Le regole e gruppi di regole CRS di web application firewallWeb application firewall CRS rule groups and rules

Il Web application firewall (WAF) di Gateway applicazione protegge le applicazioni Web da vulnerabilità ed exploit comuni.Application Gateway web application firewall (WAF) protects web applications from common vulnerabilities and exploits. Questa operazione viene eseguita attraverso regole definite in base a OWASP core rule set 2.2.9 o 3.0.This is done through rules that are defined based on the OWASP core rule sets 3.0 or 2.2.9. Queste regole possono essere disabilitate singolarmente.These rules can be disabled on a rule by rule basis. Questo articolo contiene le regole e i set di regole attualmente offerti.This article contains the current rules and rulesets offered.

I seguenti gruppi di regole e le regole sono disponibili quando si usa il Gateway applicazione con web application firewall.The following rule groups and rules are available when using Application Gateway with web application firewall.

Set di regoleRule sets

GeneraleGeneral

ID regolaRuleId DESCRIZIONEDescription
200004200004 Possibile limite multiparte senza corrispondenza.Possible Multipart Unmatched Boundary.

REQUEST-911-METHOD-ENFORCEMENTREQUEST-911-METHOD-ENFORCEMENT

ID regolaRuleId DescrizioneDescription
911100911100 Metodo non consentito da criteriMethod is not allowed by policy

REQUEST-913-SCANNER-DETECTIONREQUEST-913-SCANNER-DETECTION

ID regolaRuleId DescrizioneDescription
913100913100 Trovato agente utente associato ad analisi della sicurezzaFound User-Agent associated with security scanner
913110913110 Trovata intestazione della richiesta associata ad analisi della sicurezzaFound request header associated with security scanner
913120913120 Trovato argomento/nome file della richiesta associato ad analisi della sicurezzaFound request filename/argument associated with security scanner
913101913101 Trovato agente utente associato a client HTTP generico/di scriptingFound User-Agent associated with scripting/generic HTTP client
913102913102 Trovato agente utente associato a bot/agente di ricerca WebFound User-Agent associated with web crawler/bot

REQUEST-920-PROTOCOL-ENFORCEMENTREQUEST-920-PROTOCOL-ENFORCEMENT

ID regolaRuleId DESCRIZIONEDescription
920100920100 Riga della richiesta HTTP non validaInvalid HTTP Request Line
920130920130 Impossibile analizzare corpo della richiestaFailed to parse request body.
920140920140 Il corpo della richiesta multipart non è stato possibile convalida ristrettaMultipart request body failed strict validation
920160920160 Intestazione HTTP Content-Length non numericaContent-Length HTTP header is not numeric.
920170920170 Richiesta GET o HEAD con contenuto del corpoGET or HEAD Request with Body Content.
920180920180 Richiesta POST senza intestazione Content-LengthPOST request missing Content-Length Header.
920190920190 Intervallo: valore ultimo byte non validoRange = Invalid Last Byte Value.
920210920210 Trovati dati intestazione di connessione multipli/in conflittoMultiple/Conflicting Connection Header Data Found.
920220920220 Tentativo di attacco con uso improprio codifica URLURL Encoding Abuse Attack Attempt
920240920240 Tentativo di attacco con uso improprio codifica URLURL Encoding Abuse Attack Attempt
920250920250 Tentativo di attacco con uso improprio codifica UTF8UTF8 Encoding Abuse Attack Attempt
920260920260 Tentativo di attacco con uso improprio metà larghezza/larghezza intera UnicodeUnicode Full/Half Width Abuse Attack Attempt
920270920270 Carattere non valido nella richiesta (carattere null)Invalid character in request (null character)
920280920280 Richiesta senza intestazione hostRequest Missing a Host Header
920290920290 Intestazione host vuotaEmpty Host Header
920310920310 Richiesta con intestazione Accept vuotaRequest Has an Empty Accept Header
920311920311 Richiesta con intestazione Accept vuotaRequest Has an Empty Accept Header
920330920330 Intestazione agente utente vuotaEmpty User Agent Header
920340920340 Richiesta con contenuto ma senza intestazione Content-TypeRequest Containing Content but Missing Content-Type header
920350920350 Intestazione host costituita da un indirizzo IP numericoHost header is a numeric IP address
920380920380 Troppi argomenti nella richiestaToo many arguments in request
920360920360 Nome argomento troppo lungoArgument name too long
920370920370 Valore argomento troppo lungoArgument value too long
920390920390 Superate dimensioni totali argomentiTotal arguments size exceeded
920400920400 Dimensione file caricato troppo grandeUploaded file size too large
920410920410 Dimensione totale dei file caricati troppo grandeTotal uploaded files size too large
920420920420 Tipo di contenuto della richiesta non consentito da criteriRequest content type is not allowed by policy
920430920430 Versione protocollo HTTP non consentita da criteriHTTP protocol version is not allowed by policy
920440920440 Estensione file URL limitata da criteriURL file extension is restricted by policy
920450920450 Intestazione HTTP limitata da criteri (%@{MATCHED_VAR})HTTP header is restricted by policy (%@{MATCHED_VAR})
920200920200 Intervallo: troppi campi (6 o più)Range = Too many fields (6 or more)
920201920201 Intervallo: troppi campi per richiesta PDF (35 o più)Range = Too many fields for pdf request (35 or more)
920230920230 Rilevata codifica multipla URLMultiple URL Encoding Detected
920300920300 Richiesta senza intestazione AcceptRequest Missing an Accept Header
920271920271 Carattere non valido nella richiesta (caratteri non stampabili)Invalid character in request (non printable characters)
920320920320 Intestazione agente utente mancanteMissing User Agent Header
920272920272 Carattere non valido nella richiesta (non compreso nei caratteri stampabili sotto ASCII 127)Invalid character in request (outside of printable chars below ascii 127)
920202920202 Intervallo: troppi campi per richiesta PDF (6 o più)Range = Too many fields for pdf request (6 or more)
920273920273 Carattere non valido nella richiesta (non compreso in set molto restrittivo)Invalid character in request (outside of very strict set)
920274920274 Carattere non valido nelle intestazioni della richiesta (non compreso in set con restrizioni elevate)Invalid character in request headers (outside of very strict set)
920460920460 Caratteri di escape anomalaAbnormal escape characters

REQUEST-921-PROTOCOL-ATTACKREQUEST-921-PROTOCOL-ATTACK

ID regolaRuleId DESCRIZIONEDescription
921100921100 Attacco di tipo HTTP Request SmugglingHTTP Request Smuggling Attack.
921110921110 Attacco di tipo HTTP Request SmugglingHTTP Request Smuggling Attack
921120921120 Attacco di tipo HTTP Response SplittingHTTP Response Splitting Attack
921130921130 Attacco di tipo HTTP Response SplittingHTTP Response Splitting Attack
921140921140 Attacco di tipo HTTP Header Injection tramite intestazioniHTTP Header Injection Attack via headers
921150921150 Attacco di tipo HTTP Header Injection tramite payload (rilevato CR/LF)HTTP Header Injection Attack via payload (CR/LF detected)
921160921160 Attacco di tipo HTTP Header Injection tramite payload (rilevati CR/LF e nome intestazione)HTTP Header Injection Attack via payload (CR/LF and header-name detected)
921151921151 Attacco di tipo HTTP Header Injection tramite payload (rilevato CR/LF)HTTP Header Injection Attack via payload (CR/LF detected)
921170921170 Parametri HTTPHTTP Parameter Pollution
921180921180 Accesso non autorizzato a parametri HTTP (%@{TX.1})HTTP Parameter Pollution (%@{TX.1})

REQUEST-930-APPLICATION-ATTACK-LFIREQUEST-930-APPLICATION-ATTACK-LFI

ID regolaRuleId DescrizioneDescription
930100930100 Attacco di tipo Path Traversal (/../)Path Traversal Attack (/../)
930110930110 Attacco di tipo Path Traversal (/../)Path Traversal Attack (/../)
930120930120 Tentativo di accesso a file del sistema operativoOS File Access Attempt
930130930130 Tentativo di accesso a file con restrizioniRestricted File Access Attempt

REQUEST-931-APPLICATION-ATTACK-RFIREQUEST-931-APPLICATION-ATTACK-RFI

ID regolaRuleId DescrizioneDescription
931100931100 Possibile attacco di tipo Remote File Inclusion (RFI): parametro URL con indirizzo IPPossible Remote File Inclusion (RFI) Attack = URL Parameter using IP Address
931110931110 Possibile attacco di tipo Remote File Inclusion (RFI): nome parametro vulnerabile a RFI comune usato con payload URLPossible Remote File Inclusion (RFI) Attack = Common RFI Vulnerable Parameter Name used w/URL Payload
931120931120 Possibile attacco di tipo Remote File Inclusion (RFI): payload URL usato con carattere punto interrogativo (?) finalePossible Remote File Inclusion (RFI) Attack = URL Payload Used w/Trailing Question Mark Character (?)
931130931130 Possibile attacco di tipo Remote File Inclusion (RFI): collegamento/riferimento fuori dominioPossible Remote File Inclusion (RFI) Attack = Off-Domain Reference/Link

REQUEST-932-APPLICATION-ATTACK-RCEREQUEST-932-APPLICATION-ATTACK-RCE

ID regolaRuleId DESCRIZIONEDescription
932120932120 Esecuzione comandi in remoto: trovato comando di Windows PowerShellRemote Command Execution = Windows PowerShell Command Found
932130932130 Esecuzione comandi in remoto: trovata espressione shell UnixRemote Command Execution = Unix Shell Expression Found
932140932140 Esecuzione comandi in remoto: trovato comando FOR/IF di WindowsRemote Command Execution = Windows FOR/IF Command Found
932160932160 Esecuzione comandi in remoto: trovato codice shell UnixRemote Command Execution = Unix Shell Code Found
932170932170 Esecuzione comandi in remoto: Shellshock (CVE-2014-6271)Remote Command Execution = Shellshock (CVE-2014-6271)
932171932171 Esecuzione comandi in remoto: Shellshock (CVE-2014-6271)Remote Command Execution = Shellshock (CVE-2014-6271)

REQUEST-933-APPLICATION-ATTACK-PHPREQUEST-933-APPLICATION-ATTACK-PHP

ID regolaRuleId DescrizioneDescription
933100933100 Attacco PHP injection: trovato tag di apertura/chiusuraPHP Injection Attack = Opening/Closing Tag Found
933110933110 Attacco PHP injection: trovato caricamento file script PHPPHP Injection Attack = PHP Script File Upload Found
933120933120 Attacco PHP injection: trovata direttiva di configurazionePHP Injection Attack = Configuration Directive Found
933130933130 Attacco PHP injection: trovate variabiliPHP Injection Attack = Variables Found
933150933150 Attacco PHP injection: trovato nome funzione PHP ad alto rischioPHP Injection Attack = High-Risk PHP Function Name Found
933160933160 Attacco PHP injection: trovata chiamata di funzione PHP ad alto rischioPHP Injection Attack = High-Risk PHP Function Call Found
933180933180 Attacco PHP injection: trovata chiamata di funzione variabilePHP Injection Attack = Variable Function Call Found
933151933151 Attacco PHP injection: trovato nome funzione PHP a medio rischioPHP Injection Attack = Medium-Risk PHP Function Name Found
933131933131 Attacco PHP injection: trovate variabiliPHP Injection Attack = Variables Found
933161933161 Attacco PHP injection: trovata chiamata di funzione PHP con valore bassoPHP Injection Attack = Low-Value PHP Function Call Found
933111933111 Attacco PHP injection: trovato caricamento file script PHPPHP Injection Attack = PHP Script File Upload Found

REQUEST-941-APPLICATION-ATTACK-XSSREQUEST-941-APPLICATION-ATTACK-XSS

ID regolaRuleId DescrizioneDescription
941100941100 Rilevato attacco XSS tramite libinjectionXSS Attack Detected via libinjection
941110941110 Filtro XSS, categoria 1: vettore tag scriptXSS Filter - Category 1 = Script Tag Vector
941130941130 Filtro XSS, categoria 3: vettore attributiXSS Filter - Category 3 = Attribute Vector
941140941140 Filtro XSS, categoria 4: vettore URI JavascriptXSS Filter - Category 4 = Javascript URI Vector
941150941150 Filtro XSS, categoria 5: attributi HTML non consentitiXSS Filter - Category 5 = Disallowed HTML Attributes
941180941180 Parole chiave in blacklist convalida nodiNode-Validator Blacklist Keywords
941190941190 XSS con fogli di stileXSS using style sheets
941200941200 Usando i fotogrammi VML XSSXSS using VML frames
941210941210 XSS tramite Javascript offuscatiXSS using obfuscated Javascript
941220941220 XSS tramite offuscato Script VBXSS using obfuscated VB Script
941230941230 XSS usando 'incorporare' tagXSS using 'embed' tag
941240941240 XSS usando l'attributo 'import' o 'implementation'XSS using 'import' or 'implementation' attribute
941260941260 XSS tramite tag 'meta'XSS using 'meta' tag
941270941270 XSS usando "link" hrefXSS using 'link' href
941280941280 XSS usando tag 'base'XSS using 'base' tag
941290941290 XSS usando tag 'applet'XSS using 'applet' tag
941300941300 XSS usando tag 'object'XSS using 'object' tag
941310941310 Filtro XSS per codifica US-ASCII in formato non valido: rilevato attaccoUS-ASCII Malformed Encoding XSS Filter - Attack Detected.
941330941330 Filtri XSS IE: rilevato attaccoIE XSS Filters - Attack Detected.
941340941340 Filtri XSS IE: rilevato attaccoIE XSS Filters - Attack Detected.
941350941350 XSS IE con codifica UTF-7: rilevato attaccoUTF-7 Encoding IE XSS - Attack Detected.
941320941320 Rilevato possibile attacco XSS: gestore tag HTMLPossible XSS Attack Detected - HTML Tag Handler

REQUEST-942-APPLICATION-ATTACK-SQLIREQUEST-942-APPLICATION-ATTACK-SQLI

ID regolaRuleId DescrizioneDescription
942100942100 Rilevato attacco SQL injection tramite libinjectionSQL Injection Attack Detected via libinjection
942110942110 Attacco SQL injection: rilevato test injection comuneSQL Injection Attack: Common Injection Testing Detected
942130942130 Attacco SQL injection: rilevata tautologia SQL.SQL Injection Attack: SQL Tautology Detected.
942140942140 Attacco SQL injection: rilevati nomi DB comuniSQL Injection Attack = Common DB Names Detected
942160942160 Rilevamento test di blind SQL injection con sleep() o benchmark()Detects blind sqli tests using sleep() or benchmark().
942170942170 Rilevamento tentativi di SQL injection con benchmark e sleep e query condizionaliDetects SQL benchmark and sleep injection attempts including conditional queries
942190942190 Rileva l'esecuzione di codice MSSQL e tentativi di raccolta di informazioniDetects MSSQL code execution and information gathering attempts
942200942200 Rileva injection offuscati nello spazio/con commento MySQL e terminazioni con apice inversoDetects MySQL comment-/space-obfuscated injections and backtick termination
942230942230 Rilevamento tentativi di SQL injection condizionaleDetects conditional SQL injection attempts
942260942260 Rileva tentativi di ignorare l'autenticazione SQL di base (2/3)Detects basic SQL authentication bypass attempts 2/3
942270942270 Ricerca di SQL injection di base.Looking for basic sql injection. Stringa di attacco comune per MySQL, Oracle e altriCommon attack string for mysql oracle and others.
942290942290 Ricerca tentativi di SQL injection di base in MongoDBFinds basic MongoDB SQL injection attempts
942300942300 Rileva ch(a)r injection, condizioni e commenti MySQLDetects MySQL comments, conditions and ch(a)r injections
942320942320 Rilevamento inserimenti di stored procedure/funzioni MySQL e PostgreSQLDetects MySQL and PostgreSQL stored procedure/function injections
942330942330 Rileva sondaggi di SQL injection classici (1/2)Detects classic SQL injection probings 1/2
942340942340 Rileva tentativi di ignorare l'autenticazione SQL di base (3/3)Detects basic SQL authentication bypass attempts 3/3
942350942350 Rilevamento di inserimento di funzioni definite dall'utente MySQL e altri tentativi di manipolazione dati/strutturaDetects MySQL UDF injection and other data/structure manipulation attempts
942360942360 Rileva tentativi SQL/LFI e di SQL injection di base concatenatiDetects concatenated basic SQL injection and SQLLFI attempts
942370942370 Rileva sondaggi di SQL injection classici (2/2)Detects classic SQL injection probings 2/2
942150942150 Attacco SQL injectionSQL Injection Attack
942410942410 Attacco SQL injectionSQL Injection Attack
942430942430 Rilevamento anomalie caratteri SQL con restrizioni (args): n. di caratteri speciali in eccesso (12)Restricted SQL Character Anomaly Detection (args): # of special characters exceeded (12)
942440942440 Rilevata sequenza commenti SQLSQL Comment Sequence Detected.
942450942450 Identificata codifica esadecimale SQLSQL Hex Encoding Identified
942251942251 Rilevamento inserimenti HAVINGDetects HAVING injections
942460942460 Avviso di rilevamento anomalie metacaratteri: caratteri non alfanumerici ripetitiviMeta-Character Anomaly Detection Alert - Repetitive Non-Word Characters

REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATIONREQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION

ID regolaRuleId DESCRIZIONEDescription
943100943100 Possibile attacco di tipo Session Fixation: impostazione valori cookie in HTMLPossible Session Fixation Attack = Setting Cookie Values in HTML
943110943110 Possibile attacco di tipo Session Fixation: nome parametro SessionID con referrer fuori dominioPossible Session Fixation Attack = SessionID Parameter Name with Off-Domain Referrer
943120943120 Possibile attacco di tipo Session Fixation: nome parametro SessionID senza referrerPossible Session Fixation Attack = SessionID Parameter Name with No Referrer

Passaggi successiviNext steps

Informazioni su come disabilitare le regole del WAF: Personalizzare le regole del web application firewallLearn how to disable WAF rules: Customize WAF rules