Udostępnij za pośrednictwem

Zapora aplikacji internetowej DRS i grupy reguł CRS i reguły

  • Artykuł

Zestawy reguł zarządzanych przez platformę Azure w zaporze aplikacji internetowej usługi Application Gateway aktywnie chronią aplikacje internetowe przed typowymi lukami w zabezpieczeniach i programami wykorzystującymi luki w zabezpieczeniach. Te zestawy reguł zarządzane przez platformę Azure otrzymują aktualizacje w razie potrzeby w celu ochrony przed nowymi sygnaturami ataków. Domyślny zestaw reguł zawiera również reguły zbierania danych analizy zagrożeń firmy Microsoft. Zespół ds. analizy firmy Microsoft współpracuje w pisaniu tych reguł, zapewniając ulepszone pokrycie, konkretne poprawki luk w zabezpieczeniach i ulepszoną fałszywie dodatnią redukcję.

Istnieje również możliwość używania reguł zdefiniowanych na podstawie podstawowych zestawów reguł OWASP 3.2, 3.1, 3.0 lub 2.2.9.

Reguły można wyłączyć indywidualnie lub ustawić określone akcje dla każdej reguły. W tym artykule wymieniono dostępne bieżące reguły i zestawy reguł. Jeśli opublikowany zestaw reguł wymaga aktualizacji, udokumentowamy ją tutaj.

Uwaga

Po zmianie wersji zestawu reguł w zasadach zapory aplikacji internetowej wszelkie istniejące dostosowania wprowadzone w zestawie reguł zostaną zresetowane do ustawień domyślnych dla nowego zestawu reguł. Zobacz: Uaktualnianie lub zmienianie wersji zestawu reguł.

Domyślne zestawy reguł

Domyślny zestaw reguł zarządzanych przez platformę Azure (DRS) obejmuje reguły dotyczące następujących kategorii zagrożeń:

  • Skrypty między witrynami
  • Ataki w języku Java
  • Włączenie plików lokalnych
  • Ataki iniekcyjne w języku PHP
  • Zdalne wykonywanie poleceń
  • Włączenie plików zdalnych
  • Fiksacja sesji
  • Ochrona przed atakami polegającymi na iniekcji SQL
  • Osoby atakujące protokół Numer wersji drS zwiększa się po dodaniu nowych podpisów ataków do zestawu reguł.

Reguły zbierania danych analizy zagrożeń firmy Microsoft

Reguły zbierania danych analizy zagrożeń firmy Microsoft są napisane we współpracy z zespołem analizy zagrożeń firmy Microsoft w celu zapewnienia zwiększonego pokrycia, poprawek dla określonych luk w zabezpieczeniach i lepszej fałszywie dodatniej redukcji.

Uwaga

Skorzystaj z poniższych wskazówek, aby dostroić zaporę aplikacji internetowej podczas pracy z programem 2.1 w zaporze aplikacji internetowej usługi Application Gateway. Szczegóły reguł zostały opisane w dalszej części.

Identyfikator zasady Grupa reguł opis Szczegóły
942110 SQLI Atak polegający na wstrzyknięciu kodu SQL: wykryto typowe testy iniekcji Wyłącz, zastąpione przez regułę MSTIC 99031001
942150 SQLI Atak polegający na wstrzyknięciu kodu SQL Wyłącz, zastąpione przez regułę MSTIC 99031003
942260 SQLI Wykrywa podstawowe próby obejścia uwierzytelniania SQL 2/3 Wyłącz, zastąpione przez regułę MSTIC 99031004
942430 SQLI Wykrywanie anomalii ograniczonego znaku SQL (args): liczba znaków specjalnych przekroczyła (12) Wyłącz, Zbyt wiele wyników fałszywie dodatnich.
942440 SQLI Wykryto sekwencję komentarzy SQL Wyłącz, zastąpione przez regułę MSTIC 99031002
99005006 MS-ThreatIntel-WebShells Próba interakcji z programem Spring4Shell Zachowaj włączoną regułę, aby zapobiec lukom w zabezpieczeniach programu SpringShell
99001014 MS-ThreatIntel-CVEs Podjęto próbę wstrzyknięcia wyrażenia routingu Spring Cloud CVE-2022-22963 Zachowaj włączoną regułę, aby zapobiec lukom w zabezpieczeniach programu SpringShell
99001015 MS-ThreatIntel-WebShells Podjęto próbę wykorzystania niebezpiecznych obiektów klasy Spring Framework CVE-2022-22965 Zachowaj włączoną regułę, aby zapobiec lukom w zabezpieczeniach programu SpringShell
99001016 MS-ThreatIntel-WebShells Podjęto próbę wstrzyknięcia siłownika spring Cloud Gateway CVE-2022-22947 Zachowaj włączoną regułę, aby zapobiec lukom w zabezpieczeniach programu SpringShell
99001017 MS-ThreatIntel-CVEs Podjęto próbę przekazania pliku Apache Struts cve-2023-50164 Ustaw akcję na Blokuj, aby zapobiec lukom w zabezpieczeniach apache Struts. Wynik anomalii nie jest obsługiwany dla tej reguły.

Podstawowe zestawy reguł

Zapora aplikacji internetowej usługi Application Gateway jest domyślnie wstępnie skonfigurowana z usługą CRS 3.2, ale możesz użyć dowolnej innej obsługiwanej wersji crS.

CrS 3.2 oferuje nowy aparat i nowe zestawy reguł chroniące przed wstrzyknięciami języka Java, początkowy zestaw kontroli przekazywania plików i mniej wyników fałszywie dodatnich w porównaniu z wcześniejszymi wersjami crS. Możesz również dostosować reguły zgodnie z twoimi potrzebami. Dowiedz się więcej na temat nowego aparatu zapory aplikacji internetowej platformy Azure.

Zarządza regułami

Zapora aplikacji internetowej chroni przed następującymi lukami w zabezpieczeniach sieci Web:

  • Ataki polegających na wstrzyknięciu kodu SQL
  • Ataki skryptowe obejmujące wiele witryn
  • Inne typowe ataki, takie jak wstrzykiwanie poleceń, przemyt żądań HTTP, dzielenie odpowiedzi HTTP i zdalne dołączanie plików
  • Naruszenia protokołu HTTP
  • Anomalie protokołu HTTP, takie jak brak agenta użytkownika hosta i akceptowanie nagłówków
  • Boty, przeszukiwarki i skanery
  • Typowe błędy konfiguracji aplikacji (na przykład Apache i IIS)

Dostrajanie zarządzanych zestawów reguł

Zarówno drS, jak i CRS są domyślnie włączone w trybie wykrywania w zasadach zapory aplikacji internetowej. Możesz wyłączyć lub włączyć poszczególne reguły w zestawie reguł zarządzanych, aby spełnić wymagania aplikacji. Można również ustawić określone akcje na regułę. Usługa DRS/CRS obsługuje akcje oceny bloków, dzienników i anomalii. Zestaw reguł usługi Bot Manager obsługuje akcje zezwalania, blokowania i rejestrowania.

Czasami może być konieczne pominięcie niektórych atrybutów żądania z oceny zapory aplikacji internetowej. Typowym przykładem są wstawiane tokeny usługi Active Directory, które są używane do uwierzytelniania. Wykluczenia można skonfigurować do zastosowania, gdy są oceniane określone reguły zapory aplikacji internetowej, lub stosować globalnie do oceny wszystkich reguł zapory aplikacji internetowej. Reguły wykluczania mają zastosowanie do całej aplikacji internetowej. Aby uzyskać więcej informacji, zobacz Web Application Firewall (WAF) with Application Gateway exclusion lists (Zapora aplikacji internetowej) z listami wykluczeń usługi Application Gateway.

Domyślnie usługa DRS w wersji 2.1 / CRS w wersji 3.2 lub nowszej używa oceniania anomalii, gdy żądanie pasuje do reguły. System CRS 3.1 lub nowszy domyślnie blokuje dopasowywanie żądań. Ponadto reguły niestandardowe można skonfigurować w tych samych zasadach zapory aplikacji internetowej, jeśli chcesz pominąć dowolną ze wstępnie skonfigurowanych reguł w zestawie reguł podstawowych.

Reguły niestandardowe są zawsze stosowane przed obliczeniu reguł w zestawie reguł podstawowych. Jeśli żądanie pasuje do reguły niestandardowej, zostanie zastosowana odpowiednia akcja reguły. Żądanie jest zablokowane lub przekazywane do zaplecza. Żadne inne reguły niestandardowe ani reguły w zestawie reguł podstawowych nie są przetwarzane.

Ocenianie anomalii

W przypadku korzystania z usług CRS lub DRS 2.1 lub nowszych zapora aplikacji internetowej jest domyślnie skonfigurowana do używania oceniania anomalii. Ruch zgodny z dowolną regułą nie jest natychmiast blokowany, nawet jeśli zapora aplikacji internetowej jest w trybie zapobiegania. Zamiast tego zestawy reguł OWASP definiują ważność dla każdej reguły: Krytyczne, Błąd, Ostrzeżenie lub Powiadomienie. Ważność ma wpływ na wartość liczbową żądania, która jest nazywana wynikiem anomalii:

Ważność reguły Wartość przyczyniła się do wyniku anomalii
Krytyczne 5
Błąd 100
Ostrzeżenie 3
Uwaga 2

Jeśli wynik anomalii wynosi 5 lub większy, a zapora aplikacji internetowej jest w trybie zapobiegania, żądanie zostanie zablokowane. Jeśli wynik anomalii wynosi 5 lub większy, a zapora aplikacji internetowej jest w trybie wykrywania, żądanie jest rejestrowane, ale nie jest blokowane.

Na przykład pojedyncze dopasowanie reguły krytycznej wystarczy, aby zapora aplikacji internetowej zablokowała żądanie w trybie zapobiegania, ponieważ ogólny wynik anomalii wynosi 5. Jednak jedno dopasowanie reguły ostrzeżenia zwiększa tylko wynik anomalii o 3, co nie wystarczy, aby zablokować ruch. Po wyzwoleniu reguły anomalii w dziennikach zostanie wyświetlona akcja "Dopasowane". Jeśli wynik anomalii ma wartość 5 lub większą, istnieje osobna reguła wyzwalana za pomocą akcji "Zablokowane" lub "Wykryto" w zależności od tego, czy zasady zapory aplikacji internetowej są w trybie zapobiegania lub wykrywania. Aby uzyskać więcej informacji, zobacz Tryb oceniania anomalii.

Uaktualnianie lub zmienianie wersji zestawu reguł

Jeśli uaktualniasz lub przypisujesz nową wersję zestawu reguł i chcesz zachować istniejące przesłonięcia i wykluczenia reguł, zaleca się użycie programu PowerShell, interfejsu wiersza polecenia, interfejsu API REST lub szablonów w celu wprowadzenia zmian wersji zestawu reguł. Nowa wersja zestawu reguł może mieć nowsze reguły, dodatkowe grupy reguł i mogą mieć aktualizacje istniejących podpisów w celu wymuszenia lepszych zabezpieczeń i zmniejszenia liczby wyników fałszywie dodatnich. Zaleca się zweryfikowanie zmian w środowisku testowym, dostrojenie w razie potrzeby, a następnie wdrożenie w środowisku produkcyjnym.

Uwaga

Jeśli używasz witryny Azure Portal do przypisywania nowego zarządzanego zestawu reguł do zasad zapory aplikacji internetowej, wszystkie poprzednie dostosowania istniejącego zestawu reguł zarządzanych, takie jak stan reguły, akcje reguły i wykluczenia na poziomie reguły, zostaną zresetowane do ustawień domyślnych nowego zarządzanego zestawu reguł. Jednak wszystkie niestandardowe reguły, ustawienia zasad i wykluczenia globalne pozostaną nienaruszone podczas nowego przypisania zestawu reguł. Przed wdrożeniem w środowisku produkcyjnym należy ponownie zdefiniować przesłonięcia reguł i zweryfikować zmiany.

DRS 2.1

Reguły drS 2.1 zapewniają lepszą ochronę niż wcześniejsze wersje usługi DRS. Obejmuje ona więcej reguł opracowanych przez zespół ds. analizy zagrożeń firmy Microsoft i aktualizacje podpisów w celu zmniejszenia liczby wyników fałszywie dodatnich. Obsługuje również przekształcenia wykraczające poza dekodowanie adresów URL.

Usługa DRS 2.1 zawiera 17 grup reguł, jak pokazano w poniższej tabeli. Każda grupa zawiera wiele reguł i można dostosować zachowanie poszczególnych reguł, grup reguł lub całego zestawu reguł. Usługa DRS 2.1 jest oparta na planie bazowym zestawu reguł open Web Application Security Project (OWASP) Core Rule Set (CRS) 3.3.2 i zawiera dodatkowe reguły ochrony własności opracowane przez zespół ds. analizy zagrożeń firmy Microsoft.

Grupa reguł ruleGroupName opis
Ogólne Ogólne Grupa ogólna
WYMUSZANIE METODY SPOSÓB-WYMUSZENIE Metody blokady (PUT, PATCH)
WYMUSZANIE PROTOKOŁU PROTOKUŁ-WYMUSZENIE Ochrona przed problemami z protokołem i kodowaniem
ATAK PROTOKOŁU PROTOKÓŁ-ATAK Ochrona przed wstrzyknięciem nagłówka, przemytem żądań i podziałem odpowiedzi
APPLICATION-ATTACK-LFI LFI Ochrona przed atakami na pliki i ścieżki
APPLICATION-ATTACK-RFI RFI Ochrona przed atakami zdalnego dołączania plików (RFI)
APPLICATION-ATTACK-RCE RCE Ponownie chroń ataki zdalnego wykonywania kodu
APPLICATION-ATTACK-PHP PHP Ochrona przed atakami polegającymi na wstrzyknięciu kodu PHP
APPLICATION-ATTACK-NodeJS NODEJS Ochrona przed atakami Node JS
APPLICATION-ATTACK-XSSS XSS Ochrona przed atakami skryptowymi między witrynami
APPLICATION-ATTACK-SQLI SQLI Ochrona przed atakami polegającymi na wstrzyknięciu kodu SQL
APPLICATION-ATTACK-SESSION-FIXATION FIX Ochrona przed atakami naprawiania sesji
APPLICATION-ATTACK-SESSION-JAVA JAWA Ochrona przed atakami java
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Ochrona przed atakami powłoki internetowej
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec Ochrona przed atakami AppSec
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI Ochrona przed atakami SQLI
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs Ochrona przed atakami CVE

OWASP CRS 3.2

CrS 3.2 zawiera 14 grup reguł, jak pokazano w poniższej tabeli. Każda grupa zawiera wiele reguł, które można wyłączyć. Zestaw reguł jest oparty na wersji OWASP CRS 3.2.0.

Uwaga

CrS 3.2 jest dostępny tylko w jednostce SKU WAF_v2. Ponieważ system CRS 3.2 działa w nowym aurze zapory aplikacji internetowej platformy Azure, nie można obniżyć do wersji CRS 3.1 lub starszej. Jeśli musisz obniżyć dół, skontaktuj się z pomocą techniczną platformy Azure.

Nazwa grupy reguł opis
Ogólne Grupa ogólna
ZNANE CVES Pomoc w wykrywaniu nowych i znanych CVE
REQUEST-911-METHOD-ENFORCEMENT Metody blokady (PUT, PATCH)
REQUEST-913-SCANNER-DETECTION Ochrona przed skanerami portów i środowisk
REQUEST-920-PROTOCOL-ENFORCEMENT Ochrona przed problemami z protokołem i kodowaniem
REQUEST-921-PROTOCOL-ATTACK Ochrona przed wstrzyknięciem nagłówka, przemytem żądań i podziałem odpowiedzi
REQUEST-930-APPLICATION-ATTACK-LFI Ochrona przed atakami na pliki i ścieżki
REQUEST-931-APPLICATION-ATTACK-RFI Ochrona przed atakami zdalnego dołączania plików (RFI)
REQUEST-932-APPLICATION-ATTACK-RCE Ponownie chroń ataki zdalnego wykonywania kodu
REQUEST-933-APPLICATION-ATTACK-PHP Ochrona przed atakami polegającymi na wstrzyknięciu kodu PHP
REQUEST-941-APPLICATION-ATTACK-XSS Ochrona przed atakami skryptowymi między witrynami
REQUEST-942-APPLICATION-ATTACK-SQLI Ochrona przed atakami polegającymi na wstrzyknięciu kodu SQL
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Ochrona przed atakami naprawiania sesji
REQUEST-944-APPLICATION-ATTACK-JAVA Ochrona przed atakami java

OWASP CRS 3.1

CrS 3.1 zawiera 14 grup reguł, jak pokazano w poniższej tabeli. Każda grupa zawiera wiele reguł, które można wyłączyć. Zestaw reguł jest oparty na wersji OWASP CRS 3.1.1.

Uwaga

CrS 3.1 jest dostępny tylko w jednostce SKU WAF_v2.

Nazwa grupy reguł opis
Ogólne Grupa ogólna
ZNANE CVES Pomoc w wykrywaniu nowych i znanych CVE
REQUEST-911-METHOD-ENFORCEMENT Metody blokady (PUT, PATCH)
REQUEST-913-SCANNER-DETECTION Ochrona przed skanerami portów i środowisk
REQUEST-920-PROTOCOL-ENFORCEMENT Ochrona przed problemami z protokołem i kodowaniem
REQUEST-921-PROTOCOL-ATTACK Ochrona przed wstrzyknięciem nagłówka, przemytem żądań i podziałem odpowiedzi
REQUEST-930-APPLICATION-ATTACK-LFI Ochrona przed atakami na pliki i ścieżki
REQUEST-931-APPLICATION-ATTACK-RFI Ochrona przed atakami zdalnego dołączania plików (RFI)
REQUEST-932-APPLICATION-ATTACK-RCE Ponownie chroń ataki zdalnego wykonywania kodu
REQUEST-933-APPLICATION-ATTACK-PHP Ochrona przed atakami polegającymi na wstrzyknięciu kodu PHP
REQUEST-941-APPLICATION-ATTACK-XSS Ochrona przed atakami skryptowymi między witrynami
REQUEST-942-APPLICATION-ATTACK-SQLI Ochrona przed atakami polegającymi na wstrzyknięciu kodu SQL
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Ochrona przed atakami naprawiania sesji
REQUEST-944-APPLICATION-ATTACK-SESSION-JAVA Ochrona przed atakami java

OWASP CRS 3.0

CrS 3.0 zawiera 13 grup reguł, jak pokazano w poniższej tabeli. Każda grupa zawiera wiele reguł, które można wyłączyć. Zestaw reguł jest oparty na wersji OWASP CRS 3.0.0.

Nazwa grupy reguł opis
Ogólne Grupa ogólna
ZNANE CVES Pomoc w wykrywaniu nowych i znanych CVE
REQUEST-911-METHOD-ENFORCEMENT Metody blokady (PUT, PATCH)
REQUEST-913-SCANNER-DETECTION Ochrona przed skanerami portów i środowisk
REQUEST-920-PROTOCOL-ENFORCEMENT Ochrona przed problemami z protokołem i kodowaniem
REQUEST-921-PROTOCOL-ATTACK Ochrona przed wstrzyknięciem nagłówka, przemytem żądań i podziałem odpowiedzi
REQUEST-930-APPLICATION-ATTACK-LFI Ochrona przed atakami na pliki i ścieżki
REQUEST-931-APPLICATION-ATTACK-RFI Ochrona przed atakami zdalnego dołączania plików (RFI)
REQUEST-932-APPLICATION-ATTACK-RCE Ponownie chroń ataki zdalnego wykonywania kodu
REQUEST-933-APPLICATION-ATTACK-PHP Ochrona przed atakami polegającymi na wstrzyknięciu kodu PHP
REQUEST-941-APPLICATION-ATTACK-XSS Ochrona przed atakami skryptowymi między witrynami
REQUEST-942-APPLICATION-ATTACK-SQLI Ochrona przed atakami polegającymi na wstrzyknięciu kodu SQL
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Ochrona przed atakami naprawiania sesji

OWASP CRS 2.2.9

CrS 2.2.9 zawiera 10 grup reguł, jak pokazano w poniższej tabeli. Każda grupa zawiera wiele reguł, które można wyłączyć.

Uwaga

System CRS 2.2.9 nie jest już obsługiwany dla nowych zasad zapory aplikacji internetowej. Zalecamy uaktualnienie do najnowszej wersji CRS 3.2/DRS 2.1 i nowszych.

Nazwa grupy reguł opis
crs_20_protocol_violations Ochrona przed naruszeniami protokołu (na przykład nieprawidłowymi znakami lub żądaniem GET z treścią żądania)
crs_21_protocol_anomalies Ochrona przed nieprawidłowymi informacjami nagłówka
crs_23_request_limits Ochrona przed argumentami lub plikami, które przekraczają ograniczenia
crs_30_http_policy Ochrona przed ograniczonymi metodami, nagłówkami i typami plików
crs_35_bad_robots Ochrona przed przeszukiwarkami internetowymi i skanerami
crs_40_generic_attacks Ochrona przed atakami ogólnymi (takimi jak naprawianie sesji, zdalne dołączanie plików i wstrzykiwanie kodu PHP)
crs_41_sql_injection_attacks Ochrona przed atakami polegającymi na wstrzyknięciu kodu SQL
crs_41_xss_attacks Ochrona przed atakami skryptowymi między witrynami
crs_42_tight_security Ochrona przed atakami przechodzenia ścieżki
crs_45_trojans Ochrona przed trojanami backdoor

Bot Manager 1.0

Zestaw reguł usługi Bot Manager 1.0 zapewnia ochronę przed złośliwymi botami i wykrywaniem dobrych botów. Reguły zapewniają szczegółową kontrolę nad botami wykrytymi przez zaporę aplikacji internetowej przez kategoryzowanie ruchu bota jako Dobre, Złe lub Nieznane boty.

Grupa reguł opis
BadBots Ochrona przed złymi botami
GoodBots Identyfikowanie dobrych botów
UnknownBots Identyfikowanie nieznanych botów

Bot Manager 1.1

Zestaw reguł usługi Bot Manager 1.1 to ulepszenie zestawu reguł usługi Bot Manager 1.0. Zapewnia on rozszerzoną ochronę przed złośliwymi botami i zwiększa dobre wykrywanie botów.

Grupa reguł opis
BadBots Ochrona przed złymi botami
GoodBots Identyfikowanie dobrych botów
UnknownBots Identyfikowanie nieznanych botów

Następujące grupy reguł i reguły są dostępne w przypadku korzystania z zapory aplikacji internetowej w usłudze Application Gateway.

Zestawy reguł 2.1

Ogólne

RuleId opis
200002 Nie można przeanalizować treści żądania.
200003 Treść żądania wieloczęściowego nie powiodła się ścisłej walidacji

WYMUSZANIE METODY

RuleId opis
911100 Metoda nie jest dozwolona przez zasady

PROTOKUŁ-WYMUSZENIE

RuleId opis
920100 Nieprawidłowy wiersz żądania HTTP
920120 Podjęto próbę obejścia danych wieloczęściowych/formularzy
920121 Podjęto próbę obejścia danych wieloczęściowych/formularzy
920160 Nagłówek HTTP o długości zawartości nie jest numeryczny.
920170 Żądanie GET lub HEAD z treścią.
920171 Żądanie GET lub HEAD z kodowaniem transferu.
920180 Brak nagłówka content-length żądania POST.
920181 Nagłówki Content-Length i Transfer-Encoding są obecne 99001003
920190 Zakres: nieprawidłowa wartość ostatniego bajtu.
920200 Zakres: zbyt wiele pól (co najmniej 6)
920201 Zakres: zbyt wiele pól dla żądania pdf (co najmniej 35)
920210 Znaleziono wiele/konfliktowe dane nagłówka połączenia.
920220 Próba ataku na nadużycie kodowania adresów URL
920230 Wykryto kodowanie wielu adresów URL
920240 Próba ataku na nadużycie kodowania adresów URL
920260 Próba ataku na ataki typu Full/Half Width Unicode
920270 Nieprawidłowy znak w żądaniu (znak null)
920271 Nieprawidłowy znak w żądaniu (znaki niedrukowalne)
920280 Żądanie braku nagłówka hosta
920290 Pusty nagłówek hosta
920300 Żądanie braku nagłówka accept
920310 Żądanie ma pusty nagłówek Accept
920311 Żądanie ma pusty nagłówek Accept
920320 Brak nagłówka agenta użytkownika
920330 Pusty nagłówek agenta użytkownika
920340 Żądanie zawierające zawartość, ale brak nagłówka Content-Type
920341 Żądanie zawierające zawartość wymaga nagłówka Content-Type
920350 Nagłówek hosta jest numerycznym adresem IP
920420 Typ zawartości żądania nie jest dozwolony przez zasady
920430 Wersja protokołu HTTP nie jest dozwolona przez zasady
920440 Rozszerzenie pliku adresu URL jest ograniczone przez zasady
920450 Nagłówek HTTP jest ograniczony przez zasady
920470 Nagłówek niedozwolonego typu zawartości
920480 Żądanie typu zawartości charset nie jest dozwolone przez zasady
920500 Próba uzyskania dostępu do kopii zapasowej lub działającego pliku

PROTOKÓŁ-ATAK

RuleId opis
921110 Atak przemytu żądań HTTP
921120 Atak dzielenia odpowiedzi HTTP
921130 Atak dzielenia odpowiedzi HTTP
921140 Atak polegający na wstrzyknięciu nagłówka HTTP za pośrednictwem nagłówków
921150 Atak polegający na wstrzyknięciu nagłówka HTTP za pośrednictwem ładunku (wykryto cr/LF)
921151 Atak polegający na wstrzyknięciu nagłówka HTTP za pośrednictwem ładunku (wykryto cr/LF)
921160 Atak polegający na wstrzyknięciu nagłówka HTTP za pośrednictwem ładunku (wykryto wartość CR/LF i nazwę nagłówka)
921190 Dzielenie HTTP (CR/LF w wykrytej nazwie żądania)
921200 Atak polegający na wstrzyknięciu protokołu LDAP

LFI — włączenie plików lokalnych

RuleId opis
930100 Atak przechodzenia ścieżki (/.. /)
930110 Atak przechodzenia ścieżki (/.. /)
930120 Próba uzyskania dostępu do pliku systemu operacyjnego
930130 Próba dostępu do plików z ograniczeniami

RFI — włączenie plików zdalnych

RuleId opis
931100 Możliwy atak zdalnego dołączania plików (RFI): parametr adresu URL przy użyciu adresu IP
931110 Możliwy atak zdalnego dołączania plików (RFI): typowa nazwa parametru podatnego na ataki RFI używana w/URL ładunku
931120 Możliwy zdalny atak dołączania plików (RFI): ładunek adresu URL używany w/końcowy znak znaku zapytania (?)
931130 Możliwy atak zdalnego dołączania plików (RFI): odwołanie poza domeną/łącze

RCE — zdalne wykonywanie poleceń

RuleId opis
932100 Zdalne wykonywanie poleceń: Wstrzykiwanie poleceń w systemie Unix
932105 Zdalne wykonywanie poleceń: Wstrzykiwanie poleceń w systemie Unix
932110 Zdalne wykonywanie poleceń: iniekcja poleceń systemu Windows
932115 Zdalne wykonywanie poleceń: iniekcja poleceń systemu Windows
932120 Zdalne wykonywanie poleceń: znaleziono polecenie programu Windows PowerShell
932130 Zdalne wykonywanie poleceń: znaleziono lukę w zabezpieczeniach wyrażeniu powłoki unix lub confluence (CVE-2022-26134)
932140 Zdalne wykonywanie poleceń: znaleziono polecenie Windows FOR/IF
932150 Zdalne wykonywanie poleceń: bezpośrednie wykonywanie poleceń systemu Unix
932160 Zdalne wykonywanie poleceń: znaleziono kod powłoki systemu Unix
932170 Zdalne wykonywanie poleceń: Shellshock (CVE-2014-6271)
932171 Zdalne wykonywanie poleceń: Shellshock (CVE-2014-6271)
932180 Próba przekazania pliku z ograniczeniami

Ataki PHP

RuleId opis
933100 Atak polegający na wstrzyknięciu kodu PHP: znaleziono znacznik otwierający/zamykający
933110 Atak polegający na wstrzyknięciu kodu PHP: znaleziono plik skryptu PHP
933120 Atak polegający na wstrzyknięciu kodu PHP: znaleziono dyrektywę konfiguracji
933130 Atak polegający na wstrzyknięciu kodu PHP: znalezione zmienne
933140 Atak polegający na wstrzyknięciu kodu PHP: Znaleziono strumień we/wy
933150 Atak polegający na wstrzyknięciu kodu PHP: znaleziono nazwę funkcji PHP o wysokim ryzyku
933151 Atak polegający na wstrzyknięciu kodu PHP: znaleziona nazwa funkcji PHP o średnim ryzyku
933160 Atak polegający na wstrzyknięciu kodu PHP: znaleziono wywołanie funkcji PHP o wysokim ryzyku
933170 Atak polegający na wstrzyknięciu kodu PHP: wstrzyknięcie obiektu serializowanego
933180 Atak polegający na wstrzyknięciu kodu PHP: znaleziono wywołanie funkcji zmiennej
933200 Atak polegający na wstrzyknięciu kodu PHP: wykryto schemat otoki
933210 Atak polegający na wstrzyknięciu kodu PHP: znaleziono wywołanie funkcji zmiennej

Ataki js węzła

RuleId opis
934100 atak polegający na wstrzyknięciu Node.js

XSS — skrypty między witrynami

RuleId opis
941100 Wykryto atak XSS za pośrednictwem libinjection
941101 Wykryto atak XSS za pośrednictwem libinjection.
Ta reguła wykrywa żądania z nagłówkiem referera .
941110 Filtr XSS — kategoria 1: wektor tagu skryptu
941120 Filtr XSS — kategoria 2: wektor obsługi zdarzeń
941130 Filtr XSS — kategoria 3: wektor atrybutu
941140 Filtr XSS — kategoria 4: wektor identyfikatora URI języka JavaScript
941150 Filtr XSS — kategoria 5: niedozwolone atrybuty HTML
941160 NoScript XSS InjectionChecker: wstrzykiwanie kodu HTML
941170 NoScript XSS InjectionChecker: Iniekcja atrybutów
941180 Słowa kluczowe listy bloków modułu sprawdzania poprawności węzła
941190 XSS korzystające z arkuszy stylów
941200 XSS z ramkami VML
941210 Usługa XSS korzystająca z zaciemnionego kodu JavaScript
941220 XSS używający zaciemnionego skryptu VB
941230 XSS przy użyciu tagu "embed"
941240 XSS używający atrybutu "import" lub "implementation"
941250 Filtry IE XSS — wykryto atak.
941260 XSS używający tagu "meta"
941270 XSS przy użyciu elementu href "link"
941280 XSS używający tagu "base"
941290 XSS przy użyciu tagu "apletu"
941300 XSS przy użyciu tagu "object"
941310 Us-ASCII źle sformułowany kodowanie XSS Filter — wykryto atak.
941320 Wykryto możliwy atak XSS — procedura obsługi tagów HTML
941330 Filtry IE XSS — wykryto atak.
941340 Filtry IE XSS — wykryto atak.
941350 Kodowanie UTF-7 IE XSS — wykryto atak.
941360 Wykryto zaciemnianie języka JavaScript.
941370 Znaleziono zmienną globalną języka JavaScript
941380 Wykryto wstrzyknięcie szablonu po stronie klienta AngularJS

SQLI — iniekcja SQL

RuleId opis
942100 Wykryto atak polegający na wstrzyknięciu kodu SQL za pośrednictwem libinjection
942110 Atak polegający na wstrzyknięciu kodu SQL: wykryto typowe testy iniekcji
942120 Atak polegający na wstrzyknięciu kodu SQL: wykryto operator SQL
942130 Atak polegający na wstrzyknięciu kodu SQL: wykryto tautologię SQL.
942140 Atak polegający na wstrzyknięciu kodu SQL: wykryto typowe nazwy baz danych
942150 Atak polegający na wstrzyknięciu kodu SQL
942160 Wykrywa ślepe testy sqli przy użyciu funkcji sleep() lub benchmark().
942170 Wykrywa próby testu porównawczego SQL i iniekcji snu, w tym zapytania warunkowe
942180 Wykrywa podstawowe próby obejścia uwierzytelniania SQL 1/3
942190 Wykrywa wykonywanie kodu MSSQL i próby zbierania informacji
942200 Wykrywa wstrzyknięcia komentarza MySQL/zaciemnione miejsca i zakończenie backtick
942210 Wykrywa łańcuchowe próby wstrzyknięcia kodu SQL 1/2
942220 Szukasz ataków przepełnienia liczb całkowitych, pochodzą one z skipfish, z wyjątkiem 3.0.00738585072007e-308 jest "liczbą magiczną" awarii
942230 Wykrywa próby wstrzyknięcia warunkowego kodu SQL
942240 Wykrywa przełącznik znaków MySQL i próby msSQL DoS
942250 Wykrywa iniekcje MATCH AGAINST, MERGE i EXECUTE IMMEDIATE
942260 Wykrywa podstawowe próby obejścia uwierzytelniania SQL 2/3
942270 Szukasz podstawowego iniekcji sql. Typowy ciąg ataku dla bazy danych mysql, wyroczni i innych.
942280 Wykrywa wstrzyknięcie pg_sleep Postgres, oczekiwanie na ataki opóźnione i próby zamknięcia bazy danych
942290 Znajduje podstawowe próby wstrzyknięcia kodu SQL bazy danych MongoDB
942300 Wykrywa komentarze, warunki i wstrzyknięcia bazy danych MySQL (a)r
942310 Wykrywa łańcuchowe próby wstrzyknięcia kodu SQL 2/2
942320 Wykrywa procedury składowane/iniekcje funkcji MySQL i PostgreSQL
942330 Wykrywa klasyczne sondowania iniekcji SQL 1/2
942340 Wykrywa podstawowe próby obejścia uwierzytelniania SQL 3/3
942350 Wykrywa iniekcję funkcji zdefiniowanej przez użytkownika mySQL i inne próby manipulowania danymi/strukturą
942360 Wykrywa połączoną podstawową iniekcję SQL i próby SQLLFI
942361 Wykrywa podstawowe wstrzyknięcie kodu SQL na podstawie zmiany słowa kluczowego lub unii
942370 Wykrywa klasyczne sondowania iniekcji SQL 2/2
942380 Atak polegający na wstrzyknięciu kodu SQL
942390 Atak polegający na wstrzyknięciu kodu SQL
942400 Atak polegający na wstrzyknięciu kodu SQL
942410 Atak polegający na wstrzyknięciu kodu SQL
942430 Wykrywanie anomalii ograniczonego znaku SQL (args): liczba znaków specjalnych przekroczyła (12)
942440 Wykryto sekwencję komentarzy SQL
942450 Zidentyfikowano kodowanie szesnastkowy SQL
942460 Alert wykrywania anomalii metaznacznych — powtarzające się znaki inne niż wyrazy
942470 Atak polegający na wstrzyknięciu kodu SQL
942480 Atak polegający na wstrzyknięciu kodu SQL
942500 Wykryto komentarz w wierszu bazy danych MySQL.
942510 Wykryto próbę obejścia SQLi przez znaczniki lub backticks.

SESJA-FIKSACJA

RuleId opis
943100 Możliwy atak naprawy sesji: ustawianie wartości plików cookie w kodzie HTML
943110 Możliwy atak naprawy sesji: nazwa parametru SessionID z odwołaniem poza domeną
943120 Możliwy atak naprawy sesji: nazwa parametru SessionID bez odwołania

Ataki java

RuleId opis
944100 Zdalne wykonywanie poleceń: Apache Struts, Oracle WebLogic
944110 Wykrywa potencjalne wykonanie ładunku
944120 Możliwe wykonywanie ładunku i zdalne wykonywanie poleceń
944130 Podejrzane klasy języka Java
944200 Wykorzystanie deserializacji języka Java Apache Commons
944210 Możliwe użycie serializacji języka Java
944240 Zdalne wykonywanie poleceń: luka w zabezpieczeniach dotycząca serializacji Java i log4j (CVE-2021-44228, CVE-2021-45046)
944250 Zdalne wykonywanie poleceń: wykryto podejrzaną metodę Java

MS-ThreatIntel-WebShells

RuleId opis
99005002 Próba interakcji z powłoką internetową (POST)
99005003 Próba przekazania powłoki internetowej (POST) — CHOPPER PHP
99005004 Próba przekazania powłoki internetowej (POST) — CHOPPER ASPX
99005005 Próba interakcji z powłoką internetową
99005006 Próba interakcji z programem Spring4Shell

MS-ThreatIntel-AppSec

RuleId opis
99030001 Uchylanie się od przechodzenia ścieżki w nagłówkach (/.. /./.. /)
99030002 Uchylanie się od przechodzenia ścieżki w treści żądania (/.. /./.. /)

MS-ThreatIntel-SQLI

RuleId opis
99031001 Atak polegający na wstrzyknięciu kodu SQL: wykryto typowe testy iniekcji
99031002 Wykryto sekwencję komentarzy SQL.
99031003 Atak polegający na wstrzyknięciu kodu SQL
99031004 Wykrywa podstawowe próby obejścia uwierzytelniania SQL 2/3

MS-ThreatIntel-CVEs

RuleId opis
99001001 Podjęto próbę użycia interfejsu API REST W języku F5 tmui (CVE-2020-5902) Ze znanymi poświadczeniami
99001002 Podjęto próbę przejścia katalogu Citrix NSC_USER CVE-2019-19781
99001003 Podjęto próbę wykorzystania łącznika widżetu Confluence Atlassian CVE-2019-3396
99001004 Próba wykorzystania szablonu niestandardowego Pulse Secure CVE-2020-8243
99001005 Próba wykorzystania konwertera typów programu SharePoint CVE-2020-0932
99001006 Próba przejścia katalogu Pulse Connect CVE-2019-11510
99001007 Podjęto próbę dołączenia lokalnego pliku junos J-Web CVE-2020-1631
99001008 Podjęto próbę przejścia ścieżki fortinet CVE-2018-13379
99001009 Podjęto próbę wstrzyknięcia struts apache ognl CVE-2017-5638
99001010 Podjęto próbę wstrzyknięcia struts platformy Apache CVE-2017-12611
99001011 Podjęto próbę przejścia ścieżki Oracle WebLogic CVE-2020-14882
99001012 Podjęto próbę wykorzystania niezabezpieczonego deserializacji telerik WebUI CVE-2019-18935
99001013 Podjęto próbę deserializacji XML niezabezpieczonego programu SharePoint CVE-2019-0604
99001014 Podjęto próbę wstrzyknięcia wyrażenia routingu Spring Cloud CVE-2022-22963
99001015 Podjęto próbę wykorzystania niebezpiecznych obiektów klasy Spring Framework CVE-2022-22965
99001016 Podjęto próbę wstrzyknięcia siłownika spring Cloud Gateway CVE-2022-22947
99001017* Podjęto próbę przekazania pliku Apache Struts cve-2023-50164

*Ta reguła jest domyślnie ustawiona na rejestrowanie. Ustaw akcję na Blokuj, aby zapobiec lukom w zabezpieczeniach apache Struts. Wynik anomalii nie jest obsługiwany dla tej reguły.

Uwaga

Podczas przeglądania dzienników zapory aplikacji internetowej może zostać wyświetlony identyfikator reguły 949110. Opis reguły może zawierać wynik anomalii dla ruchu przychodzącego przekroczony.

Ta reguła wskazuje, że łączny wynik anomalii dla żądania przekroczył maksymalny dozwolony wynik. Aby uzyskać więcej informacji, zobacz Anomaly scoring (Ocenianie anomalii).

Następne kroki