta intentos básicos de omisión de la autenticación SQL 1/3.
942190 Detecta la ejecución de código MSSQL y los intentos de recopilación de información.
942200 Detecta inyecciones de código MySQL cuyo espacio o comentarios resultan confusos y terminaciones con el carácter de acento grave.
942210 Detecta los intentos de inyección de SQL encadenado 1/2.
942220 En busca de ataques de desbordamiento de enteros, estos se toman de skipfish; excepto 3.0.00738585072007e-308, que es el bloqueo de "número mágico".
942230 Detección de intentos de inyección de código SQL condicional.
942240 Detecta el modificador del juego de caracteres de MySQL y los intentos de DoS MSSQL.
942250 Detecta las inyecciones MATCH AGAINST, MERGE y EXECUTE IMMEDIATE.
942260 Detecta intentos básicos de omisión de la autenticación SQL 2/3.
942270 Búsqueda de inyección de código SQL básico. Cadena de ataque común para MySQL, Oracle, etc.
942280 Detecta la inyección de pg_sleep de Postgres, los ataques de espera por retraso y los intentos de cierre de base de datos.
942290 Busca intentos de inyección de código SQL MongoDB básico.
942300 Detecta comentarios, condiciones e inyecciones de caracteres de MySQL.
942310 Detecta los intentos de inyección de SQL encadenado 2/2.
942320 Detecta inyecciones de funciones o procedimientos almacenados de MySQL y PostgreSQL.
942330 Detecta sondeos clásicos de inyección de código SQL 1/2.
942340 Detecta intentos básicos de omisión de la autenticación SQL 3/3.
942350 Detecta la inyección de UDF de MySQL y otros intentos de manipulación de datos y estructuras.
942360 Detecta intentos concatenados de inyecciones de código SQL y SQLLFI básicas.
942361 Detecta la inyección de código SQL básica basada en la modificación o la unión de palabras clave.
942370 Detecta sondeos clásicos de inyección de código SQL 2/2.
942380 Ataque por inyección de código SQL
942390 Ataque por inyección de código SQL
942400 Ataque por inyección de código SQL
942410 Ataque por inyección de código SQL
942430 Restringe la detección de anomalías de caracteres de SQL (args): número de caracteres especiales que se han excedido (12).
942440 Secuencia de comentario SQL detectada
942450 Codificación hexadecimal de SQL identificada.
942460 Alerta de detección de anomalías de metacaracteres: caracteres repetitivos que no son palabras
942470 Ataque por inyección de código SQL
942480 Ataque por inyección de código SQL
942500 Comentario en línea de MySQL detectado.
942510 Intento de omisión de SQLI por tics o marcas de seguridad detectado.

Fijación de sesión

RuleId Descripción
943100 Posible ataque de fijación de sesión: definición de valores de cookies en HTML
943110 Posible ataque de fijación de sesión: nombre del parámetro SessionID con origen de referencia fuera del dominio
943120 Posible ataque de fijación de sesión: nombre del parámetro SessionID con origen de referencia fuera del dominio

Ataques de Java

Identificador de regla Descripción
944100 Ejecución remota de comandos: Apache Struts, Oracle WebLogic
944110 Detecta la ejecución de la carga útil potencial.
944120 Ejecución de la carga posible y ejecución de comandos remotos
944130 Clases de Java sospechosas
944200 Aprovechamiento de la deserialización de Java Apache Commons
944210 Posible uso de la serialización de Java
944240 Ejecución remota de comandos: vulnerabilidad de Log4j y serialización de Java (CVE-2021-44228, CVE-2021-45046)
944250 Ejecución remota de comandos: se detectó un método de Java sospechoso

MS-ThreatIntel-WebShells

Identificador de regla Descripción
99005002 Intento de interacción del shell web (POST)
99005003 Intento de carga de shell web (POST): CHOPPER PHP
99005004 Intento de carga de shell web (POST): CHOPPER ASPX
99005005 Intento de interacción del shell web
99005006 Intento de interacción de Spring4Shell

MS-ThreatIntel-AppSec

Identificador de regla Descripción
99030001 Evasión transversal de ruta de acceso en encabezados (/.././../)
99030002 Evasión transversal de ruta de acceso en el cuerpo de la solicitud (/.././../)

MS-ThreatIntel-SQLI

Identificador de regla Descripción
99031001 Ataque por inyección de código SQL: Pruebas de inyección de código detectadas
99031002 Secuencia de comentario SQL detectada
99031003 Ataque por inyección de código SQL
99031004 Detecta intentos básicos de omisión de la autenticación SQL (2/3)

MS-ThreatIntel-CVEs

Identificador de regla Descripción
99001001 Intento de explotación de la API de REST F5 tmui (CVE-2020-5902) con credenciales conocidas
99001002 Intento de recorrido de directorio de Citrix NSC_USER CVE-2019-19781
99001003 Intento de explotación del conector de widgets de Confluence atlassian CVE-2019-3396
99001004 Intento de explotación de plantillas personalizadas de Pulse Secure CVE-2020-8243
99001005 Intento de explotación del convertidor de tipos de SharePoint CVE-2020-0932
99001006 Intento de recorrido de directorio de Pulse Connect CVE-2019-11510
99001007 Intento de inclusión de archivos locales J-Web de Junos OS CVE-2020-1631
99001008 Intento de recorrido de ruta de Fortinet CVE-2018-13379
99001009 Intento de inyección de ognl de Apache struts CVE-2017-5638
99001010 Intento de inyección de ognl de Apache struts CVE-2017-12611
99001011 Intento de recorrido de ruta de acceso de Oracle WebLogic CVE-2020-14882
99001012 Intento de explotación de deserialización no segura de Telerik WebUI CVE-2019-18935
99001013 Intento de deserialización XML no segura de SharePoint CVE-2019-0604
99001014 Intento de inserción de expresiones de enrutamiento de Spring Cloud CVE-2022-22963
99001015 Intento de explotación de objetos de clase no seguros de Spring Framework CVE-2022-22965
99001016 Intento de inyección de accionador de Spring Cloud Gateway CVE-2022-22947
99001017 Intento de explotación de carga de archivos de Apache Struts CVE-2023-50164

Nota:

Al revisar los registros de WAF, es posible que vea el identificador de regla 949110. En la descripción de la regla podría leerse que se ha excedido la puntuación de anomalías entrante.

Esto indica que la puntuación total de anomalías de la solicitud ha superado la puntuación máxima permitida. Para obtener más información, vea Puntuación de anomalías.

Al afinar las directivas de WAF, debe investigar las demás reglas que la solicitud desencadenó para poder ajustar la configuración de WAF. Para obtener más información, consulte Ajuste de Azure Web Application Firewall para Azure Front Door.

Pasos siguientes