Dela via

Drs- och CRS-regelgrupper och regler för brandväggen för webbaserade program

  • Artikel

De Azure-hanterade regeluppsättningarna i Application Gateway-brandväggen (WAF) skyddar aktivt webbprogram från vanliga sårbarheter och sårbarheter. Dessa regeluppsättningar, som hanteras av Azure, tar emot uppdateringar efter behov för att skydda mot nya attacksignaturer. Standardregeluppsättningen innehåller även Microsoft Threat Intelligence Collection-reglerna. Microsoft Intelligence-teamet samarbetar med att skriva dessa regler, säkerställa förbättrad täckning, specifika sårbarhetskorrigeringar och förbättrad falsk positiv minskning.

Du kan också använda regler som definieras baserat på OWASP-kärnregeluppsättningarna 3.2, 3.1, 3.0 eller 2.2.9.

Du kan inaktivera regler individuellt eller ange specifika åtgärder för varje regel. I den här artikeln visas de aktuella regler och regeluppsättningar som är tillgängliga. Om en publicerad regeluppsättning kräver en uppdatering dokumenterar vi den här.

Kommentar

När en regeluppsättningsversion ändras i en WAF-princip återställs alla befintliga anpassningar som du har gjort till regeluppsättningen till standardinställningarna för den nya regeluppsättningen. Se: Uppgradera eller ändra regeluppsättningsversion.

Standardregeluppsättningar

Den Azure-hanterade standardregeluppsättningen (DRS) innehåller regler mot följande hotkategorier:

  • Skriptkörning över flera webbplatser
  • Java-attacker
  • Lokal fil inkludering
  • PHP-inmatningsattacker
  • Fjärrkommandokörning
  • Fjärrfilinkludering
  • Sessionsfixering
  • Skydd mot SQL-inmatning
  • Protokollangreppare Versionsnumret för DRS ökar när nya attacksignaturer läggs till i regeluppsättningen.

Microsoft Threat Intelligence Collection-regler

Microsoft Threat Intelligence Collection-reglerna är skrivna i samarbete med Microsoft Threat Intelligence-teamet för att ge ökad täckning, korrigeringar för specifika sårbarheter och bättre falska positiva minskningar.

Kommentar

Använd följande vägledning för att finjustera WAF när du kommer igång med 2.1 på Application Gateway WAF. Information om reglerna beskrivs härnäst.

Regel-ID Regelgrupp beskrivning Detaljer
942110 SQLI SQL-inmatningsattack: Vanliga inmatningstester har identifierats Inaktivera, Ersatt av MSTIC-regel 99031001
942150 SQLI SQL-inmatningsattack Inaktivera, Ersatt av MSTIC-regel 99031003
942260 SQLI Identifierar grundläggande SQL-autentisering som kringgår försök 2/3 Inaktivera, Ersatt av MSTIC-regel 99031004
942430 SQLI Begränsad SQL-teckenavvikelseidentifiering (args): antal specialtecken som överskridits (12) Inaktivera, För många falska positiva identifieringar.
942440 SQLI SQL-kommentarssekvens identifierad Inaktivera, Ersatt av MSTIC-regel 99031002
99005006 MS-ThreatIntel-WebShells Spring4Shell-interaktionsförsök Behåll regeln aktiverad för att förhindra SpringShell-sårbarhet
99001014 MS-ThreatIntel-CVEs Försök till Spring Cloud routing-expression injection CVE-2022-22963 Behåll regeln aktiverad för att förhindra SpringShell-sårbarhet
99001015 MS-ThreatIntel-WebShells Försök till spring framework osäker klassobjekt utnyttjande CVE-2022-22965 Behåll regeln aktiverad för att förhindra SpringShell-sårbarhet
99001016 MS-ThreatIntel-WebShells Provad Spring Cloud Gateway-aktuatorinmatning CVE-2022-22947 Behåll regeln aktiverad för att förhindra SpringShell-sårbarhet
99001017 MS-ThreatIntel-CVEs Försök till Apache Struts-filuppladdningsexploatering CVE-2023-50164 Ställ in åtgärden på Blockera för att förhindra säkerhetsproblem med Apache Struts. Avvikelsepoäng stöds inte för den här regeln.

Core Rule Sets

Application Gateway WAF är förkonfigurerad med CRS 3.2 som standard, men du kan välja att använda andra CRS-versioner som stöds.

CRS 3.2 erbjuder en ny motor och nya regeluppsättningar som skyddar mot Java-inmatningar, en första uppsättning filuppladdningskontroller och färre falska positiva identifieringar jämfört med tidigare versioner av CRS. Du kan också anpassa regler efter dina behov. Läs mer om den nya Azure WAF-motorn.

Hanterar regler

WAF skyddar mot följande webbsårbarheter:

  • SQL-inmatningsattacker
  • Skriptattacker mellan webbplatser
  • Andra vanliga attacker, till exempel kommandoinmatning, HTTP-begärandesmuggling, HTTP-svarsdelning och fjärrfilinkludering
  • HTTP-protokollöverträdelser
  • HTTP-protokollavvikelser, till exempel saknade värdanvändaragenter och acceptera rubriker
  • Robotar, crawlers och skannrar
  • Vanliga programfelkonfigurationer (till exempel Apache och IIS)

Justering av hanterade regeluppsättningar

Både DRS och CRS är aktiverade som standard i identifieringsläge i dina WAF-principer. Du kan inaktivera eller aktivera enskilda regler i den hanterade regeluppsättningen för att uppfylla dina programkrav. Du kan också ange specifika åtgärder per regel. DRS/CRS stöder åtgärder för blockering, logg- och avvikelsepoäng. Bot Manager-regeluppsättningen stöder åtgärderna tillåt, blockera och logga.

Ibland kan du behöva utelämna vissa begärandeattribut från en WAF-utvärdering. Ett vanligt exempel är Active Directory-infogade token som används för autentisering. Du kan konfigurera undantag som ska tillämpas när specifika WAF-regler utvärderas eller för att tillämpas globalt på utvärderingen av alla WAF-regler. Undantagsregler gäller för hela webbappen. Mer information finns i Brandvägg för webbaserade program (WAF) med Undantagslistor för Application Gateway.

Som standard använder DRS version 2.1/CRS version 3.2 och senare avvikelsebedömning när en begäran matchar en regel. CRS 3.1 och nedan blockerar matchande begäranden som standard. Dessutom kan anpassade regler konfigureras i samma WAF-princip om du vill kringgå någon av de förkonfigurerade reglerna i kärnregeluppsättningen.

Anpassade regler tillämpas alltid innan regler i Core Rule Set utvärderas. Om en begäran matchar en anpassad regel tillämpas motsvarande regelåtgärd. Begäran blockeras eller skickas till serverdelen. Inga andra anpassade regler eller reglerna i kärnregeluppsättningen bearbetas.

Avvikelsebedömning

När du använder CRS eller DRS 2.1 och senare är din WAF konfigurerad att använda avvikelsebedömning som standard. Trafik som matchar alla regler blockeras inte omedelbart, även när din WAF är i förebyggande läge. I stället definierar OWASP-regeluppsättningarna en allvarlighetsgrad för varje regel: Kritisk, Fel, Varning eller Meddelande. Allvarlighetsgraden påverkar ett numeriskt värde för begäran, som kallas avvikelsepoäng:

Allvarlighetsgrad för regel Värde som har bidragit till avvikelsepoäng
Kritiskt 5
Fel 4
Varning 3
Obs! 2

Om avvikelsepoängen är 5 eller högre och WAF är i förebyggande läge blockeras begäran. Om avvikelsepoängen är 5 eller högre och WAF är i identifieringsläge loggas begäran men blockeras inte.

En enda kritisk regelmatchning räcker till exempel för att WAF ska blockera en begäran när den är i förebyggande läge, eftersom den övergripande avvikelsepoängen är 5. En varningsregelmatchning ökar dock bara avvikelsepoängen med 3, vilket inte räcker för att blockera trafiken. När en avvikelseregel utlöses visas en "matchad" åtgärd i loggarna. Om avvikelsepoängen är 5 eller högre utlöses en separat regel med åtgärden "Blockerad" eller "Identifierad" beroende på om WAF-principen är i förebyggande eller identifieringsläge. Mer information finns i Läget för avvikelsebedömning.

Uppgradera eller ändra regeluppsättningsversion

Om du uppgraderar eller tilldelar en ny regeluppsättningsversion och vill bevara befintliga regel åsidosättningar och undantag rekommenderar vi att du använder PowerShell, CLI, REST API eller mallar för att göra regeluppsättningsversionsändringar. En ny version av en regeluppsättning kan ha nyare regler, ytterligare regelgrupper och kan ha uppdateringar av befintliga signaturer för att upprätthålla bättre säkerhet och minska falska positiva identifieringar. Vi rekommenderar att du verifierar ändringar i en testmiljö, finjusterar om det behövs och sedan distribuerar i en produktionsmiljö.

Kommentar

Om du använder Azure Portal för att tilldela en ny hanterad regeluppsättning till en WAF-princip återställs alla tidigare anpassningar från den befintliga hanterade regeluppsättningen, till exempel regeltillstånd, regelåtgärder och regelnivåundantag till standardinställningarna för den nya hanterade regeluppsättningen. Anpassade regler, principinställningar och globala undantag påverkas dock inte under tilldelningen av den nya regeluppsättningen. Du måste omdefiniera regel åsidosättningar och verifiera ändringar innan du distribuerar i en produktionsmiljö.

DRS 2.1

DRS 2.1-regler ger bättre skydd än tidigare versioner av DRS. Den innehåller fler regler som utvecklats av Microsoft Threat Intelligence-teamet och uppdateringar av signaturer för att minska falska positiva identifieringar. Den stöder även transformeringar utöver bara URL-avkodning.

DRS 2.1 innehåller 17 regelgrupper, enligt följande tabell. Varje grupp innehåller flera regler och du kan anpassa beteendet för enskilda regler, regelgrupper eller hela regeluppsättningar. DRS 2.1 har baslinje från OWASP(Open Web Application Security Project) Core Rule Set (CRS) 3.3.2 och innehåller ytterligare skyddsregler som utvecklats av Microsoft Threat Intelligence-teamet.

Regelgrupp ruleGroupName beskrivning
Allmänt Allmänt Allmän grupp
METODFRAMTVINGANDE METOD-TILLÄMPNING Låsningsmetoder (PUT, PATCH)
PROTOKOLLTILLÄMPNING PROTOKOLL-TILLÄMPNING Skydda mot protokoll- och kodningsproblem
PROTOKOLLATTACK PROTOKOLL–ATTACK Skydda mot huvudinmatning, smuggling av begäranden och delning av svar
APPLICATION-ATTACK-LFI LFI Skydda mot fil- och sökvägsattacker
APPLICATION-ATTACK-RFI RFI Skydda mot RFI-attacker (remote file inclusion)
APPLICATION-ATTACK-RCE RCE Skydda igen fjärrkodkörningsattacker
APPLICATION-ATTACK-PHP PHP Skydda mot PHP-inmatningsattacker
APPLICATION-ATTACK-NodeJS NODEJS Skydda mot Node JS-attacker
APPLICATION-ATTACK-XSS XSS Skydda mot skriptattacker mellan webbplatser
APPLICATION-ATTACK-SQLI SQLI Skydda mot SQL-inmatningsattacker
APPLICATION-ATTACK-SESSION-FIXATION FIX Skydda mot sessionskorrigeringsattacker
APPLICATION-ATTACK-SESSION-JAVA JAVA Skydda mot JAVA-attacker
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Skydda mot web shell-attacker
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec Skydda mot AppSec-attacker
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI Skydda mot SQLI-attacker
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs Skydda mot CVE-attacker

OWASP CRS 3.2

CRS 3.2 innehåller 14 regelgrupper, enligt följande tabell. Varje grupp innehåller flera regler som kan inaktiveras. Regeluppsättningen baseras på OWASP CRS 3.2.0-versionen.

Kommentar

CRS 3.2 är endast tillgängligt på WAF_v2 SKU. Eftersom CRS 3.2 körs på den nya Azure WAF-motorn kan du inte nedgradera till CRS 3.1 eller tidigare. Kontakta Azure Support om du behöver nedgradera.

Namn på regelgrupp beskrivning
Allmänt Allmän grupp
KÄNDA CVES Hjälp med att identifiera nya och kända CVE:er
REQUEST-911-METHOD-ENFORCEMENT Låsningsmetoder (PUT, PATCH)
REQUEST-913-SCANNER-DETECTION Skydda mot port- och miljöskannrar
REQUEST-920-PROTOCOL-ENFORCEMENT Skydda mot protokoll- och kodningsproblem
REQUEST-921-PROTOCOL-ATTACK Skydda mot huvudinmatning, smuggling av begäranden och delning av svar
REQUEST-930-APPLICATION-ATTACK-LFI Skydda mot fil- och sökvägsattacker
REQUEST-931-APPLICATION-ATTACK-RFI Skydda mot RFI-attacker (remote file inclusion)
REQUEST-932-APPLICATION-ATTACK-RCE Skydda igen fjärrkodkörningsattacker
REQUEST-933-APPLICATION-ATTACK-PHP Skydda mot PHP-inmatningsattacker
REQUEST-941-APPLICATION-ATTACK-XSS Skydda mot skriptattacker mellan webbplatser
REQUEST-942-APPLICATION-ATTACK-SQLI Skydda mot SQL-inmatningsattacker
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Skydda mot sessionskorrigeringsattacker
REQUEST-944-APPLICATION-ATTACK-JAVA Skydda mot JAVA-attacker

OWASP CRS 3.1

CRS 3.1 innehåller 14 regelgrupper, enligt följande tabell. Varje grupp innehåller flera regler som kan inaktiveras. Regeluppsättningen baseras på OWASP CRS 3.1.1-versionen.

Kommentar

CRS 3.1 är endast tillgängligt på WAF_v2 SKU.

Namn på regelgrupp beskrivning
Allmänt Allmän grupp
KÄNDA CVES Hjälp med att identifiera nya och kända CVE:er
REQUEST-911-METHOD-ENFORCEMENT Låsningsmetoder (PUT, PATCH)
REQUEST-913-SCANNER-DETECTION Skydda mot port- och miljöskannrar
REQUEST-920-PROTOCOL-ENFORCEMENT Skydda mot protokoll- och kodningsproblem
REQUEST-921-PROTOCOL-ATTACK Skydda mot huvudinmatning, smuggling av begäranden och delning av svar
REQUEST-930-APPLICATION-ATTACK-LFI Skydda mot fil- och sökvägsattacker
REQUEST-931-APPLICATION-ATTACK-RFI Skydda mot RFI-attacker (remote file inclusion)
REQUEST-932-APPLICATION-ATTACK-RCE Skydda igen fjärrkodkörningsattacker
REQUEST-933-APPLICATION-ATTACK-PHP Skydda mot PHP-inmatningsattacker
REQUEST-941-APPLICATION-ATTACK-XSS Skydda mot skriptattacker mellan webbplatser
REQUEST-942-APPLICATION-ATTACK-SQLI Skydda mot SQL-inmatningsattacker
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Skydda mot sessionskorrigeringsattacker
REQUEST-944-APPLICATION-ATTACK-SESSION-JAVA Skydda mot JAVA-attacker

OWASP CRS 3.0

CRS 3.0 innehåller 13 regelgrupper, enligt följande tabell. Varje grupp innehåller flera regler som kan inaktiveras. Regeluppsättningen baseras på OWASP CRS 3.0.0-versionen.

Namn på regelgrupp beskrivning
Allmänt Allmän grupp
KÄNDA CVES Hjälp med att identifiera nya och kända CVE:er
REQUEST-911-METHOD-ENFORCEMENT Låsningsmetoder (PUT, PATCH)
REQUEST-913-SCANNER-DETECTION Skydda mot port- och miljöskannrar
REQUEST-920-PROTOCOL-ENFORCEMENT Skydda mot protokoll- och kodningsproblem
REQUEST-921-PROTOCOL-ATTACK Skydda mot huvudinmatning, smuggling av begäranden och delning av svar
REQUEST-930-APPLICATION-ATTACK-LFI Skydda mot fil- och sökvägsattacker
REQUEST-931-APPLICATION-ATTACK-RFI Skydda mot RFI-attacker (remote file inclusion)
REQUEST-932-APPLICATION-ATTACK-RCE Skydda igen fjärrkodkörningsattacker
REQUEST-933-APPLICATION-ATTACK-PHP Skydda mot PHP-inmatningsattacker
REQUEST-941-APPLICATION-ATTACK-XSS Skydda mot skriptattacker mellan webbplatser
REQUEST-942-APPLICATION-ATTACK-SQLI Skydda mot SQL-inmatningsattacker
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Skydda mot sessionskorrigeringsattacker

OWASP CRS 2.2.9

CRS 2.2.9 innehåller 10 regelgrupper, enligt följande tabell. Varje grupp innehåller flera regler som kan inaktiveras.

Kommentar

CRS 2.2.9 stöds inte längre för nya WAF-principer. Vi rekommenderar att du uppgraderar till de senaste versionerna av CRS 3.2/DRS 2.1 och senare.

Namn på regelgrupp beskrivning
crs_20_protocol_violations Skydda mot protokollöverträdelser (till exempel ogiltiga tecken eller en GET med en begärandetext)
crs_21_protocol_anomalies Skydda mot felaktig rubrikinformation
crs_23_request_limits Skydda mot argument eller filer som överskrider begränsningar
crs_30_http_policy Skydda mot begränsade metoder, rubriker och filtyper
crs_35_bad_robots Skydda mot webbkrypningar och skannrar
crs_40_generic_attacks Skydda mot generiska attacker (till exempel sessionskorrigering, fjärrfilinkludering och PHP-inmatning)
crs_41_sql_injection_attacks Skydda mot SQL-inmatningsattacker
crs_41_xss_attacks Skydda mot skriptattacker mellan webbplatser
crs_42_tight_security Skydda mot väg-bläddringar
crs_45_trojans Skydda mot serverdelstrojaner

Bot Manager 1.0

Bot Manager 1.0-regeluppsättningen ger skydd mot skadliga robotar och identifiering av bra robotar. Reglerna ger detaljerad kontroll över robotar som identifierats av WAF genom att kategorisera robottrafik som bra, dåliga eller okända robotar.

Regelgrupp beskrivning
BadBots Skydda mot dåliga robotar
GoodBots Identifiera bra robotar
UnknownBots Identifiera okända robotar

Bot Manager 1.1

Bot Manager 1.1-regeluppsättningen är en förbättring av Bot Manager 1.0-regeluppsättningen. Det ger förbättrat skydd mot skadliga robotar och ökar bra robotidentifiering.

Regelgrupp beskrivning
BadBots Skydda mot dåliga robotar
GoodBots Identifiera bra robotar
UnknownBots Identifiera okända robotar

Följande regelgrupper och regler är tillgängliga när du använder Brandvägg för webbprogram på Application Gateway.

2.1-regeluppsättningar

Allmänt

RuleId beskrivning
200002 Det gick inte att parsa begärandetexten.
200003 Begärandetexten för flera delar misslyckades med strikt validering

METODFRAMTVINGANDE

RuleId beskrivning
911100 Metoden tillåts inte av principen

PROTOKOLL-TILLÄMPNING

RuleId beskrivning
920100 Ogiltig HTTP-begäranderad
920120 Försök att kringgå flera delar/formulärdata
920121 Försök att kringgå flera delar/formulärdata
920160 HTTP-huvudet för innehållslängd är inte numeriskt.
920170 GET- eller HEAD-begäran med brödtextinnehåll.
920171 GET- eller HEAD-begäran med Transfer-Encoding.
920180 POST-begäran saknar rubrik för innehållslängd.
920181 Innehållslängds- och överföringskodningsrubriker finns 99001003
920190 Intervall: Ogiltigt värde för senaste byte.
920200 Intervall: För många fält (6 eller fler)
920201 Intervall: För många fält för pdf-begäran (35 eller fler)
920210 Flera/motstridiga anslutningshuvuddata hittades.
920220 Försök till url-kodning av missbruksattacker
920230 Flera URL-kodning har identifierats
920240 Försök till url-kodning av missbruksattacker
920260 Unicode Full/Half Width Abuse Attack Attempt
920270 Ogiltigt tecken i begäran (nulltecken)
920271 Ogiltigt tecken i begäran (icke utskrivbara tecken)
920280 Begäran saknar ett värdhuvud
920290 Tomt värdhuvud
920300 Begäran saknar ett accepthuvud
920310 Begäran har ett tomt accepthuvud
920311 Begäran har ett tomt accepthuvud
920320 Sidhuvud för användaragent saknas
920330 Tomt användaragenthuvud
920340 Begäran som innehåller innehåll, men innehållstypsrubrik saknas
920341 Begäran som innehåller innehåll kräver innehållstyprubrik
920350 Värdrubriken är en numerisk IP-adress
920420 Innehållstyp för begäran tillåts inte av principen
920430 HTTP-protokollversion tillåts inte av principen
920440 URL-filnamnstillägget begränsas av principen
920450 HTTP-huvudet begränsas av principen
920470 Ogiltigt innehållstypshuvud
920480 Charset för begärandeinnehållstyp tillåts inte av principen
920500 Försök att komma åt en säkerhetskopia eller arbetsfil

PROTOKOLL–ATTACK

RuleId beskrivning
921110 HTTP-begärandesmugglingsattack
921120 HTTP-svarsdelningsattack
921130 HTTP-svarsdelningsattack
921140 HTTP-rubrikinmatningsattack via rubriker
921150 HTTP-rubrikinmatningsattack via nyttolast (CR/LF har identifierats)
921151 HTTP-rubrikinmatningsattack via nyttolast (CR/LF har identifierats)
921160 HTTP-rubrikinmatningsattack via nyttolast (CR/LF och rubriknamn har identifierats)
921190 HTTP-delning (CR/LF i filnamnet för begäran har identifierats)
921200 LDAP-inmatningsattack

LFI – Lokal fil inkludering

RuleId beskrivning
930100 Väg bläddringsattack (/.. /)
930110 Väg bläddringsattack (/.. /)
930120 Försök att komma åt operativsystemets fil
930130 Försök till begränsad filåtkomst

RFI – Fjärrfilinkludering

RuleId beskrivning
931100 Möjlig RFI-attack (Remote File Inclusion): URL-parameter med IP-adress
931110 Möjlig RFI-attack (Remote File Inclusion): Common RFI Vulnerable Parameter Name used w/URL Payload
931120 Möjlig RFI-attack (Remote File Inclusion): URL Payload Used w/Trailing Question Mark Character (?)
931130 Möjlig RFI-attack (Remote File Inclusion): Referens/länk utanför domänen

RCE – Fjärrkommandokörning

RuleId beskrivning
932100 Fjärrkommandokörning: Unix-kommandoinmatning
932105 Fjärrkommandokörning: Unix-kommandoinmatning
932110 Fjärrkommandokörning: Windows-kommandoinmatning
932115 Fjärrkommandokörning: Windows-kommandoinmatning
932120 Fjärrkommandokörning: Windows PowerShell-kommandot hittades
932130 Fjärrkommandokörning: Unix Shell-uttryck eller sårbarhet för sammanflöde (CVE-2022-26134) hittades
932140 Fjärrkommandokörning: Windows FOR/IF-kommandot hittades
932150 Fjärrkommandokörning: Direct Unix-kommandokörning
932160 Fjärrkommandokörning: Unix Shell-kod hittades
932170 Fjärrkommandokörning: Shellshock (CVE-2014-6271)
932171 Fjärrkommandokörning: Shellshock (CVE-2014-6271)
932180 Försök att ladda upp begränsad fil

PHP-attacker

RuleId beskrivning
933100 PHP-inmatningsattack: Öppna/stänga tagg hittades
933110 PHP-inmatningsattack: PHP-skriptfiluppladdning hittades
933120 PHP-inmatningsattack: Konfigurationsdirektivet hittades
933130 PHP-inmatningsattack: Variabler hittades
933140 PHP-inmatningsattack: I/O Stream hittades
933150 PHP-inmatningsattack: Php-funktionsnamn med hög risk hittades
933151 PHP-inmatningsattack: Php-funktionsnamn med medelhög risk hittades
933160 PHP-inmatningsattack: Php-funktionsanrop med hög risk hittades
933170 PHP-inmatningsattack: Serialiserad objektinmatning
933180 PHP-inmatningsattack: Variabelfunktionsanrop hittades
933200 PHP-inmatningsattack: Wrapper-schema har identifierats
933210 PHP-inmatningsattack: Variabelfunktionsanrop hittades

Node JS-attacker

RuleId beskrivning
934100 Node.js inmatningsattack

XSS – Skriptkörning över flera webbplatser

RuleId beskrivning
941100 XSS-attack identifierad via libinjection
941101 XSS-attack identifierad via libinjection.
Den här regeln identifierar begäranden med ett referenshuvud .
941110 XSS-filter – kategori 1: Skripttaggvektor
941120 XSS-filter – kategori 2: Händelsehanterarvektor
941130 XSS-filter – Kategori 3: Attributvektor
941140 XSS-filter – kategori 4: JavaScript URI-vektor
941150 XSS-filter – kategori 5: Otillåtna HTML-attribut
941160 NoScript XSS InjectionChecker: HTML-inmatning
941170 NoScript XSS InjectionChecker: Attributinmatning
941180 Nyckelord för nodverifierare för blockeringslista
941190 XSS med formatmallar
941200 XSS med VML-ramar
941210 XSS med fördunklade JavaScript
941220 XSS med fördunklade VB-skript
941230 XSS med taggen "embed"
941240 XSS med attributet "import" eller "implementation"
941250 IE XSS-filter – attack har identifierats.
941260 XSS med taggen "meta"
941270 XSS med hjälp av "link" href
941280 XSS med taggen "base"
941290 XSS med taggen "applet"
941300 XSS med taggen "object"
941310 US-ASCII Felaktigt kodande XSS-filter – Attack identifierad.
941320 Möjlig XSS-attack identifierad – HTML-tagghanterare
941330 IE XSS-filter – attack har identifierats.
941340 IE XSS-filter – attack har identifierats.
941350 UTF-7-kodnings-IE XSS – Attack identifierad.
941360 JavaScript-fördunkling har identifierats.
941370 JavaScript global variabel hittades
941380 AngularJS-mallinmatning på klientsidan har identifierats

SQLI – SQL-inmatning

RuleId beskrivning
942100 SQL-inmatningsattack identifierad via libinjection
942110 SQL-inmatningsattack: Vanliga inmatningstester har identifierats
942120 SQL-inmatningsattack: SQL-operatorn har identifierats
942130 SQL-inmatningsattack: SQL Tautology har identifierats.
942140 SQL-inmatningsattack: Vanliga DB-namn har identifierats
942150 SQL-inmatningsattack
942160 Identifierar blinda sqli-tester med hjälp av sleep() eller benchmark().
942170 Identifierar SQL-benchmark- och vilolägesinmatningsförsök, inklusive villkorsfrågor
942180 Identifierar grundläggande SQL-autentisering vid förbikopplingsförsök 1/3
942190 Identifierar MSSQL-kodkörning och informationsinsamlingsförsök
942200 Identifierar MySQL-kommentar-/space-obfuscated injektioner och backtick avslutning
942210 Identifierar länkade SQL-inmatningsförsök 1/2
942220 Letar du efter heltalsöverflödesattacker tas dessa från skipfish, förutom 3.0.00738585072007e-308 är "magiskt nummer" krasch
942230 Identifierar försök till villkorlig SQL-inmatning
942240 Identifierar MySQL-teckenuppsättningsväxel och MSSQL DoS-försök
942250 Identifierar MATCH AGAINST, MERGE och EXECUTE IMMEDIATE injections
942260 Identifierar grundläggande SQL-autentisering som kringgår försök 2/3
942270 Letar du efter grundläggande sql-inmatning. Gemensam attacksträng för mysql, orakel och andra.
942280 Identifierar Postgres pg_sleep inmatning, väntefördröjningsattacker och försök till databasavstängning
942290 Hittar grundläggande MongoDB SQL-inmatningsförsök
942300 Identifierar MySQL-kommentarer, villkor och ch(a)r-injektioner
942310 Identifierar länkade SQL-inmatningsförsök 2/2
942320 Identifierar MySQL- och PostgreSQL-lagrade procedurer/funktionsinmatningar
942330 Identifierar klassiska SQL-inmatningssökningar 1/2
942340 Identifierar grundläggande SQL-autentisering vid förbikopplingsförsök 3/3
942350 Identifierar MySQL UDF-inmatning och andra försök till data-/strukturmanipulering
942360 Identifierar sammanfogade grundläggande SQL-inmatnings- och SQLLFI-försök
942361 Identifierar grundläggande SQL-inmatning baserat på nyckelordsförändrande eller union
942370 Identifierar klassiska SQL-inmatningssökningar 2/2
942380 SQL-inmatningsattack
942390 SQL-inmatningsattack
942400 SQL-inmatningsattack
942410 SQL-inmatningsattack
942430 Begränsad SQL-teckenavvikelseidentifiering (args): antal specialtecken som överskridits (12)
942440 SQL-kommentarssekvens identifierad
942450 SQL Hex-kodning identifierad
942460 Avisering om avvikelseidentifiering av metatecken – repetitiva tecken som inte är ord
942470 SQL-inmatningsattack
942480 SQL-inmatningsattack
942500 MySQL-kommentar på rad har identifierats.
942510 SQLi-förbikopplingsförsök av fästingar eller backticks har identifierats.

SESSION-FIXERING

RuleId beskrivning
943100 Möjlig sessionskorrigeringsattack: Ange cookievärden i HTML
943110 Möjlig sessionskorrigeringsattack: Sessions-ID-parameternamn med off-domain referrer
943120 Möjlig sessionskorrigeringsattack: Sessions-ID-parameternamn utan referens

JAVA-attacker

RuleId beskrivning
944100 Fjärrkommandokörning: Apache Struts, Oracle WebLogic
944110 Identifierar potentiell nyttolastkörning
944120 Möjlig körning av nyttolast och fjärrkommandokörning
944130 Misstänkta Java-klasser
944200 Utnyttjande av Java-deserialisering Apache Commons
944210 Möjlig användning av Java-serialisering
944240 Fjärrkommandokörning: Java-serialisering och Log4j-sårbarhet (CVE-2021-44228, CVE-2021-45046)
944250 Fjärrkommandokörning: Misstänkt Java-metod har identifierats

MS-ThreatIntel-WebShells

RuleId beskrivning
99005002 Web Shell Interaction Attempt (POST)
99005003 Web Shell Upload Attempt (POST) – CHOPPER PHP
99005004 Web Shell Upload Attempt (POST) – CHOPPER ASPX
99005005 Interaktionsförsök för Web Shell
99005006 Spring4Shell-interaktionsförsök

MS-ThreatIntel-AppSec

RuleId beskrivning
99030001 Path Traversal Evasion i Headers (/.. /./.. /)
99030002 Path Traversal Evasion in Request Body (/.. /./.. /)

MS-ThreatIntel-SQLI

RuleId beskrivning
99031001 SQL-inmatningsattack: Vanliga inmatningstester har identifierats
99031002 SQL-kommentarssekvensen har identifierats.
99031003 SQL-inmatningsattack
99031004 Identifierar grundläggande SQL-autentisering som kringgår försök 2/3

MS-ThreatIntel-CVEs

RuleId beskrivning
99001001 Försök till F5 tmui (CVE-2020-5902) REST API-utnyttjande med kända autentiseringsuppgifter
99001002 Citrix-NSC_USER katalog traverserings-CVE-2019-19781
99001003 Försök till exploatering av Atlassian Confluence Widget Connector CVE-2019-3396
99001004 Försökte Pulse Secure anpassad mall utnyttjande CVE-2020-8243
99001005 Försök till exploatering av SharePoint-typkonverterare CVE-2020-0932
99001006 Försökte Pulse Connect katalog traversering CVE-2019-11510
99001007 Försökte Junos OS J-Web lokal fil inkludering CVE-2020-1631
99001008 Fortinet-sökvägsförsök genom bläddrings-CVE-2018-13379
99001009 Försök till Apache struts ognl injektion CVE-2017-5638
99001010 Försök till Apache struts ognl injektion CVE-2017-12611
99001011 Försök till Oracle WebLogic-sökvägsblädderings-CVE-2020-14882
99001012 Försökte Telerik WebUI osäker deserialisering utnyttjande CVE-2019-18935
99001013 Försök till osäker XML-deserialisering i SharePoint CVE-2019-0604
99001014 Försök till Spring Cloud routing-expression injection CVE-2022-22963
99001015 Försök till spring framework osäker klassobjekt utnyttjande CVE-2022-22965
99001016 Provad Spring Cloud Gateway-aktuatorinmatning CVE-2022-22947
99001017* Försök till Apache Struts-filuppladdningsexploatering CVE-2023-50164

*Den här regelns åtgärd är inställd på att loggas som standard. Ställ in åtgärden på Blockera för att förhindra säkerhetsproblem med Apache Struts. Avvikelsepoäng stöds inte för den här regeln.

Kommentar

När du granskar waf-loggarna kan du se regel-ID 949110. Beskrivningen av regeln kan innehålla inkommande avvikelsepoäng som överskridits.

Den här regeln anger att den totala avvikelsepoängen för begäran överskred den högsta tillåtna poängen. Mer information finns i Avvikelsebedömning.

Nästa steg