Regole e gruppi di regole di Ripristino di emergenza e CrS di Web Application Firewall

  • Articolo

I set di regole gestite da Azure nel web application firewall (WAF) gateway applicazione proteggono attivamente le applicazioni Web da vulnerabilità e exploit comuni. Questi set di regole, gestiti da Azure, ricevono gli aggiornamenti in base alle esigenze per proteggersi dalle nuove firme di attacco. Il set di regole predefinito incorpora anche le regole di Microsoft Threat Intelligence Collection. Il team di Microsoft Intelligence collabora nella scrittura di queste regole, assicurando una copertura avanzata, patch di vulnerabilità specifiche e una riduzione dei falsi positivi migliorata.

È anche possibile usare regole definite in base ai set di regole di base OWASP 3.2, 3.1, 3.0 o 2.2.9.

È possibile disabilitare le regole singolarmente o impostare azioni specifiche per ogni regola. Questo articolo elenca le regole e i set di regole correnti disponibili. Se un set di regole pubblicato richiede un aggiornamento, verrà documentato qui.

Nota

Quando si passa da una versione del set di regole a un'altra, tutte le impostazioni delle regole disabilitate e abilitate tornano all'impostazione predefinita per il set di regole a cui si esegue la migrazione. Ciò significa che se in precedenza è stata disabilitata o abilitata una regola, sarà necessario disabilitarla o abilitarla nuovamente dopo aver spostato nella nuova versione del set di regole.

Set di regole predefiniti

Il set di regole predefinito gestito da Azure include regole per le categorie di minacce seguenti:

  • Scripting intersito
  • Attacchi Java
  • Inclusione di file locali
  • Attacchi PHP injection
  • Attacchi di tipo Remote Command Execution
  • Inclusione di file remoti
  • Fissazione sessione
  • Protezione dagli attacchi SQL injection
  • Utenti malintenzionati del protocollo Il numero di versione del ripristino di emergenza aumenta quando vengono aggiunte nuove firme di attacco al set di regole.

Regole di raccolta di Intelligence sulle minacce Microsoft

Le regole di Microsoft Threat Intelligence Collection sono scritte in collaborazione con il team di Microsoft Threat Intelligence per fornire una maggiore copertura, patch per vulnerabilità specifiche e una migliore riduzione dei falsi positivi.

Nota

Usare le indicazioni seguenti per ottimizzare WAF mentre si inizia a usare la versione 2.1 in gateway applicazione WAF. I dettagli delle regole sono descritti di seguito.

ID regola Gruppo di regole Descrizione Dettagli
942110 SQLI Attacco SQL Injection: test di inserimento comuni rilevati Disabilitare, sostituito dalla regola MSTIC 99031001
942150 SQLI Attacco SQL injection Disabilitare, sostituito dalla regola MSTIC 99031003
942260 SQLI Rileva tentativi di ignorare l'autenticazione SQL di base (2/3) Disabilitare, sostituito dalla regola MSTIC 99031004
942430 SQLI Rilevamento anomalie caratteri SQL con restrizioni (args): n. di caratteri speciali in eccesso (12) Disabilitare troppi falsi positivi.
942440 SQLI Sequenza di commenti SQL rilevata Disabilitare, sostituito dalla regola MSTIC 99031002
99005006 MS-ThreatIntel-WebShells Tentativo di interazione di Spring4Shell Mantenere la regola abilitata per evitare la vulnerabilità di SpringShell
99001014 MS-ThreatIntel-CVEs Tentativo di iniezione di routing-espressione Spring Cloud CVE-2022-22963 Mantenere la regola abilitata per evitare la vulnerabilità di SpringShell
99001015 MS-ThreatIntel-WebShells Tentativo di sfruttamento di oggetti della classe Spring Framework unsafe CVE-2022-22965 Mantenere la regola abilitata per evitare la vulnerabilità di SpringShell
99001016 MS-ThreatIntel-WebShells Tentativo di inserimento dell'attuatore Spring Cloud Gateway CVE-2022-22947 Mantenere la regola abilitata per evitare la vulnerabilità di SpringShell
99001017 MS-ThreatIntel-CVEs Tentativo di caricamento di file Apache Struts CVE-2023-50164 Impostare l'azione su Blocca per evitare la vulnerabilità di Apache Struts. Punteggio anomalie non supportato per questa regola.

Set di regole principali

La gateway applicazione WAF è preconfigurata con CRS 3.2 per impostazione predefinita, ma è possibile scegliere di usare qualsiasi altra versione CRS supportata.

CRS 3.2 offre un nuovo motore e nuovi set di regole in difesa contro gli inserimenti Java, un set iniziale di controlli di caricamento dei file e meno falsi positivi rispetto alle versioni precedenti di CRS. È anche possibile personalizzare le regole in base alle proprie esigenze. Altre informazioni sul nuovo motore WAF di Azure.

Manages rules

Waf protegge dalle vulnerabilità Web seguenti:

  • Attacchi SQL injection
  • Attacchi di tipo cross-site scripting (XSS)
  • Altri attacchi comuni, ad esempio l'inserimento dei comandi, il contrabbando di richieste HTTP, la suddivisione delle risposte HTTP e l'inclusione di file remoti
  • Violazioni del protocollo HTTP
  • Anomalie del protocollo HTTP, ad esempio l'agente utente host mancante e accettare intestazioni
  • Bot, crawler e scanner
  • Errori di configurazione comuni dell'applicazione (ad esempio, Apache e IIS)

Ottimizzazione dei set di regole gestite

Sia drs che crs sono abilitati per impostazione predefinita in modalità rilevamento nei criteri WAF. È possibile disabilitare o abilitare singole regole all'interno del set di regole gestite per soddisfare i requisiti dell'applicazione. È anche possibile impostare azioni specifiche per ogni regola. DrS/CRS supporta azioni di blocco, log e punteggio anomalie. Il set di regole di Bot Manager supporta le azioni allow, block e log.

In alcuni casi potrebbe essere necessario omettere determinati attributi di richiesta da una valutazione WAF. Un esempio comune è rappresentato dai token inseriti in Active Directory che vengono usati per l'autenticazione. È possibile configurare le esclusioni da applicare quando vengono valutate regole WAF specifiche o da applicare a livello globale alla valutazione di tutte le regole WAF. Le regole di esclusione si applicano all'intera applicazione Web. Per altre informazioni, vedere Web Application Firewall (WAF) con elenchi di esclusione gateway applicazione.

Per impostazione predefinita, DRS versione 2.1 / CRS versione 3.2 e successive usa l'assegnazione dei punteggi anomalie quando una richiesta corrisponde a una regola. CRS 3.1 e versioni successive bloccano le richieste corrispondenti per impostazione predefinita. Inoltre, le regole personalizzate possono essere configurate nello stesso criterio WAF se si vuole ignorare una delle regole preconfigurate nel set di regole di base.

Le regole personalizzate vengono sempre applicate prima che vengano valutate le regole nel set di regole di base. Se una richiesta corrisponde a una regola personalizzata, viene applicata l'azione della regola corrispondente. La richiesta viene bloccata o passata al back-end. Non vengono elaborate altre regole personalizzate o le regole nel set di regole di base.

Assegnazione di punteggi anomalie

Quando si usa CRS o DRS 2.1 e versioni successive, il WAF è configurato per l'uso dell'assegnazione di punteggi anomalie per impostazione predefinita. Il traffico che corrisponde a qualsiasi regola non viene bloccato immediatamente, anche quando waf è in modalità di prevenzione. I set di regole OWASP definiscono invece una gravità per ogni regola: Critico, Errore, Avviso o Avviso. La gravità influisce su un valore numerico per la richiesta, denominato punteggio anomalie:

Gravità della regola Valore che ha contribuito al punteggio di anomalia
Critico 5
Error 4
Avviso 3
Preavviso 2

Se il punteggio di anomalia è 5 o superiore e waf è in modalità prevenzione, la richiesta viene bloccata. Se il punteggio di anomalia è 5 o superiore e WAF è in modalità rilevamento, la richiesta viene registrata ma non bloccata.

Ad esempio, una singola corrispondenza di regola critica è sufficiente per waf per bloccare una richiesta in modalità prevenzione, perché il punteggio complessivo delle anomalie è 5. Tuttavia, una regola di avviso aumenta solo il punteggio di anomalia di 3, che non è sufficiente da solo per bloccare il traffico. Quando viene attivata una regola di anomalie, nei log viene visualizzata un'azione "Corrispondente". Se il punteggio di anomalia è 5 o superiore, è presente una regola separata attivata con un'azione "Bloccata" o "Rilevata" a seconda che i criteri WAF siano in modalità di prevenzione o rilevamento. Per altre informazioni, vedere Modalità di assegnazione dei punteggi anomalie.

DRS 2.1

Le regole drs 2.1 offrono una protezione migliore rispetto alle versioni precedenti del servizio di ripristino di emergenza. Include più regole sviluppate dal team di Microsoft Threat Intelligence e aggiornamenti alle firme per ridurre i falsi positivi. Supporta anche trasformazioni oltre la semplice decodifica url.

DRS 2.1 include 17 gruppi di regole, come illustrato nella tabella seguente. Ogni gruppo contiene più regole ed è possibile personalizzare il comportamento per singole regole, gruppi di regole o intero set di regole.

Gruppo di regole Descrizione
Generali Gruppo generale
APPLICAZIONE DEL METODO Metodi di blocco (PUT, PATCH)
APPLICAZIONE DEL PROTOCOLLO Protezione da problemi di protocollo e codifica
PROTOCOL-ATTACK Protezione contro l'inserimento di intestazioni, il contrabbando di richieste e la suddivisione delle risposte
APPLICATION-ATTACK-LFI Protezione da attacchi a file e percorsi
APPLICATION-ATTACK-RFI Protezione da attacchi RFI (Remote File Inclusion)
APPLICATION-ATTACK-RCE Proteggere di nuovo gli attacchi di esecuzione del codice remoto
APPLICATION-ATTACK-PHP Proteggere da attacchi PHP injection
APPLICATION-ATTACK-NodeJS Proteggere da attacchi NODE JS
APPLICATION-ATTACK-XSS Protezione da attacchi di scripting tra siti
APPLICATION-ATTACK-SQLI Protezione da attacchi SQL injection
APPLICATION-ATTACK-edizione Standard SSION-FIXATION Protezione da attacchi di correzione della sessione
APPLICATION-ATTACK-edizione Standard SSION-JAVA Proteggere dagli attacchi JAVA
MS-ThreatIntel-WebShells Proteggere da attacchi web shell
MS-ThreatIntel-AppSec Proteggere dagli attacchi AppSec
MS-ThreatIntel-SQLI Protezione da attacchi SQLI
MS-ThreatIntel-CVEs Proteggere da attacchi CVE

OWASP CRS 3.2

CRS 3.2 include 14 gruppi di regole, come illustrato nella tabella seguente. Ogni gruppo contiene più regole, che possono essere disabilitate. Il set di regole è basato sulla versione di OWASP CRS 3.2.0.

Nota

CRS 3.2 è disponibile solo nello SKU WAF_v2. Poiché CRS 3.2 viene eseguito nel nuovo motore WAF di Azure, non è possibile effettuare il downgrade a CRS 3.1 o versioni precedenti. Se è necessario effettuare il downgrade, contattare il supporto tecnico di Azure.

Gruppo di regole Descrizione
Generali Gruppo generale
CVE NOTE Aiutare a rilevare cve nuove e note
REQUEST-911-METHOD-ENFORCEMENT Metodi di blocco (PUT, PATCH)
REQUEST-913-SCANNER-DETECTION Protezione da scanner di porte e ambienti
REQUEST-920-PROTOCOL-ENFORCEMENT Protezione da problemi di protocollo e codifica
REQUEST-921-PROTOCOL-ATTACK Protezione contro l'inserimento di intestazioni, il contrabbando di richieste e la suddivisione delle risposte
REQUEST-930-APPLICATION-ATTACK-LFI Protezione da attacchi a file e percorsi
REQUEST-931-APPLICATION-ATTACK-RFI Protezione da attacchi RFI (Remote File Inclusion)
REQUEST-932-APPLICATION-ATTACK-RCE Proteggere di nuovo gli attacchi di esecuzione del codice remoto
REQUEST-933-APPLICATION-ATTACK-PHP Proteggere da attacchi PHP injection
REQUEST-941-APPLICATION-ATTACK-XSS Protezione da attacchi di scripting tra siti
REQUEST-942-APPLICATION-ATTACK-SQLI Protezione da attacchi SQL injection
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Protezione da attacchi di correzione della sessione
REQUEST-944-APPLICATION-ATTACK-JAVA Proteggere dagli attacchi JAVA

OWASP CRS 3.1

CRS 3.1 include 14 gruppi di regole, come illustrato nella tabella seguente. Ogni gruppo contiene più regole, che possono essere disabilitate. Il set di regole è basato sulla versione di OWASP CRS 3.1.1.

Nota

CRS 3.1 è disponibile solo nello SKU WAF_v2.

Gruppo di regole Descrizione
Generali Gruppo generale
CVE NOTE Aiutare a rilevare cve nuove e note
REQUEST-911-METHOD-ENFORCEMENT Metodi di blocco (PUT, PATCH)
REQUEST-913-SCANNER-DETECTION Protezione da scanner di porte e ambienti
REQUEST-920-PROTOCOL-ENFORCEMENT Protezione da problemi di protocollo e codifica
REQUEST-921-PROTOCOL-ATTACK Protezione contro l'inserimento di intestazioni, il contrabbando di richieste e la suddivisione delle risposte
REQUEST-930-APPLICATION-ATTACK-LFI Protezione da attacchi a file e percorsi
REQUEST-931-APPLICATION-ATTACK-RFI Protezione da attacchi RFI (Remote File Inclusion)
REQUEST-932-APPLICATION-ATTACK-RCE Proteggere di nuovo gli attacchi di esecuzione del codice remoto
REQUEST-933-APPLICATION-ATTACK-PHP Proteggere da attacchi PHP injection
REQUEST-941-APPLICATION-ATTACK-XSS Protezione da attacchi di scripting tra siti
REQUEST-942-APPLICATION-ATTACK-SQLI Protezione da attacchi SQL injection
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Protezione da attacchi di correzione della sessione
REQUEST-944-APPLICATION-ATTACK-edizione Standard SSION-JAVA Proteggere dagli attacchi JAVA

OWASP CRS 3.0

CRS 3.0 include 13 gruppi di regole, come illustrato nella tabella seguente. Ogni gruppo contiene più regole, che possono essere disabilitate. Il set di regole è basato sulla versione di OWASP CRS 3.0.0.

Gruppo di regole Descrizione
Generali Gruppo generale
CVE NOTE Aiutare a rilevare cve nuove e note
REQUEST-911-METHOD-ENFORCEMENT Metodi di blocco (PUT, PATCH)
REQUEST-913-SCANNER-DETECTION Protezione da scanner di porte e ambienti
REQUEST-920-PROTOCOL-ENFORCEMENT Protezione da problemi di protocollo e codifica
REQUEST-921-PROTOCOL-ATTACK Protezione contro l'inserimento di intestazioni, il contrabbando di richieste e la suddivisione delle risposte
REQUEST-930-APPLICATION-ATTACK-LFI Protezione da attacchi a file e percorsi
REQUEST-931-APPLICATION-ATTACK-RFI Protezione da attacchi RFI (Remote File Inclusion)
REQUEST-932-APPLICATION-ATTACK-RCE Proteggere di nuovo gli attacchi di esecuzione del codice remoto
REQUEST-933-APPLICATION-ATTACK-PHP Proteggere da attacchi PHP injection
REQUEST-941-APPLICATION-ATTACK-XSS Protezione da attacchi di scripting tra siti
REQUEST-942-APPLICATION-ATTACK-SQLI Protezione da attacchi SQL injection
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Protezione da attacchi di correzione della sessione

OWASP CRS 2.2.9

CRS 2.2.9 include 10 gruppi di regole, come illustrato nella tabella seguente. Ogni gruppo contiene più regole, che possono essere disabilitate.

Nota

CRS 2.2.9 non è più supportato per i nuovi criteri WAF. È consigliabile eseguire l'aggiornamento alla versione più recente di CRS. CRS 2.2.9 non può essere usato insieme a CRS 3.2/DRS 2.1 e versioni successive.

Gruppo di regole Descrizione
crs_20_protocol_violations Protezione da violazioni del protocollo (ad esempio caratteri non validi o GET con un corpo della richiesta)
crs_21_protocol_anomalies Protezione dalle informazioni di intestazione non corrette
crs_23_request_limits Protezione da argomenti o file che superano le limitazioni
crs_30_http_policy Protezione da metodi, intestazioni e tipi di file limitati
crs_35_bad_robots Protezione da ricerca per indicizzazione Web e scanner
crs_40_generic_attacks Protezione da attacchi generici (ad esempio correzione di sessione, inclusione di file remoti e inserimento php)
crs_41_sql_injection_attacks Protezione da attacchi SQL injection
crs_41_xss_attacks Protezione da attacchi di scripting tra siti
crs_42_tight_security Protezione da attacchi di attraversamento del percorso
crs_45_trojans Proteggere contro i trojan backdoor

Regole dei bot

È possibile abilitare un set di regole di protezione del bot gestito per eseguire azioni personalizzate sulle richieste da tutte le categorie di bot.

Gruppo di regole Descrizione
BadBots Protezione da bot non valido
GoodBots Identificare bot validi
UnknownBots Identificare i bot sconosciuti

Quando si usa Web Application Firewall in gateway applicazione, sono disponibili i gruppi di regole e le regole seguenti.

2.1 set di regole

Generali

ID regola Descrizione
200002 Impossibile analizzare corpo della richiesta
200003 Il corpo della richiesta multipart non è riuscito a convalida rigorosa

IMPOSIZIONE DEL METODO

ID regola Descrizione
911100 Il metodo non è consentito dai criteri

APPLICAZIONE PROTOCOLLO

ID regola Descrizione
920100 Riga della richiesta HTTP non valida
920120 Tentativo di bypass multipart/form-data
920121 Tentativo di bypass multipart/form-data
920160 L'intestazione HTTP Content-Length non è numerica.
920170 Richiesta GET o HEAD con contenuto del corpo
920171 Richiesta GET o HEAD con codifica di trasferimento.
920180 Richiesta POST senza intestazione Content-Length
920181 Le intestazioni Content-Length e Transfer-Encoding presentano 99001003
920190 Intervallo: valore last byte non valido.
920200 Intervallo: troppi campi (6 o più)
920201 Intervallo: troppi campi per la richiesta pdf (35 o più)
920210 Trovati dati intestazione di connessione multipli/in conflitto
920220 Tentativo di attacco con uso improprio codifica URL
920230 Rilevata codifica multipla URL
920240 Tentativo di attacco con uso improprio codifica URL
920260 Tentativo di attacco con uso improprio metà larghezza/larghezza intera Unicode
920270 Carattere non valido nella richiesta (carattere null)
920271 Carattere non valido nella richiesta (caratteri non stampabili)
920280 Richiesta senza intestazione host
920290 Intestazione host vuota
920300 Richiesta senza intestazione Accept
920310 Richiesta con intestazione Accept vuota
920311 Richiesta con intestazione Accept vuota
920320 Intestazione agente utente mancante
920330 Intestazione agente utente vuota
920340 Richiedi contenuto, ma intestazione Content-Type mancante
920341 La richiesta contenente contenuto richiede l'intestazione Content-Type
920350 Intestazione host costituita da un indirizzo IP numerico
920420 Il tipo di contenuto della richiesta non è consentito dai criteri
920430 La versione del protocollo HTTP non è consentita dai criteri
920440 Estensione file URL limitata da criteri
920450 Intestazione HTTP limitata da criteri
920470 Intestazione Content-Type non valida
920480 Il set di caratteri del tipo di contenuto della richiesta non è consentito dai criteri
920500 Tentare di accedere a un file di backup o di lavoro

ATTACCO PROTOCOLLO

ID regola Descrizione
921110 Attacco di tipo HTTP Request Smuggling
921120 Attacco di tipo HTTP Response Splitting
921130 Attacco di tipo HTTP Response Splitting
921140 Attacco di tipo HTTP Header Injection tramite intestazioni
921150 Attacco di tipo HTTP Header Injection tramite payload (rilevato CR/LF)
921151 Attacco di tipo HTTP Header Injection tramite payload (rilevato CR/LF)
921160 Attacco di tipo HTTP Header Injection tramite payload (rilevati CR/LF e nome intestazione)
921190 Suddivisione HTTP (CR/LF nel nome file della richiesta rilevato)
921200 Attacco LDAP injection

LFI - Inclusione di file locali

ID regola Descrizione
930100 Attacco di tipo Path Traversal (/../)
930110 Attacco di tipo Path Traversal (/../)
930120 Tentativo di accesso a file del sistema operativo
930130 Tentativo di accesso a file con restrizioni

RFI: Inclusione di file remoti

ID regola Descrizione
931100 Possibile attacco RFI (Remote File Inclusion): parametro URL tramite indirizzo IP
931110 Possibile attacco RFI (Remote File Inclusion): nome del parametro vulnerabile RFI comune usato con payload w/URL
931120 Possibile attacco RFI (Remote File Inclusion): payload URL usato con carattere punto interrogativo finale (?)
931130 Possibile attacco REMOTE File Inclusion (RFI): riferimento/collegamento al dominio esterno

RCE - Esecuzione di comandi remoti

ID regola Descrizione
932100 Esecuzione di comandi remoti: inserimento di comandi Unix
932105 Esecuzione di comandi remoti: inserimento di comandi Unix
932110 Esecuzione di comandi remoti: inserimento di comandi di Windows
932115 Esecuzione di comandi remoti: inserimento di comandi di Windows
932120 Esecuzione di comandi remoti: comando di Windows PowerShell trovato
932130 Esecuzione di comandi remoti: vulnerabilità di espressione shell Unix o confluence (CVE-2022-26134) trovata
932140 Esecuzione di comandi remoti: Comando FOR/IF di Windows trovato
932150 Esecuzione di comandi remoti: esecuzione di comandi Unix diretti
932160 Esecuzione di comandi remoti: codice della shell Unix trovato
932170 Esecuzione di comandi remoti: Shellshock (CVE-2014-6271)
932171 Esecuzione di comandi remoti: Shellshock (CVE-2014-6271)
932180 Tentativo di caricamento file con restrizioni

Attacchi PHP

ID regola Descrizione
933100 Attacco PHP Injection: tag di apertura/chiusura trovato
933110 Attacco PHP injection: caricamento di file di script PHP trovato
933120 Attacco PHP injection: direttiva di configurazione trovata
933130 Attacco PHP injection: variabili trovate
933140 Attacco PHP Injection: Flusso di I/O trovato
933150 Attacco PHP injection: trovato il nome della funzione PHP ad alto rischio
933151 Attacco PHP injection: nome della funzione PHP a rischio medio trovato
933160 Attacco PHP injection: chiamata di funzione PHP ad alto rischio trovata
933170 Attacco PHP Injection: inserimento di oggetti serializzati
933180 Attacco PHP injection: chiamata di funzione variabile trovata
933200 Attacco PHP Injection: è stato rilevato lo schema wrapper
933210 Attacco PHP injection: chiamata di funzione variabile trovata

Attacchi JS del nodo

ID regola Descrizione
934100 Node.js attacco injection

XSS - Scripting intersito

ID regola Descrizione
941100 Rilevato attacco XSS tramite libinjection
941101 Attacco XSS rilevato tramite libinjection.
Questa regola rileva le richieste con un'intestazione referer .
941110 Filtro XSS - Categoria 1: Vettore tag script
941120 Filtro XSS - Categoria 2: Vettore del gestore eventi
941130 Filtro XSS - Categoria 3: Vettore di attributi
941140 Filtro XSS - Categoria 4: Vettore URI JavaScript
941150 Filtro XSS - Categoria 5: Attributi HTML non consentiti
941160 NoScript XSS InjectionChecker: inserimento HTML
941170 NoScript XSS InjectionChecker: Attribute Injection
941180 Parole chiave blocklist node-validator
941190 XSS Uso di fogli di stile
941200 XSS con frame VML
941210 XSS con JavaScript offuscato
941220 XSS con script VB offuscato
941230 XSS con tag 'embed'
941240 XSS che usa l'attributo 'import' o 'implementation'
941250 Filtri XSS IE: rilevato attacco
941260 XSS con il tag 'meta'
941270 XSS con href 'link'
941280 XSS con tag 'base'
941290 XSS con tag 'applet'
941300 XSS con tag 'object'
941310 Filtro XSS per codifica US-ASCII in formato non valido: rilevato attacco
941320 Rilevato possibile attacco XSS: gestore tag HTML
941330 Filtri XSS IE: rilevato attacco
941340 Filtri XSS IE: rilevato attacco
941350 XSS IE con codifica UTF-7: rilevato attacco
941360 È stata rilevata l'offuscamento javaScript.
941370 Trovata variabile globale JavaScript
941380 È stato rilevato l'inserimento di modelli sul lato client AngularJS

SQLI - SQL Injection

ID regola Descrizione
942100 Rilevato attacco SQL injection tramite libinjection
942110 Attacco SQL Injection: test di inserimento comuni rilevati
942120 Attacco SQL Injection: rilevato operatore SQL
942140 Attacco SQL Injection: rilevati nomi di database comuni
942150 Attacco SQL injection
942160 Rilevamento test di blind SQL injection con sleep() o benchmark()
942170 Rilevamento tentativi di SQL injection con benchmark e sleep e query condizionali
942180 Rileva i tentativi di bypass dell'autenticazione SQL di base 1/3
942190 Rileva l'esecuzione di codice MSSQL e tentativi di raccolta di informazioni
942200 Rileva injection offuscati nello spazio/con commento MySQL e terminazioni con apice inverso
942210 Rileva tentativi di inserimento SQL concatenati 1/2
942220 Alla ricerca di attacchi di overflow integer, questi vengono presi da skipfish, ad eccezione di 3.0.007385072007e-308 è l'arresto anomalo del "numero magico"
942230 Rilevamento tentativi di SQL injection condizionale
942240 Rileva l'opzione del set di caratteri MySQL e i tentativi di MSSQL DoS
942250 Rileva le iniezioni MATCH AGAINST, MERGE ed EXECUTE IMMEDIATE
942260 Rileva tentativi di ignorare l'autenticazione SQL di base (2/3)
942270 Ricerca di SQL injection di base. Stringa di attacco comune per mysql, oracle e altri.
942280 Rileva postgres pg_sleep injection, waitfor delay attacks e tentativi di arresto del database
942290 Ricerca tentativi di SQL injection di base in MongoDB
942300 Rileva commenti, condizioni e ch(a)r injection di MySQL
942310 Rileva tentativi di inserimento SQL concatenati 2/2
942320 Rilevamento inserimenti di stored procedure/funzioni MySQL e PostgreSQL
942330 Rileva sondaggi di SQL injection classici (1/2)
942340 Rileva tentativi di ignorare l'autenticazione SQL di base (3/3)
942350 Rilevamento di inserimento di funzioni definite dall'utente MySQL e altri tentativi di manipolazione dati/struttura
942360 Rileva tentativi SQL/LFI e di SQL injection di base concatenati
942361 Rileva l'inserimento SQL di base in base alla modifica o all'unione delle parole chiave
942370 Rileva sondaggi di SQL injection classici (2/2)
942380 Attacco SQL injection
942390 Attacco SQL injection
942400 Attacco SQL injection
942410 Attacco SQL injection
942430 Rilevamento anomalie caratteri SQL con restrizioni (args): n. di caratteri speciali in eccesso (12)
942440 Sequenza di commenti SQL rilevata
942450 Identificata codifica esadecimale SQL
942460 Avviso di rilevamento anomalie metacaratteri: caratteri non alfanumerici ripetitivi
942470 Attacco SQL injection
942480 Attacco SQL injection
942500 Rilevato commento in linea di MySQL.
942510 Tentativo di bypass SQLi tramite segni di graduazione o backtick rilevati.

FISSAZIONE SESSIONE

ID regola Descrizione
943100 Possibile attacco di correzione della sessione: impostazione dei valori dei cookie in HTML
943110 Possibile attacco di correzione della sessione: nome del parametro SessionID con referrer esterno al dominio
943120 Possibile attacco di correzione della sessione: nome del parametro SessionID senza referrer

Attacchi JAVA

ID regola Descrizione
944100 Esecuzione di comandi remoti: Apache Struts, Oracle WebLogic
944110 Rileva un'esecuzione potenziale del payload
944120 Possibile esecuzione del payload ed esecuzione di comandi remoti
944130 Classi Java sospette
944200 Sfruttamento della deserializzazione Di Java Apache Commons
944210 Possibile uso della serializzazione Java
944240 Esecuzione di comandi remoti: vulnerabilità di serializzazione Java e Log4j (CVE-2021-44228, CVE-2021-45046)
944250 Esecuzione di comandi remoti: rilevato metodo Java sospetto

MS-ThreatIntel-WebShells

ID regola Descrizione
99005002 Tentativo di interazione di Web Shell (POST)
99005003 Tentativo di caricamento di Web Shell (POST) - CHOPPER PHP
99005004 Tentativo di caricamento di Web Shell (POST) - CHOPPER ASPX
99005005 Tentativo di interazione di Web Shell
99005006 Tentativo di interazione di Spring4Shell

MS-ThreatIntel-AppSec

ID regola Descrizione
99030001 Evasione attraversamento percorso nelle intestazioni (/.. /./.. /)
99030002 Evasione attraversamento percorso nel corpo della richiesta (/.. /./.. /)

MS-ThreatIntel-SQLI

ID regola Descrizione
99031001 Attacco SQL Injection: test di inserimento comuni rilevati
99031002 Rilevata sequenza commenti SQL
99031003 Attacco SQL injection
99031004 Rileva tentativi di ignorare l'autenticazione SQL di base (2/3)

MS-ThreatIntel-CVEs

ID regola Descrizione
99001001 Tentativo di utilizzo dell'API REST F5 tmui (CVE-2020-5902) con credenziali note
99001002 Tentativo di attraversamento della directory Citrix NSC_Uedizione Standard R CVE-2019-19781
99001003 Tentativo di sfruttamento di Atlassian Confluence Widget Connessione or CVE-2019-3396
99001004 Tentativo di sfruttamento del modello personalizzato Pulse Secure CVE-2020-8243
99001005 Tentativo di sfruttamento del convertitore di tipi di SharePoint CVE-2020-0932
99001006 Tentativo di attraversamento della directory Pulse Connessione CVE-2019-11510
99001007 Tentativo di inclusione del file locale J-Web del sistema operativo Junos CVE-2020-1631
99001008 Tentativo di attraversamento del percorso fortinet CVE-2018-13379
99001009 Tentativo di attacchi apache ognl injection CVE-2017-5638
99001010 Tentativo di attacchi apache ognl injection CVE-2017-12611
99001011 Tentativo di attraversamento del percorso Oracle WebLogic CVE-2020-14882
99001012 Tentativo di sfruttamento della deserializzazione non sicura di Telerik WebUI CVE-2019-18935
99001013 Tentativo di deserializzazione XML non sicura di SharePoint CVE-2019-0604
99001014 Tentativo di iniezione di routing-espressione Spring Cloud CVE-2022-22963
99001015 Tentativo di sfruttamento di oggetti della classe Spring Framework unsafe CVE-2022-22965
99001016 Tentativo di inserimento dell'attuatore Spring Cloud Gateway CVE-2022-22947
99001017* Tentativo di caricamento di file Apache Struts CVE-2023-50164

*L'azione di questa regola è impostata su log per impostazione predefinita. Impostare l'azione su Blocca per evitare la vulnerabilità di Apache Struts. Punteggio anomalie non supportato per questa regola.

Nota

Quando si esaminano i log di WAF, è possibile che venga visualizzato l'ID regola 949110. La descrizione della regola potrebbe includere il punteggio di anomalia in ingresso superato.

Questa regola indica che il punteggio totale delle anomalie per la richiesta ha superato il punteggio massimo consentito. Per altre informazioni, vedere Assegnazione dei punteggi delle anomalie.

Passaggi successivi