Reglas y grupos de reglas de CRS del firewall de aplicaciones webWeb application firewall CRS rule groups and rules

El firewall de aplicaciones web de Application Gateway protege las aplicaciones web de las vulnerabilidades más habituales.Application Gateway web application firewall (WAF) protects web applications from common vulnerabilities and exploits. Esta operación se realiza mediante reglas que se definen en función de las versiones 3.0 o 2.2.9 de OWASP Core Rule Set.This is done through rules that are defined based on the OWASP core rule sets 3.0 or 2.2.9. Estas reglas se pueden deshabilitar individualmente.These rules can be disabled on a rule by rule basis. En este artículo se incluyen las reglas y los conjuntos de reglas actuales que se ofrecen.This article contains the current rules and rulesets offered.

Los grupos de reglas y reglas siguientes están disponibles al usar Application Gateway con el firewall de aplicaciones web.The following rule groups and rules are available when using Application Gateway with web application firewall.

Conjuntos de reglasRule sets

GeneralGeneral

Identificador de reglaRuleId DESCRIPCIÓNDescription
200004200004 Posible límite sin coincidencia con varias partes.Possible Multipart Unmatched Boundary.

REQUEST-911-METHOD-ENFORCEMENTREQUEST-911-METHOD-ENFORCEMENT

Identificador de reglaRuleId DESCRIPCIÓNDescription
911100911100 Método no permitido por la directivaMethod is not allowed by policy

REQUEST-913-SCANNER-DETECTIONREQUEST-913-SCANNER-DETECTION

Identificador de reglaRuleId DESCRIPCIÓNDescription
913100913100 Se ha encontrado un agente de usuario asociado a un examen de seguridad.Found User-Agent associated with security scanner
913110913110 Se ha encontrado un encabezado de solicitud asociado a un examen de seguridad.Found request header associated with security scanner
913120913120 Se ha encontrado un argumento o nombre de archivo de solicitud asociado a un examen de seguridad.Found request filename/argument associated with security scanner
913101913101 Se ha encontrado un agente de usuario asociado al cliente HTTP genérico o de scripts.Found User-Agent associated with scripting/generic HTTP client
913102913102 Se ha encontrado un agente de usuario asociado a un robot o agente de búsqueda.Found User-Agent associated with web crawler/bot

REQUEST-920-PROTOCOL-ENFORCEMENTREQUEST-920-PROTOCOL-ENFORCEMENT

Identificador de reglaRuleId DESCRIPCIÓNDescription
920100920100 Línea de solicitud HTTP no válidaInvalid HTTP Request Line
920130920130 Error al analizar el cuerpo de la solicitudFailed to parse request body.
920140920140 Error de validación estricta del cuerpo de la solicitud de varias partesMultipart request body failed strict validation
920160920160 El encabezado Content-Length HTTP no es numérico.Content-Length HTTP header is not numeric.
920170920170 Solicitud GET o HEAD con contenido del cuerpoGET or HEAD Request with Body Content.
920180920180 Falta el encabezado Content-Length en la solicitud POST.POST request missing Content-Length Header.
920190920190 Intervalo = Último valor de bytes no válidoRange = Invalid Last Byte Value.
920210920210 Se han encontrado múltiples datos de encabezado de conexión en conflicto.Multiple/Conflicting Connection Header Data Found.
920220920220 Intento de ataque de abuso de codificación de direcciones URLURL Encoding Abuse Attack Attempt
920240920240 Intento de ataque de abuso de codificación de direcciones URLURL Encoding Abuse Attack Attempt
920250920250 Intento de ataque de abuso de codificación UTF8UTF8 Encoding Abuse Attack Attempt
920260920260 Intento de ataque de abuso de caracteres de ancho medio y ancho completo UnicodeUnicode Full/Half Width Abuse Attack Attempt
920270920270 Carácter no válido en la solicitud (carácter nulo)Invalid character in request (null character)
920280920280 Falta un encabezado host en la solicitud.Request Missing a Host Header
920290920290 Encabezado host vacíoEmpty Host Header
920310920310 La solicitud tiene un encabezado de aceptación (Accept) vacío.Request Has an Empty Accept Header
920311920311 La solicitud tiene un encabezado de aceptación (Accept) vacío.Request Has an Empty Accept Header
920330920330 Encabezado de agente de usuario vacíoEmpty User Agent Header
920340920340 La solicitud tiene contenido, pero falta el encabezado Content-Type.Request Containing Content but Missing Content-Type header
920350920350 El encabezado host es una dirección IP numérica.Host header is a numeric IP address
920380920380 Hay demasiados argumentos en la solicitud.Too many arguments in request
920360920360 Nombre de argumento demasiado largoArgument name too long
920370920370 Valor de argumento demasiado largoArgument value too long
920390920390 Se ha superado el tamaño total de argumentos.Total arguments size exceeded
920400920400 El tamaño del archivo cargado es demasiado grande.Uploaded file size too large
920410920410 El tamaño total de los archivos cargados es demasiado grande.Total uploaded files size too large
920420920420 Tipo de contenido de solicitud no permitido por una directivaRequest content type is not allowed by policy
920430920430 Versión del protocolo HTTP no permitida por una directivaHTTP protocol version is not allowed by policy
920440920440 Extensión de archivo URL restringida por una directivaURL file extension is restricted by policy
920450920450 Encabezado HTTP restringido por una directiva (%@{MATCHED_VAR})HTTP header is restricted by policy (%@{MATCHED_VAR})
920200920200 Intervalo = Demasiados campos (6 o más)Range = Too many fields (6 or more)
920201920201 Intervalo = Demasiados campos para solicitud PDF (35 o más)Range = Too many fields for pdf request (35 or more)
920230920230 Varias codificaciones de direcciones URL detectadasMultiple URL Encoding Detected
920300920300 Falta un encabezado de aceptación (Accept) en la solicitud.Request Missing an Accept Header
920271920271 Carácter no válido en la solicitud (caracteres no imprimibles)Invalid character in request (non printable characters)
920320920320 Falta el encabezado de agente de usuario.Missing User Agent Header
920272920272 Carácter no válido en la solicitud (fuera de los caracteres imprimibles, por debajo de ASCII 127)Invalid character in request (outside of printable chars below ascii 127)
920202920202 Intervalo = Demasiados campos para solicitud PDF (6 o más)Range = Too many fields for pdf request (6 or more)
920273920273 Carácter no válido en la solicitud (fuera de conjunto muy estricto)Invalid character in request (outside of very strict set)
920274920274 Carácter no válido en encabezados de solicitud (fuera de conjunto muy estricto)Invalid character in request headers (outside of very strict set)
920460920460 Caracteres de escape anómalosAbnormal escape characters

REQUEST-921-PROTOCOL-ATTACKREQUEST-921-PROTOCOL-ATTACK

Identificador de reglaRuleId DESCRIPCIÓNDescription
921100921100 Ataque de contrabando de solicitudes HTTPHTTP Request Smuggling Attack.
921110921110 Ataque de contrabando de solicitudes HTTPHTTP Request Smuggling Attack
921120921120 Ataque de división de respuestas HTTPHTTP Response Splitting Attack
921130921130 Ataque de división de respuestas HTTPHTTP Response Splitting Attack
921140921140 Ataque por inyección de encabezado HTTP a través de encabezadosHTTP Header Injection Attack via headers
921150921150 Ataque por inyección de encabezado HTTP a través de la carga (Retorno de carro / Avance de línea detectado)HTTP Header Injection Attack via payload (CR/LF detected)
921160921160 Ataque por inyección de encabezado HTTP a través de la carga (Retorno de carro/Avance de línea y header-name detectados)HTTP Header Injection Attack via payload (CR/LF and header-name detected)
921151921151 Ataque por inyección de encabezado HTTP a través de la carga (Retorno de carro / Avance de línea detectado)HTTP Header Injection Attack via payload (CR/LF detected)
921170921170 Polución de parámetros HTTPHTTP Parameter Pollution
921180921180 Polución de parámetros HTTP (%@{TX.1})HTTP Parameter Pollution (%@{TX.1})

REQUEST-930-APPLICATION-ATTACK-LFIREQUEST-930-APPLICATION-ATTACK-LFI

Identificador de reglaRuleId DESCRIPCIÓNDescription
930100930100 Ataque punto punto barra (/.. /)Path Traversal Attack (/../)
930110930110 Ataque punto punto barra (/.. /)Path Traversal Attack (/../)
930120930120 Intento de acceso a archivo del sistema operativoOS File Access Attempt
930130930130 Intento de acceso a archivo restringidoRestricted File Access Attempt

REQUEST-931-APPLICATION-ATTACK-RFIREQUEST-931-APPLICATION-ATTACK-RFI

Identificador de reglaRuleId DESCRIPCIÓNDescription
931100931100 Posible ataque remoto de inclusión de archivos (RFI) = El parámetro de dirección URL utiliza una dirección IPPossible Remote File Inclusion (RFI) Attack = URL Parameter using IP Address
931110931110 Posible ataque remoto de inclusión de archivos (RFI) = Nombre de parámetro vulnerable de RFI común utilizado con carga de dirección URLPossible Remote File Inclusion (RFI) Attack = Common RFI Vulnerable Parameter Name used w/URL Payload
931120931120 Posible ataque remoto de inclusión de archivos (RFI) = Carga de dirección URL utilizada con carácter de interrogación de cierre (?)Possible Remote File Inclusion (RFI) Attack = URL Payload Used w/Trailing Question Mark Character (?)
931130931130 Posible ataque remoto de inclusión de archivos (RFI) = Referencia o vínculo fuera del dominioPossible Remote File Inclusion (RFI) Attack = Off-Domain Reference/Link

REQUEST-932-APPLICATION-ATTACK-RCEREQUEST-932-APPLICATION-ATTACK-RCE

Identificador de reglaRuleId DESCRIPCIÓNDescription
932120932120 Ejecución de comando remoto = Comando de Windows PowerShell encontradoRemote Command Execution = Windows PowerShell Command Found
932130932130 Ejecución de comando remoto = Expresión de shell de Unix encontradaRemote Command Execution = Unix Shell Expression Found
932140932140 Ejecución de comando remoto = Comando FOR/IF de Windows encontradoRemote Command Execution = Windows FOR/IF Command Found
932160932160 Ejecución de comando remoto = Código de shell de Unix encontradoRemote Command Execution = Unix Shell Code Found
932170932170 Ejecución de comando remoto = Shellshock (CVE-2014-6271)Remote Command Execution = Shellshock (CVE-2014-6271)
932171932171 Ejecución de comando remoto = Shellshock (CVE-2014-6271)Remote Command Execution = Shellshock (CVE-2014-6271)

REQUEST-933-APPLICATION-ATTACK-PHPREQUEST-933-APPLICATION-ATTACK-PHP

Identificador de reglaRuleId DESCRIPCIÓNDescription
933100933100 Ataque por inyección en PHP = Se ha encontrado etiqueta de apertura o cierrePHP Injection Attack = Opening/Closing Tag Found
933110933110 Ataque por inyección en PHP = Se ha encontrado carga de archivo de script PHPPHP Injection Attack = PHP Script File Upload Found
933120933120 Ataque por inyección en PHP = Se ha encontrado directiva de configuraciónPHP Injection Attack = Configuration Directive Found
933130933130 Ataque por inyección en PHP = Se han encontrado variablesPHP Injection Attack = Variables Found
933150933150 Ataque por inyección en PHP = Se ha encontrado nombre de función de PHP de alto riesgoPHP Injection Attack = High-Risk PHP Function Name Found
933160933160 Ataque por inyección en PHP = Se ha encontrado llamada de función de PHP de alto riesgoPHP Injection Attack = High-Risk PHP Function Call Found
933180933180 Ataque por inyección en PHP = Se ha encontrado llamada de función de variablePHP Injection Attack = Variable Function Call Found
933151933151 Ataque por inyección en PHP = Se ha encontrado nombre de función de PHP de riesgo medioPHP Injection Attack = Medium-Risk PHP Function Name Found
933131933131 Ataque por inyección en PHP = Se han encontrado variablesPHP Injection Attack = Variables Found
933161933161 Ataque por inyección en PHP = Se ha encontrado llamada de función de PHP de valor bajoPHP Injection Attack = Low-Value PHP Function Call Found
933111933111 Ataque por inyección en PHP = Se ha encontrado carga de archivo de script PHPPHP Injection Attack = PHP Script File Upload Found

REQUEST-941-APPLICATION-ATTACK-XSSREQUEST-941-APPLICATION-ATTACK-XSS

Identificador de reglaRuleId DESCRIPCIÓNDescription
941100941100 Ataque XSS detectado mediante libinjectionXSS Attack Detected via libinjection
941110941110 Filtro XSS - Categoría 1 = Vector de etiqueta de scriptXSS Filter - Category 1 = Script Tag Vector
941130941130 Filtro XSS - Categoría 3 = Vector de atributoXSS Filter - Category 3 = Attribute Vector
941140941140 Filtro XSS - Categoría 4 = Vector URI de JavaScriptXSS Filter - Category 4 = Javascript URI Vector
941150941150 Filtro XSS - Categoría 5 = Atributos HTML no permitidosXSS Filter - Category 5 = Disallowed HTML Attributes
941180941180 Palabras clave de lista negra de node-validatorNode-Validator Blacklist Keywords
941190941190 XSS mediante hojas de estilosXSS using style sheets
941200941200 XSS mediante fotogramas VMLXSS using VML frames
941210941210 XSS mediante Ja https://aka.ms/sdsdk-quickstartvascript ofuscadoXSS using obfuscated Javascript
941220941220 XSS mediante VBScript ofuscadoXSS using obfuscated VB Script
941230941230 XSS mediante etiqueta "embed"XSS using 'embed' tag
941240941240 XSS mediante el atributo "import" o "implementación"XSS using 'import' or 'implementation' attribute
941260941260 XSS mediante la etiqueta "meta"XSS using 'meta' tag
941270941270 XSS mediante href "link"XSS using 'link' href
941280941280 XSS mediante la etiqueta "base"XSS using 'base' tag
941290941290 XSS mediante la etiqueta "applet"XSS using 'applet' tag
941300941300 XSS mediante la etiqueta "object"XSS using 'object' tag
941310941310 Filtro XSS de codificación mal formulada US-ASCII: ataque detectadoUS-ASCII Malformed Encoding XSS Filter - Attack Detected.
941330941330 Filtros XSS de IE: ataque detectadoIE XSS Filters - Attack Detected.
941340941340 Filtros XSS de IE: ataque detectadoIE XSS Filters - Attack Detected.
941350941350 XSS de IE con codificación UTF-7: ataque detectadoUTF-7 Encoding IE XSS - Attack Detected.
941320941320 Posible ataque XSS detectado: controlador de etiquetas HTMLPossible XSS Attack Detected - HTML Tag Handler

REQUEST-942-APPLICATION-ATTACK-SQLIREQUEST-942-APPLICATION-ATTACK-SQLI

Identificador de reglaRuleId DESCRIPCIÓNDescription
942100942100 Ataque por inyección de código SQL detectado mediante libinjectionSQL Injection Attack Detected via libinjection
942110942110 Ataque por inyección de código SQL: Pruebas de inyección de código detectadasSQL Injection Attack: Common Injection Testing Detected
942130942130 Ataque por inyección de código SQL: Tautología de SQL detectada.SQL Injection Attack: SQL Tautology Detected.
942140942140 Ataque por inyección de código SQL = nombres de base de datos comunes detectadosSQL Injection Attack = Common DB Names Detected
942160942160 Detección de pruebas de inyección de código SQL a ciegas mediante sleep() o benchmark()Detects blind sqli tests using sleep() or benchmark().
942170942170 Detección de intentos de inyección con las funciones benchmark y sleep que incluyen consultas condicionalesDetects SQL benchmark and sleep injection attempts including conditional queries
942190942190 Detecta la ejecución de código MSSQL y los intentos de recopilación de informaciónDetects MSSQL code execution and information gathering attempts
942200942200 Detecta inyecciones de código MySQL cuyo espacio o comentarios resultan confusos y terminaciones con el carácter de acento graveDetects MySQL comment-/space-obfuscated injections and backtick termination
942230942230 Detección de intentos de inyección de código SQL condicionalesDetects conditional SQL injection attempts
942260942260 Detecta intentos básicos de omisión de la autenticación SQL (2/3)Detects basic SQL authentication bypass attempts 2/3
942270942270 Búsqueda de inyección de código SQL básicoLooking for basic sql injection. Cadena de ataque común para Oracle MySQL y otras bases de datosCommon attack string for mysql oracle and others.
942290942290 Búsqueda de intentos de inyección de código SQL MongoDB básicoFinds basic MongoDB SQL injection attempts
942300942300 Detecta comentarios, condiciones e inyecciones de caracteres de MySQLDetects MySQL comments, conditions and ch(a)r injections
942320942320 Detección de inyecciones de funciones o procedimientos almacenados de MySQL y PostgreSQLDetects MySQL and PostgreSQL stored procedure/function injections
942330942330 Detecta sondeos clásicos de inyección de código SQL (1/2)Detects classic SQL injection probings 1/2
942340942340 Detecta intentos básicos de omisión de la autenticación SQL (3/3)Detects basic SQL authentication bypass attempts 3/3
942350942350 Detección de intentos de inyección de UDF MySQL y otras manipulaciones de datos o estructurasDetects MySQL UDF injection and other data/structure manipulation attempts
942360942360 Detecta intentos concatenados de SQLLFI e inyecciones de código SQL básicasDetects concatenated basic SQL injection and SQLLFI attempts
942370942370 Detecta sondeos clásicos de inyección de código SQL (2/2)Detects classic SQL injection probings 2/2
942150942150 Ataque por inyección de código SQLSQL Injection Attack
942410942410 Ataque por inyección de código SQLSQL Injection Attack
942430942430 Restringe la detección de anomalías de caracteres de SQL (args): número de caracteres especiales que se han excedido (12)Restricted SQL Character Anomaly Detection (args): # of special characters exceeded (12)
942440942440 Secuencia de comentario SQL detectadaSQL Comment Sequence Detected.
942450942450 Codificación hexadecimal de SQL identificadaSQL Hex Encoding Identified
942251942251 Detección de inyecciones HAVINGDetects HAVING injections
942460942460 Alerta de detección de anomalías de metacaracteres: repetición de caracteres que no se usan en las palabrasMeta-Character Anomaly Detection Alert - Repetitive Non-Word Characters

REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATIONREQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION

Identificador de reglaRuleId DESCRIPCIÓNDescription
943100943100 Posible ataque de fijación de sesión = Definición de valores de cookies en HTMLPossible Session Fixation Attack = Setting Cookie Values in HTML
943110943110 Posible ataque de fijación de sesión = Nombre del parámetro SessionID con origen de referencia fuera del dominioPossible Session Fixation Attack = SessionID Parameter Name with Off-Domain Referrer
943120943120 Posible ataque de fijación de sesión = Nombre del parámetro SessionID con origen de referencia fuera del dominioPossible Session Fixation Attack = SessionID Parameter Name with No Referrer

Pasos siguientesNext steps

Aprenda a deshabilitar reglas de WAF: Personalización de las reglas de WAFLearn how to disable WAF rules: Customize WAF rules