CRS-Regelgruppen und -Regeln der Web Application Firewall

Mit der Application Gateway Web Application Firewall (WAF) werden Webanwendungen vor allgemeinen Sicherheitsrisiken und Exploits geschützt. Hierfür werden Regeln verwendet, die basierend auf den OWASP-Kernregelsätzen 3.2, 3.1, 3.0 oder 2.2.9 definiert sind. Diese Regeln können einzeln deaktiviert werden. In diesem Artikel sind die aktuellen Regeln und Regelsätze enthalten. Hier finden Sie Erläuterungen für die seltenen Fälle, in denen ein veröffentlichter Regelsatz aktualisiert werden muss.

Kernregelsätze

Die Application Gateway WAF ist standardmäßig mit CRS 3.1 vorkonfiguriert, sie können jedoch jede andere unterstützte CRS-Version verwenden.

CRS 3.2 bietet ein neues Modul und neue Regelsätze, die Java-Infektionen abwehren, anfängliche Überprüfungen beim Hochladen von Dateien enthalten und weniger falsch positive Ergebnisse im Vergleich zu früheren Versionen von CRS liefern. Sie können auch Regeln Ihren Anforderungen entsprechend anpassen. Erfahren Sie mehr über das neue Azure WAF-Modul.

Verwalten von Regeln

Die WAF schützt vor folgenden Websicherheitslücken:

  • Angriffe mit Einschleusung von SQL-Befehlen
  • Angriffe durch websiteübergreifendes Skripting
  • Andere allgemeine Angriffe wie z.B. Befehlseinschleusung, HTTP Request Smuggling, HTTP Response Splitting und Remote File Inclusion
  • Verletzungen des HTTP-Protokolls
  • HTTP-Protokollanomalien, z.B. fehlende user-agent- und accept-Header des Hosts
  • Bots, Crawler und Scanner
  • Häufige Fehler bei der Anwendungskonfiguration (z.B. Apache und IIS)

OWASP CRS 3.2

CRS 3.2 umfasst 14 Regelgruppen, die in der folgenden Tabelle gezeigt werden. Jede dieser Gruppen enthält mehrere Regeln, die deaktivierbar sind.

Hinweis

CRS 3.2 ist nur für die WAF_v2-SKU verfügbar. Da CRS 3.2 auf dem neuen Azure WAF-Modul ausgeführt wird, können Sie nicht auf CRS 3.1 oder früher downgraden. Wenn Sie ein Downgrade ausführen müssen, wenden Sie sich an den Azure-Support.

Regelgruppe BESCHREIBUNG
Allgemein Allgemeine Gruppe
KNOWN-CVES Hilfe beim Erkennen neuer und bekannter CVEs
REQUEST-911-METHOD-ENFORCEMENT Sperren von Methoden (PUT, PATCH)
REQUEST-913-SCANNER-DETECTION Schutz vor Port- und Umgebungsscannern
REQUEST-920-PROTOCOL-ENFORCEMENT Schutz vor Protokoll- und Codierungsproblemen
REQUEST-921-PROTOCOL-ATTACK Schutz vor Header Injection, Request Smuggling und Response Splitting
REQUEST-930-APPLICATION-ATTACK-LFI Schutz vor Datei- und Pfadangriffen
REQUEST-931-APPLICATION-ATTACK-RFI Schutz vor RFI-Angriffen (Remote File Inclusion)
REQUEST-932-APPLICATION-ATTACK-RCE Schutz vor der Remoteausführung von Code
REQUEST-933-APPLICATION-ATTACK-PHP Schutz vor Angriffen mit Einschleusung von PHP-Befehlen
REQUEST-941-APPLICATION-ATTACK-XSS Schutz vor Angriffen durch websiteübergreifendes Skripting
REQUEST-942-APPLICATION-ATTACK-SQLI Schutz vor Angriffen mit Einschleusung von SQL-Befehlen
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Schutz vor Session Fixation-Angriffen
REQUEST-944-APPLICATION-ATTACK-SESSION-JAVA Schutz vor Java-Angriffen

OWASP CRS 3.1

CRS 3.1 umfasst 14 Regelgruppen, die in der folgenden Tabelle gezeigt werden. Jede dieser Gruppen enthält mehrere Regeln, die deaktivierbar sind.

Hinweis

CRS 3.1 ist nur für die WAF_v2-SKU verfügbar.

Regelgruppe BESCHREIBUNG
Allgemein Allgemeine Gruppe
KNOWN-CVES Hilfe beim Erkennen neuer und bekannter CVEs
REQUEST-911-METHOD-ENFORCEMENT Sperren von Methoden (PUT, PATCH)
REQUEST-913-SCANNER-DETECTION Schutz vor Port- und Umgebungsscannern
REQUEST-920-PROTOCOL-ENFORCEMENT Schutz vor Protokoll- und Codierungsproblemen
REQUEST-921-PROTOCOL-ATTACK Schutz vor Header Injection, Request Smuggling und Response Splitting
REQUEST-930-APPLICATION-ATTACK-LFI Schutz vor Datei- und Pfadangriffen
REQUEST-931-APPLICATION-ATTACK-RFI Schutz vor RFI-Angriffen (Remote File Inclusion)
REQUEST-932-APPLICATION-ATTACK-RCE Schutz vor der Remoteausführung von Code
REQUEST-933-APPLICATION-ATTACK-PHP Schutz vor Angriffen mit Einschleusung von PHP-Befehlen
REQUEST-941-APPLICATION-ATTACK-XSS Schutz vor Angriffen durch websiteübergreifendes Skripting
REQUEST-942-APPLICATION-ATTACK-SQLI Schutz vor Angriffen mit Einschleusung von SQL-Befehlen
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Schutz vor Session Fixation-Angriffen
REQUEST-944-APPLICATION-ATTACK-SESSION-JAVA Schutz vor Java-Angriffen

OWASP CRS 3.0

CRS 3.0 umfasst 13 Regelgruppen, wie in der folgenden Tabelle gezeigt. Jede dieser Gruppen enthält mehrere Regeln, die deaktivierbar sind.

Regelgruppe BESCHREIBUNG
Allgemein Allgemeine Gruppe
KNOWN-CVES Hilfe beim Erkennen neuer und bekannter CVEs
REQUEST-911-METHOD-ENFORCEMENT Sperren von Methoden (PUT, PATCH)
REQUEST-913-SCANNER-DETECTION Schutz vor Port- und Umgebungsscannern
REQUEST-920-PROTOCOL-ENFORCEMENT Schutz vor Protokoll- und Codierungsproblemen
REQUEST-921-PROTOCOL-ATTACK Schutz vor Header Injection, Request Smuggling und Response Splitting
REQUEST-930-APPLICATION-ATTACK-LFI Schutz vor Datei- und Pfadangriffen
REQUEST-931-APPLICATION-ATTACK-RFI Schutz vor RFI-Angriffen (Remote File Inclusion)
REQUEST-932-APPLICATION-ATTACK-RCE Schutz vor der Remoteausführung von Code
REQUEST-933-APPLICATION-ATTACK-PHP Schutz vor Angriffen mit Einschleusung von PHP-Befehlen
REQUEST-941-APPLICATION-ATTACK-XSS Schutz vor Angriffen durch websiteübergreifendes Skripting
REQUEST-942-APPLICATION-ATTACK-SQLI Schutz vor Angriffen mit Einschleusung von SQL-Befehlen
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Schutz vor Session Fixation-Angriffen

OWASP CRS 2.2.9

CRS 2.2.9 umfasst 10 Regelgruppen, wie in der folgenden Tabelle gezeigt. Jede dieser Gruppen enthält mehrere Regeln, die deaktivierbar sind.

Hinweis

CRS 2.2.9 wird für neue WAF-Richtlinien nicht mehr unterstützt. Wir empfehlen, ein Upgrade auf die aktuelle Version auszuführen.

Regelgruppe BESCHREIBUNG
crs_20_protocol_violations Schutz vor Protokollverletzungen (etwa durch ungültige Zeichen oder GET mit einem Anforderungstext)
crs_21_protocol_anomalies Schutz vor falschen Headerinformationen
crs_23_request_limits Schutz vor Argumenten oder Dateien mit Grenzwertüberschreitung
crs_30_http_policy Schutz vor eingeschränkten Methoden, Headern und Dateitypen
crs_35_bad_robots Schutz vor Webcrawlern und -scannern
crs_40_generic_attacks Schutz vor generischen Angriffen (z.B. Session Fixation, Remote File Inclusion und PHP-Einschleusung)
crs_41_sql_injection_attacks Schutz vor Angriffen mit Einschleusung von SQL-Befehlen
crs_41_xss_attacks Schutz vor Angriffen durch websiteübergreifendes Skripting
crs_42_tight_security Schutz vor Path Traversal-Angriffen
crs_45_trojans Schutz vor Hintertürtrojanern

Die folgenden Regelgruppen und Regeln sind bei Verwendung von Web Application Firewall auf Application Gateway verfügbar.

3.2-Regelsätze

Allgemein

RuleId BESCHREIBUNG
200002 Fehler beim Analysieren des Anforderungstexts.
200003 Strenge Überprüfung des mehrteiligen Anforderungstexts.
200004 Mehrteiliger Parser hat eine mögliche fehlende Übereinstimmung für eine Grenze erkannt.

KNOWN-CVES

RuleId BESCHREIBUNG
800100 Regel zur Erkennung und Entschärfung der Log4j-Sicherheitsrisiken CVE-2021-44228, CVE-2021-45046
800110 Spring4Shell-Interaktionsversuch
800111 Versucht der Einschleusung von Spring Cloud-Routingausdrücken: CVE-2022-22963
800112 Versuch der Ausnutzung der nicht sicheren Klassenobjekte von Spring Framework: CVE-2022-22965
800113 Versuch der Einschleusung eins Spring Cloud Gateway-Aktuators: CVE-2022-22947

REQUEST-911-METHOD-ENFORCEMENT

RuleId BESCHREIBUNG
911100 Methode ist gemäß Richtlinie nicht zulässig

REQUEST-913-SCANNER-DETECTION

RuleId BESCHREIBUNG
913100 Benutzer-Agent mit Zuordnung zu Sicherheitsscanner gefunden
913101 Benutzer-Agent mit Zuordnung zu Skripterstellungs- bzw. generischem HTTP-Client gefunden
913102 Benutzer-Agent mit Zuordnung zu Webcrawler/Bot gefunden
913110 Anforderungsheader mit Zuordnung zu Sicherheitsscanner gefunden
913120 Anforderungsdateiname/-argument mit Zuordnung zu Sicherheitsscanner gefunden

REQUEST-920-PROTOCOL-ENFORCEMENT

RuleId BESCHREIBUNG
920100 Ungültige HTTP-Anforderungszeile
920120 Versuchte „multipart/form-data“-Umgehung
920121 Versuchte „multipart/form-data“-Umgehung
920160 Content-Length-HTTP-Header ist nicht numerisch.
920170 GET- oder HEAD-Anforderung mit Textinhalt
920171 GET- oder HEAD-Anforderung mit Transfer-Encoding.
920180 POST-Anforderung mit fehlendem Content-Length-Header
920190 Bereich: Ungültiger Wert für letztes Byte
920200 Bereich: Zu viele Felder (mehr als 6)
920201 Bereich: Zu viele Felder für PDF-Anforderung (mehr als 35)
920202 Bereich: Zu viele Felder für PDF-Anforderung (mehr als 6)
920210 Mehrere bzw. in Konflikt stehende Verbindungsheaderdaten gefunden
920220 Versuchter Missbrauch der URL-Codierung
920230 Mehrere URL-Codierungen erkannt
920240 Versuchter Missbrauch der URL-Codierung
920250 Versuchter Missbrauch der UTF8-Codierung
920260 Versuchter Missbrauch: Unicode (volle/halbe Breite)
920270 Ungültiges Zeichen in der Anforderung (Zeichen NULL)
920271 Ungültiges Zeichen in der Anforderung (nicht druckbare Zeichen)
920272 Ungültiges Zeichen in der Anforderung (außerhalb des Bereichs von druckbaren Zeichen unterhalb von ASCII 127)
920273 Ungültiges Zeichen in der Anforderung (außerhalb des sehr strengen Satzes)
920274 Ungültiges Zeichen in Anforderungsheadern (außerhalb des sehr strengen Satzes)
920280 Fehlender Hostheader in Anforderung
920290 Leerer Hostheader
920300 Fehlender Accept-Header für Anforderung
920310 Anforderung hat einen leeren Accept-Header
920311 Anforderung hat einen leeren Accept-Header
920320 Benutzer-Agent-Header fehlt
920330 Leerer Benutzer-Agent-Header
920340 Anforderung enthält Inhalt, aber keinen Content-Type-Header
920341 Anforderung mit Inhalt erfordert Content-Type-Header
920350 Hostheader ist eine numerische IP-Adresse
920420 Anforderungsinhaltstyp ist gemäß Richtlinie nicht zulässig
920430 HTTP-Protokollversion ist gemäß Richtlinie nicht zulässig
920440 URL-Dateierweiterung wird durch Richtlinie eingeschränkt
920450 HTTP-Header ist durch Richtlinie eingeschränkt (%{MATCHED_VAR})
920460 Ungewöhnliche Escapezeichen
920470 Illegaler Content-Type-Header
920480 Einschränken des Zeichensatzparameters im Content-Type-Header

REQUEST-921-PROTOCOL-ATTACK

RuleId BESCHREIBUNG
921110 HTTP Request Smuggling-Angriff
921120 HTTP Response Splitting-Angriff
921130 HTTP Response Splitting-Angriff
921140 HTTP Header Injection-Angriff über Header
921150 HTTP Header Injection-Angriff über Nutzlast (CR/LF erkannt)
921151 HTTP Header Injection-Angriff über Nutzlast (CR/LF erkannt)
921160 HTTP Header Injection-Angriff über Nutzlast (CR/LF und Headername erkannt)
921170 HTTP-Parameterverunreinigung
921180 HTTP-Parameterverunreinigung (%{TX.1})

REQUEST-930-APPLICATION-ATTACK-LFI

RuleId BESCHREIBUNG
930100 Path Traversal-Angriff (/../)
930110 Path Traversal-Angriff (/../)
930120 Zugriffsversuch auf Betriebssystemdatei
930130 Zugriffsversuch auf Datei mit eingeschränktem Zugriff

REQUEST-931-APPLICATION-ATTACK-RFI

RuleId BESCHREIBUNG
931100 Möglicher RFI-Angriff (Remote File Inclusion): Verwendung von IP-Adresse für URL-Parameter
931110 Möglicher RFI-Angriff (Remote File Inclusion): Verwendung eines häufigen und für RFI anfälligen Parameternamens mit URL-Nutzlast
931120 Möglicher RFI-Angriff (Remote File Inclusion): Verwendung von URL-Nutzlast mit nachgestelltem Fragezeichen (?)
931130 Möglicher RFI-Angriff (Remote File Inclusion): Domänenexterner Verweis/Link

REQUEST-932-APPLICATION-ATTACK-RCE

RuleId BESCHREIBUNG
932100 Remotebefehlsausführung: Einschleusung von Unix-Befehl
932105 Remotebefehlsausführung: Einschleusung von Unix-Befehl
932106 Remotebefehlsausführung: Einschleusung von Unix-Befehl
932110 Remotebefehlsausführung: Einschleusung von Windows-Befehl
932115 Remotebefehlsausführung: Einschleusung von Windows-Befehl
932120 Remotebefehlsausführung: Windows PowerShell-Befehl gefunden
932130 Remotebefehlsausführung: Unix-Shell-Ausdruck oder Confluence-Sicherheitsanfälligkeit (CVE-2022-26134) gefunden.
932140 Remotebefehlsausführung: Windows-FOR/IF-Befehl gefunden
932150 Remotebefehlsausführung: Direkte Ausführung von UNIX-Befehlen
932160 Remotebefehlsausführung: Unix Shell-Code gefunden
932170 Remotebefehlsausführung: Shellshock (CVE-2014-6271)
932171 Remotebefehlsausführung: Shellshock (CVE-2014-6271)
932180 Eingeschränkter Dateiuploadversuch
932190 Remotebefehlsausführung: Platzhalterumgehungstechnik-Versuch

REQUEST-933-APPLICATION-ATTACK-PHP

RuleId BESCHREIBUNG
933100 Angriff mit PHP-Einschleusung: Öffnendes/schließendes Tag gefunden
933110 Angriff mit PHP-Einschleusung: PHP-Skriptdateiupload gefunden
933111 Angriff mit PHP-Einschleusung: PHP-Skriptdateiupload gefunden
933120 PHP Injection-Angriff: Konfigurationsanweisung gefunden
933130 Angriff mit PHP-Einschleusung: Variable gefunden
933131 Angriff mit PHP-Einschleusung: Variable gefunden
933140 Angriff mit PHP-Einschleusung: E/A-Datenstrom gefunden
933150 Angriff mit PHP-Einschleusung: PHP-Funktionsname mit hohem Risikofaktor gefunden
933151 Angriff mit PHP-Einschleusung: PHP-Funktionsname mit mittlerem Risikofaktor gefunden
933160 Angriff mit PHP-Einschleusung: PHP-Funktionsaufruf mit hohem Risikofaktor gefunden
933161 Angriff mit PHP-Einschleusung: PHP-Funktionsaufruf mit niedrigem Wert gefunden
933170 Angriff mit PHP-Einschleusung: Einschleusung von serialisiertem Objekt
933180 PHP Injection-Angriff: Aufruf einer Variablenfunktion gefunden
933190 Angriff mit PHP-Einschleusung: PHP-Schließtag gefunden
933200 Angriff mit PHP-Einschleusung: Wrapperschema erkannt
933210 PHP Injection-Angriff: Aufruf einer Variablenfunktion gefunden

REQUEST-941-APPLICATION-ATTACK-XSS

RuleId BESCHREIBUNG
941100 XSS-Angriff per libinjection erkannt
941101 XSS-Angriff per libinjection erkannt
941110 XSS-Filter – Kategorie 1: Skripttagvektor
941120 XSS-Filter – Kategorie 2: Ereignishandlervektor
941130 XSS-Filter – Kategorie 3: Attributvektor
941140 XSS-Filter – Kategorie 4: JavaScript-URI-Vektor
941150 XSS-Filter – Kategorie 5: Unzulässige HTML-Attribute
941160 NoScript XSS InjectionChecker: HTML-Einschleusung
941170 NoScript XSS InjectionChecker: Attributeinschleusung
941180 Schlüsselwörter von Sperrliste für Knotenvalidierung
941190 XSS mit Stylesheets
941200 XSS mit VML-Frames
941210 XSS mit verschleiertem JavaScript
941220 XSS mit verschleiertem VBScript
941230 XSS mit Tag 'embed'
941240 XSS mit Attribut 'import' oder 'implementation'
941250 IE-XSS-Filter – Angriff erkannt
941260 XSS mit Tag 'meta'
941270 XSS mit Href 'link'
941280 XSS mit Tag 'base'
941290 XSS mit Tag 'applet'
941300 XSS mit Tag 'object'
941310 Falsch formatierte US-ASCII-Codierung für XSS-Filter – Angriff erkannt
941320 Möglicher XSS-Angriff erkannt – HTML-Taghandler
941330 IE-XSS-Filter – Angriff erkannt
941340 IE-XSS-Filter – Angriff erkannt
941350 UTF-7-Codierung – IE XSS – Angriff erkannt
941360 JavaScript-Obfuskation erkannt

REQUEST-942-APPLICATION-ATTACK-SQLI

RuleId BESCHREIBUNG
942100 SQL Injection-Angriff per libinjection erkannt
942110 Angriff mit Einschleusung von SQL-Befehlen: Allgemeine Tests auf Einschleusung von SQL-Befehlen erkannt
942120 Angriff mit Einschleusung von SQL-Befehlen: SQL-Operator ermittelt
942130 Angriff mit Einschleusung von SQL-Befehlen: SQL-Tautologie erkannt.
942140 Angriff mit Einschleusung von SQL-Befehlen: Häufige Datenbanknamen erkannt
942150 Angriff mit Einschleusung von SQL-Befehlen
942160 Erkennt Blind SQLI-Tests per sleep() oder benchmark().
942170 Erkennt SQL Benchmark- und Sleep Injection-Angriffsversuche, einschließlich bedingter Abfragen.
942180 Erkennt Versuche der Umgehung der einfachen SQL-Authentifizierung 1/3
942190 Erkennt die Ausführung von MSSQL-Code und Versuche, Informationen auszulesen
942200 Erkennt durch MySQL-Kommentare oder -Leerzeichen verschleierte Einschleusungen und die Terminierung per Backtick
942210 Erkennt verkette Angriffsversuche SQL-Einschleusung 1/2
942220 Suche nach Ganzzahlüberlauf-Angriffen. Diese werden aus Skipfish übernommen, mit Ausnahme von 3.0.00738585072007e-308 (Absturz wegen ungültiger „magischer Zahl“).
942230 Erkennt Angriffsversuche mit bedingter SQL-Einschleusung.
942240 Erkennt MySQL-Zeichensatzwechsel und MSSQL-DoS-Angriffsversuche
942250 Erkennt MATCH AGAINST-, MERGE- und EXECUTE IMMEDIATE-Einschleusungen
942251 Erkennt HAVING-Einschleusungen.
942260 Erkennt Versuche der Umgehung der einfachen SQL-Authentifizierung, 2/3
942270 Suche nach grundlegender SQL-Einschleusung. Häufig verwendete Angriffszeichenfolge für MySQL, Oracle und andere
942280 Erkennt Postgres pg_sleep-Einschleusung, WAITFOR DELAY-Angriffe und Versuche des Herunterfahrens von Datenbanken
942290 Ermittelt Angriffsversuche mit grundlegender MongoDB SQL-Einschleusung.
942300 Erkennt MySQL-Kommentare, Bedingungen und Einschleusungen von „ch(ar)“
942310 Erkennt verkette Angriffsversuche SQL-Einschleusung 2/2.
942320 Erkennt Einschleusungen von gespeicherten Prozeduren/Funktionen für MySQL und PostgreSQL.
942330 Erkennt Probings von klassischen Einschleusungen von SQL-Befehlen, 1/2
942340 Erkennt Versuche der Umgehung der einfachen SQL-Authentifizierung, 3/3
942350 Erkennt MySQL-UDF-Einschleusung und andere Versuche der Manipulation von Daten bzw. der Struktur.
942360 Erkennt Versuche des Verkettens einfacher eingeschleuster SQL-Befehle und von SQL/LFI
942361 Erkennt grundlegende SQL-Einschleusung basierend auf Schlüsselwort „Alter“ oder „Union“
942370 Erkennt Probings von klassischen Einschleusungen von SQL-Befehlen, 2/2
942380 Angriff mit Einschleusung von SQL-Befehlen
942390 Angriff mit Einschleusung von SQL-Befehlen
942400 Angriff mit Einschleusung von SQL-Befehlen
942410 Angriff mit Einschleusung von SQL-Befehlen
942420 Eingeschränkte Anomalieerkennung für SQL-Zeichen (Cookies): Anzahl von Sonderzeichen überschritten (8)
942421 Eingeschränkte Anomalieerkennung für SQL-Zeichen (Cookies): Anzahl von Sonderzeichen überschritten (3)
942430 Eingeschränkte Anomalieerkennung für SQL-Zeichen (Argumente): Anzahl von Sonderzeichen überschritten (12)
942431 Eingeschränkte Anomalieerkennung für SQL-Zeichen (Argumente): Anzahl von Sonderzeichen überschritten (6)
942432 Eingeschränkte Anomalieerkennung für SQL-Zeichen (Argumente): Anzahl von Sonderzeichen überschritten (2)
942440 SQL-Kommentarsequenz erkannt
942450 Hexadezimale SQL-Codierung identifiziert
942460 Warnung: Erkennung einer Metazeichenanomalie – Wiederholte Non-Word-Zeichen
942470 Angriff mit Einschleusung von SQL-Befehlen
942480 Angriff mit Einschleusung von SQL-Befehlen
942490 Erkennt Probings von klassischen Einschleusungen von SQL-Befehlen 3/3
942500 MySQL-Inlinekommentar erkannt

REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION

RuleId BESCHREIBUNG
943100 Möglicher Session Fixation-Angriff: Festlegung von Cookiewerten in HTML
943110 Möglicher Session Fixation-Angriff: SessionID-Parametername mit domänenexternem Verweiser
943120 Möglicher Session Fixation-Angriff: SessionID-Parametername ohne Verweiser

REQUEST-944-APPLICATION-ATTACK-JAVA

RuleId BESCHREIBUNG
944100 Remotebefehlsausführung: Apache Struts, Oracle WebLogic
944110 Erkennt potenzielle Payloadausführung
944120 Mögliche Nutzlastausführung und Remotebefehlsausführung
944130 Verdächtige Java-Klassen
944200 Ausnutzung der Java-Deserialisierung (Apache Commons)
944210 Mögliche Verwendung von Java-Serialisierung
944240 Remotebefehlsausführung: Java-Serialisierung
944250 Remotebefehlsausführung: Verdächtige Java-Methode erkannt
944300 Base64-codierte Zeichenfolge stimmt mit verdächtigem Schlüsselwort überein

Nächste Schritte