DrS- en CRS-regelgroepen en -regels voor Web Application Firewall
De door Azure beheerde standaardregelset (DRS) in de Application Gateway Web Application Firewall (WAF) beschermt webtoepassingen actief tegen veelvoorkomende beveiligingsproblemen en aanvallen. Deze regelsets, beheerd door Azure, ontvangen zo nodig updates om nieuwe aanvalshandtekeningen te beschermen. De standaardregelset bevat ook de regels voor microsoft Threat Intelligence Collection. Het Microsoft Intelligence-team werkt samen aan het schrijven van deze regels, waardoor verbeterde dekking, specifieke patches voor beveiligingsproblemen en verbeterde fout-positieve reductie mogelijk zijn.
U kunt ook regels gebruiken die zijn gedefinieerd op basis van de OWASP-kernregelset 3.2 (CRS 3.2).
U kunt regels afzonderlijk uitschakelen of specifieke acties instellen voor elke regel. Dit artikel bevat de huidige regels en regelsets die beschikbaar zijn. Als voor een gepubliceerde regelset een update is vereist, wordt deze hier beschreven.
Notitie
Wanneer u een versie van een regelset wijzigt in een WAF-beleid, worden bestaande aanpassingen die u in uw regelset hebt aangebracht, opnieuw ingesteld op de standaardwaarden voor de nieuwe regelset. Zie: De versie van de regelset bijwerken of wijzigen.
Standaardregelset 2.1
Standaardregelset (DRS) 2.1 is gebaseerd op het Open Web Application Security Project (OWASP) Core Rule Set (CRS) 3.3.2 en bevat aanvullende eigen beschermingsregels ontwikkeld door het Microsoft Threat Intelligence-team, evenals updates van signaturen om fout-positieven te verminderen. Het biedt ook ondersteuning voor transformaties die verder gaan dan alleen URL-decodering.
DRS 2.1 biedt een nieuwe engine en nieuwe regelsets die bescherming bieden tegen Java-injecties, een eerste set controles voor het uploaden van bestanden en minder fout-positieven in vergelijking met CRS-versies. U kunt regels ook aanpassen aan uw behoeften. Meer informatie over de nieuwe Azure WAF-engine.
DRS 2.1 bevat 17 regelgroepen, zoals wordt weergegeven in de volgende tabel. Elke groep bevat meerdere regels en u kunt het gedrag voor afzonderlijke regels, regelgroepen of hele regelset aanpassen.
| Bedreigingstype | Naam van regelgroep |
|---|---|
| Algemeen | Algemeen |
| Vergrendelingsmethoden (PUT, PATCH) | METHODE AFDWINGEN |
| Problemen met protocol en codering | PROTOCOLHANDHAVING |
| Koptekstinjectie, verzoeksmokkel en responsopdeling | PROTOCOL-AANVAL |
| Bestands- en padaanvallen | LFI |
| RFI-aanvallen (Remote File Inclusion) | RFI |
| Aanvallen met externe code-uitvoering | RCE |
| PHP-injectieaanvallen | PHP |
| JS-aanvallen op knooppunten | NodeJS |
| Scriptaanvallen op meerdere sites | XSS |
| SQL-injectieaanvallen | SQLI |
| Sessiefixatieaanvallen | SESSIE-FIXATIE |
| JAVA-aanvallen | SESSION-JAVA |
| Web Shell-aanvallen (MS) | MS-ThreatIntel-WebShells |
| AppSec-aanvallen (MS) | MS-ThreatIntel-AppSec |
| SQL-injectieaanvallen (MS) | MS-ThreatIntel-SQLI |
| CVE-aanvallen (MS) | MS-ThreatIntel-CVE's |
Richtlijnen voor het afstemmen van DRS 2.1
Gebruik de volgende richtlijnen om WAF af te stemmen terwijl u aan de slag gaat met DRS 2.1 op Application Gateway WAF:
| Regel-id | Regelgroep | Beschrijving | Aanbeveling |
|---|---|---|---|
| 942110 | SQLI | SQL-injectieaanval: Veelvoorkomende injectietests gedetecteerd | Schakel regel 942110 uit, vervangen door MSTIC-regel 99031001 |
| 942150 | SQLI | SQL-injectieaanval | Regel 942150 uitschakelen, vervangen door MSTIC-regel 99031003 |
| 942260 | SQLI | Detecteert het omzeilen van eenvoudige SQL-verificatiepogingen 2/3 | Regel 942260 uitschakelen, vervangen door MSTIC-regel 99031004 |
| 942430 | SQLI | Beperkte anomaliedetectie van SQL-tekens (args): aantal speciale tekens overschreden (12) | Schakel regel 942430 uit, omdat deze te veel vals-positieven veroorzaakt. |
| 942440 | SQLI | SQL-opmerkingenreeks gedetecteerd | Regel 942440 uitschakelen, vervangen door MSTIC-regel 99031002 |
| 99005006 | MS-ThreatIntel-WebShells | Spring4Shell-interactie poging | De regel ingeschakeld houden om te beschermen tegen de SpringShell-kwetsbaarheid. |
| 99001014 | MS-ThreatIntel-CVE's | Poging tot Spring Cloud-routing-expressie-injectie CVE-2022-22963 | De regel ingeschakeld houden om te beschermen tegen de SpringShell-kwetsbaarheid. |
| 99001015 | MS-ThreatIntel-WebShells | Poging tot het misbruiken van onveilige Spring Framework-klasseobjecten CVE-2022-22965 | De regel ingeschakeld houden om tegen de SpringShell-kwetsbaarheid te beschermen. |
| 99001016 | MS-ThreatIntel-WebShells | Poging tot injectie in Spring Cloud Gateway Actuator CVE-2022-22947 | De regel ingeschakeld houden om te beschermen tegen de SpringShell-kwetsbaarheid |
| 99001017 | MS-ThreatIntel-CVE's | Poging tot exploitatie van Apache Struts-bestandsupload CVE-2023-50164 | Stel de actie in op Blokkeren om een kwetsbaarheid in Apache Struts te voorkomen. Anomaliescore wordt niet ondersteund voor deze regel |
Basisregelset 3.2
De aanbevolen beheerde regelset is de standaardregelset 2.1, waarvan de basislijn is ingesteld voor het Open Web Application Security Project (OWASP) Core Rule Set (CRS) 3.3.2 en bevat aanvullende eigen beveiligingsregels die zijn ontwikkeld door het Microsoft Threat Intelligence-team en updates voor handtekeningen om fout-positieven te verminderen. Als alternatief voor DRS 2.1 kunt u CRS 3.2 gebruiken die is gebaseerd op versie OWASP CRS 3.2.0.
CRS 3.2 bevat 14 regelgroepen, zoals wordt weergegeven in de volgende tabel. Elke groep bevat meerdere regels, die kunnen worden uitgeschakeld.
Notitie
CRS 3.2 is alleen beschikbaar op de WAF_v2 SKU. Omdat CRS 3.2 wordt uitgevoerd op de nieuwe Azure WAF-engine, kunt u geen downgrade uitvoeren naar CRS 3.1 of eerder. Neem contact op met de ondersteuning van Azure als u een downgrade wilt uitvoeren.
| Naam van regelgroep | Bedreigingstype |
|---|---|
| Algemeen | Algemeen |
| Nieuwe en bekende CVE's | Bekende CVE's |
| Vergrendelingsmethoden (PUT, PATCH) | REQUEST-911-METHOD-ENFORCEMENT |
| Poort- en omgevingsscanners | REQUEST-913-SCANNER-DETECTION |
| Problemen met protocol en codering | REQUEST-920-PROTOCOL-ENFORCEMENT |
| Koptekstinjectie, aanvraagsmokkel en antwoord splitsen | REQUEST-921-PROTOCOL-ATTACK |
| Bestands- en padaanvallen | REQUEST-930-TOEPASSINGSAANVAL-LFI |
| RFI-aanvallen (Remote File Inclusion) | VERZOEK-931-TOEPASSINGSAANVAL-RFI |
| Aanvallen op externe code-uitvoering | REQUEST-932-APPLICATION-ATTACK-RCE |
| PHP-injectieaanvallen | REQUEST-933-APPLICATION-ATTACK-PHP |
| Scriptaanvallen op meerdere sites | REQUEST-941-APPLICATION-ATTACK-XSS |
| SQL-injectieaanvallen | REQUEST-942-APPLICATION-ATTACK-SQLI |
| Sessiefixatieaanvallen | VERZOEK-943-APPLICATIE-AANVAL-SESSIE-FIXATIE |
| JAVA-aanvallen | REQUEST-944-APPLICATION-ATTACK-JAVA |
Afstemming van beheerde regelsets
Zowel DRS als CRS zijn standaard ingeschakeld in de detectiemodus in uw WAF-beleid. U kunt afzonderlijke regels in de beheerde regelset uitschakelen of inschakelen om te voldoen aan uw toepassingsvereisten. U kunt ook specifieke acties per regel instellen. De DRS/CRS ondersteunt handelingen voor blok-, logboek- en anomaliescores. De Bot Manager-regelset ondersteunt de acties toestaan, blokkeren en logboeken.
Soms moet u bepaalde aanvraagkenmerken weglaten uit een WAF-evaluatie. Een bekend voorbeeld is door Active Directory ingevoegde tokens die worden gebruikt voor verificatie. U kunt uitsluitingen zo configureren dat deze van toepassing zijn wanneer specifieke WAF-regels worden geëvalueerd of om globaal toe te passen op de evaluatie van alle WAF-regels. Uitsluitingsregels zijn van toepassing op uw hele webtoepassing. Zie Web Application Firewall (WAF) met application gateway-uitsluitingslijsten voor meer informatie.
DRS versie 2.1/CRS versie 3.2 en hoger maakt standaard gebruik van anomaliescores wanneer een aanvraag overeenkomt met een regel. CRS 3.1 en lager blokkeert standaard overeenkomende aanvragen. Daarnaast kunnen aangepaste regels worden geconfigureerd in hetzelfde WAF-beleid als u een van de vooraf geconfigureerde regels in de basisregelset wilt omzeilen.
Aangepaste regels worden altijd toegepast voordat regels in de basisregelset worden geëvalueerd. Als een aanvraag overeenkomt met een aangepaste regel, wordt de bijbehorende regelactie toegepast. De aanvraag wordt geblokkeerd of doorgegeven aan de back-end. Er worden geen andere aangepaste regels of regels in de basisregelset verwerkt.
Afwijkingsscore
Wanneer u CRS of DRS 2.1 en hoger gebruikt, is uw WAF standaard geconfigureerd voor het gebruik van anomaliescores. Verkeer dat overeenkomt met een regel wordt niet onmiddellijk geblokkeerd, zelfs niet wanneer uw WAF zich in de preventiemodus bevindt. In plaats daarvan definiëren de OWASP-regelsets een ernst voor elke regel: Kritiek, Fout, Waarschuwing of Kennisgeving. De ernst is van invloed op een numerieke waarde voor de aanvraag, die de anomaliescore wordt genoemd:
| Ernst van regel | Bijdrage van waarde aan de anomaliescore |
|---|---|
| Kritiek | 5 |
| Error | 4 |
| Waarschuwing | 3 |
| Opmerking | 2 |
Als de anomaliescore 5 of hoger is en de WAF zich in de preventiemodus bevindt, wordt de aanvraag geblokkeerd. Als de anomaliescore 5 of hoger is en de WAF zich in de detectiemodus bevindt, wordt de aanvraag geregistreerd, maar niet geblokkeerd.
Bijvoorbeeld, een enkele kritieke regelovereenkomst is voldoende voor de WAF om een verzoek te blokkeren wanneer deze in preventiemodus is, omdat de totale anomaliescore 5 bedraagt. Echter, één waarschuwingsregel vergroot de anomaliescore slechts met 3, wat op zichzelf niet voldoende is om het verkeer te blokkeren. Wanneer een anomalieregel wordt geactiveerd, wordt een overeenkomstige actie weergegeven in de logs. Als de anomaliescore 5 of hoger is, is er een afzonderlijke regel geactiveerd met de actie Geblokkeerd of Gedetecteerd, afhankelijk van of het WAF-beleid zich in de preventie- of detectiemodus bevindt. Voor meer informatie, zie modus Anomaliescore.
Paranoianiveau
Elke regel is toegewezen in een specifiek Paranoia Level (PL). Regels die zijn geconfigureerd in Paranoia Level 1 (PL1) zijn minder agressief en veroorzaken nauwelijks een false positive. Ze bieden basisbeveiliging met weinig noodzaak tot fijne afstemming. Regels in PL2 detecteren meer aanvallen, maar het is te verwachten dat ze vals-positieven activeren die fijn afgestemd moeten worden.
Standaard zijn DRS 2.1- en CRS 3.2-regelversies vooraf geconfigureerd in Paranoia Niveau 2, inclusief regels die zijn toegewezen in zowel PL1 als in PL2. Als u WAF uitsluitend wilt gebruiken met PL1, kunt u alle of alle PL2-regels uitschakelen of hun actie wijzigen in 'logboek'. PL3 en PL4 worden momenteel niet ondersteund in Azure WAF.
Notitie
CRS 3.2-regelset bevat regels in PL3 en PL4, maar deze regels zijn altijd inactief en kunnen niet worden ingeschakeld, ongeacht hun geconfigureerde status of actie.
Versie van regelset bijwerken of wijzigen
Als u een upgrade uitvoert of een nieuwe versie van de regelset toewijst en bestaande regeloverschrijvingen en uitsluitingen wilt behouden, wordt u aangeraden PowerShell, CLI, REST API of een sjabloon te gebruiken om wijzigingen in de regelsetversie aan te brengen. Een nieuwe versie van een regelset kan nieuwere regels, extra regelgroepen bevatten en kan updates hebben voor bestaande handtekeningen om betere beveiliging af te dwingen en fout-positieven te verminderen. Het is raadzaam om wijzigingen in een testomgeving te valideren, indien nodig af te stemmen en vervolgens in een productieomgeving te implementeren.
Notitie
Als u Azure Portal gebruikt om een nieuwe beheerde regelset toe te wijzen aan een WAF-beleid, worden alle vorige aanpassingen van de bestaande beheerde regelset, zoals regelstatus, regelacties en uitsluitingen op regelniveau, opnieuw ingesteld op de standaardwaarden van de nieuwe beheerde regelset. Aangepaste regels, beleidsinstellingen en globale uitsluitingen blijven echter ongewijzigd tijdens de toewijzing van de nieuwe regelset. U moet regeloverschrijvingen opnieuw definiëren en wijzigingen valideren voordat u in een productieomgeving implementeert.
OWASP CRS 3.1
CRS 3.1 bevat 14 regelgroepen, zoals wordt weergegeven in de volgende tabel. Elke groep bevat meerdere regels, die kunnen worden uitgeschakeld. De regelset is gebaseerd op versie OWASP CRS 3.1.1.
Notitie
CRS 3.1 is alleen beschikbaar op de WAF_v2 SKU.
| Naam van regelgroep | Beschrijving |
|---|---|
| Algemeen | Algemene groep |
| BEKENDE CVE's | Hulp bij het detecteren van nieuwe en bekende CVE's |
| REQUEST-911-METHOD-ENFORCEMENT | Vergrendelingsmethoden (PUT, PATCH) |
| AANVRAAG-913-SCANNER-DETECTIE | Bescherming tegen poort- en omgevingsscanners |
| REQUEST-920-PROTOCOL-ENFORCEMENT | Beveiliging tegen protocol- en coderingsproblemen |
| REQUEST-921-PROTOCOL-ATTACK | Bescherm tegen koptekstinjectie, aanvraagsmokkel en antwoordsplitsing |
| REQUEST-930-APPLICATION-ATTACK-LFI | Beveiligen tegen bestands- en padaanvallen |
| REQUEST-931-APPLICATION-ATTACK-RFI | Beveiligen tegen RFI-aanvallen (Remote File Inclusion) |
| REQUEST-932-APPLICATION-ATTACK-RCE | Opnieuw aanvallen op uitvoering van externe code beveiligen |
| REQUEST-933-APPLICATION-ATTACK-PHP | Bescherming tegen PHP-injectieaanvallen |
| REQUEST-941-APPLICATION-ATTACK-XSS | Beveiligen tegen aanvallen met scripts op meerdere sites |
| REQUEST-942-APPLICATION-ATTACK-SQLI | Bescherming tegen SQL-injectieaanvallen |
| REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION | Bescherming tegen sessiefixatie-aanvallen |
| REQUEST-944-APPLICATION-ATTACK-SESSION-JAVA | Beveiligen tegen JAVA-aanvallen |
Bot Manager 1.0
De regelset Bot Manager 1.0 biedt bescherming tegen schadelijke bots en detectie van goede bots. De regels bieden gedetailleerde controle over bots die door WAF worden gedetecteerd door botverkeer te categoriseren als goed, slecht of onbekend bots.
| Regelgroep | Beschrijving |
|---|---|
| BadBots | Beschermen tegen slechte bots |
| GoodBots | Goede bots identificeren |
| UnknownBots | Onbekende bots identificeren |
Bot Manager 1.1
De regelset Bot Manager 1.1 is een verbetering van bot manager 1.0-regelset. Het biedt verbeterde bescherming tegen schadelijke bots en verhoogt de detectie van goede bots.
| Regelgroep | Beschrijving |
|---|---|
| BadBots | Beschermen tegen slechte bots |
| GoodBots | Goede bots identificeren |
| UnknownBots | Onbekende bots identificeren |
De volgende regelgroepen en -regels zijn beschikbaar bij het gebruik van Web Application Firewall in Application Gateway.
2.1 regelsets
Algemeen
| Regel-id | Ernst van anomalie score | Paranoianiveau | Beschrijving |
|---|---|---|---|
| 200002 | Kritiek - 5 | PL1 | Kan de aangevraagde inhoud niet parseren |
| 200003 | Kritiek - 5 | PL1 | De body van het multipart-verzoek heeft strikte validatie niet doorstaan |
METHODE AFDWINGEN
| Regel-id | Ernst van de anomalie-score | Paranoianiveau | Beschrijving |
|---|---|---|---|
| 911100 | Kritiek - 5 | PL1 | Methode is niet toegestaan door beleid |
PROTOCOL-ENFORCEMENT
| Regel-id | Anomaliescore ernst | Paranoianiveau | Beschrijving |
|---|---|---|---|
| 920100 | Kennisgeving - 2 | PL1 | Ongeldige HTTP-aanvraagregel |
| 920120 | Kritiek - 5 | PL1 | Poging tot bypass van meerdere onderdelen/formuliergegevens |
| 920121 | Kritiek - 5 | PL2 | Poging tot bypass van meerdere onderdelen/formuliergegevens |
| 920160 | Kritiek - 5 | PL1 | HTTP-header voor inhoudslengte is niet numeriek |
| 920170 | Kritiek - 5 | PL1 | GET- of HEAD-aanvraag met inhoud |
| 920171 | Kritiek - 5 | PL1 | GET- of HEAD-aanvraag met Transfer-Encoding |
| 920180 | Kennisgeving - 2 | PL1 | POST-aanvraag mist de Content-Length-header |
| 920181 | Waarschuwing - 3 | PL1 | Headers voor inhoudslengte en overdrachtscodering zijn aanwezig 99001003 |
| 920190 | Waarschuwing - 3 | PL1 | Bereik: Ongeldige laatste bytewaarde |
| 920200 | Waarschuwing - 3 | PL2 | Bereik: Te veel velden (6 of meer) |
| 920201 | Waarschuwing - 3 | PL2 | Limiet: Te veel velden voor pdf-aanvraag (35 of meer) |
| 920210 | Kritiek - 5 | PL1 | Meerdere/conflicterende verbindingsheadergegevens gevonden |
| 920220 | Waarschuwing - 3 | PL1 | Poging tot misbruik van URL-codering voor een aanval |
| 920230 | Waarschuwing - 3 | PL2 | Meerdere URL-codering gedetecteerd |
| 920240 | Waarschuwing - 3 | PL1 | Poging tot misbruik van URL-coderingaanval |
| 920260 | Waarschuwing - 3 | PL1 | Aanvalspoging misbruik van Unicode volle/halve breedte |
| 920270 | Fout - 4 | PL1 | Ongeldig teken in aanvraag (nul-teken) |
| 920271 | Kritiek - 5 | PL2 | Ongeldig teken in aanvraag (niet-afdrukbare tekens) |
| 920280 | Waarschuwing - 3 | PL1 | Er ontbreekt een hostheader in de aanvraag |
| 920290 | Waarschuwing - 3 | PL1 | Lege Host Header |
| 920300 | Kennisgeving - 2 | PL2 | Aanvraag voor het ontbreken van een acceptheader |
| 920310 | Kennisgeving - 2 | PL1 | Aanvraag heeft een lege Accept-header |
| 920311 | Kennisgeving - 2 | PL1 | Verzoek heeft een lege accept-header |
| 920320 | Kennisgeving - 2 | PL2 | Header van gebruikersagent ontbreekt |
| 920330 | Kennisgeving - 2 | PL1 | Lege header van gebruikersagent |
| 920340 | Kennisgeving - 2 | PL1 | Aanvraag met inhoud, maar Content-Type koptekst ontbreekt |
| 920341 | Kritiek - 5 | PL1 | Voor een aanvraag met inhoud is de Content-Type-header vereist. |
| 920350 | Waarschuwing - 3 | PL1 | Hostheader is een numeriek IP-adres |
| 920420 | Kritiek - 5 | PL1 | Het aanvragen van inhoudstypes is niet toegestaan door het beleid. |
| 920430 | Kritiek - 5 | PL1 | Http-protocolversie is niet toegestaan door beleid |
| 920440 | Kritiek - 5 | PL1 | Url-bestandsextensie wordt beperkt door beleid |
| 920450 | Kritiek - 5 | PL1 | HTTP-header wordt beperkt door beleid |
| 920470 | Kritiek - 5 | PL1 | Ongeldige header van inhoudstype |
| 920480 | Kritiek - 5 | PL1 | Het verzoek om charsets voor inhoudstype is niet toegestaan door het beleid. |
| 920500 | Kritiek - 5 | PL1 | Poging om toegang te krijgen tot een back-up- of werkbestand |
PROTOCOLAANVAL
| Regel-id | Ernst van anomalie score | Paranoianiveau | Beschrijving |
|---|---|---|---|
| 921110 | Kritiek - 5 | PL1 | HTTP-aanvraagsmokkelaanval |
| 921120 | Kritiek - 5 | PL1 | HTTP-respons splitsingsaanval |
| 921130 | Kritiek - 5 | PL1 | HTTP-respons splitsingsaanval |
| 921140 | Kritiek - 5 | PL1 | HTTP-headerinjectieaanval via headers |
| 921150 | Kritiek - 5 | PL1 | HTTP-header injectieaanval via payload (CR/LF gedetecteerd) |
| 921151 | Kritiek - 5 | PL2 | HTTP-headerinjectie aanval via payload (CR/LF gedetecteerd) |
| 921160 | Kritiek - 5 | PL1 | HTTP-headerinjectie-aanval via payload (CR/LF en naam van de header gedetecteerd) |
| 921190 | Kritiek - 5 | PL1 | HTTP-splitsing (CR/LF in aanvraagbestand gedetecteerd) |
| 921200 | Kritiek - 5 | PL1 | LDAP-injectieaanval |
LFI - Lokale bestandsopname
| Regel-id | Ernst van de anomaliescore | Paranoianiveau | Beschrijving |
|---|---|---|---|
| 930100 | Kritiek - 5 | PL1 | Pad omleidingsaanval (/../) |
| 930110 | Kritiek - 5 | PL1 | Pad doorkruisingsaanval (/.. /) |
| 930120 | Kritiek - 5 | PL1 | Poging tot toegang tot besturingssysteembestand |
| 930130 | Kritiek - 5 | PL1 | Poging tot beperkte bestandstoegang |
RFI - Externe bestandsopname
| Regel-id | Ernst van anomaliescore | Paranoianiveau | Beschrijving |
|---|---|---|---|
| 931100 | Kritiek - 5 | PL1 | Mogelijke RFI-aanval (Remote File Inclusion): URL-parameter met behulp van IP-adres |
| 931110 | Kritiek - 5 | PL1 | Mogelijke RFI-aanval (Remote File Inclusion): Veelvoorkomende kwetsbare RFI-parameternaam gebruikt met URL-payload. |
| 931120 | Kritiek - 5 | PL1 | Mogelijke RFI-aanval (Remote File Inclusion): gebruikte URL-payload met vraagteken (?) |
| 931130 | Kritiek - 5 | PL1 | Mogelijke RFI-aanval (Remote File Inclusion): Referentie/Link naar Externe Domeinen |
RCE - Uitvoering van extern commando
| Regel-id | Ernst van de anomalie score | Paranoianiveau | Beschrijving |
|---|---|---|---|
| 932100 | Kritiek - 5 | PL1 | Uitvoering van op afstand uitgevoerde opdracht: Unix-opdrachtinjectie |
| 932105 | Kritiek - 5 | PL1 | Uitvoering van externe opdracht: Unix commando-injectie |
| 932110 | Kritiek - 5 | PL1 | Uitvoering van opdracht op afstand: Windows-opdrachtinjectie |
| 932115 | Kritiek - 5 | PL1 | Uitvoering van commando's op afstand: Windows-commando-injectie |
| 932120 | Kritiek - 5 | PL1 | Uitvoering van externe opdracht: Windows PowerShell-opdracht gevonden |
| 932130 | Kritiek - 5 | PL1 | Uitvoering van externe opdracht: Beveiligingsprobleem met Unix Shell Expression of Confluence (CVE-2022-26134) gevonden |
| 932140 | Kritiek - 5 | PL1 | Uitvoering van externe opdracht: Windows FOR/IF-opdracht gevonden |
| 932150 | Kritiek - 5 | PL1 | Uitvoering van externe opdracht: directe uitvoering van Unix-opdrachten |
| 932160 | Kritiek - 5 | PL1 | Uitvoering van externe opdracht: Unix Shell-code gevonden |
| 932170 | Kritiek - 5 | PL1 | Uitvoering van externe opdracht: Shellshock (CVE-2014-6271) |
| 932171 | Kritiek - 5 | PL1 | Uitvoering van externe opdracht: Shellshock (CVE-2014-6271) |
| 932180 | Kritiek - 5 | PL1 | Poging tot uploaden van beperkte bestanden |
PHP-aanvallen
| Regel-id | Ernst van anomalie score | Paranoianiveau | Beschrijving |
|---|---|---|---|
| 933100 | Kritiek - 5 | PL1 | PHP-injectieaanval: openen/sluiten tag gevonden |
| 933110 | Kritiek - 5 | PL1 | PHP-injectie aanval: Upload van PHP-scriptbestand gevonden |
| 933120 | Kritiek - 5 | PL1 | PHP-injectieaanval: configuratierichtlijn gevonden |
| 933130 | Kritiek - 5 | PL1 | PHP-injectieaanval: variabelen gevonden |
| 933140 | Kritiek - 5 | PL1 | PHP-injectieaanval: I/O Stream gevonden |
| 933150 | Kritiek - 5 | PL1 | PHP-injectieaanval: naam van php-functie met hoog risico gevonden |
| 933151 | Kritiek - 5 | PL2 | PHP-injectieaanval: naam van php-functie met gemiddeld risico gevonden |
| 933160 | Kritiek - 5 | PL1 | PHP-injectieaanval: aanroep van de PHP-functie met een hoog risico gevonden |
| 933170 | Kritiek - 5 | PL1 | PHP-injectieaanval: geserialiseerde objectinjectie |
| 933180 | Kritiek - 5 | PL1 | PHP-injectieaanval: variabele functieaanroep gevonden |
| 933200 | Kritiek - 5 | PL1 | PHP-injectieaanval: Wrapper-schema gedetecteerd |
| 933210 | Kritiek - 5 | PL1 | PHP-injectieaanval: variabele functieaanroep gevonden |
Node.js-aanvallen
| Regel-id | Ernst van de anomalie score | Paranoianiveau | Beschrijving |
|---|---|---|---|
| 934100 | Kritiek - 5 | PL1 | Node.js-injectieaanval |
XSS - Script uitvoeren op meerdere sites
| Regel-id | De ernst van de anomalie score | Paranoianiveau | Beschrijving |
|---|---|---|---|
| 941100 | Kritiek - 5 | PL1 | XSS-aanval gedetecteerd via libinjection |
| 941101 | Kritiek - 5 | PL2 | XSS-aanval gedetecteerd via libinjection. Deze regel detecteert aanvragen met een referer-header |
| 941110 | Kritiek - 5 | PL1 | XSS-Filter - Categorie 1: Script Tag Vector |
| 941120 | Kritiek - 5 | PL1 | XSS Filter - Categorie 2: Eventhandler Vector |
| 941130 | Kritiek - 5 | PL1 | XSS-filter - categorie 3: kenmerkvector |
| 941140 | Kritiek - 5 | PL1 | XSS-filter - Categorie 4: JavaScript-URI-vector |
| 941150 | Kritiek - 5 | PL2 | XSS-filter - categorie 5: niet-toegestane HTML-kenmerken |
| 941160 | Kritiek - 5 | PL1 | NoScript XSS InjectionChecker: HTML-injectie |
| 941170 | Kritiek - 5 | PL1 | NoScript XSS InjectionChecker: kenmerkinjectie |
| 941180 | Kritiek - 5 | PL1 | Trefwoorden voor knooppuntvalidatielijst |
| 941190 | Kritiek - 5 | PL1 | XSS met stijlbladen |
| 941200 | Kritiek - 5 | PL1 | XSS met VML-frames |
| 941210 | Kritiek - 5 | PL1 | XSS met verborgen JavaScript |
| 941220 | Kritiek - 5 | PL1 | XSS met verborgen VB-script |
| 941230 | Kritiek - 5 | PL1 | XSS met de 'embed' tag |
| 941240 | Kritiek - 5 | PL1 | XSS met het kenmerk 'import' of 'implementation' |
| 941250 | Kritiek - 5 | PL1 | IE XSS-filters - Aanval gedetecteerd |
| 941260 | Kritiek - 5 | PL1 | XSS met behulp van metatag |
| 941270 | Kritiek - 5 | PL1 | XSS gebruikmakend van 'link' href |
| 941280 | Kritiek - 5 | PL1 | XSS met behulp van de tag Base |
| 941290 | Kritiek - 5 | PL1 | XSS met de tag 'applet' |
| 941300 | Kritiek - 5 | PL1 | XSS met behulp van objecttag |
| 941310 | Kritiek - 5 | PL1 | US-ASCII Malformed Encoding XSS Filter - Aanval gedetecteerd |
| 941320 | Kritiek - 5 | PL2 | Mogelijke XSS-aanval gedetecteerd - HTML-taghandler |
| 941330 | Kritiek - 5 | PL2 | IE XSS-filters - Aanval gedetecteerd |
| 941340 | Kritiek - 5 | PL2 | IE XSS-filters - Aanval gedetecteerd |
| 941350 | Kritiek - 5 | PL1 | UTF-7 Encoding Internet Explorer XSS - Detectie van aanval |
| 941360 | Kritiek - 5 | PL1 | JavaScript-verdoofing gedetecteerd |
| 941370 | Kritiek - 5 | PL1 | Globale JavaScript-variabele gevonden |
| 941380 | Kritiek - 5 | PL2 | Sjablooninjectie aan de clientzijde van AngularJS gedetecteerd |
SQLI - SQL-injectie
| Regel-id | Ernst van anomalie score | Paranoianiveau | Beschrijving |
|---|---|---|---|
| 942100 | Kritiek - 5 | PL1 | SQL-injectieaanval gedetecteerd via libinjection |
| 942110 | Waarschuwing - 3 | PL2 | SQL-injectieaanval: Veelvoorkomende injectietests gedetecteerd |
| 942120 | Kritiek - 5 | PL2 | SQL-injectieaanval: SQL-operator gedetecteerd |
| 942130 | Kritiek - 5 | PL2 | SQL-injectieaanval: SQL Tautology gedetecteerd |
| 942140 | Kritiek - 5 | PL1 | SQL-injectieaanval: Veelvoorkomende DB-namen gedetecteerd |
| 942150 | Kritiek - 5 | PL2 | SQL-injectieaanval |
| 942160 | Kritiek - 5 | PL1 | Detecteert blinde sqli-tests met behulp van sleep() of benchmark() |
| 942170 | Kritiek - 5 | PL1 | Detecteert SQL-benchmark- en sleep-aanvallen, inclusief voorwaardelijke query's. |
| 942180 | Kritiek - 5 | PL2 | Detecteert eenvoudige SQL-verificatie-bypasspogingen 1/3 |
| 942190 | Kritiek - 5 | PL1 | Detecteert het uitvoeren van MSSQL-code en het verzamelen van gegevens |
| 942200 | Kritiek - 5 | PL2 | Detecteert MySQL comment-/space-obfuscated injecties en backtick-beëindiging |
| 942210 | Kritiek - 5 | PL2 | Detecteert gekoppelde SQL-injectiepogingen 1/2 |
| 942220 | Kritiek - 5 | PL1 | Op zoek naar overloopaanvallen voor gehele getallen, deze worden overgenomen van skipfish, behalve 3.0.0073850720072007e-308 is de "magic number" crash |
| 942230 | Kritiek - 5 | PL1 | Detecteert voorwaardelijke SQL-injectiepogingen |
| 942240 | Kritiek - 5 | PL1 | Detecteert mySQL charset-switch en MSSQL DoS-pogingen |
| 942250 | Kritiek - 5 | PL1 | Detecteert MATCH AGAINST, MERGE en EXECUTE IMMEDIATE injecties |
| 942260 | Kritiek - 5 | PL2 | Detecteert het omzeilen van eenvoudige SQL-verificatiepogingen 2/3 |
| 942270 | Kritiek - 5 | PL1 | Op zoek naar eenvoudige SQL-injectie. Algemene aanvalsreeks voor mysql, oracle en andere |
| 942280 | Kritiek - 5 | PL1 | Detecteert Postgres pg_sleep-injectie, aanvallen met wachttijdvertraging en pogingen om de database uit te schakelen |
| 942290 | Kritiek - 5 | PL1 | Zoekt eenvoudige MongoDB SQL-injectiepogingen |
| 942300 | Kritiek - 5 | PL2 | Detecteert MySQL-opmerkingen, -voorwaarden en ch(a)r-injecties |
| 942310 | Kritiek - 5 | PL2 | Detecteert gekoppelde SQL-injectiepogingen 2/2 |
| 942320 | Kritiek - 5 | PL1 | Detecteert opgeslagen procedure/functie-injecties van MySQL en PostgreSQL |
| 942330 | Kritiek - 5 | PL2 | Detecteert klassieke SQL-injectieaanvallen 1/2 |
| 942340 | Kritiek - 5 | PL2 | Detecteert het omzeilen van eenvoudige SQL-verificatiepogingen 3/3 |
| 942350 | Kritiek - 5 | PL1 | Detecteert MySQL UDF-injectie en andere pogingen tot manipulatie van gegevens/structuur |
| 942360 | Kritiek - 5 | PL1 | Detecteert samengestelde SQL-injectie en SQLLFI-pogingen |
| 942361 | Kritiek - 5 | PL2 | Detecteert eenvoudige SQL-injectie op basis van trefwoorden wijzigen of samenvoegen |
| 942370 | Kritiek - 5 | PL2 | Detecteert klassieke SQL-injectieprobings 2/2 |
| 942380 | Kritiek - 5 | PL2 | SQL-injectieaanval |
| 942390 | Kritiek - 5 | PL2 | SQL-injectieaanval |
| 942400 | Kritiek - 5 | PL2 | SQL-injectieaanval |
| 942410 | Kritiek - 5 | PL2 | SQL-injectieaanval |
| 942430 | Waarschuwing - 3 | PL2 | Beperkte anomaliedetectie van SQL-tekens (args): aantal speciale tekens overschreden (12) |
| 942440 | Kritiek - 5 | PL2 | SQL-opmerkingenreeks gedetecteerd |
| 942450 | Kritiek - 5 | PL2 | Geïdentificeerde SQL Hex-codering |
| 942470 | Kritiek - 5 | PL2 | SQL-injectieaanval |
| 942480 | Kritiek - 5 | PL2 | SQL-injectieaanval |
| 942500 | Kritiek - 5 | PL1 | MySQL-in-line opmerking gedetecteerd |
| 942510 | Kritiek - 5 | PL2 | SQLi-bypasspoging met enkel aanhalingstekens of backticks gedetecteerd |
Sessie-fixatie
| Regel-id | Ernst van anomalie score | Paranoianiveau | Beschrijving |
|---|---|---|---|
| 943100 | Kritiek - 5 | PL1 | Mogelijke sessiefixatieaanval: Cookiewaarden instellen in HTML |
| 943110 | Kritiek - 5 | PL1 | Mogelijke sessiefixatie-aanval: Naam van sessie-ID-parameter met referrer van het externe domein |
| 943120 | Kritiek - 5 | PL1 | Mogelijke sessiefixatie-aanval: Naam van sessie-id-parameter zonder verwijzing |
JAVA-aanvallen
| Regel-id | Ernst anomaliescore | Paranoianiveau | Beschrijving |
|---|---|---|---|
| 944100 | Kritiek - 5 | PL1 | Uitvoering van externe opdrachten: Apache Struts, Oracle WebLogic |
| 944110 | Kritiek - 5 | PL1 | Detecteert mogelijke uitvoering van nettoladingen |
| 944120 | Kritiek - 5 | PL1 | Mogelijke payload-uitvoering en uitvoering van externe commando's |
| 944130 | Kritiek - 5 | PL1 | Verdachte Java-klassen |
| 944200 | Kritiek - 5 | PL2 | Misbruik van Java-deserialisatie in Apache Commons |
| 944210 | Kritiek - 5 | PL2 | Mogelijk gebruik van Java-serialisatie |
| 944240 | Kritiek - 5 | PL2 | Uitvoering van externe opdracht: Java-serialisatie en Log4j-beveiligingsprobleem (CVE-2021-44228, CVE-2021-45046) |
| 944250 | Kritiek - 5 | PL2 | Uitvoering van externe opdracht: Verdachte Java-methode gedetecteerd |
MS-ThreatIntel-WebShells
| Regel-id | Ernst van anomalie score | Paranoianiveau | Beschrijving |
|---|---|---|---|
| 99005002 | Kritiek - 5 | PL2 | Poging tot Web Shell-interactie (POST) |
| 99005003 | Kritiek - 5 | PL2 | Uploadpoging van een Web Shell (POST) - CHOPPER PHP |
| 99005004 | Kritiek - 5 | PL2 | Uploadpoging van Web Shell (POST) - CHOPPER ASPX |
| 99005005 | Kritiek - 5 | PL2 | Interactiepoging met de webshell |
| 99005006 | Kritiek - 5 | PL2 | Spring4Shell-interactiepoging |
MS-ThreatIntel-AppSec
| Regel-id | Ernst van de anomalie score | Paranoianiveau | Beschrijving |
|---|---|---|---|
| 99030001 | Kritiek - 5 | PL2 | Pad Doorkruising in headers (/.. /./.. /) |
| 99030002 | Kritiek - 5 | PL2 | Padtraversalevasie in aanvraaglichaam (/.././../) |
MS-ThreatIntel-SQLI
| Regel-id | Severiteit van anomalie-score | Paranoianiveau | Beschrijving |
|---|---|---|---|
| 99031001 | Waarschuwing - 3 | PL2 | SQL-injectieaanval: Veelvoorkomende injectietests gedetecteerd |
| 99031002 | Kritiek - 5 | PL2 | SQL-opmerkingenreeks gedetecteerd |
| 99031003 | Kritiek - 5 | PL2 | SQL-injectieaanval |
| 99031004 | Kritiek - 5 | PL2 | Detecteert het omzeilen van eenvoudige SQL-verificatiepogingen 2/3 |
MS-ThreatIntel-CVE's
| Regel-id | De ernst van de anomalie-score | Paranoianiveau | Beschrijving |
|---|---|---|---|
| 99001001 | Kritiek - 5 | PL2 | Poging tot F5 tmui (CVE-2020-5902) REST API-exploit met bekende inloggegevens |
| 99001002 | Kritiek - 5 | PL2 | Poging tot het uitvoeren van Citrix NSC_USER directory traversal CVE-2019-19781 |
| 99001003 | Kritiek - 5 | PL2 | Poging tot uitbuiting van de Atlassian Confluence Widget Connector CVE-2019-3396 |
| 99001004 | Kritiek - 5 | PL2 | Poging tot aangepaste pulse Secure-sjabloonuitbuiting CVE-2020-8243 |
| 99001005 | Kritiek - 5 | PL2 | Poging tot exploitatie van SharePoint-type converter CVE-2020-0932 |
| 99001006 | Kritiek - 5 | PL2 | Poging tot directory traversal-aanval in Pulse Connect CVE-2019-11510 |
| 99001007 | Kritiek - 5 | PL2 | Poging om Junos OS J-Web lokaal bestand op te nemen CVE-2020-1631 |
| 99001008 | Kritiek - 5 | PL2 | Poging tot Fortinet-padtraversie CVE-2018-13379 |
| 99001009 | Kritiek - 5 | PL2 | Poging tot Apache Struts OGNL invoeging CVE-2017-5638 |
| 99001010 | Kritiek - 5 | PL2 | Poging tot Apache Struts OGNL-injectie CVE-2017-12611 |
| 99001011 | Kritiek - 5 | PL2 | Poging tot Oracle WebLogic-pad traversal CVE-2020-14882 |
| 99001012 | Kritiek - 5 | PL2 | Poging telerik WebUI onveilige deserialisatie-exploitatie CVE-2019-18935 |
| 99001013 | Kritiek - 5 | PL2 | Poging tot onveilige XML-deserialisatie van SharePoint-CVE-2019-0604 |
| 99001014 | Kritiek - 5 | PL2 | Poging tot Spring Cloud-routing-expression-injektie CVE-2022-22963 |
| 99001015 | Kritiek - 5 | PL2 | Poging tot het misbruiken van onveilige Spring Framework-klasseobjecten CVE-2022-22965 |
| 99001016 | Kritiek - 5 | PL2 | Poging tot injectie in Spring Cloud Gateway Actuator CVE-2022-22947 |
| 99001017* | Niet van toepassing | Niet van toepassing | Poging tot uploaden van Apache Struts-bestand CVE-2023-50164 |
* De actie van deze regel is standaard ingesteld op loggen. Stel de actie in op Blokkeren om te beschermen tegen de kwetsbaarheid van Apache Struts. Anomalie-score wordt niet ondersteund voor deze regel.
Notitie
Wanneer u de logboeken van uw WAF bekijkt, ziet u mogelijk regel-id 949110. De beschrijving van de regel kan 'Inkomende Anomaliescore Overschreden' bevatten.
Deze regel geeft aan dat de totale anomaliescore voor de aanvraag de maximaal toegestane score heeft overschreden. Zie Anomaliescore voor meer informatie.
De volgende regelgroepen en -regels worden niet meer ondersteund in Web Application Firewall in Application Gateway.
Notitie
CRS 3.0 en CRS 2.2.9 worden niet meer ondersteund in Azure WAF. U wordt aangeraden een upgrade uit te voeren naar DRS 2.1 / CRS 3.2
3.0-regelsets
Algemeen
| RuleId | Beschrijving |
|---|---|
| 200004 | Mogelijke niet-overeenkomende grens van meerdere delen |
bekende CVEs
| RuleId | Beschrijving |
|---|---|
| 800100 | Regel voor het detecteren en beperken van log4j-beveiligingsproblemen CVE-2021-44228, CVE-2021-45046 |
| 800110 | Spring4Shell-interactiepoging |
| 800111 | Poging tot injectie met Spring Cloud-routeringsexpressie - CVE-2022-22963 |
| 800112 | Poging tot misbruik van onveilige Spring Framework-klasseobjecten - CVE-2022-22965 |
| 800113 | Poging tot injectie van Spring Cloud Gateway Actuator - CVE-2022-22947 |
VERZOEK-911-METHODE-HANDHAVING
| RuleId | Beschrijving |
|---|---|
| 911100 | Methode is niet toegestaan door beleid |
REQUEST-913-SCANNER-DETECTION
| RegelId | Beschrijving |
|---|---|
| 913100 | User-Agent gevonden die is gekoppeld aan beveiligingsscanner |
| 913110 | Aanvraagheader gevonden die is gekoppeld aan de beveiligingsscanner |
| 913120 | Bestandsnaam/argument van aanvraag gevonden die aan de beveiligingsscanner is gekoppeld |
| 913101 | Gevonden User-Agent geassocieerd met scripting/algemene HTTP-client |
| 913102 | User-Agent gevonden die is gekoppeld aan een webcrawler/bot |
REQUEST-920-PROTOCOL-ENFORCEMENT
| RuleId | Beschrijving |
|---|---|
| 920100 | Ongeldige HTTP-aanvraagregel |
| 920130 | Kan aanvraagbody niet parseren |
| 920140 | De meerdelige hoofdtekst van het verzoek is niet door de strikte validatie gekomen. |
| 920160 | HTTP-header voor inhoudslengte is niet numeriek |
| 920170 | GET- of HEAD-aanvraag met hoofdtekstinhoud |
| 920180 | POST-verzoek mist Content-Length-header |
| 920190 | Bereik = Ongeldige laatste bytewaarde |
| 920210 | Meerdere/conflicterende verbindingsheadergegevens gevonden |
| 920220 | Proefaanval van misbruik van URL-codering |
| 920240 | Poging tot misbruik van URL-codering-aanval |
| 920250 | Poging tot misbruikaanval met UTF8-codering |
| 920260 | Poging tot misbruik van Unicode volledige of halve breedte-aanval |
| 920270 | Ongeldig teken in aanvraag (nulteken) |
| 920280 | Aanvraag ontbreekt een hostheader |
| 920290 | Lege host header |
| 920310 | Aanvraag heeft een lege Accept-header |
| 920311 | Aanvraag heeft een lege Acceptheader |
| 920330 | Lege header van gebruikersagent |
| 920340 | Aanvraag bevat inhoud, maar de Content-Type-header ontbreekt |
| 920350 | Hostheader is een numeriek IP-adres |
| 920380 | Te veel argumenten in aanvraag |
| 920360 | Argumentnaam te lang |
| 920370 | Argumentwaarde te lang |
| 920390 | Totale grootte van argumenten overschreden |
| 920400 | Geüploade bestandsgrootte is te groot |
| 920410 | Totaal aantal geüploade bestanden te groot |
| 920420 | Aanvraag inhoudstype is niet toegestaan door beleid |
| 920430 | Http-protocolversie is niet toegestaan door beleid |
| 920440 | Url-bestandsextensie wordt beperkt door beleid |
| 920450 | HTTP-header wordt beperkt door beleid (%@{MATCHED_VAR}) |
| 920200 | Aantal = Te veel velden (6 of meer) |
| 920201 | Limiet = Te veel velden voor de pdf-aanvraag (35 of meer) |
| 920230 | Meerdere URL-codering gedetecteerd |
| 920300 | Aanvraag voor het ontbreken van een acceptheader |
| 920271 | Ongeldig teken in aanvraag (niet-afdrukbare tekens) |
| 920320 | Header van gebruikersagent ontbreekt |
| 920272 | Ongeldig teken in aanvraag (buiten afdrukbare tekens onder ascii 127) |
| 920202 | Bereik = Te veel velden voor pdf-aanvraag (6 of meer) |
| 920273 | Ongeldig teken in aanvraag (buiten de zeer strikte reeks) |
| 920274 | Ongeldig teken in aanvraagheaders (buiten zeer strikte set) |
| 920460 | Abnormale escapetekens |
REQUEST-921-PROTOCOL-ATTACK
| RuleId | Beschrijving |
|---|---|
| 921100 | HTTP-aanvraagsmokkelaanval |
| 921110 | HTTP-aanvraagsmokkelaanval |
| 921120 | HTTP-respons-splitsingsaanval |
| 921130 | HTTP-respons splitsingsaanval |
| 921140 | HTTP-headerinjectieaanval via headers |
| 921150 | HTTP-header injectieaanval via payload (CR/LF gedetecteerd) |
| 921160 | HTTP Header Injection Attack via payload (CR/LF en header-name gedetecteerd) |
| 921151 | HTTP header-injectieaanval via payload (CR/LF gedetecteerd) |
| 921170 | HTTP-parametervervuiling |
| 921180 | HTTP-parametervervuiling (%@{TX.1}) |
REQUEST-930-APPLICATION-ATTACK-LFI
| RuleId | Beschrijving |
|---|---|
| 930100 | Pad doorkruisingsaanval (/.. /) |
| 930110 | Padtraversale aanval (../) |
| 930120 | Poging tot toegang tot besturingssysteembestand |
| 930130 | Poging tot beperkte bestandstoegang |
REQUEST-931-TOEPASSINGSAANVAL-RFI
| RuleId | Beschrijving |
|---|---|
| 931100 | Mogelijke RFI-aanval (Remote File Inclusion) = URL-parameter met behulp van IP-adres |
| 931110 | Mogelijke aanval via Remote File Inclusion (RFI) = Veelvoorkomende RFI kwetsbare parameternaam gebruikt met URL-payload |
| 931120 | Mogelijke Remote File Inclusion (RFI)-aanval = URL-lading gebruikt met een vraagteken aan het einde (?) |
| 931130 | Mogelijke RFI-aanval (Remote File Inclusion) = Verwijzing naar externe domeinen/koppeling |
REQUEST-932-APPLICATION-ATTACK-RCE
| RuleId | Beschrijving |
|---|---|
| 932120 | Uitvoering van externe opdracht = Windows PowerShell-opdracht gevonden |
| 932130 |
Application Gateway WAF v2: Uitvoering van externe opdracht: Unix Shell-expressie of Confluence-beveiligingsprobleem (CVE-2022-26134) of Text4Shell (CVE-2022-42889) gevonden Application Gateway WAF v1: Uitvoering van externe opdracht: Unix Shell-expressie |
| 932140 | Uitvoeren van externe opdracht = Windows FOR/IF-opdracht gevonden |
| 932160 | Uitvoering van externe opdracht = Unix Shell-code gevonden |
| 932170 | Uitvoering van externe opdracht = Shellshock (CVE-2014-6271) |
| 932171 | Uitvoering van externe opdracht = Shellshock (CVE-2014-6271) |
REQUEST-933-APPLICATION-ATTACK-PHP
| RegelId | Beschrijving |
|---|---|
| 933100 | PHP-injectieaanval = openings-/sluitingstag gevonden |
| 933110 | PHP-injectieaanval = PHP-scriptbestandupload aangetroffen |
| 933120 | PHP-injectieaanval = configuratierichtlijn gevonden |
| 933130 | PHP-injectieaanval = variabelen gevonden |
| 933150 | PHP-injectieaanval = naam van php-functie met hoog risico gevonden |
| 933160 | PHP-injectieaanval = aanroep van PHP-functie met hoog risico gevonden |
| 933180 | PHP-injectieaanval = variabele functieaanroep gevonden |
| 933151 | PHP injectieaanval = gemiddeld risico PHP-functienaam gevonden |
| 933131 | PHP-injectieaanval = variabelen gevonden |
| 933161 | PHP-injectieaanval = aanroep van PHP-functie met lage prioriteit gevonden |
| 933111 | PHP-injectieaanval = PHP-scriptbestand Upload gevonden |
REQUEST-941-APPLICATION-ATTACK-XSS
| RuleId | Beschrijving |
|---|---|
| 941100 | XSS-aanval gedetecteerd via libinjection |
| 941110 | XSS-filter - Categorie 1 = Script Tag Vector |
| 941130 | XSS-filter - Categorie 3 = Kenmerkvector |
| 941140 | XSS-filter - Categorie 4 = JavaScript URI Vector |
| 941150 | XSS-filter - Categorie 5 = Niet-toegestane HTML-kenmerken |
| 941180 | Trefwoorden voor knooppuntvalidatielijst |
| 941190 | XSS met stijlbladen |
| 941200 | XSS met VML-frames |
| 941210 | XSS gebruikmakend van verborgen JavaScript of Text4Shell (CVE-2022-42889) |
| 941220 | XSS met verborgen VB-script |
| 941230 | XSS met de 'embed' tag |
| 941240 | XSS met het kenmerk 'import' of 'implementation' |
| 941260 | XSS met behulp van metatag |
| 941270 | XSS met gebruik van 'link' href |
| 941280 | XSS met behulp van de tag Base |
| 941290 | XSS met de tag 'applet' |
| 941300 | XSS met behulp van objecttag |
| 941310 | US-ASCII Onjuiste Codering XSS-filter: Aanval gedetecteerd |
| 941330 | IE XSS-filters - Aanval gedetecteerd |
| 941340 | IE XSS-filters - Aanval gedetecteerd |
| 941350 | UTF-7 Encoding IE XSS - Een aanval gedetecteerd |
| 941320 | Mogelijke XSS-aanval gedetecteerd - HTML-taghandler |
REQUEST-942-APPLICATION-ATTACK-SQLI
| RuleId | Beschrijving |
|---|---|
| 942100 | SQL-injectieaanval gedetecteerd via libinjection |
| 942110 | SQL-injectieaanval: Veelvoorkomende injectietests gedetecteerd |
| 942130 | SQL-injectieaanval: SQL Tautologie Gedetecteerd |
| 942140 | SQL-injectieaanval = Algemene DB-namen gedetecteerd |
| 942160 | Detecteert blinde sqli-tests met behulp van sleep() of benchmark() |
| 942170 | Detecteert sql-benchmark- en slaapinjectiepogingen, inclusief voorwaardelijke query's |
| 942190 | Detecteert het uitvoeren van MSSQL-code en het verzamelen van gegevens |
| 942200 | Detecteert MySQL commentaar- of spatie-geobfusceerde injecties en backtickafsluiting |
| 942230 | Detecteert voorwaardelijke SQL-injectiepogingen |
| 942260 | Detecteert het omzeilen van eenvoudige SQL-verificatiepogingen 2/3 |
| 942270 | Op zoek naar eenvoudige SQL-injectie. Veelvoorkomende aanvalsreeks voor mysql oracle en andere |
| 942290 | Zoekt eenvoudige MongoDB SQL-injectiepogingen |
| 942300 | Detecteert MySQL-opmerkingen, -voorwaarden en ch(a)r-injecties |
| 942310 | Detecteert gekoppelde SQL-injectiepogingen 2/2 |
| 942320 | Detecteert opgeslagen procedure/functie-injecties van MySQL en PostgreSQL |
| 942330 | Detecteert klassieke SQL-injectiepogingen 1/2 |
| 942340 | Detecteert het omzeilen van eenvoudige SQL-verificatiepogingen 3/3 |
| 942350 | Detecteert MySQL UDF-injectie en andere pogingen tot manipulatie van gegevens/structuur |
| 942360 | Detecteert samengestelde SQL-injectie en SQLLFI-pogingen |
| 942370 | Detecteert klassieke SQL-injectieprobings 2/2 |
| 942150 | SQL-injectieaanval |
| 942410 | SQL-injectieaanval |
| 942430 | Beperkte anomaliedetectie van SQL-tekens (args): aantal speciale tekens overschreden (12) |
| 942440 | SQL-opmerkingenreeks gedetecteerd |
| 942450 | Geïdentificeerde SQL Hex-codering |
| 942251 | Detecteert HAVING-injecties |
| 942460 | Anomaliedetectiewaarschuwing met metatekens - terugkerende niet-woordtekens |
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION
| RuleId | Beschrijving |
|---|---|
| 943100 | Mogelijke sessiefixatieaanval = Cookiewaarden instellen in HTML |
| 943110 | Mogelijke sessiefixatieaanval = Naam van sessie-ID-parameter met referrer buiten domein |
| 943120 | Mogelijke sessiefixatieaanval = Naam van sessie-ID-parameter zonder verwijzing |