Web アプリケーション ファイアウォールの CRS 規則グループと規則Web application firewall CRS rule groups and rules

Application Gateway Web アプリケーション ファイアウォール (WAF) は、一般的な脆弱性や悪用から Web アプリケーションを保護します。Application Gateway web application firewall (WAF) protects web applications from common vulnerabilities and exploits. これには、OWASP コア ルール セット 3.0 または 2.2.9 に基づいて定義されている規則が使用されます。This is done through rules that are defined based on the OWASP core rule sets 3.0 or 2.2.9. これらの規則は、個別に無効にすることができます。These rules can be disabled on a rule by rule basis. この記事では、現在提供されている規則と規則セットを示しています。This article contains the current rules and rulesets offered.

次の規則グループと規則は、Application Gateway と Web アプリケーション ファイアウォールの使用時に利用できます。The following rule groups and rules are available when using Application Gateway with web application firewall.

ルール セットRule sets

全般General

RuleIdRuleId 説明Description
200004200004 可能性のあるマルチパートによる不一致の境界。Possible Multipart Unmatched Boundary.

REQUEST-911-METHOD-ENFORCEMENTREQUEST-911-METHOD-ENFORCEMENT

RuleIdRuleId 説明Description
911100911100 メソッドがポリシーによって許可されていませんMethod is not allowed by policy

REQUEST-913-SCANNER-DETECTIONREQUEST-913-SCANNER-DETECTION

RuleIdRuleId 説明Description
913100913100 セキュリティ スキャナーに関連付けられている User-Agent が検出されましたFound User-Agent associated with security scanner
913110913110 セキュリティ スキャナーに関連付けられている要求ヘッダーが検出されましたFound request header associated with security scanner
913120913120 セキュリティ スキャナーに関連付けられている要求ファイル名/引数が検出されましたFound request filename/argument associated with security scanner
913101913101 スクリプティング/汎用 HTTP クライアントに関連付けられている User-Agent が検出されましたFound User-Agent associated with scripting/generic HTTP client
913102913102 Web クローラー/ボットに関連付けられている User-Agent が検出されましたFound User-Agent associated with web crawler/bot

REQUEST-920-PROTOCOL-ENFORCEMENTREQUEST-920-PROTOCOL-ENFORCEMENT

RuleIdRuleId 説明Description
920100920100 無効な HTTP 要求行Invalid HTTP Request Line
920130920130 要求本文を解析できませんでした。Failed to parse request body.
920140920140 マルチパートの要求本文が厳密な検証に失敗しました。Multipart request body failed strict validation
920160920160 Content-Length HTTP ヘッダーが数値ではありません。Content-Length HTTP header is not numeric.
920170920170 本文コンテンツがある GET または HEAD 要求。GET or HEAD Request with Body Content.
920180920180 POST 要求に Content-Length ヘッダーがありません。POST request missing Content-Length Header.
920190920190 範囲 = 無効な最終バイト値。Range = Invalid Last Byte Value.
920210920210 複数の/競合している接続ヘッダー データが見つかりました。Multiple/Conflicting Connection Header Data Found.
920220920220 URL エンコード悪用攻撃の試行URL Encoding Abuse Attack Attempt
920240920240 URL エンコード悪用攻撃の試行URL Encoding Abuse Attack Attempt
920250920250 UTF8 エンコード悪用攻撃の試行UTF8 Encoding Abuse Attack Attempt
920260920260 Unicode 全/半角悪用攻撃の試行Unicode Full/Half Width Abuse Attack Attempt
920270920270 要求に無効な文字が含まれています (null 文字)Invalid character in request (null character)
920280920280 要求にホスト ヘッダーがありませんRequest Missing a Host Header
920290920290 ホスト ヘッダーが空ですEmpty Host Header
920310920310 要求に空の Accept ヘッダーがありますRequest Has an Empty Accept Header
920311920311 要求に空の Accept ヘッダーがありますRequest Has an Empty Accept Header
920330920330 User Agent ヘッダーが空ですEmpty User Agent Header
920340920340 要求にコンテンツは含まれていますが、Content-Type ヘッダーがありませんRequest Containing Content but Missing Content-Type header
920350920350 ホスト ヘッダーが数値 IP アドレスですHost header is a numeric IP address
920380920380 要求の引数が多すぎますToo many arguments in request
920360920360 引数名が長すぎますArgument name too long
920370920370 引数値が長すぎますArgument value too long
920390920390 引数の合計サイズが超過していますTotal arguments size exceeded
920400920400 アップロードされたファイルのサイズが大きすぎますUploaded file size too large
920410920410 アップロードされたファイルの合計サイズが大きすぎますTotal uploaded files size too large
920420920420 要求のコンテンツの種類がポリシーによって許可されていませんRequest content type is not allowed by policy
920430920430 HTTP プロトコルのバージョンがポリシーによって許可されていませんHTTP protocol version is not allowed by policy
920440920440 URL ファイル拡張子がポリシーによって制限されていますURL file extension is restricted by policy
920450920450 HTTP ヘッダーがポリシーによって制限されています (%@{MATCHED_VAR})HTTP header is restricted by policy (%@{MATCHED_VAR})
920200920200 範囲 = フィールドが多すぎます (6 以上)Range = Too many fields (6 or more)
920201920201 範囲 = pdf 要求のフィールドが多すぎます (35 以上)Range = Too many fields for pdf request (35 or more)
920230920230 複数の URL エンコードが検出されましたMultiple URL Encoding Detected
920300920300 要求に Accept ヘッダーがありませんRequest Missing an Accept Header
920271920271 要求に無効な文字が含まれています (印字できない文字)Invalid character in request (non printable characters)
920320920320 User Agent ヘッダーがありませんMissing User Agent Header
920272920272 要求に無効な文字が含まれています (ascii 127 より下の印字できる文字以外)Invalid character in request (outside of printable chars below ascii 127)
920202920202 範囲 = pdf 要求のフィールドが多すぎます (6 以上)Range = Too many fields for pdf request (6 or more)
920273920273 要求に無効な文字が含まれています (非常に厳格なセット以外)Invalid character in request (outside of very strict set)
920274920274 要求ヘッダーに無効な文字が含まれています (非常に厳格なセット以外)Invalid character in request headers (outside of very strict set)
920460920460 異常なエスケープ文字Abnormal escape characters

REQUEST-921-PROTOCOL-ATTACKREQUEST-921-PROTOCOL-ATTACK

RuleIdRuleId 説明Description
921100921100 HTTP 要求スマグリング攻撃。HTTP Request Smuggling Attack.
921110921110 HTTP 要求スマグリング攻撃HTTP Request Smuggling Attack
921120921120 HTTP 応答分割攻撃HTTP Response Splitting Attack
921130921130 HTTP 応答分割攻撃HTTP Response Splitting Attack
921140921140 ヘッダーによる HTTP ヘッダー インジェクション攻撃HTTP Header Injection Attack via headers
921150921150 ペイロードによる HTTP ヘッダー インジェクション攻撃 (CR/LF 検出)HTTP Header Injection Attack via payload (CR/LF detected)
921160921160 ペイロードによる HTTP ヘッダー インジェクション攻撃 (CR/LF および header-name 検出)HTTP Header Injection Attack via payload (CR/LF and header-name detected)
921151921151 ペイロードによる HTTP ヘッダー インジェクション攻撃 (CR/LF 検出)HTTP Header Injection Attack via payload (CR/LF detected)
921170921170 HTTP パラメーター汚染HTTP Parameter Pollution
921180921180 HTTP パラメーター汚染 (% @{TX.1})HTTP Parameter Pollution (%@{TX.1})

REQUEST-930-APPLICATION-ATTACK-LFIREQUEST-930-APPLICATION-ATTACK-LFI

RuleIdRuleId 説明Description
930100930100 パス トラバーサル攻撃 (/../)Path Traversal Attack (/../)
930110930110 パス トラバーサル攻撃 (/../)Path Traversal Attack (/../)
930120930120 OS ファイル アクセスの試行OS File Access Attempt
930130930130 制限付きファイル アクセスの試行Restricted File Access Attempt

REQUEST-931-APPLICATION-ATTACK-RFIREQUEST-931-APPLICATION-ATTACK-RFI

RuleIdRuleId 説明Description
931100931100 可能性のあるリモート ファイル インクルード (RFI) 攻撃 = IP アドレスを使用している URL パラメーターPossible Remote File Inclusion (RFI) Attack = URL Parameter using IP Address
931110931110 可能性のあるリモート ファイル インクルード (RFI) 攻撃 = URL ペイロードと共に使用される一般的な RFI 脆弱性パラメーター名Possible Remote File Inclusion (RFI) Attack = Common RFI Vulnerable Parameter Name used w/URL Payload
931120931120 可能性のあるリモート ファイル インクルード (RFI) 攻撃 = 末尾の疑問符 (?) と共に使用される URL ペイロードPossible Remote File Inclusion (RFI) Attack = URL Payload Used w/Trailing Question Mark Character (?)
931130931130 可能性のあるリモート ファイル インクルード (RFI) 攻撃 = ドメイン外参照/リンクPossible Remote File Inclusion (RFI) Attack = Off-Domain Reference/Link

REQUEST-932-APPLICATION-ATTACK-RCEREQUEST-932-APPLICATION-ATTACK-RCE

RuleIdRuleId 説明Description
932120932120 リモート コマンド実行 = Windows PowerShell コマンドが見つかりましたRemote Command Execution = Windows PowerShell Command Found
932130932130 リモート コマンド実行 = Unix シェル式が見つかりましたRemote Command Execution = Unix Shell Expression Found
932140932140 リモート コマンド実行 = Windows FOR/IF コマンドが見つかりましたRemote Command Execution = Windows FOR/IF Command Found
932160932160 リモート コマンド実行 = Unix シェル コードが見つかりましたRemote Command Execution = Unix Shell Code Found
932170932170 リモート コマンド実行 = Shellshock (CVE-2014-6271)Remote Command Execution = Shellshock (CVE-2014-6271)
932171932171 リモート コマンド実行 = Shellshock (CVE-2014-6271)Remote Command Execution = Shellshock (CVE-2014-6271)

REQUEST-933-APPLICATION-ATTACK-PHPREQUEST-933-APPLICATION-ATTACK-PHP

RuleIdRuleId 説明Description
933100933100 PHP インジェクション攻撃 = 開始/終了タグが見つかりましたPHP Injection Attack = Opening/Closing Tag Found
933110933110 PHP インジェクション攻撃 = PHP スクリプト ファイルのアップロードが見つかりましたPHP Injection Attack = PHP Script File Upload Found
933120933120 PHP インジェクション攻撃 = 構成ディレクティブが見つかりましたPHP Injection Attack = Configuration Directive Found
933130933130 PHP インジェクション攻撃 = 変数が見つかりましたPHP Injection Attack = Variables Found
933150933150 PHP インジェクション攻撃 = 危険度の高い PHP 関数名が見つかりましたPHP Injection Attack = High-Risk PHP Function Name Found
933160933160 PHP インジェクション攻撃 = 危険度の高い PHP 関数呼び出しが見つかりましたPHP Injection Attack = High-Risk PHP Function Call Found
933180933180 PHP インジェクション攻撃 = 可変関数呼び出しが見つかりましたPHP Injection Attack = Variable Function Call Found
933151933151 PHP インジェクション攻撃 = 危険度が中程度の PHP 関数名が見つかりましたPHP Injection Attack = Medium-Risk PHP Function Name Found
933131933131 PHP インジェクション攻撃 = 変数が見つかりましたPHP Injection Attack = Variables Found
933161933161 PHP インジェクション攻撃 = 低い値の PHP 関数呼び出しが見つかりましたPHP Injection Attack = Low-Value PHP Function Call Found
933111933111 PHP インジェクション攻撃 = PHP スクリプト ファイルのアップロードが見つかりましたPHP Injection Attack = PHP Script File Upload Found

REQUEST-941-APPLICATION-ATTACK-XSSREQUEST-941-APPLICATION-ATTACK-XSS

RuleIdRuleId 説明Description
941100941100 libinjection を通じて XSS 攻撃が検出されましたXSS Attack Detected via libinjection
941110941110 XSS フィルター - カテゴリ 1 = スクリプト タグ ベクターXSS Filter - Category 1 = Script Tag Vector
941130941130 XSS フィルター - カテゴリ 3 = 属性ベクターXSS Filter - Category 3 = Attribute Vector
941140941140 XSS フィルター - カテゴリ 4 = Javascript URI ベクターXSS Filter - Category 4 = Javascript URI Vector
941150941150 XSS フィルター - カテゴリ 5 = 許可されていない HTML 属性XSS Filter - Category 5 = Disallowed HTML Attributes
941180941180 ノード検証コントロールのブラックリスト キーワードNode-Validator Blacklist Keywords
941190941190 スタイル シートを使用する XSSXSS using style sheets
941200941200 VML フレームを使用する XSSXSS using VML frames
941210941210 難読化 Javascript を使用する XSSXSS using obfuscated Javascript
941220941220 難読化 VB Script を使用する XSSXSS using obfuscated VB Script
941230941230 'embed' タグを使用する XSSXSS using 'embed' tag
941240941240 'import' または 'implementation' 属性を使用する XSSXSS using 'import' or 'implementation' attribute
941260941260 'meta' タグを使用する XSSXSS using 'meta' tag
941270941270 'link' href を使用する XSSXSS using 'link' href
941280941280 'base' タグを使用する XSSXSS using 'base' tag
941290941290 'applet' タグを使用する XSSXSS using 'applet' tag
941300941300 'object' タグを使用する XSSXSS using 'object' tag
941310941310 US-ASCII 非整形式エンコード XSS フィルター - 攻撃が検出されました。US-ASCII Malformed Encoding XSS Filter - Attack Detected.
941330941330 IE XSS フィルター - 攻撃が検出されました。IE XSS Filters - Attack Detected.
941340941340 IE XSS フィルター - 攻撃が検出されました。IE XSS Filters - Attack Detected.
941350941350 UTF-7 エンコード IE XSS - 攻撃が検出されました。UTF-7 Encoding IE XSS - Attack Detected.
941320941320 可能性のある XSS 攻撃が検出されました - HTML タグ ハンドラーPossible XSS Attack Detected - HTML Tag Handler

REQUEST-942-APPLICATION-ATTACK-SQLIREQUEST-942-APPLICATION-ATTACK-SQLI

RuleIdRuleId 説明Description
942100942100 libinjection を通じて SQL インジェクション攻撃が検出されましたSQL Injection Attack Detected via libinjection
942110942110 SQL インジェクション攻撃:一般的なインジェクション テストが検出されましたSQL Injection Attack: Common Injection Testing Detected
942130942130 SQL インジェクション攻撃:SQL トートロジーが検出されました。SQL Injection Attack: SQL Tautology Detected.
942140942140 SQL インジェクション攻撃 = 共通 DB 名が検出されましたSQL Injection Attack = Common DB Names Detected
942160942160 sleep() または benchmark() を使用して、ブラインド sqli テストを検出します。Detects blind sqli tests using sleep() or benchmark().
942170942170 条件付きクエリも含めて、SQL ベンチマークとスリープ インジェクション試行を検出しますDetects SQL benchmark and sleep injection attempts including conditional queries
942190942190 MSSQL コード実行と情報収集の試行を検出します。Detects MSSQL code execution and information gathering attempts
942200942200 MySQL コメント/スペース難読化インジェクションとバッククォートの終了を検出しますDetects MySQL comment-/space-obfuscated injections and backtick termination
942230942230 条件付き SQL インジェクション試行を検出しますDetects conditional SQL injection attempts
942260942260 基本的な SQL 認証のバイパスの試行 2/3 を検出しますDetects basic SQL authentication bypass attempts 2/3
942270942270 基本的な sql インジェクションを探しています。Looking for basic sql injection. mysql oracle などの共通攻撃文字列。Common attack string for mysql oracle and others.
942290942290 基本的な MongoDB SQL インジェクション試行を探しますFinds basic MongoDB SQL injection attempts
942300942300 MySQL コメント、条件、および ch(a)r インジェクションを検出します。Detects MySQL comments, conditions and ch(a)r injections
942310942310 チェーンされた SQL インジェクション試行 2/2 を検出しますDetects chained SQL injection attempts 2/2
942320942320 MySQL および PostgreSQL ストアド プロシージャ/関数インジェクションを検出しますDetects MySQL and PostgreSQL stored procedure/function injections
942330942330 従来の SQL インジェクション プローブ 1/2 を検出しますDetects classic SQL injection probings 1/2
942340942340 基本的な SQL 認証のバイパスの試行 3/3 を検出しますDetects basic SQL authentication bypass attempts 3/3
942350942350 MySQL UDF インジェクションと、その他のデータ/構造操作試行を検出しますDetects MySQL UDF injection and other data/structure manipulation attempts
942360942360 連結された基本的な SQL インジェクションと SQLLFI 試行を検出しますDetects concatenated basic SQL injection and SQLLFI attempts
942370942370 従来の SQL インジェクション プローブ 2/2 を検出しますDetects classic SQL injection probings 2/2
942150942150 SQL インジェクション攻撃SQL Injection Attack
942410942410 SQL インジェクション攻撃SQL Injection Attack
942430942430 制限された SQL 文字の異常検出 (引数): 特殊文字数が超過しました (12)Restricted SQL Character Anomaly Detection (args): # of special characters exceeded (12)
942440942440 SQL コメント シーケンスが検出されました。SQL Comment Sequence Detected.
942450942450 SQL 16 進数エンコードが識別されましたSQL Hex Encoding Identified
942251942251 HAVING インジェクションを検出しますDetects HAVING injections
942460942460 メタ文字の異常検出アラート - 反復する非単語文字Meta-Character Anomaly Detection Alert - Repetitive Non-Word Characters

REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATIONREQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION

RuleIdRuleId 説明Description
943100943100 可能性のあるセッション固定攻撃 = HTML への Cookie 値の設定Possible Session Fixation Attack = Setting Cookie Values in HTML
943110943110 可能性のあるセッション固定攻撃 = SessionID パラメーター名とドメイン外参照元Possible Session Fixation Attack = SessionID Parameter Name with Off-Domain Referrer
943120943120 可能性のあるセッション固定攻撃 = 参照元のない SessionID パラメーター名Possible Session Fixation Attack = SessionID Parameter Name with No Referrer

次の手順Next steps

WAF 規則を無効にする方法については、WAF 規則のカスタマイズに関するページを参照してください。Learn how to disable WAF rules: Customize WAF rules