Regole e gruppi di regole di Ripristino di emergenza e CrS di Web Application Firewall
Articolo
I set di regole gestite da Azure nel web application firewall (WAF) gateway applicazione proteggono attivamente le applicazioni Web da vulnerabilità e exploit comuni. Questi set di regole, gestiti da Azure, ricevono gli aggiornamenti in base alle esigenze per proteggersi dalle nuove firme di attacco. Il set di regole predefinito incorpora anche le regole di Microsoft Threat Intelligence Collection. Il team di Microsoft Intelligence collabora nella scrittura di queste regole, assicurando una copertura avanzata, patch di vulnerabilità specifiche e una riduzione dei falsi positivi migliorata.
È anche possibile usare regole definite in base ai set di regole di base OWASP 3.2, 3.1, 3.0 o 2.2.9.
È possibile disabilitare le regole singolarmente o impostare azioni specifiche per ogni regola. Questo articolo elenca le regole e i set di regole correnti disponibili. Se un set di regole pubblicato richiede un aggiornamento, verrà documentato qui.
Nota
Quando si passa da una versione del set di regole a un'altra, tutte le impostazioni delle regole disabilitate e abilitate tornano all'impostazione predefinita per il set di regole a cui si esegue la migrazione. Ciò significa che se in precedenza è stata disabilitata o abilitata una regola, sarà necessario disabilitarla o abilitarla nuovamente dopo aver spostato nella nuova versione del set di regole.
Set di regole predefiniti
Il set di regole predefinito gestito da Azure include regole per le categorie di minacce seguenti:
Scripting intersito
Attacchi Java
Inclusione di file locali
Attacchi PHP injection
Attacchi di tipo Remote Command Execution
Inclusione di file remoti
Fissazione sessione
Protezione dagli attacchi SQL injection
Utenti malintenzionati del protocollo Il numero di versione del ripristino di emergenza aumenta quando vengono aggiunte nuove firme di attacco al set di regole.
Regole di raccolta di Intelligence sulle minacce Microsoft
Le regole di Microsoft Threat Intelligence Collection sono scritte in collaborazione con il team di Microsoft Threat Intelligence per fornire una maggiore copertura, patch per vulnerabilità specifiche e una migliore riduzione dei falsi positivi.
Nota
Usare le indicazioni seguenti per ottimizzare WAF mentre si inizia a usare la versione 2.1 in gateway applicazione WAF. I dettagli delle regole sono descritti di seguito.
ID regola
Gruppo di regole
Descrizione
Dettagli
942110
SQLI
Attacco SQL Injection: test di inserimento comuni rilevati
Disabilitare, sostituito dalla regola MSTIC 99031001
942150
SQLI
Attacco SQL injection
Disabilitare, sostituito dalla regola MSTIC 99031003
942260
SQLI
Rileva tentativi di ignorare l'autenticazione SQL di base (2/3)
Disabilitare, sostituito dalla regola MSTIC 99031004
942430
SQLI
Rilevamento anomalie caratteri SQL con restrizioni (args): n. di caratteri speciali in eccesso (12)
Disabilitare troppi falsi positivi.
942440
SQLI
Sequenza di commenti SQL rilevata
Disabilitare, sostituito dalla regola MSTIC 99031002
99005006
MS-ThreatIntel-WebShells
Tentativo di interazione di Spring4Shell
Mantenere la regola abilitata per evitare la vulnerabilità di SpringShell
Impostare l'azione su Blocca per evitare la vulnerabilità di Apache Struts. Punteggio anomalie non supportato per questa regola.
Set di regole principali
La gateway applicazione WAF è preconfigurata con CRS 3.2 per impostazione predefinita, ma è possibile scegliere di usare qualsiasi altra versione CRS supportata.
CRS 3.2 offre un nuovo motore e nuovi set di regole in difesa contro gli inserimenti Java, un set iniziale di controlli di caricamento dei file e meno falsi positivi rispetto alle versioni precedenti di CRS. È anche possibile personalizzare le regole in base alle proprie esigenze. Altre informazioni sul nuovo motore WAF di Azure.
Waf protegge dalle vulnerabilità Web seguenti:
Attacchi SQL injection
Attacchi di tipo cross-site scripting (XSS)
Altri attacchi comuni, ad esempio l'inserimento dei comandi, il contrabbando di richieste HTTP, la suddivisione delle risposte HTTP e l'inclusione di file remoti
Violazioni del protocollo HTTP
Anomalie del protocollo HTTP, ad esempio l'agente utente host mancante e accettare intestazioni
Bot, crawler e scanner
Errori di configurazione comuni dell'applicazione (ad esempio, Apache e IIS)
Ottimizzazione dei set di regole gestite
Sia drs che crs sono abilitati per impostazione predefinita in modalità rilevamento nei criteri WAF. È possibile disabilitare o abilitare singole regole all'interno del set di regole gestite per soddisfare i requisiti dell'applicazione. È anche possibile impostare azioni specifiche per ogni regola. DrS/CRS supporta azioni di blocco, log e punteggio anomalie. Il set di regole di Bot Manager supporta le azioni allow, block e log.
In alcuni casi potrebbe essere necessario omettere determinati attributi di richiesta da una valutazione WAF. Un esempio comune è rappresentato dai token inseriti in Active Directory che vengono usati per l'autenticazione. È possibile configurare le esclusioni da applicare quando vengono valutate regole WAF specifiche o da applicare a livello globale alla valutazione di tutte le regole WAF. Le regole di esclusione si applicano all'intera applicazione Web. Per altre informazioni, vedere Web Application Firewall (WAF) con elenchi di esclusione gateway applicazione.
Per impostazione predefinita, DRS versione 2.1 / CRS versione 3.2 e successive usa l'assegnazione dei punteggi anomalie quando una richiesta corrisponde a una regola. CRS 3.1 e versioni successive bloccano le richieste corrispondenti per impostazione predefinita. Inoltre, le regole personalizzate possono essere configurate nello stesso criterio WAF se si vuole ignorare una delle regole preconfigurate nel set di regole di base.
Le regole personalizzate vengono sempre applicate prima che vengano valutate le regole nel set di regole di base. Se una richiesta corrisponde a una regola personalizzata, viene applicata l'azione della regola corrispondente. La richiesta viene bloccata o passata al back-end. Non vengono elaborate altre regole personalizzate o le regole nel set di regole di base.
Assegnazione di punteggi anomalie
Quando si usa CRS o DRS 2.1 e versioni successive, il WAF è configurato per l'uso dell'assegnazione di punteggi anomalie per impostazione predefinita. Il traffico che corrisponde a qualsiasi regola non viene bloccato immediatamente, anche quando waf è in modalità di prevenzione. I set di regole OWASP definiscono invece una gravità per ogni regola: Critico, Errore, Avviso o Avviso. La gravità influisce su un valore numerico per la richiesta, denominato punteggio anomalie:
Gravità della regola
Valore che ha contribuito al punteggio di anomalia
Critico
5
Error
4
Avviso
3
Preavviso
2
Se il punteggio di anomalia è 5 o superiore e waf è in modalità prevenzione, la richiesta viene bloccata. Se il punteggio di anomalia è 5 o superiore e WAF è in modalità rilevamento, la richiesta viene registrata ma non bloccata.
Ad esempio, una singola corrispondenza di regola critica è sufficiente per waf per bloccare una richiesta in modalità prevenzione, perché il punteggio complessivo delle anomalie è 5. Tuttavia, una regola di avviso aumenta solo il punteggio di anomalia di 3, che non è sufficiente da solo per bloccare il traffico. Quando viene attivata una regola di anomalie, nei log viene visualizzata un'azione "Corrispondente". Se il punteggio di anomalia è 5 o superiore, è presente una regola separata attivata con un'azione "Bloccata" o "Rilevata" a seconda che i criteri WAF siano in modalità di prevenzione o rilevamento. Per altre informazioni, vedere Modalità di assegnazione dei punteggi anomalie.
DRS 2.1
Le regole drs 2.1 offrono una protezione migliore rispetto alle versioni precedenti del servizio di ripristino di emergenza. Include più regole sviluppate dal team di Microsoft Threat Intelligence e aggiornamenti alle firme per ridurre i falsi positivi. Supporta anche trasformazioni oltre la semplice decodifica url.
DRS 2.1 include 17 gruppi di regole, come illustrato nella tabella seguente. Ogni gruppo contiene più regole ed è possibile personalizzare il comportamento per singole regole, gruppi di regole o intero set di regole.
CRS 3.2 include 14 gruppi di regole, come illustrato nella tabella seguente. Ogni gruppo contiene più regole, che possono essere disabilitate. Il set di regole è basato sulla versione di OWASP CRS 3.2.0.
Nota
CRS 3.2 è disponibile solo nello SKU WAF_v2. Poiché CRS 3.2 viene eseguito nel nuovo motore WAF di Azure, non è possibile effettuare il downgrade a CRS 3.1 o versioni precedenti. Se è necessario effettuare il downgrade, contattare il supporto tecnico di Azure.
CRS 3.1 include 14 gruppi di regole, come illustrato nella tabella seguente. Ogni gruppo contiene più regole, che possono essere disabilitate. Il set di regole è basato sulla versione di OWASP CRS 3.1.1.
CRS 3.0 include 13 gruppi di regole, come illustrato nella tabella seguente. Ogni gruppo contiene più regole, che possono essere disabilitate. Il set di regole è basato sulla versione di OWASP CRS 3.0.0.
Protezione da attacchi di correzione della sessione
OWASP CRS 2.2.9
CRS 2.2.9 include 10 gruppi di regole, come illustrato nella tabella seguente. Ogni gruppo contiene più regole, che possono essere disabilitate.
Nota
CRS 2.2.9 non è più supportato per i nuovi criteri WAF. È consigliabile eseguire l'aggiornamento alla versione più recente di CRS. CRS 2.2.9 non può essere usato insieme a CRS 3.2/DRS 2.1 e versioni successive.
XSS che usa l'attributo 'import' o 'implementation'
941250
Filtri XSS IE: rilevato attacco
941260
XSS con il tag 'meta'
941270
XSS con href 'link'
941280
XSS con tag 'base'
941290
XSS con tag 'applet'
941300
XSS con tag 'object'
941310
Filtro XSS per codifica US-ASCII in formato non valido: rilevato attacco
941320
Rilevato possibile attacco XSS: gestore tag HTML
941330
Filtri XSS IE: rilevato attacco
941340
Filtri XSS IE: rilevato attacco
941350
XSS IE con codifica UTF-7: rilevato attacco
941360
È stata rilevata l'offuscamento javaScript.
941370
Trovata variabile globale JavaScript
941380
È stato rilevato l'inserimento di modelli sul lato client AngularJS
SQLI - SQL Injection
ID regola
Descrizione
942100
Rilevato attacco SQL injection tramite libinjection
942110
Attacco SQL Injection: test di inserimento comuni rilevati
942120
Attacco SQL Injection: rilevato operatore SQL
942140
Attacco SQL Injection: rilevati nomi di database comuni
942150
Attacco SQL injection
942160
Rilevamento test di blind SQL injection con sleep() o benchmark()
942170
Rilevamento tentativi di SQL injection con benchmark e sleep e query condizionali
942180
Rileva i tentativi di bypass dell'autenticazione SQL di base 1/3
942190
Rileva l'esecuzione di codice MSSQL e tentativi di raccolta di informazioni
942200
Rileva injection offuscati nello spazio/con commento MySQL e terminazioni con apice inverso
942210
Rileva tentativi di inserimento SQL concatenati 1/2
942220
Alla ricerca di attacchi di overflow integer, questi vengono presi da skipfish, ad eccezione di 3.0.007385072007e-308 è l'arresto anomalo del "numero magico"
942230
Rilevamento tentativi di SQL injection condizionale
942240
Rileva l'opzione del set di caratteri MySQL e i tentativi di MSSQL DoS
942250
Rileva le iniezioni MATCH AGAINST, MERGE ed EXECUTE IMMEDIATE
942260
Rileva tentativi di ignorare l'autenticazione SQL di base (2/3)
942270
Ricerca di SQL injection di base. Stringa di attacco comune per mysql, oracle e altri.
942280
Rileva postgres pg_sleep injection, waitfor delay attacks e tentativi di arresto del database
942290
Ricerca tentativi di SQL injection di base in MongoDB
942300
Rileva commenti, condizioni e ch(a)r injection di MySQL
942310
Rileva tentativi di inserimento SQL concatenati 2/2
942320
Rilevamento inserimenti di stored procedure/funzioni MySQL e PostgreSQL
942330
Rileva sondaggi di SQL injection classici (1/2)
942340
Rileva tentativi di ignorare l'autenticazione SQL di base (3/3)
942350
Rilevamento di inserimento di funzioni definite dall'utente MySQL e altri tentativi di manipolazione dati/struttura
942360
Rileva tentativi SQL/LFI e di SQL injection di base concatenati
942361
Rileva l'inserimento SQL di base in base alla modifica o all'unione delle parole chiave
942370
Rileva sondaggi di SQL injection classici (2/2)
942380
Attacco SQL injection
942390
Attacco SQL injection
942400
Attacco SQL injection
942410
Attacco SQL injection
942430
Rilevamento anomalie caratteri SQL con restrizioni (args): n. di caratteri speciali in eccesso (12)
942440
Sequenza di commenti SQL rilevata
942450
Identificata codifica esadecimale SQL
942460
Avviso di rilevamento anomalie metacaratteri: caratteri non alfanumerici ripetitivi
942470
Attacco SQL injection
942480
Attacco SQL injection
942500
Rilevato commento in linea di MySQL.
942510
Tentativo di bypass SQLi tramite segni di graduazione o backtick rilevati.
FISSAZIONE SESSIONE
ID regola
Descrizione
943100
Possibile attacco di correzione della sessione: impostazione dei valori dei cookie in HTML
943110
Possibile attacco di correzione della sessione: nome del parametro SessionID con referrer esterno al dominio
943120
Possibile attacco di correzione della sessione: nome del parametro SessionID senza referrer
Attacchi JAVA
ID regola
Descrizione
944100
Esecuzione di comandi remoti: Apache Struts, Oracle WebLogic
944110
Rileva un'esecuzione potenziale del payload
944120
Possibile esecuzione del payload ed esecuzione di comandi remoti
944130
Classi Java sospette
944200
Sfruttamento della deserializzazione Di Java Apache Commons
*L'azione di questa regola è impostata su log per impostazione predefinita. Impostare l'azione su Blocca per evitare la vulnerabilità di Apache Struts. Punteggio anomalie non supportato per questa regola.
Nota
Quando si esaminano i log di WAF, è possibile che venga visualizzato l'ID regola 949110. La descrizione della regola potrebbe includere il punteggio di anomalia in ingresso superato.
Questa regola indica che il punteggio totale delle anomalie per la richiesta ha superato il punteggio massimo consentito. Per altre informazioni, vedere Assegnazione dei punteggi delle anomalie.
3.2 set di regole
Generali
ID regola
Descrizione
200002
Impossibile analizzare il corpo della richiesta.
200003
Convalida rigorosa del corpo della richiesta multipart.
Tentativo di inserimento di espressioni di routing Spring Cloud - CVE-2022-22963
800112
Tentativo di sfruttamento di oggetti della classe Nonsafe di Spring Framework - CVE-2022-22965
800113
Tentativo di inserimento dell'attuatore Spring Cloud Gateway - CVE-2022-22947
800114*
Tentativo di sfruttamento del caricamento di file Apache Struts - CVE-2023-50164
*L'azione di questa regola è impostata su log per impostazione predefinita. Impostare l'azione su Blocca per evitare la vulnerabilità di Apache Struts. Punteggio anomalie non supportato per questa regola.
REQUEST-911-METHOD-ENFORCEMENT
ID regola
Descrizione
911100
Il metodo non è consentito dai criteri
REQUEST-913-SCANNER-DETECTION
ID regola
Descrizione
913100
Trovato agente utente associato ad analisi della sicurezza
913101
Trovato agente utente associato a client HTTP generico/di scripting
913102
Trovato agente utente associato a bot/agente di ricerca Web
913110
Trovata intestazione della richiesta associata ad analisi della sicurezza
913120
Trovato argomento/nome file della richiesta associato ad analisi della sicurezza
REQUEST-920-PROTOCOL-ENFORCEMENT
ID regola
Descrizione
920100
Riga della richiesta HTTP non valida
920120
Tentativo di bypass multipart/form-data
920121
Tentativo di bypass multipart/form-data
920160
L'intestazione HTTP Content-Length non è numerica.
920170
Richiesta GET o HEAD con contenuto del corpo
920171
Richiesta GET o HEAD con codifica di trasferimento.
920180
Richiesta POST senza intestazione Content-Length
920190
Intervallo: valore last byte non valido.
920200
Intervallo: troppi campi (6 o più)
920201
Intervallo: troppi campi per la richiesta pdf (35 o più)
920202
Intervallo: troppi campi per la richiesta PDF (6 o più)
920210
Trovati dati intestazione di connessione multipli/in conflitto
920220
Tentativo di attacco con uso improprio codifica URL
920230
Rilevata codifica multipla URL
920240
Tentativo di attacco con uso improprio codifica URL
920250
Tentativo di attacco con uso improprio codifica UTF8
920260
Tentativo di attacco con uso improprio metà larghezza/larghezza intera Unicode
920270
Carattere non valido nella richiesta (carattere null)
920271
Carattere non valido nella richiesta (caratteri non stampabili)
920272
Carattere non valido nella richiesta (non compreso nei caratteri stampabili sotto ASCII 127)
920273
Carattere non valido nella richiesta (non compreso in set molto restrittivo)
920274
Carattere non valido nelle intestazioni della richiesta (non compreso in set con restrizioni elevate)
920280
Richiesta senza intestazione host
920290
Intestazione host vuota
920300
Richiesta senza intestazione Accept
920310
Richiesta con intestazione Accept vuota
920311
Richiesta con intestazione Accept vuota
920320
Intestazione agente utente mancante
920330
Intestazione agente utente vuota
920340
Richiedi contenuto, ma intestazione Content-Type mancante
920341
La richiesta contenente contenuto richiede l'intestazione Content-Type
920350
Intestazione host costituita da un indirizzo IP numerico
920420
Il tipo di contenuto della richiesta non è consentito dai criteri
920430
La versione del protocollo HTTP non è consentita dai criteri
920440
Estensione file URL limitata da criteri
920450
L'intestazione HTTP è limitata dai criteri (%{MATCHED_VAR})
920460
Caratteri di escape anomali
920470
Intestazione Content-Type non valida
920480
Limitare il parametro charset all'interno dell'intestazione content-type
REQUEST-921-PROTOCOL-ATTACK
ID regola
Descrizione
921110
Attacco di tipo HTTP Request Smuggling
921120
Attacco di tipo HTTP Response Splitting
921130
Attacco di tipo HTTP Response Splitting
921140
Attacco di tipo HTTP Header Injection tramite intestazioni
921150
Attacco di tipo HTTP Header Injection tramite payload (rilevato CR/LF)
921151
Attacco di tipo HTTP Header Injection tramite payload (rilevato CR/LF)
921160
Attacco di tipo HTTP Header Injection tramite payload (rilevati CR/LF e nome intestazione)
921170
Inquinamento dei parametri HTTP
921180
Inquinamento dei parametri HTTP (%{TX.1})
REQUEST-930-APPLICATION-ATTACK-LFI
ID regola
Descrizione
930100
Attacco di tipo Path Traversal (/../)
930110
Attacco di tipo Path Traversal (/../)
930120
Tentativo di accesso a file del sistema operativo
930130
Tentativo di accesso a file con restrizioni
REQUEST-931-APPLICATION-ATTACK-RFI
ID regola
Descrizione
931100
Possibile attacco RFI (Remote File Inclusion): parametro URL tramite indirizzo IP
931110
Possibile attacco RFI (Remote File Inclusion): nome del parametro vulnerabile RFI comune usato con payload w/URL
931120
Possibile attacco RFI (Remote File Inclusion): payload URL usato con carattere punto interrogativo finale (?)
931130
Possibile attacco REMOTE File Inclusion (RFI): riferimento/collegamento al dominio esterno
REQUEST-932-APPLICATION-ATTACK-RCE
ID regola
Descrizione
932100
Esecuzione di comandi remoti: inserimento di comandi Unix
932105
Esecuzione di comandi remoti: inserimento di comandi Unix
932106
Esecuzione di comandi remoti: inserimento di comandi Unix
932110
Esecuzione di comandi remoti: inserimento di comandi di Windows
932115
Esecuzione di comandi remoti: inserimento di comandi di Windows
932120
Esecuzione di comandi remoti: comando di Windows PowerShell trovato
932130
Esecuzione di comandi remoti: vulnerabilità di espressione shell Unix o confluence (CVE-2022-26134) o Text4Shell (CVE-2022-42889) trovato
932140
Esecuzione di comandi remoti: Comando FOR/IF di Windows trovato
932150
Esecuzione di comandi remoti: esecuzione di comandi Unix diretti
932160
Esecuzione di comandi remoti: codice della shell Unix trovato
932170
Esecuzione di comandi remoti: Shellshock (CVE-2014-6271)
932171
Esecuzione di comandi remoti: Shellshock (CVE-2014-6271)
932180
Tentativo di caricamento file con restrizioni
932190
Esecuzione di comandi remoti: tentativo di bypass con caratteri jolly
REQUEST-933-APPLICATION-ATTACK-PHP
ID regola
Descrizione
933100
Attacco PHP Injection: tag di apertura/chiusura trovato
933110
Attacco PHP injection: caricamento di file di script PHP trovato
933111
Attacco PHP injection: caricamento di file di script PHP trovato
933120
Attacco PHP injection: direttiva di configurazione trovata
933130
Attacco PHP injection: variabili trovate
933131
Attacco PHP injection: variabili trovate
933140
Attacco PHP Injection: Flusso di I/O trovato
933150
Attacco PHP injection: trovato il nome della funzione PHP ad alto rischio
933151
Attacco PHP injection: nome della funzione PHP a rischio medio trovato
933160
Attacco PHP injection: chiamata di funzione PHP ad alto rischio trovata
933161
Attacco PHP injection: chiamata di funzione PHP a basso valore trovata
933170
Attacco PHP Injection: inserimento di oggetti serializzati
933180
Attacco PHP injection: chiamata di funzione variabile trovata
933190
Attacco PHP injection: tag di chiusura PHP trovato
933200
Attacco PHP Injection: è stato rilevato lo schema wrapper
933210
Attacco PHP injection: chiamata di funzione variabile trovata
REQUEST-941-APPLICATION-ATTACK-XSS
ID regola
Descrizione
941100
Rilevato attacco XSS tramite libinjection
941101
Attacco XSS rilevato tramite libinjection. Questa regola rileva le richieste con un'intestazione referer .
941110
Filtro XSS - Categoria 1: Vettore tag script
941120
Filtro XSS - Categoria 2: Vettore del gestore eventi
941130
Filtro XSS - Categoria 3: Vettore di attributi
941140
Filtro XSS - Categoria 4: Vettore URI JavaScript
941150
Filtro XSS - Categoria 5: Attributi HTML non consentiti
XSS con JavaScript o Text4Shell offuscato (CVE-2022-42889)
941220
XSS con script VB offuscato
941230
XSS con tag 'embed'
941240
XSS che usa l'attributo 'import' o 'implementation'
941250
Filtri XSS IE: rilevato attacco
941260
XSS con il tag 'meta'
941270
XSS con href 'link'
941280
XSS con tag 'base'
941290
XSS con tag 'applet'
941300
XSS con tag 'object'
941310
Filtro XSS per codifica US-ASCII in formato non valido: rilevato attacco
941320
Rilevato possibile attacco XSS: gestore tag HTML
941330
Filtri XSS IE: rilevato attacco
941340
Filtri XSS IE: rilevato attacco
941350
XSS IE con codifica UTF-7: rilevato attacco
941360
È stata rilevata l'offuscamento javaScript.
REQUEST-942-APPLICATION-ATTACK-SQLI
ID regola
Descrizione
942100
Rilevato attacco SQL injection tramite libinjection
942110
Attacco SQL Injection: test di inserimento comuni rilevati
942120
Attacco SQL Injection: rilevato operatore SQL
942130
Attacco SQL Injection: rilevata tautologia SQL.
942140
Attacco SQL Injection: rilevati nomi di database comuni
942150
Attacco SQL injection
942160
Rilevamento test di blind SQL injection con sleep() o benchmark()
942170
Rilevamento tentativi di SQL injection con benchmark e sleep e query condizionali
942180
Rileva i tentativi di bypass dell'autenticazione SQL di base 1/3
942190
Rileva l'esecuzione di codice MSSQL e tentativi di raccolta di informazioni
942200
Rileva injection offuscati nello spazio/con commento MySQL e terminazioni con apice inverso
942210
Rileva tentativi di inserimento SQL concatenati 1/2
942220
Alla ricerca di attacchi di overflow integer, questi vengono presi da skipfish, ad eccezione di 3.0.007385072007e-308 è l'arresto anomalo del "numero magico"
942230
Rilevamento tentativi di SQL injection condizionale
942240
Rileva l'opzione del set di caratteri MySQL e i tentativi di MSSQL DoS
942250
Rileva le iniezioni MATCH AGAINST, MERGE ed EXECUTE IMMEDIATE
942251
Rilevamento inserimenti HAVING
942260
Rileva tentativi di ignorare l'autenticazione SQL di base (2/3)
942270
Ricerca di SQL injection di base. Stringa di attacco comune per mysql, oracle e altri.
942280
Rileva postgres pg_sleep injection, waitfor delay attacks e tentativi di arresto del database
942290
Ricerca tentativi di SQL injection di base in MongoDB
942300
Rileva ch(a)r injection, condizioni e commenti MySQL
942310
Rileva tentativi di inserimento SQL concatenati 2/2
942320
Rilevamento inserimenti di stored procedure/funzioni MySQL e PostgreSQL
942330
Rileva sondaggi di SQL injection classici (1/2)
942340
Rileva tentativi di ignorare l'autenticazione SQL di base (3/3)
942350
Rilevamento di inserimento di funzioni definite dall'utente MySQL e altri tentativi di manipolazione dati/struttura
942360
Rileva tentativi SQL/LFI e di SQL injection di base concatenati
942361
Rileva l'inserimento SQL di base in base alla modifica o all'unione delle parole chiave
942370
Rileva sondaggi di SQL injection classici (2/2)
942380
Attacco SQL injection
942390
Attacco SQL injection
942400
Attacco SQL injection
942410
Attacco SQL injection
942420
Rilevamento anomalie dei caratteri SQL con restrizioni (cookie): numero di caratteri speciali superati (8)
942421
Rilevamento anomalie caratteri SQL con restrizioni (cookie): numero di caratteri speciali superati (3)
942430
Rilevamento anomalie caratteri SQL con restrizioni (args): n. di caratteri speciali in eccesso (12)
942431
Rilevamento anomalie dei caratteri SQL con restrizioni (arg): numero di caratteri speciali superati (6)
942432
Rilevamento anomalie dei caratteri SQL con restrizioni (arg): numero di caratteri speciali superati (2)
942440
Rilevata sequenza commenti SQL
942450
Identificata codifica esadecimale SQL
942460
Avviso di rilevamento anomalie metacaratteri: caratteri non alfanumerici ripetitivi
942470
Attacco SQL injection
942480
Attacco SQL injection
942490
Rileva i probe sql injection classici 3/3
942500
Rilevato commento in linea di MySQL.
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION
ID regola
Descrizione
943100
Possibile attacco di correzione della sessione: impostazione dei valori dei cookie in HTML
943110
Possibile attacco di correzione della sessione: nome del parametro SessionID con referer fuori dominio
943120
Possibile attacco di correzione della sessione: nome del parametro SessionID senza referer
REQUEST-944-APPLICATION-ATTACK-JAVA
ID regola
Descrizione
944100
Esecuzione di comandi remoti: Apache Struts, Oracle WebLogic
944110
Rileva un'esecuzione potenziale del payload
944120
Possibile esecuzione del payload ed esecuzione di comandi remoti
944130
Classi Java sospette
944200
Sfruttamento della deserializzazione Di Java Apache Commons
944210
Possibile uso della serializzazione Java
944240
Esecuzione di comandi remoti: serializzazione Java
944250
Esecuzione di comandi remoti: rilevato metodo Java sospetto
944300
Stringa con codifica Base64 corrispondente alla parola chiave sospetta
Tentativo di inserimento di espressioni di routing Spring Cloud - CVE-2022-22963
800112
Tentativo di sfruttamento di oggetti della classe Nonsafe di Spring Framework - CVE-2022-22965
800113
Tentativo di inserimento dell'attuatore Spring Cloud Gateway - CVE-2022-22947
800114*
Tentativo di sfruttamento del caricamento di file Apache Struts - CVE-2023-50164
*Le applicazioni WEB meno recenti che eseguono CRS 3.1 supportano solo la modalità di registrazione per questa regola. Per abilitare la modalità di blocco, è necessario eseguire l'aggiornamento a una versione più recente del set di regole.
REQUEST-911-METHOD-ENFORCEMENT
ID regola
Descrizione
911100
Il metodo non è consentito dai criteri
REQUEST-913-SCANNER-DETECTION
ID regola
Descrizione
913100
Trovato agente utente associato ad analisi della sicurezza
913101
Trovato agente utente associato a client HTTP generico/di scripting
913102
Trovato agente utente associato a bot/agente di ricerca Web
913110
Trovata intestazione della richiesta associata ad analisi della sicurezza
913120
Trovato argomento/nome file della richiesta associato ad analisi della sicurezza
REQUEST-920-PROTOCOL-ENFORCEMENT
ID regola
Descrizione
920100
Riga della richiesta HTTP non valida
920120
Tentativo di bypass multipart/form-data
920121
Tentativo di bypass multipart/form-data
920130
Impossibile analizzare corpo della richiesta
920140
Il corpo della richiesta multipart non è riuscito a convalida rigorosa
920160
L'intestazione HTTP Content-Length non è numerica.
920170
Richiesta GET o HEAD con contenuto del corpo
920171
Richiesta GET o HEAD con codifica di trasferimento.
920180
Richiesta POST senza intestazione Content-Length
920190
Intervallo: valore ultimo byte non valido
920200
Intervallo: troppi campi (6 o più)
920201
Intervallo: troppi campi per richiesta PDF (35 o più)
920202
Intervallo: troppi campi per richiesta PDF (6 o più)
920210
Trovati dati intestazione di connessione multipli/in conflitto
920220
Tentativo di attacco con uso improprio codifica URL
920230
Rilevata codifica multipla URL
920240
Tentativo di attacco con uso improprio codifica URL
920250
Tentativo di attacco con uso improprio codifica UTF8
920260
Tentativo di attacco con uso improprio metà larghezza/larghezza intera Unicode
920270
Carattere non valido nella richiesta (carattere null)
920271
Carattere non valido nella richiesta (caratteri non stampabili)
920272
Carattere non valido nella richiesta (non compreso nei caratteri stampabili sotto ASCII 127)
920273
Carattere non valido nella richiesta (non compreso in set molto restrittivo)
920274
Carattere non valido nelle intestazioni della richiesta (non compreso in set con restrizioni elevate)
920280
Richiesta senza intestazione host
920290
Intestazione host vuota
920300
Richiesta senza intestazione Accept
920310
Richiesta con intestazione Accept vuota
920311
Richiesta con intestazione Accept vuota
920320
Intestazione agente utente mancante
920330
Intestazione agente utente vuota
920340
Richiesta con contenuto ma senza intestazione Content-Type
920341
La richiesta contenente contenuto richiede l'intestazione Content-Type
920350
Intestazione host costituita da un indirizzo IP numerico
920420
Il tipo di contenuto della richiesta non è consentito dai criteri
920430
La versione del protocollo HTTP non è consentita dai criteri
920440
Estensione file URL limitata da criteri
920450
Intestazione HTTP limitata da criteri (%@{MATCHED_VAR})
920460
Caratteri di escape anomali
920470
Intestazione Content-Type non valida
920480
Limitare il parametro charset all'interno dell'intestazione content-type
REQUEST-921-PROTOCOL-ATTACK
ID regola
Descrizione
921110
Attacco di tipo HTTP Request Smuggling
921120
Attacco di tipo HTTP Response Splitting
921130
Attacco di tipo HTTP Response Splitting
921140
Attacco di tipo HTTP Header Injection tramite intestazioni
921150
Attacco di tipo HTTP Header Injection tramite payload (rilevato CR/LF)
921151
Attacco di tipo HTTP Header Injection tramite payload (rilevato CR/LF)
921160
Attacco di tipo HTTP Header Injection tramite payload (rilevati CR/LF e nome intestazione)
921170
Inquinamento dei parametri HTTP
921180
Inquinamento dei parametri HTTP (%{TX.1})
REQUEST-930-APPLICATION-ATTACK-LFI
ID regola
Descrizione
930100
Attacco di tipo Path Traversal (/../)
930110
Attacco di tipo Path Traversal (/../)
930120
Tentativo di accesso a file del sistema operativo
930130
Tentativo di accesso a file con restrizioni
REQUEST-931-APPLICATION-ATTACK-RFI
ID regola
Descrizione
931100
Possibile attacco di tipo Remote File Inclusion (RFI): parametro URL con indirizzo IP
931110
Possibile attacco di tipo Remote File Inclusion (RFI): nome parametro vulnerabile a RFI comune usato con payload URL
931120
Possibile attacco di tipo Remote File Inclusion (RFI): payload URL usato con carattere punto interrogativo (?) finale
931130
Possibile attacco di tipo Remote File Inclusion (RFI): collegamento/riferimento fuori dominio
REQUEST-932-APPLICATION-ATTACK-RCE
ID regola
Descrizione
932100
Esecuzione di comandi remoti: inserimento di comandi Unix
932105
Esecuzione di comandi remoti: inserimento di comandi Unix
932106
Esecuzione di comandi remoti: inserimento di comandi Unix
932110
Esecuzione di comandi remoti: inserimento di comandi di Windows
932115
Esecuzione di comandi remoti: inserimento di comandi di Windows
932120
Esecuzione comandi in remoto: trovato comando di Windows PowerShell
932130
Esecuzione di comandi remoti: vulnerabilità di espressione shell Unix o confluence (CVE-2022-26134) o Text4Shell (CVE-2022-42889) trovato
932140
Esecuzione comandi in remoto: trovato comando FOR/IF di Windows
932150
Esecuzione di comandi remoti: esecuzione di comandi Unix diretti
932160
Esecuzione comandi in remoto: trovato codice shell Unix
932170
Esecuzione comandi in remoto: Shellshock (CVE-2014-6271)
932171
Esecuzione comandi in remoto: Shellshock (CVE-2014-6271)
932180
Tentativo di caricamento file con restrizioni
932190
Esecuzione di comandi remoti: tentativo di bypass con caratteri jolly
REQUEST-933-APPLICATION-ATTACK-PHP
ID regola
Descrizione
933100
Attacco PHP injection: trovato tag di apertura/chiusura
Tentativo di inserimento di espressioni di routing Spring Cloud - CVE-2022-22963
800112
Tentativo di sfruttamento di oggetti della classe Nonsafe di Spring Framework - CVE-2022-22965
800113
Tentativo di inserimento dell'attuatore Spring Cloud Gateway - CVE-2022-22947
REQUEST-911-METHOD-ENFORCEMENT
ID regola
Descrizione
911100
Il metodo non è consentito dai criteri
REQUEST-913-SCANNER-DETECTION
ID regola
Descrizione
913100
Trovato agente utente associato ad analisi della sicurezza
913110
Trovata intestazione della richiesta associata ad analisi della sicurezza
913120
Trovato argomento/nome file della richiesta associato ad analisi della sicurezza
913101
Trovato agente utente associato a client HTTP generico/di scripting
913102
Trovato agente utente associato a bot/agente di ricerca Web
REQUEST-920-PROTOCOL-ENFORCEMENT
ID regola
Descrizione
920100
Riga della richiesta HTTP non valida
920130
Impossibile analizzare corpo della richiesta
920140
Il corpo della richiesta multipart non è riuscito a convalida rigorosa
920160
L'intestazione HTTP Content-Length non è numerica.
920170
Richiesta GET o HEAD con contenuto del corpo
920180
Richiesta POST senza intestazione Content-Length
920190
Intervallo: valore ultimo byte non valido
920210
Trovati dati intestazione di connessione multipli/in conflitto
920220
Tentativo di attacco con uso improprio codifica URL
920240
Tentativo di attacco con uso improprio codifica URL
920250
Tentativo di attacco con uso improprio codifica UTF8
920260
Tentativo di attacco con uso improprio metà larghezza/larghezza intera Unicode
920270
Carattere non valido nella richiesta (carattere null)
920280
Richiesta senza intestazione host
920290
Intestazione host vuota
920310
Richiesta con intestazione Accept vuota
920311
Richiesta con intestazione Accept vuota
920330
Intestazione agente utente vuota
920340
Richiesta con contenuto ma senza intestazione Content-Type
920350
Intestazione host costituita da un indirizzo IP numerico
920380
Troppi argomenti nella richiesta
920360
Nome argomento troppo lungo
920370
Valore argomento troppo lungo
920390
Superate dimensioni totali argomenti
920400
Dimensione file caricato troppo grande
920410
Dimensione totale dei file caricati troppo grande
920420
Il tipo di contenuto della richiesta non è consentito dai criteri
920430
La versione del protocollo HTTP non è consentita dai criteri
920440
Estensione file URL limitata da criteri
920450
Intestazione HTTP limitata da criteri (%@{MATCHED_VAR})
920200
Intervallo: troppi campi (6 o più)
920201
Intervallo: troppi campi per richiesta PDF (35 o più)
920230
Rilevata codifica multipla URL
920300
Richiesta senza intestazione Accept
920271
Carattere non valido nella richiesta (caratteri non stampabili)
920320
Intestazione agente utente mancante
920272
Carattere non valido nella richiesta (non compreso nei caratteri stampabili sotto ASCII 127)
920202
Intervallo: troppi campi per richiesta PDF (6 o più)
920273
Carattere non valido nella richiesta (non compreso in set molto restrittivo)
920274
Carattere non valido nelle intestazioni della richiesta (non compreso in set con restrizioni elevate)
920460
Caratteri di escape anomali
REQUEST-921-PROTOCOL-ATTACK
ID regola
Descrizione
921100
Attacco di tipo HTTP Request Smuggling
921110
Attacco di tipo HTTP Request Smuggling
921120
Attacco di tipo HTTP Response Splitting
921130
Attacco di tipo HTTP Response Splitting
921140
Attacco di tipo HTTP Header Injection tramite intestazioni
921150
Attacco di tipo HTTP Header Injection tramite payload (rilevato CR/LF)
921160
Attacco di tipo HTTP Header Injection tramite payload (rilevati CR/LF e nome intestazione)
921151
Attacco di tipo HTTP Header Injection tramite payload (rilevato CR/LF)
921170
Inquinamento dei parametri HTTP
921180
Accesso non autorizzato a parametri HTTP (%@{TX.1})
REQUEST-930-APPLICATION-ATTACK-LFI
ID regola
Descrizione
930100
Attacco di tipo Path Traversal (/../)
930110
Attacco di tipo Path Traversal (/../)
930120
Tentativo di accesso a file del sistema operativo
930130
Tentativo di accesso a file con restrizioni
REQUEST-931-APPLICATION-ATTACK-RFI
ID regola
Descrizione
931100
Possibile attacco di tipo Remote File Inclusion (RFI): parametro URL con indirizzo IP
931110
Possibile attacco di tipo Remote File Inclusion (RFI): nome parametro vulnerabile a RFI comune usato con payload URL
931120
Possibile attacco di tipo Remote File Inclusion (RFI): payload URL usato con carattere punto interrogativo (?) finale
931130
Possibile attacco di tipo Remote File Inclusion (RFI): collegamento/riferimento fuori dominio
REQUEST-932-APPLICATION-ATTACK-RCE
ID regola
Descrizione
932120
Esecuzione comandi in remoto: trovato comando di Windows PowerShell
932130
gateway applicazione WAF v2: esecuzione di comandi remoti: vulnerabilità di espressione shell Unix o confluence (CVE-2022-26134) o Text4Shell (CVE-2022-42889) trovato