Grupos de regras e regras do Web Application Firewall DRS e CRS

  • Artigo

Os conjuntos de regras gerenciados pelo Azure no firewall de aplicativo Web (WAF) do Gateway de Aplicativo protegem ativamente os aplicativos Web contra vulnerabilidades e explorações comuns. Esses conjuntos de regras, gerenciados pelo Azure, recebem atualizações conforme necessário para proteger contra novas assinaturas de ataque. O conjunto de regras padrão também incorpora as regras do Microsoft Threat Intelligence Collection. A equipe de inteligência da Microsoft colabora na redação dessas regras, garantindo cobertura aprimorada, patches de vulnerabilidade específicos e redução aprimorada de falsos positivos.

Você também tem a opção de usar regras definidas com base nos conjuntos de regras principais do OWASP 3.2, 3.1, 3.0 ou 2.2.9.

Você pode desabilitar regras individualmente ou definir ações específicas para cada regra. Este artigo lista as regras atuais e os conjuntos de regras disponíveis. Se um conjunto de regras publicado exigir uma atualização, iremos documentá-lo aqui.

Nota

Ao mudar de uma versão do conjunto de regras para outra, todas as configurações de regras desabilitadas e habilitadas retornarão ao padrão do conjunto de regras para o qual você está migrando. Isso significa que, se você desabilitou ou habilitou uma regra anteriormente, precisará desativá-la ou habilitá-la novamente depois de mudar para a nova versão do conjunto de regras.

Conjuntos de regras padrão

O DRS (Conjunto de Regras Padrão) gerenciado pelo Azure inclui regras contra as seguintes categorias de ameaça:

  • Scripting entre sites
  • Ataques Java
  • Inclusão de ficheiro local
  • Ataques de injeção PHP
  • Execução remota de comandos
  • Inclusão de ficheiro remoto
  • Fixação de sessão
  • Proteção contra injeção de SQL
  • Invasores de protocolo O número da versão do DRS aumenta quando novas assinaturas de ataque são adicionadas ao conjunto de regras.

Regras de Recolha de Informações sobre Ameaças da Microsoft

As regras da Coleta de Inteligência de Ameaças da Microsoft são escritas em parceria com a equipe de Inteligência de Ameaças da Microsoft para fornecer maior cobertura, patches para vulnerabilidades específicas e melhor redução de falsos positivos.

Nota

Use as orientações a seguir para ajustar o WAF enquanto você começa a usar o 2.1 no WAF do Application Gateway. Os detalhes das regras são descritos a seguir.

ID da Regra Grupo de Regras Description Detalhes
942110 SQLI Ataque de injeção de SQL: teste de injeção comum detetado Desativar, substituído pela regra MSTIC 99031001
942150 SQLI Ataque de Injeção do SQL Desativar, substituído pela regra MSTIC 99031003
942260 SQLI Deteta tentativas básicas de desvio de autenticação SQL 2/3 Desativar, substituído pela regra MSTIC 99031004
942430 SQLI Deteção de anomalia de caracteres SQL restritos (args): # de caracteres especiais excedidos (12) Desativar, Muitos falsos positivos.
942440 SQLI Sequência de comentários SQL detetada Desativar, substituído pela regra MSTIC 99031002
99005006 MS-ThreatIntel-WebShells Tentativa de interação Spring4Shell Mantenha a regra ativada para evitar a vulnerabilidade do SpringShell
99001014 MS-ThreatIntel-CVEs Tentativa de injeção de expressão de roteamento do Spring Cloud CVE-2022-22963 Mantenha a regra ativada para evitar a vulnerabilidade do SpringShell
99001015 MS-ThreatIntel-WebShells Tentativa de exploração de objeto de classe não segura do Spring Framework CVE-2022-22965 Mantenha a regra ativada para evitar a vulnerabilidade do SpringShell
99001016 MS-ThreatIntel-WebShells Tentativa de injeção do Spring Cloud Gateway Actuator CVE-2022-22947 Mantenha a regra ativada para evitar a vulnerabilidade do SpringShell
99001017 MS-ThreatIntel-CVEs Tentativa de exploração de upload do arquivo Apache Struts CVE-2023-50164 Defina a ação como Bloquear para prevenir contra a vulnerabilidade do Apache Struts. Pontuação de anomalia não suportada para esta regra.

Conjuntos de regras principais

O WAF do Application Gateway vem pré-configurado com CRS 3.2 por padrão, mas você pode optar por usar qualquer outra versão CRS suportada.

O CRS 3.2 oferece um novo mecanismo e novos conjuntos de regras de defesa contra injeções Java, um conjunto inicial de verificações de upload de arquivos e menos falsos positivos em comparação com versões anteriores do CRS. Você também pode personalizar as regras para atender às suas necessidades. Saiba mais sobre o novo mecanismo WAF do Azure.

Manages rules

O WAF protege contra as seguintes vulnerabilidades da web:

  • Ataques de injeção de SQL
  • Ataques de script entre sites
  • Outros ataques comuns, como injeção de comando, contrabando de solicitação HTTP, divisão de resposta HTTP e inclusão remota de arquivos
  • Violações do protocolo HTTP
  • Anomalias do protocolo HTTP, como falta de agente do usuário do host e cabeçalhos de aceitação
  • Bots, crawlers e scanners
  • Erros comuns de configuração de aplicativos (por exemplo, Apache e IIS)

Ajuste de conjuntos de regras gerenciadas

O DRS e o CRS são habilitados por padrão no modo de deteção em suas políticas WAF. Você pode desabilitar ou habilitar regras individuais dentro do Conjunto de Regras Gerenciadas para atender aos requisitos do seu aplicativo. Você também pode definir ações específicas por regra. O DRS/CRS suporta ações de pontuação de bloco, log e anomalia. O conjunto de regras do Bot Manager suporta as ações de permissão, bloqueio e registro.

Às vezes, talvez seja necessário omitir certos atributos de solicitação de uma avaliação do WAF. Um exemplo comum são os tokens inseridos no Ative Directory que são usados para autenticação. Você pode configurar exclusões para serem aplicadas quando regras específicas do WAF forem avaliadas ou para serem aplicadas globalmente à avaliação de todas as regras do WAF. As regras de exclusão aplicam-se a toda a sua aplicação Web. Para obter mais informações, consulte Web Application Firewall (WAF) com listas de exclusão do Application Gateway.

Por padrão, o DRS versão 2.1 / CRS versão 3.2 e superior usa pontuação de anomalia quando uma solicitação corresponde a uma regra. O CRS 3.1 e inferior bloqueia pedidos correspondentes por predefinição. Além disso, as regras personalizadas podem ser configuradas na mesma política WAF se você quiser ignorar qualquer uma das regras pré-configuradas no Conjunto de Regras Principais.

As regras personalizadas são sempre aplicadas antes que as regras no Conjunto de Regras Principais sejam avaliadas. Se uma solicitação corresponder a uma regra personalizada, a ação de regra correspondente será aplicada. A solicitação é bloqueada ou passada para o back-end. Nenhuma outra regra personalizada ou as regras no Conjunto de Regras Principais são processadas.

Pontuação de anomalias

Quando você usa CRS ou DRS 2.1 e posterior, seu WAF é configurado para usar pontuação de anomalia por padrão. O tráfego que corresponde a qualquer regra não é imediatamente bloqueado, mesmo quando o WAF está no modo de prevenção. Em vez disso, os conjuntos de regras OWASP definem uma gravidade para cada regra: Crítica, Erro, Aviso ou Aviso. A gravidade afeta um valor numérico para a solicitação, que é chamado de pontuação de anomalia:

Severidade da regra O valor contribuiu para a pontuação de anomalia
Crítico 5
Error 4
Aviso 3
Aviso 2

Se a pontuação de anomalia for igual ou superior a 5 e o WAF estiver no modo de Prevenção, a solicitação será bloqueada. Se a pontuação de anomalia for 5 ou superior e o WAF estiver no modo de Deteção, a solicitação será registrada, mas não bloqueada.

Por exemplo, uma única correspondência de regra crítica é suficiente para o WAF bloquear uma solicitação quando estiver no modo de prevenção, porque a pontuação geral de anomalia é 5. No entanto, uma correspondência de regra de aviso só aumenta a pontuação de anomalia em 3, o que não é suficiente por si só para bloquear o tráfego. Quando uma regra de anomalia é acionada, ela mostra uma ação "Correspondido" nos logs. Se a pontuação de anomalia for 5 ou maior, há uma regra separada acionada com a ação "Bloqueado" ou "Detetado", dependendo se a política WAF está no modo de Prevenção ou Deteção. Para obter mais informações, consulte Modo de pontuação de anomalias.

DRS 2,1

As regras do DRS 2.1 oferecem melhor proteção do que as versões anteriores do DRS. Ele inclui mais regras desenvolvidas pela equipe de Inteligência de Ameaças da Microsoft e atualizações de assinaturas para reduzir falsos positivos. Ele também suporta transformações além da decodificação de URL.

O DRS 2.1 inclui 17 grupos de regras, conforme mostrado na tabela a seguir. Cada grupo contém várias regras e você pode personalizar o comportamento para regras individuais, grupos de regras ou conjunto de regras inteiro.

Grupo de regras Description
General (Geral) Grupo geral
APLICAÇÃO DO MÉTODO Métodos de bloqueio (PUT, PATCH)
APLICAÇÃO DO PROTOCOLO Proteja-se contra problemas de protocolo e codificação
PROTOCOLO-ATAQUE Proteja-se contra injeção de cabeçalho, contrabando de solicitações e divisão de respostas
APLICAÇÃO-ATAQUE-LFI Proteja-se contra ataques de arquivos e caminhos
APLICAÇÃO-ATAQUE-RFI Proteja-se contra ataques de inclusão remota de arquivos (RFI)
APLICAÇÃO-ATAQUE-RCE Proteja novamente ataques de execução remota de código
APLICAÇÃO-ATTACK-PHP Proteja-se contra ataques de injeção de PHP
APLICAÇÃO-ATAQUE-NodeJS Proteja-se contra ataques JS de nó
APLICAÇÃO-ATTACK-XSS Proteja-se contra ataques de script entre sites
APPLICATION-ATTACK-SQLI Proteja-se contra ataques de injeção de SQL
APPLICATION-ATTACK-SESSION-FIXATION Proteja-se contra ataques de fixação de sessão
APLICAÇÃO-ATAQUE-SESSÃO-JAVA Proteja-se contra ataques JAVA
MS-ThreatIntel-WebShells Proteja-se contra ataques de shell da Web
MS-ThreatIntel-AppSec Proteja-se contra ataques AppSec
MS-ThreatIntel-SQLI Proteja-se contra ataques SQLI
MS-ThreatIntel-CVEs Proteja-se contra ataques CVE

OWASP CRS 3,2

O CRS 3.2 inclui 14 grupos de regras, conforme mostrado na tabela a seguir. Cada grupo contém várias regras, que podem ser desativadas. O conjunto de regras é baseado na versão OWASP CRS 3.2.0.

Nota

O CRS 3.2 só está disponível no WAF_v2 SKU. Como o CRS 3.2 é executado no novo mecanismo WAF do Azure, não é possível fazer o downgrade para o CRS 3.1 ou anterior. Se precisar fazer o downgrade, entre em contato com o Suporte do Azure.

Grupo de regras Description
General (Geral) Grupo geral
CVES CONHECIDO Ajuda a detetar CVEs novos e conhecidos
REQUEST-911-METHOD-ENFORCEMENT Métodos de bloqueio (PUT, PATCH)
REQUEST-913-SCANNER-DETECTION Proteja-se contra scanners de porta e ambiente
REQUEST-920-PROTOCOL-ENFORCEMENT Proteja-se contra problemas de protocolo e codificação
REQUEST-921-PROTOCOL-ATTACK Proteja-se contra injeção de cabeçalho, contrabando de solicitações e divisão de respostas
REQUEST-930-APPLICATION-ATTACK-LFI Proteja-se contra ataques de arquivos e caminhos
REQUEST-931-APPLICATION-ATTACK-RFI Proteja-se contra ataques de inclusão remota de arquivos (RFI)
REQUEST-932-APPLICATION-ATTACK-RCE Proteja novamente ataques de execução remota de código
REQUEST-933-APPLICATION-ATTACK-PHP Proteja-se contra ataques de injeção de PHP
REQUEST-941-APPLICATION-ATTACK-XSS Proteja-se contra ataques de script entre sites
REQUEST-942-APPLICATION-ATTACK-SQLI Proteja-se contra ataques de injeção de SQL
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Proteja-se contra ataques de fixação de sessão
REQUEST-944-APLICAÇÃO-ATAQUE-JAVA Proteja-se contra ataques JAVA

OWASP CRS 3,1

O CRS 3.1 inclui 14 grupos de regras, conforme mostrado na tabela a seguir. Cada grupo contém várias regras, que podem ser desativadas. O conjunto de regras é baseado na versão OWASP CRS 3.1.1.

Nota

O CRS 3.1 só está disponível no WAF_v2 SKU.

Grupo de regras Description
General (Geral) Grupo geral
CVES CONHECIDO Ajuda a detetar CVEs novos e conhecidos
REQUEST-911-METHOD-ENFORCEMENT Métodos de bloqueio (PUT, PATCH)
REQUEST-913-SCANNER-DETECTION Proteja-se contra scanners de porta e ambiente
REQUEST-920-PROTOCOL-ENFORCEMENT Proteja-se contra problemas de protocolo e codificação
REQUEST-921-PROTOCOL-ATTACK Proteja-se contra injeção de cabeçalho, contrabando de solicitações e divisão de respostas
REQUEST-930-APPLICATION-ATTACK-LFI Proteja-se contra ataques de arquivos e caminhos
REQUEST-931-APPLICATION-ATTACK-RFI Proteja-se contra ataques de inclusão remota de arquivos (RFI)
REQUEST-932-APPLICATION-ATTACK-RCE Proteja novamente ataques de execução remota de código
REQUEST-933-APPLICATION-ATTACK-PHP Proteja-se contra ataques de injeção de PHP
REQUEST-941-APPLICATION-ATTACK-XSS Proteja-se contra ataques de script entre sites
REQUEST-942-APPLICATION-ATTACK-SQLI Proteja-se contra ataques de injeção de SQL
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Proteja-se contra ataques de fixação de sessão
REQUEST-944-APPLICATION-ATTACK-SESSION-JAVA Proteja-se contra ataques JAVA

OWASP CRS 3,0

O CRS 3.0 inclui 13 grupos de regras, conforme mostrado na tabela a seguir. Cada grupo contém várias regras, que podem ser desativadas. O conjunto de regras é baseado na versão OWASP CRS 3.0.0.

Grupo de regras Description
General (Geral) Grupo geral
CVES CONHECIDO Ajuda a detetar CVEs novos e conhecidos
REQUEST-911-METHOD-ENFORCEMENT Métodos de bloqueio (PUT, PATCH)
REQUEST-913-SCANNER-DETECTION Proteja-se contra scanners de porta e ambiente
REQUEST-920-PROTOCOL-ENFORCEMENT Proteja-se contra problemas de protocolo e codificação
REQUEST-921-PROTOCOL-ATTACK Proteja-se contra injeção de cabeçalho, contrabando de solicitações e divisão de respostas
REQUEST-930-APPLICATION-ATTACK-LFI Proteja-se contra ataques de arquivos e caminhos
REQUEST-931-APPLICATION-ATTACK-RFI Proteja-se contra ataques de inclusão remota de arquivos (RFI)
REQUEST-932-APPLICATION-ATTACK-RCE Proteja novamente ataques de execução remota de código
REQUEST-933-APPLICATION-ATTACK-PHP Proteja-se contra ataques de injeção de PHP
REQUEST-941-APPLICATION-ATTACK-XSS Proteja-se contra ataques de script entre sites
REQUEST-942-APPLICATION-ATTACK-SQLI Proteja-se contra ataques de injeção de SQL
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Proteja-se contra ataques de fixação de sessão

OWASP CRS 2.2.9

O CRS 2.2.9 inclui 10 grupos de regras, conforme mostrado na tabela a seguir. Cada grupo contém várias regras, que podem ser desativadas.

Nota

O CRS 2.2.9 não é mais suportado para novas políticas WAF. Recomendamos que você atualize para a versão mais recente do CRS. O CRS 2.2.9 não pode ser usado junto com o CRS 3.2/DRS 2.1 e versões superiores.

Grupo de regras Description
crs_20_protocol_violations Proteja-se contra violações de protocolo (como caracteres inválidos ou um GET com um corpo de solicitação)
crs_21_protocol_anomalies Proteja-se contra informações de cabeçalho incorretas
crs_23_request_limits Proteja-se contra argumentos ou arquivos que excedam as limitações
crs_30_http_policy Proteja-se contra métodos, cabeçalhos e tipos de arquivo restritos
crs_35_bad_robots Proteja-se contra rastreadores da Web e scanners
crs_40_generic_attacks Proteja-se contra ataques genéricos (como fixação de sessão, inclusão remota de arquivos e injeção de PHP)
crs_41_sql_injection_attacks Proteja-se contra ataques de injeção de SQL
crs_41_xss_attacks Proteja-se contra ataques de script entre sites
crs_42_tight_security Proteja-se contra ataques de travessia de caminho
crs_45_trojans Proteja-se contra trojans backdoor

Regras do Bot

Você pode habilitar um conjunto de regras de proteção de bot gerenciado para executar ações personalizadas em solicitações de todas as categorias de bot.

Grupo de regras Description
BadBots Proteja-se contra bots maliciosos
GoodBots Identifique bons bots
DesconhecidoBots Identificar bots desconhecidos

Os seguintes grupos de regras e regras estão disponíveis ao usar o Web Application Firewall no Application Gateway.

2.1 Conjuntos de regras

Geral

RuleId Description
200002 Falha ao analisar o corpo da solicitação.
200003 O corpo da solicitação de várias partes falhou na validação estrita

APLICAÇÃO DO MÉTODO

RuleId Description
911100 O método não é permitido pela política

IMPOSIÇÃO DE PROTOCOLO

RuleId Description
920100 Linha de solicitação HTTP inválida
920120 Tentativa de desvio de várias partes/dados de formulário
920121 Tentativa de desvio de várias partes/dados de formulário
920160 O cabeçalho HTTP Content-Length não é numérico.
920170 Solicitação GET ou HEAD com conteúdo corporal.
920171 Solicitação GET ou HEAD com codificação de transferência.
920180 Solicitação POST ausente Content-Length Header.
920181 Os cabeçalhos Content-Length e Transfer-Encoding apresentam 99001003
920190 Intervalo: Valor do último byte inválido.
920200 Intervalo: Demasiados campos (6 ou mais)
920201 Intervalo: Demasiados campos para pedido pdf (35 ou mais)
920210 Dados de cabeçalho de conexão múltiplos/conflitantes encontrados.
920220 Tentativa de ataque de abuso de codificação de URL
920230 Codificação de URL múltipla detetada
920240 Tentativa de ataque de abuso de codificação de URL
920260 Tentativa de ataque de abuso de largura total/meia Unicode
920270 Caractere inválido na solicitação (caractere nulo)
920271 Caractere inválido na solicitação (caracteres não imprimíveis)
920280 Solicitação faltando um cabeçalho de host
920290 Cabeçalho de host vazio
920300 Solicitar falta um cabeçalho de aceitação
920310 A solicitação tem um cabeçalho de aceitação vazio
920311 A solicitação tem um cabeçalho de aceitação vazio
920320 Cabeçalho do agente de usuário ausente
920330 Cabeçalho vazio do agente do usuário
920340 Solicitação contendo conteúdo, mas faltando cabeçalho de tipo de conteúdo
920341 A solicitação que contém conteúdo requer o cabeçalho Content-Type
920350 O cabeçalho do host é um endereço IP numérico
920420 O tipo de conteúdo de solicitação não é permitido pela política
920430 A versão do protocolo HTTP não é permitida pela política
920440 A extensão de arquivo URL é restrita pela política
920450 O cabeçalho HTTP é restrito pela política
920470 Cabeçalho de tipo de conteúdo ilegal
920480 O charset do tipo de conteúdo de solicitação não é permitido pela política
920500 Tentar aceder a uma cópia de segurança ou a um ficheiro de trabalho

ATAQUE DE PROTOCOLO

RuleId Description
921110 Ataque de contrabando de solicitação HTTP
921120 Ataque de divisão de resposta HTTP
921130 Ataque de divisão de resposta HTTP
921140 Ataque de injeção de cabeçalho HTTP via cabeçalhos
921150 Ataque de injeção de cabeçalho HTTP via carga útil (CR/LF detetado)
921151 Ataque de injeção de cabeçalho HTTP via carga útil (CR/LF detetado)
921160 Ataque de injeção de cabeçalho HTTP via carga útil (CR/LF e nome do cabeçalho detetados)
921190 Divisão HTTP (CR/LF no nome do arquivo de solicitação detetado)
921200 Ataque de injeção LDAP

LFI – Inclusão de Ficheiro Local

RuleId Description
930100 Ataque de Travessia de Caminho (/.. /)
930110 Ataque de Travessia de Caminho (/.. /)
930120 Tentativa de acesso a ficheiros do SO
930130 Tentativa de acesso restrito a arquivos

RFI – Inclusão de Ficheiro Remoto

RuleId Description
931100 Possível ataque de inclusão remota de arquivos (RFI): parâmetro de URL usando endereço IP
931110 Possível ataque de inclusão remota de arquivos (RFI): nome de parâmetro vulnerável comum de RFI usado com carga útil de URL
931120 Possível ataque de inclusão remota de arquivos (RFI): carga útil de URL usada com caractere de ponto de interrogação à direita (?)
931130 Possível ataque de inclusão remota de arquivos (RFI): referência/link fora do domínio

RCE - Execução de Comandos Remotos

RuleId Description
932100 Execução de Comando Remoto: Unix Command Injection
932105 Execução de Comando Remoto: Unix Command Injection
932110 Execução remota de comando: Windows Command Injection
932115 Execução remota de comando: Windows Command Injection
932120 Execução de comando remoto: comando do Windows PowerShell encontrado
932130 Execução remota de comando: Vulnerabilidade de expressão ou confluência de shell Unix (CVE-2022-26134) encontrada
932140 Execução de comando remoto: Comando FOR/IF do Windows encontrado
932150 Execução de Comando Remoto: Execução Direta de Comandos Unix
932160 Execução de Comando Remoto: Código Unix Shell Encontrado
932170 Execução remota de comando: Shellshock (CVE-2014-6271)
932171 Execução remota de comando: Shellshock (CVE-2014-6271)
932180 Tentativa de carregamento de arquivo restrito

Ataques PHP

RuleId Description
933100 PHP Injection Attack: Tag de abertura/fechamento encontrada
933110 Ataque de injeção de PHP: Upload de arquivo de script PHP encontrado
933120 PHP Injection Attack: Diretiva de configuração encontrada
933130 Ataque de injeção de PHP: variáveis encontradas
933140 Ataque de injeção de PHP: fluxo de E/S encontrado
933150 Ataque de injeção de PHP: Nome da função PHP de alto risco encontrado
933151 Ataque de injeção de PHP: Nome da função PHP de médio risco encontrado
933160 Ataque de injeção de PHP: chamada de função PHP de alto risco encontrada
933170 Ataque de injeção de PHP: injeção de objeto serializado
933180 Ataque de injeção de PHP: chamada de função variável encontrada
933200 PHP Injection Attack: Esquema de wrapper detetado
933210 Ataque de injeção de PHP: chamada de função variável encontrada

Ataques JS de nó

RuleId Description
934100 Ataque de injeção .js nó

XSS – Scripting Entre Sites

RuleId Description
941100 Ataque XSS detetado via libinjection
941101 Ataque XSS detetado via libinjection.
Esta regra deteta solicitações com um cabeçalho Referer .
941110 Filtro XSS - Categoria 1: Vetor de tag de script
941120 Filtro XSS - Categoria 2: Vetor do manipulador de eventos
941130 Filtro XSS - Categoria 3: Vetor de atributo
941140 Filtro XSS - Categoria 4: Vetor URI JavaScript
941150 Filtro XSS - Categoria 5: Atributos HTML não permitidos
941160 NoScript XSS InjectionChecker: Injeção de HTML
941170 NoScript XSS InjectionChecker: Injeção de atributos
941180 Palavras-chave da lista de bloqueio do validador de nós
941190 XSS Usando folhas de estilo
941200 XSS usando quadros VML
941210 XSS usando JavaScript ofuscado
941220 XSS usando script VB ofuscado
941230 XSS usando a tag 'embed'
941240 XSS usando o atributo 'import' ou 'implementation'
941250 Filtros XSS do IE - Ataque detetado.
941260 XSS usando a tag 'meta'
941270 XSS usando 'link' href
941280 XSS usando a tag 'base'
941290 XSS usando a tag 'applet'
941300 XSS usando a tag 'object'
941310 US-ASCII Malformed Encoding XSS Filter - Ataque detetado.
941320 Possível ataque XSS detetado - manipulador de tags HTML
941330 Filtros XSS do IE - Ataque detetado.
941340 Filtros XSS do IE - Ataque detetado.
941350 Codificação UTF-7 IE XSS - Ataque detetado.
941360 Ofuscação de JavaScript detetada.
941370 Variável global JavaScript encontrada
941380 Injeção de modelo do lado do cliente AngularJS detetada

SQLI - Injeção de SQL

RuleId Description
942100 Ataque de injeção de SQL detetado via libinjection
942110 Ataque de injeção de SQL: teste de injeção comum detetado
942120 Ataque de injeção de SQL: operador SQL detetado
942140 Ataque de injeção de SQL: nomes comuns de banco de dados detetados
942150 Ataque de Injeção do SQL
942160 Deteta testes sqli cegos usando sleep() ou benchmark().
942170 Deteta benchmark SQL e tentativas de injeção de suspensão, incluindo consultas condicionais
942180 Deteta tentativas básicas de desvio de autenticação SQL 1/3
942190 Deteta a execução de código MSSQL e tentativas de coleta de informações
942200 Deteta injeções ofuscadas de comentário/espaço do MySQL e terminação de backtick
942210 Deteta tentativas de injeção de SQL encadeadas 1/2
942220 Procurando por ataques de estouro de inteiros, estes são retirados de skipfish, exceto 3.0.00738585072007e-308 é o "número mágico" falha
942230 Deteta tentativas condicionais de injeção de SQL
942240 Deteta o switch charset MySQL e tentativas de DoS MSSQL
942250 Deteta MATCH CONTRA, MERGE e EXECUTE injeções IMEDIATAS
942260 Deteta tentativas básicas de desvio de autenticação SQL 2/3
942270 Procurando por injeção de sql básica. String de ataque comum para mysql, oracle e outros.
942280 Deteta a injeção de pg_sleep Postgres, aguarda ataques de atraso e tentativas de desligamento do banco de dados
942290 Localiza tentativas básicas de injeção de SQL do MongoDB
942300 Deteta comentários, condições e injeções de ch(a)r do MySQL
942310 Deteta tentativas encadeadas de injeção de SQL 2/2
942320 Deteta injeções de procedimento armazenado/função MySQL e PostgreSQL
942330 Deteta sondagens clássicas de injeção de SQL 1/2
942340 Deteta tentativas básicas de desvio de autenticação SQL 3/3
942350 Deteta a injeção de UDF do MySQL e outras tentativas de manipulação de dados/estrutura
942360 Deteta injeção básica concatenada de SQL e tentativas de SQLLFI
942361 Deteta a injeção básica de SQL com base na alteração ou união de palavras-chave
942370 Deteta sondagens clássicas de injeção de SQL 2/2
942380 Ataque de Injeção do SQL
942390 Ataque de Injeção do SQL
942400 Ataque de Injeção do SQL
942410 Ataque de Injeção do SQL
942430 Deteção de anomalia de caracteres SQL restritos (args): # de caracteres especiais excedidos (12)
942440 Sequência de comentários SQL detetada
942450 Codificação SQL Hex Identificada
942460 Alerta de Deteção de Anomalia de Meta-Caractere - Caracteres repetitivos que não são do Word
942470 Ataque de Injeção do SQL
942480 Ataque de Injeção do SQL
942500 Comentário in-line MySQL detetado.
942510 Tentativa de desvio SQLi por ticks ou backticks detetados.

FIXAÇÃO DE SESSÃO

RuleId Description
943100 Possível ataque de fixação de sessão: definindo valores de cookie em HTML
943110 Possível ataque de fixação de sessão: nome do parâmetro SessionID com referenciador fora do domínio
943120 Possível ataque de fixação de sessão: nome do parâmetro SessionID sem referenciador

Ataques JAVA

RuleId Description
944100 Execução remota de comandos: Apache Struts, Oracle WebLogic
944110 Deteta a execução potencial de carga útil
944120 Possível execução de carga útil e execução remota de comandos
944130 Classes Java suspeitas
944200 Exploração da desserialização Java Apache Commons
944210 Possível uso da serialização Java
944240 Execução remota de comando: serialização Java e vulnerabilidade Log4j (CVE-2021-44228, CVE-2021-45046)
944250 Execução remota de comando: método Java suspeito detetado

MS-ThreatIntel-WebShells

RuleId Description
99005002 Tentativa de interação do Web Shell (POST)
99005003 Tentativa de Upload do Web Shell (POST) - CHOPPER PHP
99005004 Tentativa de carregamento do Web Shell (POST) - CHOPPER ASPX
99005005 Tentativa de interação do Web Shell
99005006 Tentativa de interação Spring4Shell

MS-ThreatIntel-AppSec

RuleId Description
99030001 Evasão transversal de caminho em cabeçalhos (/.. /./.. /)
99030002 Evasão Transversal de Caminho no Corpo de Solicitação (/.. /./.. /)

MS-ThreatIntel-SQLI

RuleId Description
99031001 Ataque de injeção de SQL: teste de injeção comum detetado
99031002 Sequência de comentários SQL detetada.
99031003 Ataque de Injeção do SQL
99031004 Deteta tentativas básicas de desvio de autenticação SQL 2/3

MS-ThreatIntel-CVEs

RuleId Description
99001001 Tentativa de exploração da API REST F5 tmui (CVE-2020-5902) com credenciais conhecidas
99001002 Tentativa de travessia do diretório Citrix NSC_USER CVE-2019-19781
99001003 Tentativa de exploração do Atlassian Confluence Widget Connector CVE-2019-3396
99001004 Tentativa de exploração de modelo personalizado do Pulse Secure CVE-2020-8243
99001005 Tentativa de exploração do conversor de tipo do SharePoint CVE-2020-0932
99001006 Tentativa de passagem do diretório Pulse Connect CVE-2019-11510
99001007 Tentativa de inclusão de arquivo local Junos OS J-Web CVE-2020-1631
99001008 Tentativa de travessia do caminho Fortinet CVE-2018-13379
99001009 Tentativa de injeção de Apache struts ognl CVE-2017-5638
99001010 Tentativa de injeção de ognl no Apache struts CVE-2017-12611
99001011 Tentativa de travessia do caminho Oracle WebLogic CVE-2020-14882
99001012 Tentativa de exploração de desserialização insegura Telerik WebUI CVE-2019-18935
99001013 Tentativa de desserialização XML não segura do SharePoint CVE-2019-0604
99001014 Tentativa de injeção de expressão de roteamento do Spring Cloud CVE-2022-22963
99001015 Tentativa de exploração de objeto de classe não segura do Spring Framework CVE-2022-22965
99001016 Tentativa de injeção do Spring Cloud Gateway Actuator CVE-2022-22947
99001017* Tentativa de exploração de upload do arquivo Apache Struts CVE-2023-50164

*A ação desta regra é definida como log por padrão. Defina a ação como Bloquear para prevenir contra a vulnerabilidade do Apache Struts. Pontuação de anomalia não suportada para esta regra.

Nota

Ao rever os registos do WAF, poderá ver o ID da regra 949110. A descrição da regra pode incluir Inbound Anomaly Score Exceeded.

Esta regra indica que a pontuação total de anomalia para o pedido excedeu a pontuação máxima permitida. Para obter mais informações, consulte Pontuação de anomalias.

Próximos passos