Skupiny pravidel a pravidla firewallu webových aplikací pro službu DRS a CRS

  • Článek

Sady pravidel spravovaných Azure v firewallu webových aplikací služby Application Gateway (WAF) aktivně chrání webové aplikace před běžnými ohroženími zabezpečení a zneužitím. Tyto sady pravidel, které spravuje Azure, obdrží aktualizace podle potřeby, aby se hlídaly před novými podpisy útoků. Výchozí sada pravidel také zahrnuje pravidla kolekce Microsoft Threat Intelligence. Tým Microsoft Intelligence spolupracuje na psaní těchto pravidel, zajišťuje lepší pokrytí, konkrétní opravy ohrožení zabezpečení a vylepšené snížení falešně pozitivních výsledků.

Máte také možnost použít pravidla definovaná na základě základních sad pravidel OWASP 3.2, 3.1, 3.0 nebo 2.2.9.

Pravidla můžete zakázat jednotlivě nebo pro každé pravidlo nastavit konkrétní akce. Tento článek obsahuje seznam aktuálních pravidel a dostupných sad pravidel. Pokud publikovaná sada pravidel vyžaduje aktualizaci, dokumentujeme ji tady.

Poznámka:

Při změně z jedné verze sady pravidel na jinou se všechna zakázaná a povolená nastavení pravidel vrátí do výchozího nastavení sady pravidel, do které migrujete. To znamená, že pokud jste pravidlo dříve zakázali nebo povolili, budete ho muset po přesunutí na novou verzi sady pravidel znovu zakázat nebo povolit.

Výchozí sady pravidel

Výchozí sada pravidel spravovaná v Azure (DRS) obsahuje pravidla pro následující kategorie hrozeb:

  • Skriptování mezi weby
  • Útoky v Javě
  • Zahrnutí místních souborů
  • Útoky prostřednictvím injektáže PHP
  • Vzdálené spuštění příkazu
  • Zahrnutí vzdálených souborů
  • Fixace relace
  • Ochrana před útoky prostřednictvím injektáže SQL.
  • Útočníci protokolu při přidání nových podpisů útoku do sady pravidel zvýší číslo verze DRS.

Pravidla kolekce Microsoft Threat Intelligence

Pravidla shromažďování hrozeb Společnosti Microsoft jsou napsána ve spolupráci s týmem Microsoft Threat Intelligence, která poskytují zvýšené pokrytí, opravy konkrétních ohrožení zabezpečení a lepší falešně pozitivní snížení.

Poznámka:

Při zahájení práce s waF ve službě Application Gateway použijte následující doprovodné materiály k ladění WAF ve službě Application Gateway. Podrobnosti o pravidlech jsou popsány dále.

ID pravidla Skupina pravidel Popis Detaily
942110 SQLI Útok prostřednictvím injektáže SQL: Zjistilo se běžné testování injektáže Zakázat, nahrazeno pravidlem MSTIC 99031001
942150 SQLI Útok prostřednictvím injektáže SQL Zakázat, nahrazeno pravidlem MSTIC 99031003
942260 SQLI Zjistí pokusy o obejití základního ověřování SQL 2/3. Zakázat, nahrazeno pravidlem MSTIC 99031004
942430 SQLI Omezená detekce anomálií znaků SQL (args): počet překročení počtu speciálních znaků (12) Zakažte, příliš mnoho falešně pozitivních výsledků.
942440 SQLI Zjištěná sekvence komentářů SQL Zakázat, nahrazeno pravidlem MSTIC 99031002
99005006 MS-ThreatIntel-WebShells Pokus o interakci Spring4Shellu Nechte pravidlo povolené, aby se zabránilo ohrožení zabezpečení SpringShellu.
99001014 MS-ThreatIntel-CVEs Pokus o injektáže směrovacího výrazu Spring Cloudu CVE-2022-22963 Nechte pravidlo povolené, aby se zabránilo ohrožení zabezpečení SpringShellu.
99001015 MS-ThreatIntel-WebShells Pokus o zneužití objektu nebezpečné třídy Spring Framework CVE-2022-22965 Nechte pravidlo povolené, aby se zabránilo ohrožení zabezpečení SpringShellu.
99001016 MS-ThreatIntel-WebShells Pokus o injektáž ovladače brány Spring Cloud CVE-2022-22947 Nechte pravidlo povolené, aby se zabránilo ohrožení zabezpečení SpringShellu.
99001017 MS-ThreatIntel-CVEs Pokus o nahrání souboru Apache Struts – cve-2023-50164 Nastavte akci na Blokování, abyste zabránili ohrožení zabezpečení Apache Struts. Skóre anomálií není pro toto pravidlo podporováno.

Základní sady pravidel

WaF služby Application Gateway je ve výchozím nastavení předem nakonfigurovaný s CRS 3.2, ale můžete se rozhodnout použít jakoukoli jinou podporovanou verzi CRS.

CRS 3.2 nabízí nový modul a nové sady pravidel, které chrání před injektážemi Java, počáteční sadou kontrol nahrávání souborů a méně falešně pozitivních výsledků v porovnání s dřívějšími verzemi CRS. Můžete také přizpůsobit pravidla tak, aby vyhovovala vašim potřebám. Přečtěte si další informace o novém modulu Azure WAF.

Manages rules

WAF chrání před následujícími ohroženími zabezpečení webu:

  • Útoky prostřednictvím injektáže SQL
  • Útoky skriptování mezi weby
  • Další běžné útoky, jako je injektáž příkazů, pašování požadavků HTTP, rozdělení odpovědí HTTP a vzdálené zahrnutí souborů
  • Porušení protokolu HTTP
  • Anomálie protokolu HTTP, například chybějící uživatelský agent hostitele a hlavičky pro příjem
  • Roboty, prohledávací moduly a skenery
  • Běžné chybné konfigurace aplikací (například Apache a IIS)

Ladění spravovaných sad pravidel

Služba DRS i CRS jsou ve výchozím nastavení povolená v režimu detekce ve vašich zásadách WAF. Můžete zakázat nebo povolit jednotlivá pravidla v rámci sady spravovaných pravidel tak, aby splňovala požadavky vaší aplikace. Pro každé pravidlo můžete také nastavit konkrétní akce. DrS/CRS podporuje akce blokového, protokolu a skóre anomálií. Sada pravidel Bot Manageru podporuje akce povolení, blokování a protokolování.

Někdy může být potřeba vynechat některé atributy požadavku z vyhodnocení WAF. Běžným příkladem jsou tokeny vložené službou Active Directory, které se používají k ověřování. Můžete nakonfigurovat vyloučení, která se použijí při vyhodnocování konkrétních pravidel WAF, nebo použít globálně pro vyhodnocení všech pravidel WAF. Pravidla vyloučení platí pro celou webovou aplikaci. Další informace najdete v tématu Firewall webových aplikací (WAF) se seznamy vyloučení služby Application Gateway.

Ve výchozím nastavení používá DRS verze 2.1 / CRS verze 3.2 a vyšší vyhodnocování anomálií, když požadavek odpovídá pravidlu. CRS 3.1 a níže blokuje ve výchozím nastavení odpovídající požadavky. Kromě toho je možné vlastní pravidla nakonfigurovat ve stejné zásadě WAF, pokud chcete obejít některá z předkonfigurovaných pravidel v základní sadě pravidel.

Vlastní pravidla se vždy použijí před vyhodnocením pravidel v základní sadě pravidel. Pokud požadavek odpovídá vlastnímu pravidlu, použije se odpovídající akce pravidla. Požadavek se buď zablokuje, nebo se předává do back-endu. Nezpracují se žádná jiná vlastní pravidla ani pravidla v základní sadě pravidel.

Bodování anomálií

Pokud používáte CRS nebo DRS 2.1 a novější, je waF nakonfigurovaný tak, aby ve výchozím nastavení používal vyhodnocování anomálií. Provoz, který odpovídá jakémukoli pravidlu, se okamžitě neblokuje, ani když je váš WAF v režimu prevence. Místo toho sady pravidel OWASP definují závažnost pro každé pravidlo: Kritické, Chyba, Upozornění nebo Oznámení. Závažnost ovlivňuje číselnou hodnotu požadavku, která se nazývá skóre anomálií:

Závažnost pravidla Hodnota přispěla ke skóre anomálií
Kritické 5
Chyba 4
Upozorňující 3
Upozornění: 2

Pokud je skóre anomálií 5 nebo vyšší a WAF je v režimu prevence, požadavek se zablokuje. Pokud je skóre anomálií 5 nebo vyšší a WAF je v režimu detekce, zaprotokoluje se požadavek, ale není zablokovaný.

Například jedna shoda kritického pravidla stačí, aby WAF zablokovala požadavek v režimu prevence, protože celkové skóre anomálií je 5. Jedno pravidlo upozornění ale pouze zvyšuje skóre anomálií o 3, což nestačí k blokování provozu. Při aktivaci pravidla anomálií se v protokolech zobrazí akce Odpovídající. Pokud je skóre anomálií 5 nebo vyšší, aktivuje se samostatné pravidlo s akcí "Blokováno" nebo "Zjištěno" v závislosti na tom, jestli jsou zásady WAF v režimu prevence nebo detekce. Další informace najdete v režimu bodování anomálií.

DRS 2.1

Pravidla DRS 2.1 nabízejí lepší ochranu než starší verze DRS. Obsahuje další pravidla vyvinutá týmem Microsoft Threat Intelligence a aktualizacemi podpisů, aby se snížil počet falešně pozitivních výsledků. Podporuje také transformace nad rámec dekódování adresy URL.

DrS 2.1 obsahuje 17 skupin pravidel, jak je znázorněno v následující tabulce. Každá skupina obsahuje více pravidel a můžete přizpůsobit chování jednotlivých pravidel, skupin pravidel nebo celé sady pravidel.

Skupina pravidla Popis
Obecné Obecná skupina
VYNUCENÍ METODY Metody uzamčení (PUT, PATCH)
VYNUCENÍ PROTOKOLU Ochrana před problémy s protokolem a kódováním
ÚTOK PROTOKOLEM Ochrana před vkládáním hlaviček, pašováním žádostí a rozdělením odpovědí
APPLICATION-ATTACK-LFI Ochrana před útoky na soubory a cesty
APPLICATION-ATTACK-RFI Ochrana před vzdálenými útoky na zahrnutí souborů (RFI)
APPLICATION-ATTACK-RCE Ochrana znovu vzdálených útoků na spouštění kódu
APPLICATION-ATTACK-PHP Ochrana před útoky prostřednictvím injektáže PHP
APPLICATION-ATTACK-NodeJS Ochrana před útoky JS uzlu
APPLICATION-ATTACK-XSS Ochrana před skriptovacími útoky mezi weby
APPLICATION-ATTACK-SQLI Ochrana před útoky prostřednictvím injektáže SQL
OPRAVA ÚTOKU NA APLIKACI Ochrana před útoky na opravu relací
APPLICATION-ATTACK-SESSION-JAVA Ochrana před útoky JAVA
MS-ThreatIntel-WebShells Ochrana před útoky web shellu
MS-ThreatIntel-AppSec Ochrana před útoky AppSec
MS-ThreatIntel-SQLI Ochrana před útoky SQLI
MS-ThreatIntel-CVEs Ochrana před útoky CVE

OWASP CRS 3.2

CRS 3.2 obsahuje 14 skupin pravidel, jak je znázorněno v následující tabulce. Každá skupina obsahuje více pravidel, která je možné zakázat. Sada pravidel je založená na verzi OWASP CRS 3.2.0.

Poznámka:

CRS 3.2 je k dispozici pouze na WAF_v2 SKU. Vzhledem k tomu, že CRS 3.2 běží na novém modulu Azure WAF, nemůžete downgradovat na CRS 3.1 nebo starší. Pokud potřebujete downgradovat, obraťte se na podporu Azure.

Skupina pravidla Popis
Obecné Obecná skupina
ZNÁMÉ CVES Pomoc s rozpoznáním nových a známých cves
REQUEST-911-METHOD-ENFORCEMENT Metody uzamčení (PUT, PATCH)
REQUEST-913-SCANNER-DETECTION Ochrana před skenery portů a prostředí
REQUEST-920-PROTOCOL-ENFORCEMENT Ochrana před problémy s protokolem a kódováním
REQUEST-921-PROTOCOL-ATTACK Ochrana před vkládáním hlaviček, pašováním žádostí a rozdělením odpovědí
REQUEST-930-APPLICATION-ATTACK-LFI Ochrana před útoky na soubory a cesty
REQUEST-931-APPLICATION-ATTACK-RFI Ochrana před vzdálenými útoky na zahrnutí souborů (RFI)
REQUEST-932-APPLICATION-ATTACK-RCE Ochrana znovu vzdálených útoků na spouštění kódu
REQUEST-933-APPLICATION-ATTACK-PHP Ochrana před útoky prostřednictvím injektáže PHP
REQUEST-941-APPLICATION-ATTACK-XSS Ochrana před skriptovacími útoky mezi weby
REQUEST-942-APPLICATION-ATTACK-SQLI Ochrana před útoky prostřednictvím injektáže SQL
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Ochrana před útoky na opravu relací
REQUEST-944-APPLICATION-ATTACK-JAVA Ochrana před útoky JAVA

OWASP CRS 3.1

CRS 3.1 obsahuje 14 skupin pravidel, jak je znázorněno v následující tabulce. Každá skupina obsahuje více pravidel, která je možné zakázat. Sada pravidel je založená na verzi OWASP CRS 3.1.1.

Poznámka:

CRS 3.1 je k dispozici pouze na WAF_v2 SKU.

Skupina pravidla Popis
Obecné Obecná skupina
ZNÁMÉ CVES Pomoc s rozpoznáním nových a známých cves
REQUEST-911-METHOD-ENFORCEMENT Metody uzamčení (PUT, PATCH)
REQUEST-913-SCANNER-DETECTION Ochrana před skenery portů a prostředí
REQUEST-920-PROTOCOL-ENFORCEMENT Ochrana před problémy s protokolem a kódováním
REQUEST-921-PROTOCOL-ATTACK Ochrana před vkládáním hlaviček, pašováním žádostí a rozdělením odpovědí
REQUEST-930-APPLICATION-ATTACK-LFI Ochrana před útoky na soubory a cesty
REQUEST-931-APPLICATION-ATTACK-RFI Ochrana před vzdálenými útoky na zahrnutí souborů (RFI)
REQUEST-932-APPLICATION-ATTACK-RCE Ochrana znovu vzdálených útoků na spouštění kódu
REQUEST-933-APPLICATION-ATTACK-PHP Ochrana před útoky prostřednictvím injektáže PHP
REQUEST-941-APPLICATION-ATTACK-XSS Ochrana před skriptovacími útoky mezi weby
REQUEST-942-APPLICATION-ATTACK-SQLI Ochrana před útoky prostřednictvím injektáže SQL
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Ochrana před útoky na opravu relací
REQUEST-944-APPLICATION-ATTACK-SESSION-JAVA Ochrana před útoky JAVA

OWASP CRS 3.0

CRS 3.0 obsahuje 13 skupin pravidel, jak je znázorněno v následující tabulce. Každá skupina obsahuje více pravidel, která je možné zakázat. Sada pravidel je založená na verzi OWASP CRS 3.0.0.

Skupina pravidla Popis
Obecné Obecná skupina
ZNÁMÉ CVES Pomoc s rozpoznáním nových a známých cves
REQUEST-911-METHOD-ENFORCEMENT Metody uzamčení (PUT, PATCH)
REQUEST-913-SCANNER-DETECTION Ochrana před skenery portů a prostředí
REQUEST-920-PROTOCOL-ENFORCEMENT Ochrana před problémy s protokolem a kódováním
REQUEST-921-PROTOCOL-ATTACK Ochrana před vkládáním hlaviček, pašováním žádostí a rozdělením odpovědí
REQUEST-930-APPLICATION-ATTACK-LFI Ochrana před útoky na soubory a cesty
REQUEST-931-APPLICATION-ATTACK-RFI Ochrana před vzdálenými útoky na zahrnutí souborů (RFI)
REQUEST-932-APPLICATION-ATTACK-RCE Ochrana znovu vzdálených útoků na spouštění kódu
REQUEST-933-APPLICATION-ATTACK-PHP Ochrana před útoky prostřednictvím injektáže PHP
REQUEST-941-APPLICATION-ATTACK-XSS Ochrana před skriptovacími útoky mezi weby
REQUEST-942-APPLICATION-ATTACK-SQLI Ochrana před útoky prostřednictvím injektáže SQL
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Ochrana před útoky na opravu relací

OWASP CRS 2.2.9

CRS 2.2.9 obsahuje 10 skupin pravidel, jak je znázorněno v následující tabulce. Každá skupina obsahuje více pravidel, která je možné zakázat.

Poznámka:

CrS 2.2.9 se už nepodporuje pro nové zásady WAF. Doporučujeme upgradovat na nejnovější verzi CRS. CRS 2.2.9 nelze použít společně s CRS 3.2/DRS 2.1 a vyššími verzemi.

Skupina pravidla Popis
crs_20_protocol_violations Ochrana před porušením protokolu (například neplatnými znaky nebo get s textem požadavku)
crs_21_protocol_anomalies Ochrana před nesprávnými informacemi v hlavičce
crs_23_request_limits Ochrana před argumenty nebo soubory, které překračují omezení
crs_30_http_policy Ochrana před omezenými metodami, hlavičkami a typy souborů
crs_35_bad_robots Ochrana před webovými prohledávacími moduly a skenery
crs_40_generic_attacks Ochrana před obecnými útoky (například oprava relace, zahrnutí vzdálených souborů a injektáž PHP)
crs_41_sql_injection_attacks Ochrana před útoky prostřednictvím injektáže SQL
crs_41_xss_attacks Ochrana před skriptovacími útoky mezi weby
crs_42_tight_security Ochrana před útoky na procházení cest
crs_45_trojans Ochrana proti trojským koním zadních vrátek

Pravidla robota

Můžete povolit sadu pravidel ochrany spravovaného robota, abyste mohli provádět vlastní akce na žádostech ze všech kategorií robotů.

Skupina pravidla Popis
BadBots Ochrana před špatnými roboty
GoodBots Identifikace vhodných robotů
Neznámé roboty Identifikace neznámých robotů

Následující skupiny pravidel a pravidla jsou k dispozici při použití firewallu webových aplikací ve službě Application Gateway.

2.1 sady pravidel

OBECNÉ

RuleId Popis
200002 Analýza textu požadavku se nezdařila.
200003 Text žádosti s více částmi selhal s přísným ověřením.

VYNUCENÍ METODY

RuleId Popis
911100 Zásada nepovoluje metodu

PROTOCOL-ENFORCEMENT

RuleId Popis
920100 Neplatný řádek požadavku HTTP
920120 Pokus o obejití více částí nebo dat formulářů
920121 Pokus o obejití více částí nebo dat formulářů
920160 Hlavička HTTP pro délku obsahu není číselná.
920170 GET nebo HEAD Request with body content.
920171 GET nebo HEAD Request with Transfer-Encoding.
920180 Požadavek POST chybí hlavička Content-Length.
920181 Hlavičky Content-Length a Transfer-Encoding, které jsou k dispozici 99001003
920190 Rozsah: Neplatná hodnota posledního bajtu.
920200 Rozsah: Příliš mnoho polí (6 nebo více)
920201 Rozsah: Příliš mnoho polí pro požadavek pdf (35 nebo více)
920210 Byla nalezena vícenásobná nebo konfliktní data hlaviček Připojení.
920220 Pokus o útok na zneužití kódování adresy URL
920230 Bylo zjištěno více kódování adres URL.
920240 Pokus o útok na zneužití kódování adresy URL
920260 Pokus o útok na zneužití s plnou šířkou unicode
920270 Neplatný znak v požadavku (znak null)
920271 Neplatný znak v požadavku (netisknutelné znaky)
920280 Požadavek chybí hlavička hostitele.
920290 Prázdná hlavička hostitele
920300 Požadavek chybí hlavička Accept
920310 Požadavek má prázdnou hlavičku Accept
920311 Požadavek má prázdnou hlavičku Accept
920320 Chybějící hlavička uživatelského agenta
920330 Prázdná hlavička uživatelského agenta
920340 Požadavek obsahující obsah, ale chybí hlavička Content-Type
920341 Požadavek obsahující obsah vyžaduje hlavičku Content-Type.
920350 Hlavička hostitele je číselná IP adresa.
920420 Zásady nepovolují typ obsahu požadavku
920430 Verze protokolu HTTP není povolená zásadami
920440 Zásady omezují příponu souboru URL.
920450 Hlavička HTTP je omezená zásadami.
920470 Neplatná hlavička Content-Type
920480 Zásady nepovolují znakové sady typu obsahu požadavku.
920500 Pokus o přístup k záložnímu nebo pracovnímu souboru

PROTOCOL-ATTACK

RuleId Popis
921110 Útok na pašování požadavků HTTP
921120 HTTP Response Splitting Attack
921130 HTTP Response Splitting Attack
921140 Útok prostřednictvím injektáže hlaviček HTTP prostřednictvím hlaviček
921150 Útok prostřednictvím injektáže hlaviček HTTP prostřednictvím datové části (zjištěný CR/LF)
921151 Útok prostřednictvím injektáže hlaviček HTTP prostřednictvím datové části (zjištěný CR/LF)
921160 Útok prostřednictvím injektáže hlaviček HTTP přes datovou část (zjištěný CR/LF a název hlavičky)
921190 Zjistilo se rozdělení HTTP (CR/LF v názvu souboru požadavku)
921200 Útok prostřednictvím injektáže LDAP

LFI – Local File Inclusion (zahrnutí místních souborů)

RuleId Popis
930100 Útok procházení cesty (/.). /)
930110 Útok procházení cesty (/.). /)
930120 Pokus o přístup k souborům operačního systému
930130 Pokus o přístup k souborům s omezeným přístupem

RFI – Remote File Inclusion (zahrnutí vzdálených souborů)

RuleId Popis
931100 Možný útok na zahrnutí vzdálených souborů (RFI): Parametr adresy URL s použitím IP adresy
931110 Možný útok na zahrnutí vzdálených souborů (RFI): Běžný název ohrožených parametrů RFI, který používá datovou část w/URL
931120 Možný útok na zahrnutí vzdálených souborů (RFI): Datová část adresy URL použitá pomocí znaku otazníku (?)
931130 Možný útok na zahrnutí vzdálených souborů (RFI): Odkaz na mimo doménu nebo odkaz

RCE – Vzdálené spouštění příkazů

RuleId Popis
932100 Vzdálené spuštění příkazu: Injektáž příkazů systému Unix
932105 Vzdálené spuštění příkazu: Injektáž příkazů systému Unix
932110 Vzdálené spuštění příkazu: Injektáž příkazů systému Windows
932115 Vzdálené spuštění příkazu: Injektáž příkazů systému Windows
932120 Vzdálené spuštění příkazu: Byl nalezen příkaz Windows PowerShellu.
932130 Vzdálené spuštění příkazu: Byl nalezen výraz prostředí Unix shell nebo ohrožení zabezpečení confluence (CVE-2022-26134)
932140 Vzdálené spuštění příkazu: Byl nalezen příkaz Windows FOR/IF.
932150 Vzdálené spuštění příkazu: Přímé spouštění příkazů systému Unix
932160 Vzdálené spuštění příkazu: Byl nalezen kód prostředí Unix
932170 Vzdálené spouštění příkazů: Shellshock (CVE-2014-6271)
932171 Vzdálené spouštění příkazů: Shellshock (CVE-2014-6271)
932180 Omezený pokus o nahrání souboru

Útoky PHP

RuleId Popis
933100 Útok prostřednictvím injektáže PHP: Nalezena levá/pravá značka
933110 Útok prostřednictvím injektáže PHP: Nalezen soubor skriptu PHP
933120 Útok prostřednictvím injektáže PHP: Nalezena direktiva konfigurace
933130 Útok prostřednictvím injektáže PHP: Nalezeny proměnné
933140 Útok prostřednictvím injektáže PHP: Nalezen vstupně-výstupní stream
933150 Útok prostřednictvím injektáže PHP: Byl nalezen název vysoce rizikové funkce PHP.
933151 Útok prostřednictvím injektáže PHP: Nalezen název středně rizikové funkce PHP
933160 Útok prostřednictvím injektáže PHP: Nalezeno volání vysoce rizikové funkce PHP
933170 Útok prostřednictvím injektáže PHP: Serializovaná injektáž objektů
933180 Útok prostřednictvím injektáže PHP: Nalezeno volání proměnné funkce
933200 Útok prostřednictvím injektáže PHP: Zjistilo se schéma obálky
933210 Útok prostřednictvím injektáže PHP: Nalezeno volání proměnné funkce

Uzly JS – útoky

RuleId Popis
934100 útok prostřednictvím injektáže Node.js

XSS – Cross-site Scripting (skriptování mezi weby)

RuleId Popis
941100 Útok XSS zjištěn prostřednictvím libinjection
941101 Útok XSS byl zjištěn prostřednictvím libinjection.
Toto pravidlo detekuje požadavky s hlavičkou refereru.
941110 Filtr XSS – kategorie 1: Vektor značky skriptu
941120 Filtr XSS – kategorie 2: Vektor obslužné rutiny události
941130 Filtr XSS – kategorie 3: Vektor atributu
941140 Filtr XSS – kategorie 4: Vektor URI JavaScriptu
941150 Filtr XSS – kategorie 5: Nepovolené atributy HTML
941160 NoScript XSS InjectionChecker: Injektáž HTML
941170 NoScript XSS InjectionChecker: Injektáž atributů
941180 Klíčová slova seznamu blokovaných uzlů
941190 XSS pomocí šablon stylů
941200 XSS s využitím rámců VML
941210 XSS s využitím obfuskovaného JavaScriptu
941220 XSS s využitím obfuskovaného skriptu VB
941230 XSS s využitím značky embed
941240 XSS pomocí atributu import nebo implementace
941250 Filtry IE XSS – zjištěny útoky.
941260 XSS s využitím značky meta
941270 XSS s využitím odkazu href
941280 XSS s využitím základní značky
941290 XSS s použitím značky "aplet"
941300 XSS s využitím značky object
941310 Filtr XSS s poškozeným kódováním US-ASCII – zjištěn útok.
941320 Zjištěný možný útok XSS – obslužná rutina značky HTML
941330 Filtry IE XSS – zjištěny útoky.
941340 Filtry IE XSS – zjištěny útoky.
941350 Kódování UTF-7 IE XSS – zjištěn útok.
941360 Zjistilo se obfuskace JavaScriptu.
941370 Byla nalezena globální proměnná JavaScriptu.
941380 Zjištěná injektáž šablony na straně klienta AngularJS

SQLI – Injektáž SQL

RuleId Popis
942100 Útok prostřednictvím injektáže SQL zjištěný prostřednictvím libinjection
942110 Útok prostřednictvím injektáže SQL: Zjistilo se běžné testování injektáže
942120 Útok prostřednictvím injektáže SQL: Zjistil se operátor SQL
942140 Útok prostřednictvím injektáže SQL: Zjištěny běžné názvy databází
942150 Útok prostřednictvím injektáže SQL
942160 Detekuje slepé testy SQLI pomocí funkce sleep() nebo benchmark().
942170 Detekuje srovnávací test SQL a pokusy o injektáž režimu spánku, včetně podmíněných dotazů.
942180 Zjistí pokusy o obejití základního ověřování SQL 1/3.
942190 Detekuje pokusy o spuštění kódu MSSQL a shromažďování informací.
942200 Zjistí, že se v komentáři MySQL /space-obfuscated injektáže a ukončení backticku
942210 Detekuje zřetězený pokus o injektáž SQL 1/2.
942220 Hledáte celočíselné útoky přetečení, jsou převzaty z skipfish, s výjimkou 3.0.00738585072007e-308 je "magické číslo" crash
942230 Detekuje pokusy o podmíněné injektáže SQL.
942240 Detekuje přepínač znakové sady MySQL a pokusy o MSSQL DoS.
942250 Detekuje injektáže POZVYHLEDAT, SLOUČIT a PROVÉST OKAMŽITĚ.
942260 Zjistí pokusy o obejití základního ověřování SQL 2/3.
942270 Hledáte základní injektáž SQL. Běžný řetězec útoku pro mysql, orákulum a další.
942280 Detekuje injektáž pg_sleep Postgres, útoky waitfor delay a pokusy o vypnutí databáze.
942290 Najde základní pokusy o injektáž MongoDB SQL.
942300 Detekuje injektáže komentářů, podmínek a ch(a)r mySQL.
942310 Detekuje zřetězený pokus o injektáž SQL 2/2.
942320 Detekuje uloženou proceduru MySQL a PostgreSQL nebo injektáže funkcí.
942330 Detekuje klasické sondy injektáže SQL 1/2.
942340 Zjistí pokusy o obejití základního ověřování SQL 3/3.
942350 Detekuje injektáž uživatelem MySQL a další pokusy o manipulaci s daty a strukturou.
942360 Detekuje zřetězené základní injektáž SQL a pokusy SQLLFI
942361 Zjistí základní injektáž SQL na základě změny klíčového slova nebo sjednocení.
942370 Detekuje klasické sondy injektáže SQL 2/2.
942380 Útok prostřednictvím injektáže SQL
942390 Útok prostřednictvím injektáže SQL
942400 Útok prostřednictvím injektáže SQL
942410 Útok prostřednictvím injektáže SQL
942430 Omezená detekce anomálií znaků SQL (args): počet překročení počtu speciálních znaků (12)
942440 Zjištěná sekvence komentářů SQL
942450 Identifikovaná šestnáctkové kódování SQL
942460 Upozornění detekce anomálií metaznaku – opakované neslovné znaky
942470 Útok prostřednictvím injektáže SQL
942480 Útok prostřednictvím injektáže SQL
942500 Zjistil se vložený komentář MySQL.
942510 Byl zjištěn pokus o obejití SQLi pomocí zjišťovaných záškrtů nebo zpětných znamétek.

SESSION-FIXATION

RuleId Popis
943100 Možný útok na opravu relace: Nastavení hodnot souborů cookie v HTML
943110 Možný útok na opravu relace: Název parametru SessionID s refererem mimo doménu
943120 Možný útok na opravu relace: Název parametru SessionID bez referreru

Útoky JAVA

RuleId Popis
944100 Vzdálené spouštění příkazů: Apache Struts, Oracle WebLogic
944110 Detekuje potenciální spuštění datové části.
944120 Možné spuštění datové části a vzdálené spuštění příkazu
944130 Podezřelé třídy Javy
944200 Využívání deserializace Javy Apache Commons
944210 Možné použití serializace Java
944240 Vzdálené spuštění příkazu: Serializace Java a chyba zabezpečení Log4j (CVE-2021-44228, CVE-2021-45046)
944250 Vzdálené spouštění příkazů: Zjištěna podezřelá metoda Java

MS-ThreatIntel-WebShells

RuleId Popis
99005002 Pokus o interakci webového prostředí (POST)
99005003 Pokus o nahrání webového prostředí (POST) – CHOPPER PHP
99005004 Pokus o nahrání webového prostředí (POST) – SLUŽBA CHOPPER ASPX
99005005 Pokus o interakci s webovým prostředím
99005006 Pokus o interakci Spring4Shellu

MS-ThreatIntel-AppSec

RuleId Popis
99030001 Cesta Procházení úniků v headers (/.. /./.. /)
99030002 Cesta procházení úniku v textu žádosti (/.). /./.. /)

MS-ThreatIntel-SQLI

RuleId Popis
99031001 Útok prostřednictvím injektáže SQL: Zjistilo se běžné testování injektáže
99031002 Zjistilo se pořadí komentářů SQL.
99031003 Útok prostřednictvím injektáže SQL
99031004 Zjistí pokusy o obejití základního ověřování SQL 2/3.

MS-ThreatIntel-CVEs

RuleId Popis
99001001 Pokus o zneužití rozhraní REST API s známými přihlašovacími údaji f5 tmui (CVE-2020-5902)
99001002 Pokus o procházení adresáře Citrix NSC_USER CVE-2019-19781
99001003 Pokus o zneužití widgetu Atlassian Confluence Připojení or zneužití CVE-2019-3396
99001004 Pokus o zneužití vlastní šablony Pulse Secure CVE-2020-8243
99001005 Pokus o zneužití převaděče typů SharePointu CVE-2020-0932
99001006 Pokus o procházení adresáře Pulse Připojení CVE-2019-11510
99001007 Pokus o zahrnutí místního souboru Junos OS J-Web CVE-2020-1631
99001008 Pokus o procházení cesty Fortinet CVE-2018-13379
99001009 Pokus o injektáž Apache struts CVE-2017-5638
99001010 Pokus o injektáž Apache struts CVE-2017-12611
99001011 Pokus o procházení cesty Oracle WebLogic CVE-2020-14882
99001012 Pokus o zneužití nezabezpečeného deserializace Telerik WebUI CVE-2019-18935
99001013 Pokus o nezabezpečenou deserializaci XML SharePointu CVE-2019-0604
99001014 Pokus o injektáže směrovacího výrazu Spring Cloudu CVE-2022-22963
99001015 Pokus o zneužití objektu nebezpečné třídy Spring Framework CVE-2022-22965
99001016 Pokus o injektáž ovladače brány Spring Cloud CVE-2022-22947
99001017* Pokus o nahrání souboru Apache Struts – cve-2023-50164

*Akce tohoto pravidla je ve výchozím nastavení nastavená na protokolování. Nastavte akci na Blokování, abyste zabránili ohrožení zabezpečení Apache Struts. Skóre anomálií není pro toto pravidlo podporováno.

Poznámka:

Při kontrole protokolů WAF se může zobrazit ID pravidla 949110. Popis pravidla může zahrnovat překročení skóre příchozí anomálie.

Toto pravidlo označuje, že celkové skóre anomálií požadavku překročilo maximální povolené skóre. Další informace najdete v tématu Bodování anomálií.

Další kroky