مجموعات قواعد وقواعد جدار حماية تطبيق الويب DRS
مقالة
04/09/2022
قراءة خلال 24 دقائق
5 من المساهمين
في هذه المقالة
جدار حماية تطبيق الويب (WAF) على الواجهة الأمامية لـ Azure يحمي تطبيقات الويب من الثغرات الأمنية وعمليات الاستغلال الشائعة. توفر مجموعات القواعد المدارة من Azure طريقة سهلة لتوزيع الحماية ضد مجموعة مشتركة من تهديدات الأمان. نظرًا لأن مجموعات القواعد هذه تُدار بواسطة Azure، يتم تحديث القواعد حسب الحاجة للحماية من توقيعات الهجوم الجديدة. تتضمن مجموعة القواعد الافتراضية أيضا قواعد "مجموعة معلومات أمان التهديدات من Microsoft" التي تمت كتابتها بالشراكة مع فريق Microsoft Intelligence لتوفير تغطية متزايدة وتصحيحات لثغرات أمنية محددة وتقليل إيجابي خاطئ أفضل.
مجموعات القواعد الافتراضية
تتضمن مجموعة القواعد الافتراضية المدارة من Azure قواعد ضد فئات التهديد التالية:
البرمجة النصية للمواقع المشتركة
هجمات Java
تضمين الملف المحلي
هجوم عن طريق الحقن بـ PHP
تنفيذ الأوامر عن بعد
تضمين الملف عن بُعد
معالجة الجلسة
حماية حقن SQL
هجمات البروتوكول
يزداد رقم إصدار "مجموعة القواعد الافتراضية" عند إضافة توقيعات هجوم جديدة إلى مجموعة القواعد.
يتم تمكين مجموعة القواعد الافتراضية افتراضيا في وضع الكشف في سياسات WAF الخاصة بك. يمكنك تعطيل القواعد الفردية أو تمكينها ضمن "مجموعة القواعد الافتراضية" لتلبية متطلبات التطبيق. يمكنك أيضا تعيين إجراءات محددة (السماح/الحظر/إعادة التوجيه/السجل) لكل قاعدة.
في بعض الأحيان قد تحتاج إلى حذف سمات طلب معينة من تقييم WAF. مثال شائع هو الرموز المميزة المدرجة في Active Directory والتي يتم استخدامها للمصادقة. يمكنك تكوين قائمة استبعاد لقاعدة مدارة أو مجموعة قواعد أو لمجموعة القواعد بأكملها.
الإجراء الافتراضي هو حظر. بالإضافة إلى ذلك، يمكن تكوين القواعد المخصصة في نفس نهج WAF إذا كنت ترغب في تجاوز أي من القواعد التي تم تكوينها مسبقا في مجموعة القواعد الافتراضية.
يتم تطبيق القواعد المخصصة دائما قبل تقييم القواعد الموجودة في مجموعة القواعد الافتراضية. إذا تطابق الطلب مع قاعدة مخصصة، تطبيق إجراء القاعدة المقابل. يتم حظر الطلب أو تمريره إلى الواجهة الخلفية. لا تتم معالجة أي قواعد مخصصة أخرى أو القواعد الموجودة في مجموعة القواعد الافتراضية. يمكنك أيضا إزالة مجموعة القواعد الافتراضية من سياسات WAF الخاصة بك.
قواعد جمع معلومات استخبارات التهديدات من Microsoft
تتم كتابة قواعد "مجموعة معلومات التهديدات من Microsoft" بالشراكة مع فريق Microsoft Intelligence لتوفير تغطية متزايدة وتصحيحات لثغرات أمنية محددة وتقليل إيجابي خاطئ أفضل.
وضع التسجيل الشاذ
يحتوي OWASP على وضعين لتحديد ما إذا كان سيتم حظر حركة المرور: الوضع التقليدي ووضع تسجيل النقاط الشاذة.
في الوضع التقليدي، يتم اعتبار الزيارات التي تتطابق مع أي قاعدة بشكل مستقل عن أي تطابقات أخرى للقواعد. هذا الوضع سهل الفهم. لكن نقص المعلومات حول عدد القواعد التي تتطابق مع طلب معين يمثل قيدا على ذلك. لذلك ، تم تقديم وضع تسجيل الشذوذ. إنه الإعداد الافتراضي ل OWASP 3. خ .
في وضع تسجيل النقاط الشاذة، لا يتم حظر حركة المرور التي تطابق أي قاعدة على الفور عندما يكون جدار الحماية في وضع المنع. القواعد لها شدة معينة: حرجة أو خطأ أو تحذير أو إشعار . تؤثر هذه الخطورة على قيمة رقمية للطلب ، والتي تسمى درجة الشذوذ. على سبيل المثال، تساهم مطابقة قاعدة تحذير واحدة بنسبة 3 في النتيجة. تساهم مطابقة قاعدة حرجة واحدة في 5.
الخطورة
القيمة
هام
5
خطأ
4
تحذير
3
لاحظ
2
هناك عتبة 5 لنقاط الشذوذ لمنع حركة المرور. لذلك ، فإن مطابقة قاعدة حرجة واحدة كافية ل WAF لحظر الطلب ، حتى في وضع المنع. لكن مطابقة قاعدة تحذير واحدة تزيد فقط من درجة الشذوذ بمقدار 3 ، وهو أمر لا يكفي في حد ذاته لمنع حركة المرور. لمزيد من المعلومات، راجع ما هي أنواع المحتوى التي يدعمها WAF؟ في الأسئلة المتداولة لمعرفة أنواع المحتوى المدعومة لفحص النص الأساسي باستخدام إصدارات DRS المختلفة.
DRS 2.0
يتضمن DRS 2.0 17 مجموعة قواعد، كما هو موضح في الجدول التالي. تحتوي كل مجموعة على قواعد متعددة، والتي يمكن تعطيلها.
ملاحظة
يتوفر DRS 2.0 فقط على Premium Azure للباب الأمامي.
DRS 1.1
DRS 1.0
قواعد الروبوت
تتوفر مجموعات القواعد والقواعد التالية عند استخدام جدار حماية تطبيق ويب على Azure Front Door.
2.0 مجموعات القواعد
عام
RuleId
الوصف
200002
فشل في تحليل نص الطلب.
200003
فشل نص الطلب متعدد الأجزاء في التحقق الصارم
تطبيق الطريقة
RuleId
الوصف
911100
الطريقة غير مسموح بها بموجب السياسة
إنفاذ البروتوكول
RuleId
الوصف
920100
سطر طلب HTTP غير صالح
920120
محاولة تجاوز بيانات متعددة الأجزاء/النماذج
920121
محاولة تجاوز بيانات متعددة الأجزاء/النماذج
920160
رأس HTTP بطول المحتوى ليس رقميا.
920170
طلب GET أو HEAD مع محتوى الجسم.
920171
طلب GET أو HEAD مع تشفير النقل.
920180
طلب POST مفقود رأس طول المحتوى.
920190
النطاق: قيمة البايت الأخير غير صالحة.
920200
النطاق: حقول كثيرة جدا (6 حقول أو أكثر)
920201
النطاق: عدد كبير جدا من الحقول لطلب pdf (35 أو أكثر)
920210
تم العثور على بيانات رأس اتصال متعددة/متعارضة.
920220
محاولة هجوم إساءة استخدام ترميز عنوان URL
920230
تم اكتشاف ترميز عناوين URL متعددة
920240
محاولة هجوم إساءة استخدام ترميز عنوان URL
920260
Unicode كامل / نصف عرض محاولة هجوم إساءة الاستخدام
920270
حرف غير صالح في الطلب (حرف فارغ)
920271
حرف غير صالح في الطلب (أحرف غير قابلة للطباعة)
920280
طلب فقدان رأس مضيف
920290
رأس مضيف فارغ
920300
طلب فقدان رأس قبول
920310
يحتوي الطلب على رأس قبول فارغ
920311
يحتوي الطلب على رأس قبول فارغ
920320
رأس وكيل المستخدم المفقود
920330
رأس وكيل مستخدم فارغ
920340
طلب يحتوي على محتوى، ولكن رأس نوع المحتوى مفقود
920341
يتطلب الطلب الذي يحتوي على محتوى رأس من نوع المحتوى
920350
رأس المضيف هو عنوان IP رقمي
920420
نوع محتوى الطلب غير مسموح به بموجب السياسة
920430
إصدار بروتوكول HTTP غير مسموح به بموجب السياسة
920440
ملحق ملف عنوان URL مقيد بالسياسة
920450
رأس HTTP مقيد بالسياسة
920470
رأس نوع المحتوى غير القانوني
920480
طلب مجموعة أحرف نوع المحتوى غير مسموح بها بموجب السياسة
بروتوكول الهجوم
RuleId
الوصف
921110
هجوم تهريب طلب HTTP
921120
هجوم تقسيم استجابة HTTP
921130
هجوم تقسيم استجابة HTTP
921140
هجوم حقن رأس HTTP عبر الرؤوس
921150
هجوم حقن رأس HTTP عبر الحمولة (تم اكتشاف CR / LF)
921151
هجوم حقن رأس HTTP عبر الحمولة (تم اكتشاف CR / LF)
921160
هجوم حقن رأس HTTP عبر الحمولة (تم اكتشاف CR/LF واسم الرأس)
LFI - تضمين الملف المحلي
RuleId
الوصف
930100
هجوم عبور المسار (/.. /)
930110
هجوم عبور المسار (/.. /)
930120
محاولة الوصول إلى ملف نظام التشغيل
930130
محاولة الوصول المقيد إلى الملفات
RFI - تضمين الملفات عن بعد
RuleId
الوصف
931100
هجوم محتمل لتضمين الملفات عن بعد (RFI): معلمة عنوان URL باستخدام عنوان IP
931110
هجوم محتمل لتضمين الملفات عن بعد (RFI): اسم معلمة RFI الضعيفة الشائعة المستخدمة مع حمولة / عنوان URL
931120
هجوم محتمل لتضمين الملفات عن بعد (RFI): حمولة عنوان URL المستخدمة مع حرف علامة استفهام زائدة (؟)
931130
هجوم محتمل لتضمين الملفات عن بعد (RFI): مرجع/ارتباط Off-Domain
RCE - تنفيذ الأوامر عن بعد
RuleId
الوصف
932100
تنفيذ الأوامر عن بعد: حقن أوامر يونكس
932105
تنفيذ الأوامر عن بعد: حقن أوامر يونكس
932110
تنفيذ الأوامر عن بعد: حقن الأوامر Windows
932115
تنفيذ الأوامر عن بعد: حقن الأوامر Windows
932120
تنفيذ الأوامر عن بعد: تم العثور على الأمر Windows PowerShell
932130
تنفيذ الأوامر عن بعد: تم العثور على تعبير Unix Shell
932140
تنفيذ الأوامر عن بعد: Windows تم العثور على الأمر FOR/IF
932150
تنفيذ الأوامر عن بعد: التنفيذ المباشر لأوامر يونكس
932160
تنفيذ الأوامر عن بعد: تم العثور على رمز Unix Shell
932170
تنفيذ الأوامر عن بعد: Shellshock (CVE-2014-6271)
932171
تنفيذ الأوامر عن بعد: Shellshock (CVE-2014-6271)
932180
محاولة Upload الملفات المقيدة
هجمات PHP
RuleId
الوصف
933100
هجوم حقن PHP: تم العثور على علامة فتح / إغلاق
933110
هجوم حقن PHP: Upload العثور على ملف PHP النصي
933120
هجوم حقن PHP: تم العثور على توجيه التكوين
933130
هجوم حقن PHP: تم العثور على المتغيرات
933131
هجوم حقن PHP: تم العثور على المتغيرات
933140
هجوم حقن PHP: تم العثور على تيار I / O
933150
هجوم حقن PHP: High-Risk تم العثور على اسم وظيفة PHP
933151
هجوم حقن PHP: Medium-Risk تم العثور على اسم وظيفة PHP
933160
هجوم حقن PHP: High-Risk تم العثور على استدعاء وظيفة PHP
933161
هجوم حقن PHP: Low-Value تم العثور على استدعاء وظيفة PHP
933170
هجوم حقن PHP: حقن كائن متسلسل
933180
هجوم حقن PHP: تم العثور على استدعاء وظيفة متغيرة
933200
هجوم حقن PHP: تم الكشف عن مخطط المجمع
933210
هجوم حقن PHP: تم العثور على استدعاء وظيفة متغيرة
هجمات عقدة JS
RuleId
الوصف
934100
هجوم حقن Node.js
XSS - البرمجة النصية عبر المواقع
RuleId
الوصف
941100
تم اكتشاف هجوم XSS عبر libinjection
941101
تم اكتشاف هجوم XSS عبر libinjection.
941110
مرشح XSS - الفئة 1: متجه علامة البرنامج النصي
941120
مرشح XSS - الفئة 2: متجه معالج الأحداث
941130
مرشح XSS - الفئة 3: متجه السمة
941140
مرشح XSS - الفئة 4: جافا سكريبت URI Vector
941150
عامل تصفية XSS - الفئة 5: سمات HTML غير المسموح بها
941160
NoScript XSS InjectionChecker: حقن HTML
941170
NoScript XSS InjectionChecker: حقن السمة
941180
Node-Validator القائمة السوداء الكلمات المفتاحية
941190
XSS باستخدام أوراق الأنماط
941200
XSS باستخدام إطارات VML
941210
XSS باستخدام جافا سكريبت غامضة
941220
XSS باستخدام برنامج VB النصي المبهم
941230
XSS باستخدام علامة "تضمين"
941240
XSS باستخدام سمة "استيراد" أو "تنفيذ"
941250
مرشحات IE XSS - تم اكتشاف الهجوم.
941260
XSS باستخدام العلامة "الوصفية"
941270
XSS باستخدام href "الرابط"
941280
XSS باستخدام علامة "القاعدة"
941290
XSS باستخدام علامة "التطبيق الصغير"
941300
XSS باستخدام علامة "كائن"
941310
مرشح تشفير XSS المشوه US-ASCII - تم اكتشاف الهجوم.
941320
اكتشاف هجوم XSS محتمل - معالج علامة HTML
941330
مرشحات IE XSS - تم اكتشاف الهجوم.
941340
مرشحات IE XSS - تم اكتشاف الهجوم.
941350
ترميز UTF-7 IE XSS - تم اكتشاف الهجوم.
941360
تم الكشف عن تشويش جافا سكريبت.
941370
تم العثور على متغير جافا سكريبت العالمي
941380
تم الكشف عن حقن قالب جانب عميل AngularJS
ملاحظة
تحتوي هذه المقالة على مراجع إلى مصطلح القائمة السوداء ، وهو مصطلح لم تعد Microsoft تستخدمه. عند إزالة المصطلح من البرنامج، سنزيله من هذه المقالة.
SQLI - حقن SQL
RuleId
الوصف
942100
SQL الكشف عن هجوم الحقن عن طريق libinjection
942110
هجوم حقن SQL: تم الكشف عن اختبار الحقن الشائع
942120
هجوم حقن SQL: تم اكتشاف مشغل SQL
942130
هجوم حقن SQL: تم الكشف عن SQL Tautology.
942140
هجوم حقن SQL: تم الكشف عن أسماء DB الشائعة
942150
هجوم الحقن SQL
942160
يكتشف اختبارات sqli العمياء باستخدام السكون () أو المعيار ().
942170
يكتشف SQL القياسي ومحاولات حقن النوم بما في ذلك الاستعلامات الشرطية
942180
يكتشف محاولات تجاوز مصادقة SQL الأساسية 1/3
942190
يكتشف تنفيذ التعليمات البرمجية MSSQL ومحاولات جمع المعلومات
942200
يكتشف حقن MySQL الغامضة في التعليق / الفضاء وإنهاء backtick
942210
يكتشف محاولات حقن SQL المتسلسلة 1/2
942220
تبحث عن هجمات الفائض الصحيح ، يتم أخذها من skipfish ، باستثناء 3.0.00738585072007e-308 هو تحطم "الرقم السحري"
942230
يكتشف محاولات حقن SQL الشرطي
942240
يكتشف مفتاح مجموعة أحرف MySQL ومحاولات MSSQL DoS
942250
يكتشف المطابقة ضد ودمج وتنفيذ الحقن الفورية
942260
يكتشف محاولات تجاوز مصادقة SQL الأساسية 2/3
942270
تبحث عن حقن SQL الأساسية. سلسلة هجوم شائعة ل mysql و oracle وغيرها.
942280
يكتشف Postgres pg_sleep الحقن وهجمات الانتظار التأخير ومحاولات إيقاف تشغيل قاعدة البيانات
942290
العثور على محاولات حقن MongoDB SQL الأساسية
942300
يكتشف تعليقات MySQL وشروطه وحقن ch(a)r
942310
يكتشف محاولات حقن SQL المتسلسلة 2/2
942320
يكتشف MySQL و PostgreSQL المخزنة الإجراء / حقن الوظيفة
942330
يكتشف تحقيقات حقن SQL الكلاسيكية 1/2
942340
يكتشف محاولات تجاوز مصادقة SQL الأساسية 3/3
942350
يكتشف حقن MySQL UDF ومحاولات معالجة البيانات / البنية الأخرى
942360
يكتشف حقن SQL الأساسي المتسلسل ومحاولات SQLLFI
942361
يكتشف حقن SQL الأساسي استنادا إلى تغيير الكلمات الرئيسية أو الاتحاد
942370
يكتشف تحقيقات حقن SQL الكلاسيكية 2/2
942380
هجوم الحقن SQL
942390
هجوم الحقن SQL
942400
هجوم الحقن SQL
942410
هجوم الحقن SQL
942430
اكتشاف شذوذ الأحرف SQL المقيدة (args): تم تجاوز عدد الأحرف الخاصة (12)
942440
SQL تم اكتشاف تسلسل التعليقات.
942450
SQL تحديد الترميز السداسي
942460
تنبيه اكتشاف الشذوذ Meta-Character - الأحرف المتكررة غير Word
942470
هجوم الحقن SQL
942480
هجوم الحقن SQL
942500
تم اكتشاف تعليق MySQL في الخط.
942510
محاولة تجاوز SQLi بواسطة القراد أو علامات التجزئة الخلفية المكتشفة.
تثبيت الجلسة
RuleId
الوصف
943100
هجوم تثبيت جلسة العمل المحتمل: تعيين قيم ملفات تعريف الارتباط في HTML
943110
هجوم تثبيت جلسة العمل المحتمل: اسم معلمة SessionID مع Off-Domain المحيل
943120
هجوم تثبيت جلسة العمل المحتمل: اسم معلمة SessionID بدون محيل
هجمات جافا
RuleId
الوصف
944100
تنفيذ الأوامر عن بعد: دعامات أباتشي، Oracle WebLogic
944110
يكتشف تنفيذ الحمولة المحتملة
944120
إمكانية تنفيذ الحمولة الصافية وتنفيذ الأوامر عن بعد
944130
فئات جافا المشبوهة
944200
استغلال جافا إلغاء التسلسل أباتشي كومنز
944210
الاستخدام المحتمل لتسلسل Java
944240
تنفيذ الأوامر عن بعد: تسلسل Java وضعف Log4j (CVE-2021-44228 ، CVE-2021-45046 )
944250
تنفيذ الأوامر عن بعد: تم اكتشاف طريقة Java مشبوهة
MS-ThreatIntel-WebShells
RuleId
الوصف
99005002
محاولة تفاعل شل ويب (POST)
99005003
محاولة Upload شل ويب (POST) - مروحية PHP
99005004
ويب شل محاولة Upload (آخر) - المروحية ASPX
99005006
محاولة تفاعل Spring4Shell
MS-ThreatIntel-AppSec
RuleId
الوصف
99030001
التهرب من اجتياز المسار في الرؤوس (/.. /./.. /)
99030002
التهرب من اجتياز المسار في نص الطلب (/.. /./.. /)
MS-ThreatIntel-SQLI
RuleId
الوصف
99031001
هجوم حقن SQL: تم الكشف عن اختبار الحقن الشائع
99031002
SQL تم اكتشاف تسلسل التعليقات.
MS-ThreatIntel-CVEs
RuleId
الوصف
99001001
محاولة F5 tmui (CVE-2020-5902) استغلال واجهة برمجة تطبيقات REST مع بيانات اعتماد معروفة
99001014
محاولة حقن تعبير توجيه سحابة الربيع CVE-2022-22963
99001015
محاولة استغلال كائن فئة Spring Framework غير الآمن CVE-2022-22965
99001016
محاولة حقن مشغل بوابة سحابة الربيع CVE-2022-22947
1.1 مجموعات القواعد
بروتوكول الهجوم
RuleId
الوصف
921110
هجوم تهريب طلب HTTP
921120
هجوم تقسيم استجابة HTTP
921130
هجوم تقسيم استجابة HTTP
921140
هجوم حقن رأس HTTP عبر الرؤوس
921150
هجوم حقن رأس HTTP عبر الحمولة (تم اكتشاف CR / LF)
921151
هجوم حقن رأس HTTP عبر الحمولة (تم اكتشاف CR / LF)
921160
هجوم حقن رأس HTTP عبر الحمولة (تم اكتشاف CR/LF واسم الرأس)
LFI - تضمين الملف المحلي
RuleId
الوصف
930100
هجوم عبور المسار (/.. /)
930110
هجوم عبور المسار (/.. /)
930120
محاولة الوصول إلى ملف نظام التشغيل
930130
محاولة الوصول المقيد إلى الملفات
RFI - تضمين الملفات عن بعد
RuleId
الوصف
931100
هجوم محتمل لتضمين الملفات عن بعد (RFI): معلمة عنوان URL باستخدام عنوان IP
931110
هجوم محتمل لتضمين الملفات عن بعد (RFI): اسم معلمة RFI الضعيفة الشائعة المستخدمة مع حمولة / عنوان URL
931120
هجوم محتمل لتضمين الملفات عن بعد (RFI): حمولة عنوان URL المستخدمة مع حرف علامة استفهام زائدة (؟)
931130
هجوم محتمل لتضمين الملفات عن بعد (RFI): مرجع/ارتباط Off-Domain
RCE - تنفيذ الأوامر عن بعد
RuleId
الوصف
932100
تنفيذ الأوامر عن بعد: حقن أوامر يونكس
932105
تنفيذ الأوامر عن بعد: حقن أوامر يونكس
932110
تنفيذ الأوامر عن بعد: حقن الأوامر Windows
932115
تنفيذ الأوامر عن بعد: حقن الأوامر Windows
931120
تنفيذ الأوامر عن بعد: تم العثور على الأمر Windows PowerShell
932130
تنفيذ الأوامر عن بعد: تم العثور على تعبير Unix Shell
932140
تنفيذ الأوامر عن بعد: Windows تم العثور على الأمر FOR/IF
932150
تنفيذ الأوامر عن بعد: التنفيذ المباشر لأوامر يونكس
932160
تنفيذ الأوامر عن بعد: Shellshock (CVE-2014-6271)
932170
تنفيذ الأوامر عن بعد: Shellshock (CVE-2014-6271)
932171
تنفيذ الأوامر عن بعد: Shellshock (CVE-2014-6271)
932180
محاولة Upload الملفات المقيدة
هجمات PHP
RuleId
الوصف
933100
هجوم حقن PHP: تم العثور على علامة PHP المفتوحة
933110
هجوم حقن PHP: Upload العثور على ملف PHP النصي
933120
هجوم حقن PHP: تم العثور على توجيه التكوين
933130
هجوم حقن PHP: تم العثور على المتغيرات
933140
هجوم حقن PHP: تم العثور على تيار I / O
933150
هجوم حقن PHP: High-Risk تم العثور على اسم وظيفة PHP
933151
هجوم حقن PHP: Medium-Risk تم العثور على اسم وظيفة PHP
933160
هجوم حقن PHP: High-Risk تم العثور على استدعاء وظيفة PHP
933170
هجوم حقن PHP: حقن كائن متسلسل
933180
هجوم حقن PHP: تم العثور على استدعاء وظيفة متغيرة
XSS - البرمجة النصية عبر المواقع
RuleId
الوصف
941100
تم اكتشاف هجوم XSS عبر libinjection
941101
تم اكتشاف هجوم XSS عبر libinjection
941110
مرشح XSS - الفئة 1: متجه علامة البرنامج النصي
941120
مرشح XSS - الفئة 2: متجه معالج الأحداث
941130
مرشح XSS - الفئة 3: متجه السمة
941140
مرشح XSS - الفئة 4: جافا سكريبت URI Vector
941150
عامل تصفية XSS - الفئة 5: سمات HTML غير المسموح بها
941160
NoScript XSS InjectionChecker: حقن HTML
941170
NoScript XSS InjectionChecker: حقن السمة
941180
Node-Validator القائمة السوداء الكلمات المفتاحية
941190
مرشحات IE XSS - تم اكتشاف الهجوم.
941200
مرشحات IE XSS - تم اكتشاف الهجوم.
941210
مرشحات IE XSS - تم اكتشاف الهجوم.
941220
مرشحات IE XSS - تم اكتشاف الهجوم.
941230
مرشحات IE XSS - تم اكتشاف الهجوم.
941240
مرشحات IE XSS - تم اكتشاف الهجوم.
941250
مرشحات IE XSS - تم اكتشاف الهجوم.
941260
مرشحات IE XSS - تم اكتشاف الهجوم.
941270
مرشحات IE XSS - تم اكتشاف الهجوم.
941280
مرشحات IE XSS - تم اكتشاف الهجوم.
941290
مرشحات IE XSS - تم اكتشاف الهجوم.
941300
مرشحات IE XSS - تم اكتشاف الهجوم.
941310
مرشح تشفير XSS المشوه US-ASCII - تم اكتشاف الهجوم.
941320
اكتشاف هجوم XSS محتمل - معالج علامة HTML
941330
مرشحات IE XSS - تم اكتشاف الهجوم.
941340
مرشحات IE XSS - تم اكتشاف الهجوم.
941350
ترميز UTF-7 IE XSS - تم اكتشاف الهجوم.
ملاحظة
تحتوي هذه المقالة على مراجع إلى مصطلح القائمة السوداء ، وهو مصطلح لم تعد Microsoft تستخدمه. عند إزالة المصطلح من البرنامج، سنزيله من هذه المقالة.
SQLI - حقن SQL
RuleId
الوصف
942100
SQL الكشف عن هجوم الحقن عن طريق libinjection
942110
هجوم حقن SQL: تم الكشف عن اختبار الحقن الشائع
942120
هجوم حقن SQL: تم اكتشاف مشغل SQL
942140
هجوم حقن SQL: تم الكشف عن أسماء DB الشائعة
942150
هجوم الحقن SQL
942160
يكتشف اختبارات sqli العمياء باستخدام السكون () أو المعيار ().
942170
يكتشف SQL القياسي ومحاولات حقن النوم بما في ذلك الاستعلامات الشرطية
942180
يكتشف محاولات تجاوز مصادقة SQL الأساسية 1/3
942190
يكتشف تنفيذ التعليمات البرمجية MSSQL ومحاولات جمع المعلومات
942200
يكتشف حقن MySQL الغامضة في التعليق / الفضاء وإنهاء backtick
942210
يكتشف محاولات حقن SQL المتسلسلة 1/2
942220
تبحث عن هجمات الفائض الصحيح ، يتم أخذها من skipfish ، باستثناء 3.0.00738585072007e-308 هو تحطم "الرقم السحري"
942230
يكتشف محاولات حقن SQL الشرطي
942240
يكتشف مفتاح مجموعة أحرف MySQL ومحاولات MSSQL DoS
942250
يكتشف المطابقة ضد ودمج وتنفيذ الحقن الفورية
942260
يكتشف محاولات تجاوز مصادقة SQL الأساسية 2/3
942270
تبحث عن حقن SQL الأساسية. سلسلة هجوم شائعة ل mysql و oracle وغيرها.
942280
يكتشف Postgres pg_sleep الحقن وهجمات الانتظار التأخير ومحاولات إيقاف تشغيل قاعدة البيانات
942290
العثور على محاولات حقن MongoDB SQL الأساسية
942300
يكتشف تعليقات MySQL وشروطه وحقن ch(a)r
942310
يكتشف محاولات حقن SQL المتسلسلة 2/2
942320
يكتشف MySQL و PostgreSQL المخزنة الإجراء / حقن الوظيفة
942330
يكتشف تحقيقات حقن SQL الكلاسيكية 1/3
942340
يكتشف محاولات تجاوز مصادقة SQL الأساسية 3/3
942350
يكتشف حقن MySQL UDF ومحاولات معالجة البيانات / البنية الأخرى
942360
يكتشف حقن SQL الأساسي المتسلسل ومحاولات SQLLFI
942361
يكتشف حقن SQL الأساسي استنادا إلى تغيير الكلمات الرئيسية أو الاتحاد
942370
يكتشف تحقيقات حقن SQL الكلاسيكية 2/3
942380
هجوم الحقن SQL
942390
هجوم الحقن SQL
942400
هجوم الحقن SQL
942410
هجوم الحقن SQL
942430
اكتشاف شذوذ الأحرف SQL المقيدة (args): تم تجاوز عدد الأحرف الخاصة (12)
942440
SQL تم اكتشاف تسلسل التعليقات.
942450
SQL تحديد الترميز السداسي
942470
هجوم الحقن SQL
942480
هجوم الحقن SQL
تثبيت الجلسة
RuleId
الوصف
943100
هجوم تثبيت جلسة العمل المحتمل: تعيين قيم ملفات تعريف الارتباط في HTML
943110
هجوم تثبيت جلسة العمل المحتمل: اسم معلمة SessionID مع Off-Domain المحيل
943120
هجوم تثبيت جلسة العمل المحتمل: اسم معلمة SessionID بدون محيل
هجمات جافا
RuleId
الوصف
944100
تنفيذ الأوامر عن بعد: تم اكتشاف فئة Java مشبوهة
944110
هجوم تثبيت جلسة العمل المحتمل: تعيين قيم ملفات تعريف الارتباط في HTML
944120
تنفيذ الأوامر عن بعد: تسلسل Java (CVE-2015-5842)
944130
تم الكشف عن فئة Java المشبوهة
944200
البايتات السحرية المكتشفة ، تسلسل جافا المحتمل قيد الاستخدام
944210
البايتات السحرية تم الكشف عن Base64 مشفرة، وتسلسل جافا المحتمل قيد الاستخدام
944240
تنفيذ الأوامر عن بعد: تسلسل Java وضعف Log4j (CVE-2021-44228 ، CVE-2021-45046 )
944250
تنفيذ الأوامر عن بعد: تم اكتشاف طريقة Java مشبوهة
MS-ThreatIntel-WebShells
RuleId
الوصف
99005002
محاولة تفاعل شل ويب (POST)
99005003
محاولة Upload شل ويب (POST) - مروحية PHP
99005004
ويب شل محاولة Upload (آخر) - المروحية ASPX
99005006
محاولة تفاعل Spring4Shell
MS-ThreatIntel-AppSec
RuleId
الوصف
99030001
التهرب من اجتياز المسار في الرؤوس (/.. /./.. /)
99030002
التهرب من اجتياز المسار في نص الطلب (/.. /./.. /)
MS-ThreatIntel-SQLI
RuleId
الوصف
99031001
هجوم حقن SQL: تم الكشف عن اختبار الحقن الشائع
99031002
SQL تم اكتشاف تسلسل التعليقات.
MS-ThreatIntel-CVEs
RuleId
الوصف
99001001
محاولة F5 tmui (CVE-2020-5902) استغلال واجهة برمجة تطبيقات REST مع بيانات اعتماد معروفة
99001014
محاولة حقن تعبير توجيه سحابة الربيع CVE-2022-22963
99001015
محاولة استغلال كائن فئة Spring Framework غير الآمن CVE-2022-22965
99001016
محاولة حقن مشغل بوابة سحابة الربيع CVE-2022-22947
1.0 مجموعات القواعد
بروتوكول الهجوم
RuleId
الوصف
921110
هجوم تهريب طلب HTTP
921120
هجوم تقسيم استجابة HTTP
921130
هجوم تقسيم استجابة HTTP
921140
هجوم حقن رأس HTTP عبر الرؤوس
921150
هجوم حقن رأس HTTP عبر الحمولة (تم اكتشاف CR / LF)
921151
هجوم حقن رأس HTTP عبر الحمولة (تم اكتشاف CR / LF)
921160
هجوم حقن رأس HTTP عبر الحمولة (تم اكتشاف CR/LF واسم الرأس)
LFI - تضمين الملف المحلي
RuleId
الوصف
930100
هجوم عبور المسار (/.. /)
930110
هجوم عبور المسار (/.. /)
930120
محاولة الوصول إلى ملف نظام التشغيل
930130
محاولة الوصول المقيد إلى الملفات
RFI - تضمين الملفات عن بعد
RuleId
الوصف
931100
هجوم محتمل لتضمين الملفات عن بعد (RFI): معلمة عنوان URL باستخدام عنوان IP
931110
هجوم محتمل لتضمين الملفات عن بعد (RFI): اسم معلمة RFI الضعيفة الشائعة المستخدمة مع حمولة / عنوان URL
931120
هجوم محتمل لتضمين الملفات عن بعد (RFI): حمولة عنوان URL المستخدمة مع حرف علامة استفهام زائدة (؟)
931130
هجوم محتمل لتضمين الملفات عن بعد (RFI): مرجع/ارتباط Off-Domain
RCE - تنفيذ الأوامر عن بعد
RuleId
الوصف
932100
تنفيذ الأوامر عن بعد: حقن أوامر يونكس
932105
تنفيذ الأوامر عن بعد: حقن أوامر يونكس
932110
تنفيذ الأوامر عن بعد: حقن الأوامر Windows
932115
تنفيذ الأوامر عن بعد: حقن الأوامر Windows
932120
تنفيذ الأوامر عن بعد: تم العثور على الأمر Windows PowerShell
932130
تنفيذ الأوامر عن بعد: تم العثور على تعبير Unix Shell
932140
تنفيذ الأوامر عن بعد: Windows تم العثور على الأمر FOR/IF
932150
تنفيذ الأوامر عن بعد: التنفيذ المباشر لأوامر يونكس
932160
تنفيذ الأوامر عن بعد: تم العثور على رمز Unix Shell
932170
تنفيذ الأوامر عن بعد: Shellshock (CVE-2014-6271)
932171
تنفيذ الأوامر عن بعد: Shellshock (CVE-2014-6271)
932180
محاولة Upload الملفات المقيدة
هجمات PHP
RuleId
الوصف
933100
هجوم حقن PHP: تم العثور على علامة فتح / إغلاق
933110
هجوم حقن PHP: Upload العثور على ملف PHP النصي
933120
هجوم حقن PHP: تم العثور على توجيه التكوين
933130
هجوم حقن PHP: تم العثور على المتغيرات
933131
هجوم حقن PHP: تم العثور على المتغيرات
933140
هجوم حقن PHP: تم العثور على تيار I / O
933150
هجوم حقن PHP: High-Risk تم العثور على اسم وظيفة PHP
933151
هجوم حقن PHP: Medium-Risk تم العثور على اسم وظيفة PHP
933160
هجوم حقن PHP: High-Risk تم العثور على استدعاء وظيفة PHP
933161
هجوم حقن PHP: Low-Value تم العثور على استدعاء وظيفة PHP
933170
هجوم حقن PHP: حقن كائن متسلسل
933180
هجوم حقن PHP: تم العثور على استدعاء وظيفة متغيرة
XSS - البرمجة النصية عبر المواقع
RuleId
الوصف
941100
تم اكتشاف هجوم XSS عبر libinjection
941101
تم اكتشاف هجوم XSS عبر libinjection.
941110
مرشح XSS - الفئة 1: متجه علامة البرنامج النصي
941120
مرشح XSS - الفئة 2: متجه معالج الأحداث
941130
مرشح XSS - الفئة 3: متجه السمة
941140
مرشح XSS - الفئة 4: جافا سكريبت URI Vector
941150
عامل تصفية XSS - الفئة 5: سمات HTML غير المسموح بها
941160
NoScript XSS InjectionChecker: حقن HTML
941170
NoScript XSS InjectionChecker: حقن السمة
941180
Node-Validator القائمة السوداء الكلمات المفتاحية
941190
XSS باستخدام أوراق الأنماط
941200
XSS باستخدام إطارات VML
941210
XSS باستخدام جافا سكريبت غامضة
941220
XSS باستخدام برنامج VB النصي المبهم
941230
XSS باستخدام علامة "تضمين"
941240
XSS باستخدام سمة "استيراد" أو "تنفيذ"
941250
مرشحات IE XSS - تم اكتشاف الهجوم.
941260
XSS باستخدام العلامة "الوصفية"
941270
XSS باستخدام href "الرابط"
941280
XSS باستخدام علامة "القاعدة"
941290
XSS باستخدام علامة "التطبيق الصغير"
941300
XSS باستخدام علامة "كائن"
941310
مرشح تشفير XSS المشوه US-ASCII - تم اكتشاف الهجوم.
941320
اكتشاف هجوم XSS محتمل - معالج علامة HTML
941330
مرشحات IE XSS - تم اكتشاف الهجوم.
941340
مرشحات IE XSS - تم اكتشاف الهجوم.
941350
ترميز UTF-7 IE XSS - تم اكتشاف الهجوم.
ملاحظة
تحتوي هذه المقالة على مراجع إلى مصطلح القائمة السوداء ، وهو مصطلح لم تعد Microsoft تستخدمه. عند إزالة المصطلح من البرنامج، سنزيله من هذه المقالة.
SQLI - حقن SQL
RuleId
الوصف
942100
SQL الكشف عن هجوم الحقن عن طريق libinjection
942110
هجوم حقن SQL: تم الكشف عن اختبار الحقن الشائع
942120
هجوم حقن SQL: تم اكتشاف مشغل SQL
942140
هجوم حقن SQL: تم الكشف عن أسماء DB الشائعة
942150
هجوم الحقن SQL
942160
يكتشف اختبارات sqli العمياء باستخدام السكون () أو المعيار ().
942170
يكتشف SQL القياسي ومحاولات حقن النوم بما في ذلك الاستعلامات الشرطية
942180
يكتشف محاولات تجاوز مصادقة SQL الأساسية 1/3
942190
يكتشف تنفيذ التعليمات البرمجية MSSQL ومحاولات جمع المعلومات
942200
يكتشف حقن MySQL الغامضة في التعليق / الفضاء وإنهاء backtick
942210
يكتشف محاولات حقن SQL المتسلسلة 1/2
942220
تبحث عن هجمات الفائض الصحيح ، يتم أخذها من skipfish ، باستثناء 3.0.00738585072007e-308 هو تحطم "الرقم السحري"
942230
يكتشف محاولات حقن SQL الشرطي
942240
يكتشف مفتاح مجموعة أحرف MySQL ومحاولات MSSQL DoS
942250
يكتشف المطابقة ضد ودمج وتنفيذ الحقن الفورية
942260
يكتشف محاولات تجاوز مصادقة SQL الأساسية 2/3
942270
تبحث عن حقن SQL الأساسية. سلسلة هجوم شائعة ل mysql و oracle وغيرها.
942280
يكتشف Postgres pg_sleep الحقن وهجمات الانتظار التأخير ومحاولات إيقاف تشغيل قاعدة البيانات
942290
العثور على محاولات حقن MongoDB SQL الأساسية
942300
يكتشف تعليقات MySQL وشروطه وحقن ch(a)r
942310
يكتشف محاولات حقن SQL المتسلسلة 2/2
942320
يكتشف MySQL و PostgreSQL المخزنة الإجراء / حقن الوظيفة
942330
يكتشف تحقيقات حقن SQL الكلاسيكية 1/2
942340
يكتشف محاولات تجاوز مصادقة SQL الأساسية 3/3
942350
يكتشف حقن MySQL UDF ومحاولات معالجة البيانات / البنية الأخرى
942360
يكتشف حقن SQL الأساسي المتسلسل ومحاولات SQLLFI
942361
يكتشف حقن SQL الأساسي استنادا إلى تغيير الكلمات الرئيسية أو الاتحاد
942370
يكتشف تحقيقات حقن SQL الكلاسيكية 2/2
942380
هجوم الحقن SQL
942390
هجوم الحقن SQL
942400
هجوم الحقن SQL
942410
هجوم الحقن SQL
942430
اكتشاف شذوذ الأحرف SQL المقيدة (args): تم تجاوز عدد الأحرف الخاصة (12)
942440
SQL تم اكتشاف تسلسل التعليقات.
942450
SQL تحديد الترميز السداسي
942470
هجوم الحقن SQL
942480
هجوم الحقن SQL
تثبيت الجلسة
RuleId
الوصف
943100
هجوم تثبيت جلسة العمل المحتمل: تعيين قيم ملفات تعريف الارتباط في HTML
943110
هجوم تثبيت جلسة العمل المحتمل: اسم معلمة SessionID مع Off-Domain المحيل
943120
هجوم تثبيت جلسة العمل المحتمل: اسم معلمة SessionID بدون محيل
هجمات جافا
RuleId
الوصف
944100
تنفيذ الأوامر عن بعد: دعامات أباتشي، Oracle WebLogic
944110
يكتشف تنفيذ الحمولة المحتملة
944120
إمكانية تنفيذ الحمولة الصافية وتنفيذ الأوامر عن بعد
944130
فئات جافا المشبوهة
944200
استغلال جافا إلغاء التسلسل أباتشي كومنز
944210
الاستخدام المحتمل لتسلسل Java
944240
تنفيذ الأوامر عن بعد: تسلسل Java وضعف Log4j (CVE-2021-44228 ، CVE-2021-45046 )
944250
تنفيذ الأوامر عن بعد: تم اكتشاف طريقة Java مشبوهة
MS-ThreatIntel-WebShells
RuleId
الوصف
99005006
محاولة تفاعل Spring4Shell
MS-ThreatIntel-CVEs
مجموعات قواعد مدير الروبوت
الروبوتات السيئة
RuleId
الوصف
بوت100100
الروبوتات الضارة التي تم اكتشافها بواسطة استخبارات التهديدات
بوت100200
الروبوتات الضارة التي زورت هويتها
روبوتات جيدة
RuleId
الوصف
بوت200100
برامج زحف محركات البحث
بوت200200
برامج زحف محركات البحث التي لم يتم التحقق منها
روبوتات غير معروفة
RuleId
الوصف
بوت300100
هوية غير محددة
بوت300200
أدوات وأطر عمل للزحف إلى الويب والهجمات
بوت300300
عملاء HTTP للأغراض العامة ومجموعات تطوير البرامج (SDK)
بوت300400
وكلاء الخدمة
بوت300500
خدمات مراقبة صحة الموقع
بوت300600
روبوتات غير معروفة تم اكتشافها بواسطة استخبارات التهديدات
بوت300700
روبوتات أخرى
الخطوات التالية