Delen via


DrS- en CRS-regelgroepen en -regels voor Web Application Firewall

De door Azure beheerde regelsets in de Application Gateway Web Application Firewall (WAF) beschermen webtoepassingen actief tegen veelvoorkomende beveiligingsproblemen en aanvallen. Deze regelsets, beheerd door Azure, ontvangen zo nodig updates om nieuwe aanvalshandtekeningen te beschermen. De standaardregelset bevat ook de regels voor microsoft Threat Intelligence Collection. Het Microsoft Intelligence-team werkt samen aan het schrijven van deze regels, waardoor verbeterde dekking, specifieke patches voor beveiligingsproblemen en verbeterde fout-positieve reductie mogelijk zijn.

U kunt ook regels gebruiken die zijn gedefinieerd op basis van de OWASP-kernregelsets 3.2, 3.1, 3.0 of 2.2.9.

U kunt regels afzonderlijk uitschakelen of specifieke acties instellen voor elke regel. Dit artikel bevat de huidige regels en regelsets die beschikbaar zijn. Als voor een gepubliceerde regelset een update is vereist, wordt deze hier beschreven.

Notitie

Wanneer een versie van een regelset wordt gewijzigd in een WAF-beleid, worden bestaande aanpassingen die u in uw regelset hebt aangebracht, opnieuw ingesteld op de standaardwaarden voor de nieuwe regelset. Zie: De versie van de regelset bijwerken of wijzigen.

Standaardregelsets

De door Azure beheerde standaardregelset (DRS) bevat regels voor de volgende bedreigingscategorieën:

  • Script uitvoeren op meerdere sites
  • Java-aanvallen
  • Lokale bestandsopname
  • PHP-injectieaanvallen
  • Uitvoeren van opdrachten op afstand
  • Externe bestandsopname
  • Sessiefixatie
  • Beveiliging tegen SQL-injecties
  • Protocol-aanvallers Het versienummer van de DRS wordt verhoogd wanneer nieuwe aanvalshandtekeningen worden toegevoegd aan de regelset.

Regels voor het verzamelen van bedreigingsinformatie van Microsoft

De regels voor het verzamelen van bedreigingsinformatie van Microsoft worden geschreven in samenwerking met het Microsoft Threat Intelligence-team om meer dekking te bieden, patches voor specifieke beveiligingsproblemen en betere fout-positieve reductie.

Notitie

Gebruik de volgende richtlijnen om WAF af te stemmen terwijl u aan de slag gaat met 2.1 op Application Gateway WAF. Details van de regels worden hierna beschreven.

Regel-id Regelgroep Beschrijving DETAILS
942110 SQLI SQL-injectieaanval: Veelvoorkomende injectietests gedetecteerd Uitschakelen, vervangen door MSTIC-regel 99031001
942150 SQLI SQL-injectieaanval Uitschakelen, vervangen door MSTIC-regel 99031003
942260 SQLI Detecteert het omzeilen van eenvoudige SQL-verificatiepogingen 2/3 Uitschakelen, vervangen door MSTIC-regel 99031004
942430 SQLI Beperkte anomaliedetectie van SQL-tekens (args): aantal speciale tekens overschreden (12) Schakel te veel fout-positieven uit.
942440 SQLI SQL-opmerkingenreeks gedetecteerd Uitschakelen, vervangen door MSTIC-regel 99031002
99005006 MS-ThreatIntel-WebShells Spring4Shell-interactiepoging De regel ingeschakeld houden om te voorkomen dat SpringShell-beveiligingsproblemen worden voorkomen
99001014 MS-ThreatIntel-CVE's Poging tot Spring Cloud-routing-expression injectie CVE-2022-22963 De regel ingeschakeld houden om te voorkomen dat SpringShell-beveiligingsproblemen worden voorkomen
99001015 MS-ThreatIntel-WebShells Poging tot het misbruiken van onveilige Spring Framework-klasseobjecten CVE-2022-22965 De regel ingeschakeld houden om te voorkomen dat SpringShell-beveiligingsproblemen worden voorkomen
99001016 MS-ThreatIntel-WebShells Poging tot Spring Cloud Gateway Actuator injectie CVE-2022-22947 De regel ingeschakeld houden om te voorkomen dat SpringShell-beveiligingsproblemen worden voorkomen
99001017 MS-ThreatIntel-CVE's Poging tot uploaden van Apache Struts-bestand CVE-2023-50164 Stel actie in op Blokkeren om te voorkomen dat Apache Struts-beveiligingsproblemen worden voorkomen. Anomaliescore wordt niet ondersteund voor deze regel.

Core Rule Sets

Application Gateway WAF is standaard vooraf geconfigureerd met CRS 3.2, maar u kunt ervoor kiezen om een andere ondersteunde CRS-versie te gebruiken.

CRS 3.2 biedt een nieuwe engine en nieuwe regelsets die bescherming bieden tegen Java-injecties, een eerste set controles voor het uploaden van bestanden en minder fout-positieven in vergelijking met eerdere versies van CRS. U kunt regels ook aanpassen aan uw behoeften. Meer informatie over de nieuwe Azure WAF-engine.

Regels beheren

De WAF beschermt tegen de volgende webproblemen:

  • SQL-injectieaanvallen
  • Scriptaanvallen op meerdere sites
  • Andere veelvoorkomende aanvallen, zoals opdrachtinjectie, smokkelen van HTTP-aanvragen, splitsen van HTTP-antwoorden en opname van externe bestanden
  • Schendingen van HTTP-protocol
  • Afwijkingen in HET HTTP-protocol, zoals ontbrekende hostgebruikersagent en accepteren headers
  • Bots, crawlers en scanners
  • Veelvoorkomende onjuiste configuraties van toepassingen (bijvoorbeeld Apache en IIS)

Afstemming van beheerde regelsets

Zowel DRS als CRS zijn standaard ingeschakeld in de detectiemodus in uw WAF-beleid. U kunt afzonderlijke regels in de beheerde regelset uitschakelen of inschakelen om te voldoen aan uw toepassingsvereisten. U kunt ook specifieke acties per regel instellen. De DRS/CRS ondersteunt acties voor blok-, logboek- en anomaliescores. De Bot Manager-regelset ondersteunt de acties toestaan, blokkeren en registreren.

Soms moet u bepaalde aanvraagkenmerken weglaten uit een WAF-evaluatie. Een bekend voorbeeld is door Active Directory ingevoegde tokens die worden gebruikt voor verificatie. U kunt uitsluitingen zo configureren dat deze van toepassing zijn wanneer specifieke WAF-regels worden geëvalueerd of om globaal toe te passen op de evaluatie van alle WAF-regels. Uitsluitingsregels zijn van toepassing op uw hele webtoepassing. Zie Web Application Firewall (WAF) met application gateway-uitsluitingslijsten voor meer informatie.

DRS versie 2.1/CRS versie 3.2 en hoger maakt standaard gebruik van anomaliescores wanneer een aanvraag overeenkomt met een regel. CRS 3.1 en lager blokkeert standaard overeenkomende aanvragen. Daarnaast kunnen aangepaste regels worden geconfigureerd in hetzelfde WAF-beleid als u een van de vooraf geconfigureerde regels in de basisregelset wilt omzeilen.

Aangepaste regels worden altijd toegepast voordat regels in de basisregelset worden geëvalueerd. Als een aanvraag overeenkomt met een aangepaste regel, wordt de bijbehorende regelactie toegepast. De aanvraag wordt geblokkeerd of doorgegeven aan de back-end. Er worden geen andere aangepaste regels of regels in de basisregelset verwerkt.

Anomaliescore

Wanneer u CRS of DRS 2.1 en hoger gebruikt, is uw WAF standaard geconfigureerd voor het gebruik van anomaliescores. Verkeer dat overeenkomt met een regel wordt niet onmiddellijk geblokkeerd, zelfs niet wanneer uw WAF zich in de preventiemodus bevindt. In plaats daarvan definiëren de OWASP-regelsets een ernst voor elke regel: Kritiek, Fout, Waarschuwing of Kennisgeving. De ernst is van invloed op een numerieke waarde voor de aanvraag, die de anomaliescore wordt genoemd:

Ernst van regel Waarde heeft bijgedragen aan anomaliescore
Kritiek 5
Error 4
Waarschuwing 3
Opmerking 2

Als de anomaliescore 5 of hoger is en de WAF zich in de preventiemodus bevindt, wordt de aanvraag geblokkeerd. Als de anomaliescore 5 of hoger is en de WAF zich in de detectiemodus bevindt, wordt de aanvraag geregistreerd, maar niet geblokkeerd.

Een enkele kritieke regelovereenkomst is bijvoorbeeld voldoende om een aanvraag te blokkeren in de preventiemodus, omdat de algehele anomaliescore 5 is. Eén waarschuwingsregel komt echter alleen overeen met de anomaliescore met 3, wat niet voldoende is om het verkeer te blokkeren. Wanneer een anomalieregel wordt geactiveerd, wordt de actie Overeenkomend weergegeven in de logboeken. Als de anomaliescore 5 of hoger is, is er een afzonderlijke regel geactiveerd met de actie Geblokkeerd of Gedetecteerd, afhankelijk van of het WAF-beleid zich in de preventie- of detectiemodus bevindt. Zie de modus Anomaliescore voor meer informatie.

Versie van regelset bijwerken of wijzigen

Als u een upgrade uitvoert of een nieuwe versie van de regelset toewijst en bestaande regeloverschrijvingen en uitsluitingen wilt behouden, wordt u aangeraden PowerShell, CLI, REST API of sjablonen te gebruiken om wijzigingen in de regelsetversie aan te brengen. Een nieuwe versie van een regelset kan nieuwere regels, extra regelgroepen bevatten en kan updates hebben voor bestaande handtekeningen om betere beveiliging af te dwingen en fout-positieven te verminderen. Het wordt aanbevolen om wijzigingen in een testomgeving te valideren, indien nodig af te stemmen en vervolgens in een productieomgeving te implementeren.

Notitie

Als u Azure Portal gebruikt om een nieuwe beheerde regelset toe te wijzen aan een WAF-beleid, worden alle vorige aanpassingen van de bestaande beheerde regelset, zoals regelstatus, regelacties en uitsluitingen op regelniveau, opnieuw ingesteld op de standaardwaarden van de nieuwe beheerde regelset. Aangepaste regels, beleidsinstellingen en globale uitsluitingen blijven echter ongewijzigd tijdens de toewijzing van de nieuwe regelset. U moet regeloverschrijvingen opnieuw definiëren en wijzigingen valideren voordat u implementeert in een productieomgeving.

DRS 2.1

DRS 2.1-regels bieden betere beveiliging dan eerdere versies van de DRS. Het bevat meer regels die zijn ontwikkeld door het Microsoft Threat Intelligence-team en updates voor handtekeningen om fout-positieven te verminderen. Het biedt ook ondersteuning voor transformaties die verder gaan dan alleen URL-decodering.

DRS 2.1 bevat 17 regelgroepen, zoals wordt weergegeven in de volgende tabel. Elke groep bevat meerdere regels en u kunt het gedrag voor afzonderlijke regels, regelgroepen of hele regelset aanpassen. DRS 2.1 is een basislijn voor het Open Web Application Security Project (OWASP) Core Rule Set (CRS) 3.3.2 en bevat aanvullende regels voor bedrijfseigen beveiliging die zijn ontwikkeld door het Microsoft Threat Intelligence-team.

Regelgroep ruleGroupName Beschrijving
Algemeen Algemeen Algemene groep
METHODE AFDWINGEN METHOD-ENFORCEMENT Vergrendelingsmethoden (PUT, PATCH)
PROTOCOL AFDWINGEN PROTOCOL-ENFORCEMENT Beveiliging tegen protocol- en coderingsproblemen
PROTOCOL-AANVAL PROTOCOL-ATTACK Bescherming tegen koptekstinjectie, smokkel aanvragen en antwoordsplitsing
APPLICATION-ATTACK-LFI LFI Beveiligen tegen bestands- en padaanvallen
APPLICATION-ATTACK-RFI RFI Beveiligen tegen RFI-aanvallen (Remote File Inclusion)
APPLICATION-ATTACK-RCE RCE Opnieuw aanvallen op uitvoering van externe code beveiligen
APPLICATION-ATTACK-PHP PHP Bescherming tegen PHP-injectieaanvallen
APPLICATION-ATTACK-NodeJS NODEJS Beveiligen tegen knooppunt-JS-aanvallen
APPLICATION-ATTACK-XSS XSS Beveiligen tegen aanvallen met scripts op meerdere sites
APPLICATION-ATTACK-SQLI SQLI Bescherming tegen SQL-injectieaanvallen
APPLICATION-ATTACK-SESSION-FIXATION FIX Bescherming tegen sessiefixatieaanvallen
APPLICATION-ATTACK-SESSION-JAVA JAVA Beveiligen tegen JAVA-aanvallen
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Beveiligen tegen Web Shell-aanvallen
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec Beveiligen tegen AppSec-aanvallen
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI Bescherming tegen SQLI-aanvallen
MS-ThreatIntel-CVE's MS-ThreatIntel-CVE's Bescherming tegen CVE-aanvallen

OWASP CRS 3.2

CRS 3.2 bevat 14 regelgroepen, zoals wordt weergegeven in de volgende tabel. Elke groep bevat meerdere regels, die kunnen worden uitgeschakeld. De regelset is gebaseerd op versie OWASP CRS 3.2.0.

Notitie

CRS 3.2 is alleen beschikbaar op de WAF_v2 SKU. Omdat CRS 3.2 wordt uitgevoerd op de nieuwe Azure WAF-engine, kunt u geen downgrade uitvoeren naar CRS 3.1 of eerder. Neem contact op met de ondersteuning van Azure als u een downgrade wilt uitvoeren.

Naam van regelgroep Beschrijving
Algemeen Algemene groep
BEKENDE CVES Hulp bij het detecteren van nieuwe en bekende CV's
REQUEST-911-METHOD-ENFORCEMENT Vergrendelingsmethoden (PUT, PATCH)
REQUEST-913-SCANNER-DETECTION Bescherming tegen poort- en omgevingsscanners
REQUEST-920-PROTOCOL-ENFORCEMENT Beveiliging tegen protocol- en coderingsproblemen
REQUEST-921-PROTOCOL-ATTACK Bescherming tegen koptekstinjectie, smokkel aanvragen en antwoordsplitsing
REQUEST-930-APPLICATION-ATTACK-LFI Beveiligen tegen bestands- en padaanvallen
REQUEST-931-APPLICATION-ATTACK-RFI Beveiligen tegen RFI-aanvallen (Remote File Inclusion)
REQUEST-932-APPLICATION-ATTACK-RCE Opnieuw aanvallen op uitvoering van externe code beveiligen
REQUEST-933-APPLICATION-ATTACK-PHP Bescherming tegen PHP-injectieaanvallen
REQUEST-941-APPLICATION-ATTACK-XSS Beveiligen tegen aanvallen met scripts op meerdere sites
REQUEST-942-APPLICATION-ATTACK-SQLI Bescherming tegen SQL-injectieaanvallen
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Bescherming tegen sessiefixatieaanvallen
REQUEST-944-APPLICATION-ATTACK-JAVA Beveiligen tegen JAVA-aanvallen

OWASP CRS 3.1

CRS 3.1 bevat 14 regelgroepen, zoals wordt weergegeven in de volgende tabel. Elke groep bevat meerdere regels, die kunnen worden uitgeschakeld. De regelset is gebaseerd op versie OWASP CRS 3.1.1.

Notitie

CRS 3.1 is alleen beschikbaar op de WAF_v2 SKU.

Naam van regelgroep Beschrijving
Algemeen Algemene groep
BEKENDE CVES Hulp bij het detecteren van nieuwe en bekende CV's
REQUEST-911-METHOD-ENFORCEMENT Vergrendelingsmethoden (PUT, PATCH)
REQUEST-913-SCANNER-DETECTION Bescherming tegen poort- en omgevingsscanners
REQUEST-920-PROTOCOL-ENFORCEMENT Beveiliging tegen protocol- en coderingsproblemen
REQUEST-921-PROTOCOL-ATTACK Bescherming tegen koptekstinjectie, smokkel aanvragen en antwoordsplitsing
REQUEST-930-APPLICATION-ATTACK-LFI Beveiligen tegen bestands- en padaanvallen
REQUEST-931-APPLICATION-ATTACK-RFI Beveiligen tegen RFI-aanvallen (Remote File Inclusion)
REQUEST-932-APPLICATION-ATTACK-RCE Opnieuw aanvallen op uitvoering van externe code beveiligen
REQUEST-933-APPLICATION-ATTACK-PHP Bescherming tegen PHP-injectieaanvallen
REQUEST-941-APPLICATION-ATTACK-XSS Beveiligen tegen aanvallen met scripts op meerdere sites
REQUEST-942-APPLICATION-ATTACK-SQLI Bescherming tegen SQL-injectieaanvallen
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Bescherming tegen sessiefixatieaanvallen
REQUEST-944-APPLICATION-ATTACK-SESSION-JAVA Beveiligen tegen JAVA-aanvallen

OWASP CRS 3.0

CRS 3.0 bevat 13 regelgroepen, zoals wordt weergegeven in de volgende tabel. Elke groep bevat meerdere regels, die kunnen worden uitgeschakeld. De regelset is gebaseerd op versie OWASP CRS 3.0.0.

Notitie

CRS 3.0- en lagere regelsetversies worden niet meer ondersteund voor nieuwe WAF-beleidsregels. U wordt aangeraden een upgrade uit te voeren naar de nieuwste CRS 3.2/DRS 2.1 en hogere versies.

Naam van regelgroep Beschrijving
Algemeen Algemene groep
BEKENDE CVES Hulp bij het detecteren van nieuwe en bekende CV's
REQUEST-911-METHOD-ENFORCEMENT Vergrendelingsmethoden (PUT, PATCH)
REQUEST-913-SCANNER-DETECTION Bescherming tegen poort- en omgevingsscanners
REQUEST-920-PROTOCOL-ENFORCEMENT Beveiliging tegen protocol- en coderingsproblemen
REQUEST-921-PROTOCOL-ATTACK Bescherming tegen koptekstinjectie, smokkel aanvragen en antwoordsplitsing
REQUEST-930-APPLICATION-ATTACK-LFI Beveiligen tegen bestands- en padaanvallen
REQUEST-931-APPLICATION-ATTACK-RFI Beveiligen tegen RFI-aanvallen (Remote File Inclusion)
REQUEST-932-APPLICATION-ATTACK-RCE Opnieuw aanvallen op uitvoering van externe code beveiligen
REQUEST-933-APPLICATION-ATTACK-PHP Bescherming tegen PHP-injectieaanvallen
REQUEST-941-APPLICATION-ATTACK-XSS Beveiligen tegen aanvallen met scripts op meerdere sites
REQUEST-942-APPLICATION-ATTACK-SQLI Bescherming tegen SQL-injectieaanvallen
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Bescherming tegen sessiefixatieaanvallen

OWASP CRS 2.2.9

CRS 2.2.9 bevat 10 regelgroepen, zoals wordt weergegeven in de volgende tabel. Elke groep bevat meerdere regels, die kunnen worden uitgeschakeld.

Notitie

CRS 2.2.9 wordt niet meer ondersteund voor nieuwe WAF-beleidsregels. U wordt aangeraden een upgrade uit te voeren naar de nieuwste CRS 3.2/DRS 2.1 en hogere versies.

Naam van regelgroep Beschrijving
crs_20_protocol_violations Beveiligen tegen protocolschendingen (zoals ongeldige tekens of een GET met een aanvraagbody)
crs_21_protocol_anomalies Beveiligen tegen onjuiste headergegevens
crs_23_request_limits Beveiligen tegen argumenten of bestanden die de beperkingen overschrijden
crs_30_http_policy Beveiligen tegen beperkte methoden, headers en bestandstypen
crs_35_bad_robots Beveiligen tegen webcrawlers en scanners
crs_40_generic_attacks Bescherming tegen algemene aanvallen (zoals sessiefixatie, opname van externe bestanden en PHP-injectie)
crs_41_sql_injection_attacks Bescherming tegen SQL-injectieaanvallen
crs_41_xss_attacks Beveiligen tegen aanvallen met scripts op meerdere sites
crs_42_tight_security Beveiligen tegen pad-traversal-aanvallen
crs_45_trojans Beschermen tegen backdoor trojans

Bot Manager 1.0

De regelset Bot Manager 1.0 biedt bescherming tegen schadelijke bots en detectie van goede bots. De regels bieden gedetailleerde controle over bots die door WAF worden gedetecteerd door botverkeer te categoriseren als goed, slecht of onbekend bots.

Regelgroep Beschrijving
BadBots Beschermen tegen slechte bots
GoodBots Goede bots identificeren
UnknownBots Onbekende bots identificeren

Bot Manager 1.1

De regelset Bot Manager 1.1 is een verbetering van bot manager 1.0-regelset. Het biedt verbeterde bescherming tegen schadelijke bots en verhoogt de detectie van goede bot.

Regelgroep Beschrijving
BadBots Beschermen tegen slechte bots
GoodBots Goede bots identificeren
UnknownBots Onbekende bots identificeren

De volgende regelgroepen en -regels zijn beschikbaar bij het gebruik van Web Application Firewall in Application Gateway.

2.1 regelsets

Algemeen

RuleId Beschrijving
200002 Kan aanvraagbody niet parseren.
200003 Hoofdtekst van aanvraag met meerdere onderdelen is strikte validatie mislukt

METHODE AFDWINGEN

RuleId Beschrijving
911100 Methode is niet toegestaan door beleid

PROTOCOL-ENFORCEMENT

RuleId Beschrijving
920100 Ongeldige HTTP-aanvraagregel
920120 Poging tot bypass van meerdere onderdelen/formuliergegevens
920121 Poging tot bypass van meerdere onderdelen/formuliergegevens
920160 HTTP-header met inhoudslengte is niet numeriek.
920170 GET- of HEAD-aanvraag met hoofdtekstinhoud.
920171 GET- of HEAD-aanvraag met overdrachtscodering.
920180 POST-aanvraag ontbreekt in de header Content-Length.
920181 Headers voor inhoudslengte en overdrachtscodering zijn aanwezig 99001003
920190 Bereik: Ongeldige laatste bytewaarde.
920200 Bereik: Te veel velden (6 of meer)
920201 Bereik: Te veel velden voor pdf-aanvraag (35 of meer)
920210 Er zijn meerdere/conflicterende verbindingsheadergegevens gevonden.
920220 Aanvalspoging van URL-codering
920230 Meerdere URL-codering gedetecteerd
920240 Aanvalspoging van URL-codering
920260 Aanvalspoging met Unicode volledige/halve breedte
920270 Ongeldig teken in aanvraag (null-teken)
920271 Ongeldig teken in aanvraag (niet-afdrukbare tekens)
920280 Aanvraag ontbreekt een hostheader
920290 Lege hostheader
920300 Aanvraag voor het ontbreken van een acceptheader
920310 Aanvraag heeft een lege acceptheader
920311 Aanvraag heeft een lege acceptheader
920320 Header van gebruikersagent ontbreekt
920330 Lege header van gebruikersagent
920340 Aanvraag met inhoud, maar koptekst inhoud ontbreekt
920341 Voor een aanvraag met inhoud is inhoudstypeheader vereist
920350 Hostheader is een numeriek IP-adres
920420 Inhoudstype aanvragen is niet toegestaan op beleid
920430 Http-protocolversie is niet toegestaan door beleid
920440 Url-bestandsextensie wordt beperkt door beleid
920450 HTTP-header wordt beperkt door beleid
920470 Ongeldige header van inhoudstype
920480 Charset inhoudstype aanvragen is niet toegestaan door beleid
920500 Poging om toegang te krijgen tot een back-up- of werkbestand

PROTOCOL-ATTACK

RuleId Beschrijving
921110 HTTP-aanvraagsmokkelaanval
921120 HTTP Response Splitting Attack
921130 HTTP Response Splitting Attack
921140 HTTP-headerinjectieaanval via headers
921150 HTTP-headerinjectieaanval via nettolading (CR/LF gedetecteerd)
921151 HTTP-headerinjectieaanval via nettolading (CR/LF gedetecteerd)
921160 HTTP Header Injection Attack via payload (CR/LF en header-name gedetecteerd)
921190 HTTP-splitsing (CR/LF in aanvraagbestand gedetecteerd)
921200 LDAP-injectieaanval

LFI - Lokale bestandsopname

RuleId Beschrijving
930100 Pad doorkruisingsaanval (/.. /)
930110 Pad doorkruisingsaanval (/.. /)
930120 Poging tot toegang tot besturingssysteembestand
930130 Poging tot beperkte bestandstoegang

RFI - Externe bestandsopname

RuleId Beschrijving
931100 Mogelijke RFI-aanval (Remote File Inclusion): URL-parameter met behulp van IP-adres
931110 Mogelijke RFI-aanval (Remote File Inclusion): Common RFI Vulnerable Parameter Name used w/URL Payload
931120 Mogelijke RFI-aanval (Remote File Inclusion): URL-nettolading gebruikt met vraagteken (?)
931130 Mogelijke RFI-aanval (Remote File Inclusion): Off-Domain Reference/Link

RCE - Uitvoering van externe opdracht

RuleId Beschrijving
932100 Uitvoering van externe opdracht: Unix-opdrachtinjectie
932105 Uitvoering van externe opdracht: Unix-opdrachtinjectie
932110 Uitvoering van externe opdracht: Windows-opdrachtinjectie
932115 Uitvoering van externe opdracht: Windows-opdrachtinjectie
932120 Uitvoering van externe opdracht: Windows PowerShell-opdracht gevonden
932130 Uitvoering van externe opdracht: Beveiligingsprobleem met Unix Shell Expression of Confluence (CVE-2022-26134) gevonden
932140 Uitvoering van externe opdracht: Windows FOR/IF-opdracht gevonden
932150 Uitvoering van externe opdracht: directe uitvoering van Unix-opdrachten
932160 Uitvoering van externe opdracht: Unix Shell-code gevonden
932170 Uitvoering van externe opdracht: Shellshock (CVE-2014-6271)
932171 Uitvoering van externe opdracht: Shellshock (CVE-2014-6271)
932180 Poging tot uploaden van beperkte bestanden

PHP-aanvallen

RuleId Beschrijving
933100 PHP-injectieaanval: openen/sluiten tag gevonden
933110 PHP-injectieaanval: UPLOAD van PHP-scriptbestand gevonden
933120 PHP-injectieaanval: configuratierichtlijn gevonden
933130 PHP-injectieaanval: variabelen gevonden
933140 PHP-injectieaanval: I/O Stream gevonden
933150 PHP-injectieaanval: naam van php-functie met hoog risico gevonden
933151 PHP-injectieaanval: naam van php-functie met gemiddeld risico gevonden
933160 PHP-injectieaanval: aanroep van de PHP-functie met een hoog risico gevonden
933170 PHP-injectieaanval: geserialiseerde objectinjectie
933180 PHP-injectieaanval: variabele functieaanroep gevonden
933200 PHP-injectieaanval: Wrapper-schema gedetecteerd
933210 PHP-injectieaanval: variabele functieaanroep gevonden

JS-aanvallen voor knooppunten

RuleId Beschrijving
934100 Node.js injectieaanval

XSS - Script uitvoeren op meerdere sites

RuleId Beschrijving
941100 XSS-aanval gedetecteerd via libinjection
941101 XSS-aanval gedetecteerd via libinjection.
Deze regel detecteert aanvragen met een referer-header .
941110 XSS-filter - Categorie 1: Script Tag Vector
941120 XSS-filter - Categorie 2: Gebeurtenishandlervector
941130 XSS-filter - categorie 3: kenmerkvector
941140 XSS-filter - categorie 4: JavaScript-URI-vector
941150 XSS-filter - categorie 5: niet-toegestane HTML-kenmerken
941160 NoScript XSS InjectionChecker: HTML-injectie
941170 NoScript XSS InjectionChecker: kenmerkinjectie
941180 Trefwoorden voor knooppuntvalidatielijst
941190 XSS met opmaakmodellen
941200 XSS met VML-frames
941210 XSS met verborgen JavaScript
941220 XSS met verborgen VB-script
941230 XSS met de tag 'insluiten'
941240 XSS met het kenmerk 'import' of 'implementation'
941250 IE XSS-filters - Aanval gedetecteerd.
941260 XSS met behulp van metatag
941270 XSS met 'link' href
941280 XSS met behulp van de tag Base
941290 XSS met de tag 'applet'
941300 XSS met behulp van objecttag
941310 US-ASCII Malformed Encoding XSS Filter - Aanval gedetecteerd.
941320 Mogelijke XSS-aanval gedetecteerd - HTML-taghandler
941330 IE XSS-filters - Aanval gedetecteerd.
941340 IE XSS-filters - Aanval gedetecteerd.
941350 UTF-7 Encoding IE XSS - Aanval gedetecteerd.
941360 JavaScript-verdoofing gedetecteerd.
941370 Globale JavaScript-variabele gevonden
941380 Sjablooninjectie aan de clientzijde van AngularJS gedetecteerd

SQLI - SQL-injectie

RuleId Beschrijving
942100 SQL-injectieaanval gedetecteerd via libinjection
942110 SQL-injectieaanval: Veelvoorkomende injectietests gedetecteerd
942120 SQL-injectieaanval: SQL-operator gedetecteerd
942130 SQL-injectieaanval: SQL Tautology detected.
942140 SQL-injectieaanval: Veelvoorkomende DB-namen gedetecteerd
942150 SQL-injectieaanval
942160 Detecteert blinde sqli-tests met behulp van sleep() of benchmark().
942170 Detecteert sql-benchmark- en slaapinjectiepogingen, inclusief voorwaardelijke query's
942180 Detecteert eenvoudige SQL-verificatie-bypasspogingen 1/3
942190 Detecteert het uitvoeren van MSSQL-code en het verzamelen van gegevens
942200 Detecteert MySQL comment-/space-obfuscated injecties en backtick-beëindiging
942210 Detecteert gekoppelde SQL-injectiepogingen 1/2
942220 Op zoek naar overloopaanvallen voor gehele getallen, deze worden overgenomen van skipfish, behalve 3.0.0073850720072007e-308 is de "magic number" crash
942230 Detecteert voorwaardelijke SQL-injectiepogingen
942240 Detecteert mySQL charset-switch en MSSQL DoS-pogingen
942250 Detecteert MATCH AGAINST, MERGE en EXECUTE IMMEDIATE injecties
942260 Detecteert het omzeilen van eenvoudige SQL-verificatiepogingen 2/3
942270 Op zoek naar eenvoudige SQL-injectie. Algemene aanvalsreeks voor mysql, oracle en andere.
942280 Detecteert Postgres pg_sleep injectie, wacht op vertragingen en pogingen om de database uit te sluiten
942290 Zoekt eenvoudige MongoDB SQL-injectiepogingen
942300 Detecteert MySQL-opmerkingen, -voorwaarden en ch(a)r-injecties
942310 Detecteert gekoppelde SQL-injectiepogingen 2/2
942320 Detecteert opgeslagen procedure/functie-injecties van MySQL en PostgreSQL
942330 Detecteert klassieke SQL-injectieprobings 1/2
942340 Detecteert het omzeilen van eenvoudige SQL-verificatiepogingen 3/3
942350 Detecteert MySQL UDF-injectie en andere pogingen tot manipulatie van gegevens/structuur
942360 Detecteert samengevoegde sql-injectie en SQLLFI-pogingen
942361 Detecteert eenvoudige SQL-injectie op basis van trefwoorden wijzigen of samenvoegen
942370 Detecteert klassieke SQL-injectieprobings 2/2
942380 SQL-injectieaanval
942390 SQL-injectieaanval
942400 SQL-injectieaanval
942410 SQL-injectieaanval
942430 Beperkte anomaliedetectie van SQL-tekens (args): aantal speciale tekens overschreden (12)
942440 SQL-opmerkingenreeks gedetecteerd
942450 Geïdentificeerde SQL Hex-codering
942460 Waarschuwing voor anomaliedetectie met metatekens - terugkerende niet-Word-tekens
942470 SQL-injectieaanval
942480 SQL-injectieaanval
942500 MySQL-in-line opmerking gedetecteerd.
942510 SQLi bypasspoging door tikken of backticks gedetecteerd.

SESSION-FIXATION

RuleId Beschrijving
943100 Mogelijke sessiefixatieaanval: Cookiewaarden instellen in HTML
943110 Mogelijke sessiefixatie-aanval: Naam van sessie-ID-parameter met referrer van het externe domein
943120 Mogelijke sessiefixatie-aanval: Naam van sessie-id-parameter zonder verwijzing

JAVA-aanvallen

RuleId Beschrijving
944100 Uitvoering van externe opdrachten: Apache Struts, Oracle WebLogic
944110 Detecteert mogelijke uitvoering van nettoladingen
944120 Mogelijke uitvoering van nettolading en uitvoering van externe opdrachten
944130 Verdachte Java-klassen
944200 Exploitatie van Java deserialization Apache Commons
944210 Mogelijk gebruik van Java-serialisatie
944240 Uitvoering van externe opdracht: Java-serialisatie en Log4j-beveiligingsprobleem (CVE-2021-44228, CVE-2021-45046)
944250 Uitvoering van externe opdracht: Verdachte Java-methode gedetecteerd

MS-ThreatIntel-WebShells

RuleId Beschrijving
99005002 Web Shell Interaction Attempt (POST)
99005003 Uploadpoging van Web Shell (POST) - CHOPPER PHP
99005004 Uploadpoging van Web Shell (POST) - CHOPPER ASPX
99005005 Interactiepoging webshell
99005006 Spring4Shell-interactiepoging

MS-ThreatIntel-AppSec

RuleId Beschrijving
99030001 Pad Doorkruising in headers (/.. /./.. /)
99030002 Pad doorkruising in aanvraagtekst (/.). /./.. /)

MS-ThreatIntel-SQLI

RuleId Beschrijving
99031001 SQL-injectieaanval: Veelvoorkomende injectietests gedetecteerd
99031002 SQL-opmerkingenreeks gedetecteerd.
99031003 SQL-injectieaanval
99031004 Detecteert het omzeilen van eenvoudige SQL-verificatiepogingen 2/3

MS-ThreatIntel-CVE's

RuleId Beschrijving
99001001 Poging tot F5 tmui (CVE-2020-5902) REST API-exploitatie met bekende referenties
99001002 Poging tot Citrix NSC_USER directory traversal CVE-2019-19781
99001003 Poging tot exploitatie van Atlassian Confluence Widget Connector CVE-2019-3396
99001004 Poging tot aangepaste pulse Secure-sjabloonuitbuiting CVE-2020-8243
99001005 Poging tot conversie van conversieprogramma van SharePoint-type CVE-2020-0932
99001006 Poging tot doorkruising van Pulse Connect-directory CVE-2019-11510
99001007 Poging om junos OS J-Web lokaal bestand in te nemen CVE-2020-1631
99001008 Poging tot fortinet-pad traversal CVE-2018-13379
99001009 Poging tot Apache struts ognl injectie CVE-2017-5638
99001010 Poging tot Apache struts ognl injectie CVE-2017-12611
99001011 Poging tot Oracle WebLogic-pad traversal CVE-2020-14882
99001012 Poging telerik WebUI onveilige deserialisatie-exploitatie CVE-2019-18935
99001013 Poging tot onveilige XML-deserialisatie van SharePoint-CVE-2019-0604
99001014 Poging tot Spring Cloud-routing-expression injectie CVE-2022-22963
99001015 Poging tot het misbruiken van onveilige Spring Framework-klasseobjecten CVE-2022-22965
99001016 Poging tot Spring Cloud Gateway Actuator injectie CVE-2022-22947
99001017* Poging tot uploaden van Apache Struts-bestand CVE-2023-50164

*De actie van deze regel is standaard ingesteld op logboekregistratie. Stel actie in op Blokkeren om te voorkomen dat Apache Struts-beveiligingsproblemen worden voorkomen. Anomaliescore wordt niet ondersteund voor deze regel.

Notitie

Wanneer u de logboeken van uw WAF bekijkt, ziet u mogelijk regel-id 949110. De beschrijving van de regel kan inkomende anomaliescore zijn overschreden.

Deze regel geeft aan dat de totale anomaliescore voor de aanvraag de maximaal toegestane score heeft overschreden. Zie Anomaliescore voor meer informatie.

Volgende stappen