DRS-regelgrupper och regler i Web Application Firewall (WAF)
Azure Web Application Firewall i Azure Front Door skyddar webbprogram från vanliga sårbarheter och sårbarheter. Azure-hanterade regeluppsättningar är ett enkelt sätt att distribuera skydd mot en gemensam uppsättning säkerhetshot. Eftersom Azure hanterar dessa regeluppsättningar uppdateras reglerna efter behov för att skydda mot nya attacksignaturer.
Standardregeluppsättningen (DRS) innehåller även Microsoft Threat Intelligence Collection-reglerna som är skrivna i samarbete med Microsoft Intelligence-teamet för att ge ökad täckning, korrigeringar för specifika sårbarheter och bättre falsk positiv minskning.
Kommentar
När en regeluppsättningsversion ändras i en WAF-princip återställs alla befintliga anpassningar som du har gjort till regeluppsättningen till standardinställningarna för den nya regeluppsättningen. Se: Uppgradera eller ändra regeluppsättningsversion.
Standardregeluppsättningar
Azure-hanterad DRS innehåller regler mot följande hotkategorier:
- Skriptkörning över flera webbplatser
- Java-attacker
- Lokal fil inkludering
- PHP-inmatningsattacker
- Fjärrkommandokörning
- Fjärrfilinkludering
- Sessionsfixering
- Skydd mot SQL-inmatning
- Protokollangripare
Versionsnumret för DRS ökar när nya attacksignaturer läggs till i regeluppsättningen.
DRS är aktiverat som standard i identifieringsläge i dina WAF-principer. Du kan inaktivera eller aktivera enskilda regler i DRS för att uppfylla dina programkrav. Du kan också ange specifika åtgärder per regel. De tillgängliga åtgärderna är Tillåt, Blockera, Logga och Omdirigering.
Ibland kan du behöva utelämna vissa begärandeattribut från en WAF-utvärdering (Web Application Firewall). Ett vanligt exempel är Active Directory-infogade token som används för autentisering. Du kan konfigurera en undantagslista för en hanterad regel, en regelgrupp eller hela regeluppsättningen. Mer information finns i Azure Web Application Firewall på Azure Front Door-undantagslistor.
Som standard använder DRS version 2.0 och senare avvikelsebedömning när en begäran matchar en regel. DRS-versioner tidigare än 2.0-blockbegäranden som utlöser reglerna. Anpassade regler kan också konfigureras i samma WAF-princip om du vill kringgå någon av de förkonfigurerade reglerna i DRS.
Anpassade regler tillämpas alltid innan regler i DRS utvärderas. Om en begäran matchar en anpassad regel tillämpas motsvarande regelåtgärd. Begäran blockeras eller skickas till serverdelen. Inga andra anpassade regler eller reglerna i DRS bearbetas. Du kan också ta bort DRS från dina WAF-principer.
Microsoft Threat Intelligence Collection-regler
Microsoft Threat Intelligence Collection-reglerna är skrivna i samarbete med Microsoft Threat Intelligence-teamet för att ge ökad täckning, korrigeringar för specifika sårbarheter och bättre falska positiva minskningar.
Som standard ersätter Microsoft Threat Intelligence Collection-reglerna några av de inbyggda DRS-reglerna, vilket gör att de inaktiveras. Till exempel har regel-ID 942440, SQL Comment Sequence Detected, inaktiverats och ersatts av Microsoft Threat Intelligence Collection-regeln 99031002. Den ersatta regeln minskar risken för falska positiva identifieringar från legitima begäranden.
Avvikelsebedömning
När du använder DRS 2.0 eller senare använder din WAF avvikelsebedömning. Trafik som matchar alla regler blockeras inte omedelbart, även när din WAF är i förebyggande läge. I stället definierar OWASP-regeluppsättningarna en allvarlighetsgrad för varje regel: Kritisk, Fel, Varning eller Meddelande. Allvarlighetsgraden påverkar ett numeriskt värde för begäran, som kallas avvikelsepoäng. Om en begäran ackumulerar en avvikelsepoäng på 5 eller högre vidtar WAF åtgärden för begäran.
| Allvarlighetsgrad för regel | Värde som har bidragit till avvikelsepoäng |
|---|---|
| Kritiskt | 5 |
| Fel | 4 |
| Varning | 3 |
| Obs! | 2 |
När du konfigurerar din WAF kan du bestämma hur WAF hanterar begäranden som överskrider tröskelvärdet för avvikelsepoäng på 5. De tre alternativen för avvikelsepoäng är Block, Log eller Redirect. Den åtgärd för avvikelsepoäng som du väljer vid tidpunkten för konfigurationen tillämpas på alla begäranden som överskrider tröskelvärdet för avvikelsepoäng.
Om till exempel avvikelsepoängen är 5 eller högre för en begäran och WAF är i förebyggande läge med avvikelsepoängsåtgärden inställd på Blockera, blockeras begäran. Om avvikelsepoängen är 5 eller högre för en begäran och WAF är i identifieringsläge loggas begäran men blockeras inte.
En enda kritisk regelmatchning räcker för att WAF ska blockera en begäran i förebyggande läge med åtgärden för avvikelsepoäng inställd på Blockera eftersom den övergripande avvikelsepoängen är 5. En varningsregelmatchning ökar dock bara avvikelsepoängen med 3, vilket inte räcker för att blockera trafiken. När en avvikelseregel utlöses visas en "matchad" åtgärd i loggarna. Om avvikelsepoängen är 5 eller högre utlöses en separat regel med åtgärden för avvikelsepoäng konfigurerad för regeluppsättningen. Standardåtgärden för avvikelsepoäng är Blockera, vilket resulterar i en loggpost med åtgärden blocked.
När din WAF använder en äldre version av standardregeluppsättningen (före DRS 2.0) körs din WAF i traditionellt läge. Trafik som matchar en regel betraktas oberoende av andra regelmatchningar. I traditionellt läge har du inte insyn i den fullständiga uppsättningen regler som en specifik begäran matchade.
Den version av DRS som du använder avgör också vilka innehållstyper som stöds för kontroll av begärandetext. Mer information finns i Vilka innehållstyper stöder WAF? i Vanliga frågor och svar.
Uppgradera eller ändra regeluppsättningsversion
Om du uppgraderar eller tilldelar en ny regeluppsättningsversion och vill bevara befintliga regel åsidosättningar och undantag rekommenderar vi att du använder PowerShell, CLI, REST API eller mallar för att göra regeluppsättningsversionsändringar. En ny version av en regeluppsättning kan ha nyare regler, ytterligare regelgrupper och kan ha uppdateringar av befintliga signaturer för att upprätthålla bättre säkerhet och minska falska positiva identifieringar. Vi rekommenderar att du verifierar ändringar i en testmiljö, finjusterar om det behövs och sedan distribuerar i en produktionsmiljö.
Kommentar
Om du använder Azure Portal för att tilldela en ny hanterad regeluppsättning till en WAF-princip återställs alla tidigare anpassningar från den befintliga hanterade regeluppsättningen, till exempel regeltillstånd, regelåtgärder och regelnivåundantag till standardinställningarna för den nya hanterade regeluppsättningen. Anpassade regler eller principinställningar påverkas dock inte under tilldelningen av den nya regeluppsättningen. Du måste omdefiniera regel åsidosättningar och verifiera ändringar innan du distribuerar i en produktionsmiljö.
DRS 2.1
DRS 2.1-regler ger bättre skydd än tidigare versioner av DRS. Den innehåller andra regler som utvecklats av Microsoft Threat Intelligence-teamet och uppdateringar av signaturer för att minska falska positiva identifieringar. Den stöder även transformeringar utöver bara URL-avkodning.
DRS 2.1 innehåller 17 regelgrupper, enligt följande tabell. Varje grupp innehåller flera regler och du kan anpassa beteendet för enskilda regler, regelgrupper eller en hel regeluppsättning. DRS 2.1 har baslinje från OWASP(Open Web Application Security Project) Core Rule Set (CRS) 3.3.2 och innehåller ytterligare skyddsregler som utvecklats av Microsoft Threat Intelligence-teamet.
Mer information finns i Justera brandväggen för webbaserade program (WAF) för Azure Front Door.
Kommentar
DRS 2.1 är endast tillgängligt på Azure Front Door Premium.
| Regelgrupp | ruleGroupName | beskrivning |
|---|---|---|
| Allmänt | Allmänt | Allmän grupp |
| METODFRAMTVINGANDE | METOD-TILLÄMPNING | Låsningsmetoder (PUT, PATCH) |
| PROTOKOLLTILLÄMPNING | PROTOKOLL-TILLÄMPNING | Skydda mot protokoll- och kodningsproblem |
| PROTOKOLLATTACK | PROTOKOLL–ATTACK | Skydda mot huvudinmatning, smuggling av begäranden och delning av svar |
| APPLICATION-ATTACK-LFI | LFI | Skydda mot fil- och sökvägsattacker |
| APPLICATION-ATTACK-RFI | RFI | Skydda mot RFI-attacker (remote file inclusion) |
| APPLICATION-ATTACK-RCE | RCE | Skydda igen fjärrkodkörningsattacker |
| APPLICATION-ATTACK-PHP | PHP | Skydda mot PHP-inmatningsattacker |
| APPLICATION-ATTACK-NodeJS | NODEJS | Skydda mot Node JS-attacker |
| APPLICATION-ATTACK-XSS | XSS | Skydda mot skriptattacker mellan webbplatser |
| APPLICATION-ATTACK-SQLI | SQLI | Skydda mot SQL-inmatningsattacker |
| APPLICATION-ATTACK-SESSION-FIXATION | FIX | Skydda mot sessionskorrigeringsattacker |
| APPLICATION-ATTACK-SESSION-JAVA | JAVA | Skydda mot JAVA-attacker |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Skydda mot web shell-attacker |
| MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | Skydda mot AppSec-attacker |
| MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | Skydda mot SQLI-attacker |
| MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Skydda mot CVE-attacker |
Inaktiverade regler
Följande regler är inaktiverade som standard för DRS 2.1.
| Regel-ID | Regelgrupp | beskrivning | Detaljer |
|---|---|---|---|
| 942110 | SQLI | SQL-inmatningsattack: Vanliga inmatningstester har identifierats | Ersatt av MSTIC-regel 99031001 |
| 942150 | SQLI | SQL-inmatningsattack | Ersatt av MSTIC-regel 99031003 |
| 942260 | SQLI | Identifierar grundläggande SQL-autentisering som kringgår försök 2/3 | Ersatt av MSTIC-regel 99031004 |
| 942430 | SQLI | Begränsad SQL-teckenavvikelseidentifiering (args): antal specialtecken som överskridits (12) | För många falska positiva identifieringar |
| 942440 | SQLI | SQL-kommentarssekvens identifierad | Ersatt av MSTIC-regel 99031002 |
| 99005006 | MS-ThreatIntel-WebShells | Spring4Shell-interaktionsförsök | Aktivera regel för att förhindra SpringShell-sårbarhet |
| 99001014 | MS-ThreatIntel-CVEs | Försök till Spring Cloud routing-expression injection CVE-2022-22963 | Aktivera regel för att förhindra SpringShell-sårbarhet |
| 99001015 | MS-ThreatIntel-WebShells | Försök till spring framework osäker klassobjekt utnyttjande CVE-2022-22965 | Aktivera regel för att förhindra SpringShell-sårbarhet |
| 99001016 | MS-ThreatIntel-WebShells | Provad Spring Cloud Gateway-aktuatorinmatning CVE-2022-22947 | Aktivera regel för att förhindra SpringShell-sårbarhet |
| 99001017 | MS-ThreatIntel-CVEs | Apache Struts-filuppladdningsförsök cve-2023-50164. | Aktivera regel för att förhindra apache struts-sårbarhet |
DRS 2.0
DRS 2.0-regler ger bättre skydd än tidigare versioner av DRS. DRS 2.0 stöder även transformeringar utöver bara URL-avkodning.
DRS 2.0 innehåller 17 regelgrupper, enligt följande tabell. Varje grupp innehåller flera regler. Du kan inaktivera enskilda regler och hela regelgrupper.
Kommentar
DRS 2.0 är endast tillgängligt på Azure Front Door Premium.
| Regelgrupp | ruleGroupName | beskrivning |
|---|---|---|
| Allmänt | Allmänt | Allmän grupp |
| METODFRAMTVINGANDE | METOD-TILLÄMPNING | Låsningsmetoder (PUT, PATCH) |
| PROTOKOLLTILLÄMPNING | PROTOKOLL-TILLÄMPNING | Skydda mot protokoll- och kodningsproblem |
| PROTOKOLLATTACK | PROTOKOLL–ATTACK | Skydda mot huvudinmatning, smuggling av begäranden och delning av svar |
| APPLICATION-ATTACK-LFI | LFI | Skydda mot fil- och sökvägsattacker |
| APPLICATION-ATTACK-RFI | RFI | Skydda mot RFI-attacker (remote file inclusion) |
| APPLICATION-ATTACK-RCE | RCE | Skydda igen fjärrkodkörningsattacker |
| APPLICATION-ATTACK-PHP | PHP | Skydda mot PHP-inmatningsattacker |
| APPLICATION-ATTACK-NodeJS | NODEJS | Skydda mot Node JS-attacker |
| APPLICATION-ATTACK-XSS | XSS | Skydda mot skriptattacker mellan webbplatser |
| APPLICATION-ATTACK-SQLI | SQLI | Skydda mot SQL-inmatningsattacker |
| APPLICATION-ATTACK-SESSION-FIXATION | FIX | Skydda mot sessionskorrigeringsattacker |
| APPLICATION-ATTACK-SESSION-JAVA | JAVA | Skydda mot JAVA-attacker |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Skydda mot web shell-attacker |
| MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | Skydda mot AppSec-attacker |
| MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | Skydda mot SQLI-attacker |
| MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Skydda mot CVE-attacker |
DRS 1.1
| Regelgrupp | ruleGroupName | beskrivning |
|---|---|---|
| PROTOKOLLATTACK | PROTOKOLL–ATTACK | Skydda mot huvudinmatning, smuggling av begäranden och delning av svar |
| APPLICATION-ATTACK-LFI | LFI | Skydda mot fil- och sökvägsattacker |
| APPLICATION-ATTACK-RFI | RFI | Skydd mot fjärrfilinkluderingsattacker |
| APPLICATION-ATTACK-RCE | RCE | Skydd mot fjärrkommandokörning |
| APPLICATION-ATTACK-PHP | PHP | Skydda mot PHP-inmatningsattacker |
| APPLICATION-ATTACK-XSS | XSS | Skydda mot skriptattacker mellan webbplatser |
| APPLICATION-ATTACK-SQLI | SQLI | Skydda mot SQL-inmatningsattacker |
| APPLICATION-ATTACK-SESSION-FIXATION | FIX | Skydda mot sessionskorrigeringsattacker |
| APPLICATION-ATTACK-SESSION-JAVA | JAVA | Skydda mot JAVA-attacker |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Skydda mot web shell-attacker |
| MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | Skydda mot AppSec-attacker |
| MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | Skydda mot SQLI-attacker |
| MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Skydda mot CVE-attacker |
DRS 1.0
| Regelgrupp | ruleGroupName | beskrivning |
|---|---|---|
| PROTOKOLLATTACK | PROTOKOLL–ATTACK | Skydda mot huvudinmatning, smuggling av begäranden och delning av svar |
| APPLICATION-ATTACK-LFI | LFI | Skydda mot fil- och sökvägsattacker |
| APPLICATION-ATTACK-RFI | RFI | Skydd mot fjärrfilinkluderingsattacker |
| APPLICATION-ATTACK-RCE | RCE | Skydd mot fjärrkommandokörning |
| APPLICATION-ATTACK-PHP | PHP | Skydda mot PHP-inmatningsattacker |
| APPLICATION-ATTACK-XSS | XSS | Skydda mot skriptattacker mellan webbplatser |
| APPLICATION-ATTACK-SQLI | SQLI | Skydda mot SQL-inmatningsattacker |
| APPLICATION-ATTACK-SESSION-FIXATION | FIX | Skydda mot sessionskorrigeringsattacker |
| APPLICATION-ATTACK-SESSION-JAVA | JAVA | Skydda mot JAVA-attacker |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Skydda mot web shell-attacker |
| MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Skydda mot CVE-attacker |
Bot Manager 1.0
Bot Manager 1.0-regeluppsättningen ger skydd mot skadliga robotar och identifiering av bra robotar. Reglerna ger detaljerad kontroll över robotar som identifierats av WAF genom att kategorisera robottrafik som bra, dåliga eller okända robotar.
| Regelgrupp | beskrivning |
|---|---|
| BadBots | Skydda mot dåliga robotar |
| GoodBots | Identifiera bra robotar |
| UnknownBots | Identifiera okända robotar |
Bot Manager 1.1
Bot Manager 1.1-regeluppsättningen är en förbättring av Bot Manager 1.0-regeluppsättningen. Det ger förbättrat skydd mot skadliga robotar och ökar bra robotidentifiering.
| Regelgrupp | beskrivning |
|---|---|
| BadBots | Skydda mot dåliga robotar |
| GoodBots | Identifiera bra robotar |
| UnknownBots | Identifiera okända robotar |
Följande regelgrupper och regler är tillgängliga när du använder Azure Web Application Firewall på Azure Front Door.
2.1-regeluppsättningar
Allmänt
| RuleId | beskrivning |
|---|---|
| 200002 | Det gick inte att parsa begärandetexten |
| 200003 | Begärandetexten för flera delar misslyckades med strikt validering |
Metodframtvingande
| RuleId | beskrivning |
|---|---|
| 911100 | Metoden tillåts inte av principen |
Protokolltillämpning
| RuleId | beskrivning |
|---|---|
| 920100 | Ogiltig HTTP-begäranderad. |
| 920120 | Försök att kringgå flera delar/formulärdata. |
| 920121 | Försök att kringgå flera delar/formulärdata. |
| 920160 | HTTP-huvudet för innehållslängd är inte numeriskt. |
| 920170 | GET- eller HEAD-begäran med brödtextinnehåll. |
| 920171 | GET- eller HEAD-begäran med Transfer-Encoding. |
| 920180 | POST-begäran saknar rubrik för innehållslängd. |
| 920181 | Rubrikerna Content-Length och Transfer-Encoding presenterar 99001003. |
| 920190 | Intervall: Ogiltigt värde för senaste byte. |
| 920200 | Intervall: För många fält (6 eller fler). |
| 920201 | Intervall: För många fält för pdf-begäran (35 eller fler). |
| 920210 | Flera/motstridiga anslutningshuvuddata hittades. |
| 920220 | Försök till URL-kodning av missbruksattacker. |
| 920230 | Flera URL-kodning har identifierats. |
| 920240 | Försök till URL-kodning av missbruksattacker. |
| 920260 | Unicode Full/Half Width Abuse Attack Attempt. |
| 920270 | Ogiltigt tecken i begäran (nulltecken). |
| 920271 | Ogiltigt tecken i begäran (icke-utskrivbara tecken). |
| 920280 | Begär att ett värdhuvud saknas. |
| 920290 | Tomt värdhuvud. |
| 920300 | Begäran saknar ett accepthuvud. |
| 920310 | Begäran har ett tomt accepthuvud. |
| 920311 | Begäran har ett tomt accepthuvud. |
| 920320 | Användaragenthuvud saknas. |
| 920330 | Tom användaragentrubrik. |
| 920340 | Begäran som innehåller innehåll, men som saknar rubrik för innehållstyp. |
| 920341 | Begäran som innehåller innehåll kräver innehållstyprubrik. |
| 920350 | Värdrubriken är en numerisk IP-adress. |
| 920420 | Innehållstyp för begäran tillåts inte av principen. |
| 920430 | HTTP-protokollversion tillåts inte av principen. |
| 920440 | URL-filnamnstillägget begränsas av principen. |
| 920450 | HTTP-huvudet begränsas av principen. |
| 920470 | Ogiltigt rubrik för innehållstyp. |
| 920480 | Charset för begärandeinnehållstyp tillåts inte av principen. |
| 920500 | Försök att komma åt en säkerhetskopia eller arbetsfil. |
Protokollattack
| RuleId | beskrivning |
|---|---|
| 921110 | HTTP-begärandesmugglingsattack |
| 921120 | HTTP-svarsdelningsattack |
| 921130 | HTTP-svarsdelningsattack |
| 921140 | HTTP-rubrikinmatningsattack via rubriker |
| 921150 | HTTP-rubrikinmatningsattack via nyttolast (CR/LF har identifierats) |
| 921151 | HTTP-rubrikinmatningsattack via nyttolast (CR/LF har identifierats) |
| 921160 | HTTP-rubrikinmatningsattack via nyttolast (CR/LF och rubriknamn har identifierats) |
| 921190 | HTTP-delning (CR/LF i filnamnet för begäran har identifierats) |
| 921200 | LDAP-inmatningsattack |
LFI: Lokal filinkludering
| RuleId | beskrivning |
|---|---|
| 930100 | Väg bläddringsattack (/.. /) |
| 930110 | Väg bläddringsattack (/.. /) |
| 930120 | Försök att komma åt operativsystemets fil |
| 930130 | Försök till begränsad filåtkomst |
RFI: Fjärrfilinkludering
| RuleId | beskrivning |
|---|---|
| 931100 | Möjlig RFI-attack (Remote File Inclusion): URL-parameter med IP-adress |
| 931110 | Möjlig RFI-attack (Remote File Inclusion): Common RFI Vulnerable Parameter Name used w/URL Payload |
| 931120 | Möjlig RFI-attack (Remote File Inclusion): URL Payload Used w/Trailing Question Mark Character (?) |
| 931130 | Möjlig RFI-attack (Remote File Inclusion): Referens/länk utanför domänen |
RCE: Fjärrkommandokörning
| RuleId | beskrivning |
|---|---|
| 932100 | Fjärrkommandokörning: Unix-kommandoinmatning |
| 932105 | Fjärrkommandokörning: Unix-kommandoinmatning |
| 932110 | Fjärrkommandokörning: Windows-kommandoinmatning |
| 932115 | Fjärrkommandokörning: Windows-kommandoinmatning |
| 932120 | Fjärrkommandokörning: Windows PowerShell-kommandot hittades |
| 932130 | Fjärrkommandokörning: Unix Shell-uttryck eller sårbarhet för sammanflöde (CVE-2022-26134) hittades |
| 932140 | Fjärrkommandokörning: Windows FOR/IF-kommandot hittades |
| 932150 | Fjärrkommandokörning: Direct Unix-kommandokörning |
| 932160 | Fjärrkommandokörning: Unix Shell-kod hittades |
| 932170 | Fjärrkommandokörning: Shellshock (CVE-2014-6271) |
| 932171 | Fjärrkommandokörning: Shellshock (CVE-2014-6271) |
| 932180 | Försök att ladda upp begränsad fil |
PHP-attacker
| RuleId | beskrivning |
|---|---|
| 933100 | PHP-inmatningsattack: Öppna/stänga tagg hittades |
| 933110 | PHP-inmatningsattack: PHP-skriptfiluppladdning hittades |
| 933120 | PHP-inmatningsattack: Konfigurationsdirektivet hittades |
| 933130 | PHP-inmatningsattack: Variabler hittades |
| 933140 | PHP-inmatningsattack: I/O Stream hittades |
| 933150 | PHP-inmatningsattack: Php-funktionsnamn med hög risk hittades |
| 933151 | PHP-inmatningsattack: Php-funktionsnamn med medelhög risk hittades |
| 933160 | PHP-inmatningsattack: Php-funktionsanrop med hög risk hittades |
| 933170 | PHP-inmatningsattack: Serialiserad objektinmatning |
| 933180 | PHP-inmatningsattack: Variabelfunktionsanrop hittades |
| 933200 | PHP-inmatningsattack: Wrapper-schema har identifierats |
| 933210 | PHP-inmatningsattack: Variabelfunktionsanrop hittades |
Node JS-attacker
| RuleId | beskrivning |
|---|---|
| 934100 | Node.js inmatningsattack |
XSS: Skript mellan webbplatser
| RuleId | beskrivning |
|---|---|
| 941100 | XSS-attack identifierad via libinjection |
| 941101 | XSS-attack identifierad via libinjection Regeln identifierar begäranden med ett Referer huvud |
| 941110 | XSS-filter – kategori 1: Skripttaggvektor |
| 941120 | XSS-filter – kategori 2: Händelsehanterarvektor |
| 941130 | XSS-filter – Kategori 3: Attributvektor |
| 941140 | XSS-filter – kategori 4: JavaScript URI-vektor |
| 941150 | XSS-filter – kategori 5: Otillåtna HTML-attribut |
| 941160 | NoScript XSS InjectionChecker: HTML-inmatning |
| 941170 | NoScript XSS InjectionChecker: Attributinmatning |
| 941180 | Nyckelord för nodverifierare för blockeringslista |
| 941190 | XSS med formatmallar |
| 941200 | XSS med VML-ramar |
| 941210 | XSS med fördunklade JavaScript |
| 941220 | XSS med fördunklade VB-skript |
| 941230 | XSS med tagg embed |
| 941240 | XSS med hjälp av import eller implementation attribut |
| 941250 | IE XSS-filter – Attack har identifierats |
| 941260 | XSS med tagg meta |
| 941270 | XSS med href link |
| 941280 | XSS med tagg base |
| 941290 | XSS med tagg applet |
| 941300 | XSS med tagg object |
| 941310 | XSS-filter för felaktig kodning i US-ASCII – attack identifierad |
| 941320 | Möjlig XSS-attack identifierad – HTML-tagghanterare |
| 941330 | IE XSS-filter – Attack har identifierats |
| 941340 | IE XSS-filter – Attack har identifierats |
| 941350 | UTF-7-kodnings-IE XSS – Attack identifierad |
| 941360 | JavaScript-fördunkling har identifierats |
| 941370 | JavaScript global variabel hittades |
| 941380 | AngularJS-mallinmatning på klientsidan har identifierats |
SQLI: SQL-inmatning
| RuleId | beskrivning |
|---|---|
| 942100 | SQL-inmatningsattack identifierad via libinjection. |
| 942110 | SQL-inmatningsattack: Vanliga inmatningstester har identifierats. |
| 942120 | SQL-inmatningsattack: SQL-operatorn har identifierats. |
| 942140 | SQL-inmatningsattack: Vanliga DB-namn har identifierats. |
| 942150 | SQL-inmatningsattack. |
| 942160 | Identifierar blinda SQLI-tester med hjälp av sleep() eller benchmark(). |
| 942170 | Identifierar SQL-benchmark- och vilolägesinmatningsförsök, inklusive villkorsfrågor. |
| 942180 | Identifierar grundläggande SQL-autentisering som kringgår försök 1/3. |
| 942190 | Identifierar körning av MSSQL-kod och informationsinsamlingsförsök. |
| 942200 | Identifierar MySQL-kommentar-/space-obfuscated injektioner och backtick avslutning. |
| 942210 | Identifierar länkade SQL-inmatningsförsök 1/2. |
| 942220 | Letar du efter heltalsöverflödesattacker tas dessa från skipfish, förutom 3.0.00738585072007e-308 är den "magiska siffran" krasch. |
| 942230 | Identifierar försök till villkorlig SQL-inmatning. |
| 942240 | Identifierar MySQL-teckenuppsättningsväxeln och MSSQL DoS-försök. |
| 942250 | Identifierar MATCH AGAINST, MERGE och EXECUTE IMMEDIATE injections. |
| 942260 | Identifierar grundläggande SQL-autentisering som kringgår försök 2/3. |
| 942270 | Letar du efter grundläggande SQL-inmatning. Gemensam attacksträng för MySQL, Oracle och andra. |
| 942280 | Identifierar Postgres pg_sleep inmatning, väntar på fördröjningsattacker och försök till databasavstängning. |
| 942290 | Hittar grundläggande MongoDB SQL-inmatningsförsök. |
| 942300 | Identifierar MySQL-kommentarer, villkor och ch(a)r-injektioner. |
| 942310 | Identifierar länkade SQL-inmatningsförsök 2/2. |
| 942320 | Identifierar MySQL- och PostgreSQL-lagrade procedurer/funktionsinmatningar. |
| 942330 | Identifierar klassiska SQL-inmatningssökningar 1/2. |
| 942340 | Identifierar grundläggande SQL-autentisering förbikopplingsförsök 3/3. |
| 942350 | Identifierar MySQL UDF-inmatning och andra försök till data-/strukturmanipulering. |
| 942360 | Identifierar sammanfogade grundläggande SQL-inmatnings- och SQLLFI-försök. |
| 942361 | Identifierar grundläggande SQL-inmatning baserat på nyckelordsförändrande eller union. |
| 942370 | Identifierar klassiska SQL-inmatningssökningar 2/2. |
| 942380 | SQL-inmatningsattack. |
| 942390 | SQL-inmatningsattack. |
| 942400 | SQL-inmatningsattack. |
| 942410 | SQL-inmatningsattack. |
| 942430 | Begränsad SQL-teckenavvikelseidentifiering (args): antal specialtecken som överskridits (12). |
| 942440 | SQL-kommentarssekvensen har identifierats. |
| 942450 | SQL Hex-kodning identifierad. |
| 942460 | Avisering om avvikelseidentifiering av metatecken – repetitiva tecken som inte är ord. |
| 942470 | SQL-inmatningsattack. |
| 942480 | SQL-inmatningsattack. |
| 942500 | MySQL-kommentar på rad har identifierats. |
| 942510 | SQLi-förbikopplingsförsök av fästingar eller backticks har identifierats. |
Sessionsfixering
| RuleId | beskrivning |
|---|---|
| 943100 | Möjlig sessionskorrigeringsattack: Ange cookievärden i HTML |
| 943110 | Möjlig sessionskorrigeringsattack: Sessions-ID-parameternamn med off-domain referrer |
| 943120 | Möjlig sessionskorrigeringsattack: Sessions-ID-parameternamn utan referens |
Java-attacker
| RuleId | beskrivning |
|---|---|
| 944100 | Fjärrkommandokörning: Apache Struts, Oracle WebLogic |
| 944110 | Identifierar potentiell nyttolastkörning |
| 944120 | Möjlig körning av nyttolast och fjärrkommandokörning |
| 944130 | Misstänkta Java-klasser |
| 944200 | Utnyttjande av Java-deserialisering Apache Commons |
| 944210 | Möjlig användning av Java-serialisering |
| 944240 | Fjärrkommandokörning: Java-serialisering och Log4j-sårbarhet (CVE-2021-44228, CVE-2021-45046) |
| 944250 | Fjärrkommandokörning: Misstänkt Java-metod har identifierats |
MS-ThreatIntel-WebShells
| RuleId | beskrivning |
|---|---|
| 99005002 | Web Shell Interaction Attempt (POST) |
| 99005003 | Web Shell Upload Attempt (POST) – CHOPPER PHP |
| 99005004 | Web Shell Upload Attempt (POST) – CHOPPER ASPX |
| 99005005 | Interaktionsförsök för Web Shell |
| 99005006 | Spring4Shell-interaktionsförsök |
MS-ThreatIntel-AppSec
| RuleId | beskrivning |
|---|---|
| 99030001 | Path Traversal Evasion i Headers (/.. /./.. /) |
| 99030002 | Path Traversal Evasion in Request Body (/.. /./.. /) |
MS-ThreatIntel-SQLI
| RuleId | beskrivning |
|---|---|
| 99031001 | SQL-inmatningsattack: Vanliga inmatningstester har identifierats |
| 99031002 | SQL-kommentarssekvens identifierad |
| 99031003 | SQL-inmatningsattack |
| 99031004 | Identifierar grundläggande SQL-autentisering som kringgår försök 2/3 |
MS-ThreatIntel-CVEs
| RuleId | beskrivning |
|---|---|
| 99001001 | Försök till F5 tmui (CVE-2020-5902) REST API-exploatering med kända autentiseringsuppgifter |
| 99001002 | Citrix-NSC_USER katalog traverserings-CVE-2019-19781 |
| 99001003 | Försök till exploatering av Atlassian Confluence Widget Connector CVE-2019-3396 |
| 99001004 | Försökte Pulse Secure anpassad mall utnyttjande CVE-2020-8243 |
| 99001005 | Försök till exploatering av SharePoint-typkonverterare CVE-2020-0932 |
| 99001006 | Försökte Pulse Connect katalog traversering CVE-2019-11510 |
| 99001007 | Försökte Junos OS J-Web lokal fil inkludering CVE-2020-1631 |
| 99001008 | Fortinet-sökvägsförsök genom bläddrings-CVE-2018-13379 |
| 99001009 | Försök till Apache struts ognl injektion CVE-2017-5638 |
| 99001010 | Försök till Apache struts ognl injektion CVE-2017-12611 |
| 99001011 | Försök till Oracle WebLogic-sökvägsblädderings-CVE-2020-14882 |
| 99001012 | Försökte Telerik WebUI osäker deserialisering utnyttjande CVE-2019-18935 |
| 99001013 | Försök till osäker XML-deserialisering i SharePoint CVE-2019-0604 |
| 99001014 | Försök till Spring Cloud routing-expression injection CVE-2022-22963 |
| 99001015 | Försök till spring framework osäker klassobjekt utnyttjande CVE-2022-22965 |
| 99001016 | Provad Spring Cloud Gateway-aktuatorinmatning CVE-2022-22947 |
| 99001017 | Försök till Apache Struts-filuppladdningsexploatering CVE-2023-50164 |
Kommentar
När du granskar waf-loggarna kan du se regel-ID 949110. Beskrivningen av regeln kan innehålla inkommande avvikelsepoäng som överskridits.
Den här regeln anger att den totala avvikelsepoängen för begäran överskred den högsta tillåtna poängen. Mer information finns i Avvikelsebedömning.
När du justerar dina WAF-principer måste du undersöka de andra reglerna som utlöstes av begäran så att du kan justera WAF-konfigurationen. Mer information finns i Justera Azure Web Application Firewall för Azure Front Door.