قواعد ومجموعات قواعد Web Application Firewall DRS

يحمي Azure Web Application Firewall على Azure Front Door تطبيقات الويب من الثغرات الأمنية والمآثر الشائعة. توفر مجموعات القواعد المدارة من Azure طريقة سهلة لتوزيع الحماية ضد مجموعة مشتركة من تهديدات الأمان. نظرا لأن Azure يدير مجموعات القواعد هذه، يتم تحديث القواعد حسب الحاجة للحماية من توقيعات الهجوم الجديدة.

تتضمن مجموعة القواعد الافتراضية (DRS) أيضا قواعد Microsoft Threat Intelligence Collection المكتوبة بالشراكة مع فريق Microsoft Intelligence لتوفير تغطية متزايدة وتصحيحات لثغرات أمنية معينة وتقليل إيجابي خاطئ أفضل.

إشعار

عند تغيير إصدار مجموعة القواعد في نهج WAF، ستتم إعادة تعيين أي تخصيصات موجودة أجريتها على مجموعة القواعد إلى الإعدادات الافتراضية لمجموعة القواعد الجديدة. راجع: ترقية إصدار مجموعة القواعد أو تغييره.

مجموعة القواعد الافتراضية

يتضمن DRS المدار من Azure قواعد مقابل فئات التهديد التالية:

  • البرمجة النصية للمواقع المشتركة
  • هجمات Java
  • تضمين الملف المحلي
  • هجوم عن طريق الحقن بـ PHP
  • تنفيذ الأوامر عن بعد
  • تضمين الملف البعيد
  • معالجة الجلسة
  • حماية حقن SQL
  • هجمات البروتوكول

يتزايد رقم إصدار DRS عند إضافة تواقيع هجوم جديدة إلى مجموعة القواعد.

يتم تمكين DRS بشكلٍ افتراضي في وضع الكشف في نهج WAF. يمكنك تعطيل أو تمكين القواعد الفردية داخل DRS لتلبية متطلبات التطبيق الخاص بك. يمكنك أيضًا تعيين إجراءات معينة لكل قاعدة. الإجراءات المتوفرة هي السماح والكتلة والسجل وإعادة التوجيه.

في بعض الأحيان قد تحتاج إلى حذف سمات طلب معينة من تقييم جدار حماية تطبيق الويب (WAF). على سبيل المثال، يدرج Active Directory الرموز المميزة المستخدَمة للمصادقة. يمكنك تكوين قائمة استثناء لقاعدة مدارة أو مجموعة قواعد أو مجموعة القواعد بأكملها. لمزيد من المعلومات، راجع Azure Web Application Firewall على قوائم استبعاد Azure Front Door.

بشكل افتراضي، تستخدم إصدارات DRS 2.0 والإصدارات الأحدث تسجيل الشذوذ عندما يتطابق الطلب مع قاعدة. إصدارات DRS الأقدم من 2.0 حظر الطلبات التي تؤدي إلى تشغيل القواعد. أيضا، يمكن تكوين القواعد المخصصة في نفس نهج WAF إذا كنت تريد تجاوز أي من القواعد التي تم تكوينها مسبقا في DRS.

يتم تطبيق القواعد المخصصة دائما قبل تقييم القواعد في DRS. إذا تطابق الطلب مع قاعدة مخصصة، يتم تطبيق إجراء القاعدة المقابلة. يتم حظر الطلب أو تمريره إلى النهاية الخلفية. لا تتم معالجة أي قواعد مخصصة أخرى أو القواعد في DRS. يمكنك أيضا إزالة DRS من نهج WAF.

قواعد Microsoft Threat Intelligence Collection

قواعد Microsoft Threat Intelligence Collection مكتوبة بالشراكة مع فريق Microsoft Threat Intelligence لتوفير زيادة التغطية وتصحيحات لثغرات أمنية محددة وتقليل إيجابي خاطئ أفضل.

بشكل افتراضي، تحل قواعد Microsoft Threat Intelligence Collection محل بعض قواعد DRS المضمنة، مما يؤدي إلى تعطيلها. على سبيل المثال، تم تعطيل معرف القاعدة 942440، تم الكشف عن تسلسل تعليق SQL، واستبداله بقاعدة Microsoft Threat Intelligence Collection 99031002. تقلل القاعدة التي تم استبدالها من مخاطر الاكتشافات الإيجابية الخاطئة من الطلبات المشروعة.

تسجيل الشذوذ

عند استخدام DRS 2.0 أو أحدث، يستخدم WAF قياس الأمور الخارجة عن المألوف. لا يتم حظر نسبة استخدام الشبكة التي تطابق أي قاعدة على الفور، حتى عندما يكون WAF في وضع الوقاية. بدلًا من ذلك، تحدد مجموعات قواعد OWASP خطورة لكل قاعدة: حرج أو خطأ أو تحذير أو إشعار. تؤثر الخطورة على قيمة رقمية للطلب، والتي تسمى درجة الشذوذ. إذا تراكم طلب درجة شذوذ من 5 أو أكثر، فإن WAF يتخذ إجراء على الطلب.

خطورة القاعدة ساهمت القيمة في الأمور الخارجة عن المألوف
هام 5
خطأ 4
تحذير 3
إشعار 2

عند تكوين WAF الخاص بك، يمكنك تحديد كيفية معالجة WAF للطلبات التي تتجاوز حد درجة الشذوذ البالغ 5. خيارات إجراء درجة الشذوذ الثلاثة هي الحظر أو السجل أو إعادة التوجيه. يتم تطبيق إجراء درجة الشذوذ الذي تحدده في وقت التكوين على جميع الطلبات التي تتجاوز حد درجة الشذوذ.

على سبيل المثال، إذا كانت درجة الشذوذ 5 أو أكثر بناء على طلب، وكان WAF في وضع الوقاية مع تعيين إجراء درجة الشذوذ إلى حظر، يتم حظر الطلب. إذا كانت درجة الشذوذ 5 أو أكثر بناء على طلب، وكان WAF في وضع الكشف، يتم تسجيل الطلب ولكن لم يتم حظره.

مطابقة قاعدة حرجة واحدة كافية ل WAF لحظر طلب عندما تكون في وضع الوقاية مع تعيين إجراء درجة الشذوذ إلى حظر لأن درجة الشذوذ الإجمالية هي 5. رغم ذلك، تطابق قاعدة تحذير واحدة يزيد فقط من قياس الأمور الخارجة عن المألوف بمقدار 3، وهو أمر غير كافٍ في حد ذاته لمنع نسبة استخدام الشبكة. عند تشغيل قاعدة شاذة، فإنها تعرض إجراء "متطابق" في السجلات. إذا كانت درجة الشذوذ 5 أو أكبر، يتم تشغيل قاعدة منفصلة مع إجراء درجة الشذوذ المكون لمجموعة القواعد. إجراء درجة الشذوذ الافتراضي هو Block، ما يؤدي إلى إدخال سجل مع الإجراء blocked.

عندما يستخدم WAF إصدارا قديما من مجموعة القواعد الافتراضية (قبل DRS 2.0)، يتم تشغيل WAF الخاص بك في الوضع التقليدي. تعتبر نسبة استخدام الشبكة التي تطابق أي قاعدة بشكلٍ مستقل عن أي تطابقات أخرى للقاعدة. في الوضع التقليدي، ليس لديك رؤية في المجموعة الكاملة من القواعد التي تطابقها طلب معين.

يحدد إصدار DRS الذي تستخدمه أيضًا أنواع المحتويات المدعومة لفحص نص الطلب. لمزيد من المعلومات، راجع ما أنواع المحتوى التي يدعمها WAF؟ في قسم الأسئلة المتداولة.

ترقية إصدار مجموعة القواعد أو تغييره

إذا كنت تقوم بالترقية أو تعيين إصدار مجموعة قواعد جديد، وترغب في الاحتفاظ بتجاوزات القواعد والاستثناءات الموجودة، فمن المستحسن استخدام PowerShell أو CLI أو REST API أو قوالب لإجراء تغييرات على إصدار مجموعة القواعد. يمكن أن يحتوي الإصدار الجديد من مجموعة القواعد على قواعد أحدث ومجموعات قواعد إضافية، وقد يحتوي على تحديثات للتواقيع الموجودة لفرض أمان أفضل وتقليل الإيجابيات الزائفة. يوصى بالتحقق من صحة التغييرات في بيئة اختبار، وضبطها إذا لزم الأمر، ثم نشرها في بيئة إنتاج.

إشعار

إذا كنت تستخدم مدخل Microsoft Azure لتعيين مجموعة قواعد مدارة جديدة إلى نهج WAF، إعادة تعيين جميع التخصيصات السابقة من مجموعة القواعد المدارة الحالية مثل حالة القاعدة وإجراءات القاعدة واستبعادات مستوى القاعدة إلى الإعدادات الافتراضية لإدارة مجموعة القواعد الجديدة. ومع ذلك، ستظل أي قواعد مخصصة أو إعدادات نهج غير متأثرة أثناء تعيين مجموعة القواعد الجديدة. ستحتاج إلى إعادة تعريف تجاوزات القواعد والتحقق من صحة التغييرات قبل النشر في بيئة إنتاج.

DRS 2.1

توفر قواعد DRS 2.1 حماية أفضل من الإصدارات السابقة من DRS. ويتضمن قواعد أخرى تم تطويرها من قبل فريق التحليل الذكي للمخاطر من Microsoft وتحديثات للتواقيع لتقليل الإيجابيات الزائفة. كما أنه يدعم التحويلات التي تتجاوز مجرد فك ترميز URL.

يتضمن DRS 2.1 17 مجموعة قواعد، كما هو موضح في الجدول التالي. تحتوي كل مجموعة على قواعد متعددة، ويمكنك تخصيص سلوك القواعد الفردية أو مجموعات القواعد أو مجموعة القواعد بأكملها. تم وضع DRS 2.1 على أساس مجموعة القواعد الأساسية لمشروع أمان تطبيقات الويب المفتوح (OWASP) (CRS) 3.3.2 ويتضمن قواعد حماية إضافية خاصة تم تطويرها بواسطة فريق التحليل الذكي للمخاطر من Microsoft.

لمزيد من المعلومات، راجع ضبط Web Application Firewall (WAF) لـ Azure Front Door.

إشعار

يتوفر DRS 2.1 فقط على Azure Front Door Premium.

مجموعة القواعد اسم مجموعة القواعد ‏‏الوصف
عام عام المجموعة العامة
METHOD-ENFORCEMENT METHOD-ENFORCEMENT أساليب التأمين (PUT، PATCH)
PROTOCOL-ENFORCEMENT PROTOCOL-ENFORCEMENT الحماية من مشكلات البروتوكول والترميز
PROTOCOL-ATTACK PROTOCOL-ATTACK الحماية من إدخال الرأس وتهريب الطلب وتقسيم الاستجابة
APPLICATION-ATTACK-LFI LFI الحماية من هجمات الملفات والمسار
APPLICATION-ATTACK-RFI RFI الحماية من هجمات تضمين الملفات عن بُعد (RFI)
APPLICATION-ATTACK-RCE RCE الحماية من هجمات تنفيذ التعليمات البرمجية عن بعد مرة أخرى
APPLICATION-ATTACK-PHP PHP الحماية من هجمات حقن PHP
APPLICATION-ATTACK-NodeJS NODEJS الحماية من هجمات Node JS
APPLICATION-ATTACK-XSS XSS الحماية من هجمات البرمجة النصية عبر المواقع
APPLICATION-ATTACK-SQLI SQLI الحماية من هجمات إدخال SQL
APPLICATION-ATTACK-SESSION-FIXATION ضبط الحماية من هجمات إصلاح الجلسة
APPLICATION-ATTACK-SESSION-JAVA JAVA الحماية من هجمات JAVA
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells الحماية من هجمات Web shell
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec الحماية من هجمات AppSec
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI الحماية من هجمات SQLI
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs الحماية من هجمات CVE

القواعد المعطلة

يتم تعطيل القواعد التالية بشكل افتراضي ل DRS 2.1.

معرف ID القاعدة مجموعة القواعد ‏‏الوصف التفاصيل
942110 SQLI هجوم إدخال SQL: تم الكشف عن اختبار الإدخال الشائع تم استبداله بقاعدة MSTIC 99031001
942150 SQLI هجوم إدخال SQL تم استبداله 99031003 قاعدة MSTIC
942260 SQLI الكشف عن محاولات تجاوز مصادقة SQL الأساسية 2/3 تم استبداله 99031004 قاعدة MSTIC
942430 SQLI الكشف المقيّد عن أخطاء SQL في الأحرف (args): تم تجاوز # من عدد الأحرف الخاصة (12) الكثير من الإيجابيات الخاطئة
942440 SQLI تم الكشف عن تسلسل تعليق SQL تم استبداله بقاعدة MSTIC 99031002
99005006 MS-ThreatIntel-WebShells محاولة تفاعل Spring4Shell تمكين القاعدة لمنع الثغرة الأمنية في SpringShell
99001014 MS-ThreatIntel-CVEs محاولة حقن تعبير توجيه Spring Cloud CVE-2022-22963 تمكين القاعدة لمنع الثغرة الأمنية في SpringShell
99001015 MS-ThreatIntel-WebShells محاولة استغلال عنصر فئة Spring Framework غير الآمن CVE-2022-22965 تمكين القاعدة لمنع الثغرة الأمنية في SpringShell
99001016 MS-ThreatIntel-WebShells محاولة حقن Spring Cloud Gateway Actuator CVE-2022-22947 تمكين القاعدة لمنع الثغرة الأمنية في SpringShell
99001017 MS-ThreatIntel-CVEs محاولة استغلال تحميل ملف Apache Struts CVE-2023-50164. تمكين القاعدة لمنع عدم حصانة Apache Struts

DRS 2.0

توفر قواعد DRS 2.0 حماية أفضل من الإصدارات السابقة من DRS. يدعم DRS 2.0 أيضا التحويلات التي تتجاوز مجرد فك ترميز URL.

يتضمن DRS 2.0 عدد 17 مجموعة قواعد، كما هو موضح في الجدول التالي. تحتوي كل مجموعة على قواعد متعددة. يمكنك تعطيل القواعد الفردية ومجموعات القواعد بأكملها.

إشعار

يتوفر DRS 2.0 فقط على Azure Front Door Premium.

مجموعة القواعد اسم مجموعة القواعد ‏‏الوصف
عام عام المجموعة العامة
METHOD-ENFORCEMENT METHOD-ENFORCEMENT أساليب التأمين (PUT، PATCH)
PROTOCOL-ENFORCEMENT PROTOCOL-ENFORCEMENT الحماية من مشكلات البروتوكول والترميز
PROTOCOL-ATTACK PROTOCOL-ATTACK الحماية من إدخال الرأس وتهريب الطلب وتقسيم الاستجابة
APPLICATION-ATTACK-LFI LFI الحماية من هجمات الملفات والمسار
APPLICATION-ATTACK-RFI RFI الحماية من هجمات تضمين الملفات عن بُعد (RFI)
APPLICATION-ATTACK-RCE RCE الحماية من هجمات تنفيذ التعليمات البرمجية عن بعد مرة أخرى
APPLICATION-ATTACK-PHP PHP الحماية من هجمات حقن PHP
APPLICATION-ATTACK-NodeJS NODEJS الحماية من هجمات Node JS
APPLICATION-ATTACK-XSS XSS الحماية من هجمات البرمجة النصية عبر المواقع
APPLICATION-ATTACK-SQLI SQLI الحماية من هجمات إدخال SQL
APPLICATION-ATTACK-SESSION-FIXATION ضبط الحماية من هجمات إصلاح الجلسة
APPLICATION-ATTACK-SESSION-JAVA JAVA الحماية من هجمات JAVA
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells الحماية من هجمات Web shell
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec الحماية من هجمات AppSec
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI الحماية من هجمات SQLI
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs الحماية من هجمات CVE

DRS 1.1

مجموعة القواعد اسم مجموعة القواعد ‏‏الوصف
PROTOCOL-ATTACK PROTOCOL-ATTACK الحماية من إدخال الرأس وتهريب الطلب وتقسيم الاستجابة
APPLICATION-ATTACK-LFI LFI الحماية من هجمات الملفات والمسار
APPLICATION-ATTACK-RFI RFI الحماية من هجمات تضمين الملفات عن بعد
APPLICATION-ATTACK-RCE RCE الحماية من تنفيذ الأوامر عن بعد
APPLICATION-ATTACK-PHP PHP الحماية من هجمات حقن PHP
APPLICATION-ATTACK-XSS XSS الحماية من هجمات البرمجة النصية عبر المواقع
APPLICATION-ATTACK-SQLI SQLI الحماية من هجمات إدخال SQL
APPLICATION-ATTACK-SESSION-FIXATION ضبط الحماية من هجمات إصلاح الجلسة
APPLICATION-ATTACK-SESSION-JAVA JAVA الحماية من هجمات JAVA
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells الحماية من هجمات Web shell
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec الحماية من هجمات AppSec
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI الحماية من هجمات SQLI
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs الحماية من هجمات CVE

DRS 1.0

مجموعة القواعد اسم مجموعة القواعد ‏‏الوصف
PROTOCOL-ATTACK PROTOCOL-ATTACK الحماية من إدخال الرأس وتهريب الطلب وتقسيم الاستجابة
APPLICATION-ATTACK-LFI LFI الحماية من هجمات الملفات والمسار
APPLICATION-ATTACK-RFI RFI الحماية من هجمات تضمين الملفات عن بعد
APPLICATION-ATTACK-RCE RCE الحماية من تنفيذ الأوامر عن بعد
APPLICATION-ATTACK-PHP PHP الحماية من هجمات حقن PHP
APPLICATION-ATTACK-XSS XSS الحماية من هجمات البرمجة النصية عبر المواقع
APPLICATION-ATTACK-SQLI SQLI الحماية من هجمات إدخال SQL
APPLICATION-ATTACK-SESSION-FIXATION ضبط الحماية من هجمات إصلاح الجلسة
APPLICATION-ATTACK-SESSION-JAVA JAVA الحماية من هجمات JAVA
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells الحماية من هجمات Web shell
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs الحماية من هجمات CVE

Bot Manager 1.0

توفر مجموعة قواعد Bot Manager 1.0 الحماية من الروبوتات الضارة والكشف عن الروبوتات الجيدة. توفر القواعد تحكما دقيقا في الروبوتات التي تم اكتشافها بواسطة WAF عن طريق تصنيف نسبة استخدام الشبكة للروبوت على أنها روبوتات جيدة أو سيئة أو غير معروفة.

مجموعة القواعد ‏‏الوصف
BadBots الحماية من الدردشات الآلية السيئة
GoodBots تحديد الدردشات الآلية الجيدة
UnknownBots تحديد الدردشات الآلية غير المعروفة

Bot Manager 1.1

تعد مجموعة قواعد Bot Manager 1.1 تحسينا لمجموعة قواعد Bot Manager 1.0. يوفر حماية محسنة ضد الروبوتات الضارة، ويزيد من اكتشاف الروبوت الجيد.

مجموعة القواعد ‏‏الوصف
BadBots الحماية من الدردشات الآلية السيئة
GoodBots تحديد الدردشات الآلية الجيدة
UnknownBots تحديد الدردشات الآلية غير المعروفة

تتوفر مجموعات القواعد والقواعد التالية عند استخدام Azure Web Application Firewall على Azure Front Door.

مجموعات قواعد 2.1

عام

معرّف القاعدة ‏‏الوصف
200002 فشل تحليل نص الطلب
200003 فشل نص الطلب متعدد الأحزاب في التحقق الصارم من الصحة

إنفاذ الأسلوب

معرّف القاعدة ‏‏الوصف
911100 الأسلوب غير مسموح به من قبل النهج

فرض البروتوكول

معرّف القاعدة ‏‏الوصف
920100 سطر طلب HTTP غير صحيح.
920120 محاولة تجاوز متعدد الأحزاب/بيانات النموذج.
920121 محاولة تجاوز متعدد الأحزاب/بيانات النموذج.
920160 رأس HTTP طول المحتوى غير رقمي.
920170 طلب GET أو HEAD مع محتوى النص.
920171 طلب GET أو HEAD مع ترميز النقل.
920180 يفتقد طلب POST رأس طول المحتوى.
920181 تعرض رؤوس طول المحتوى وترميز النقل 99001003.
920190 النطاق: قيمة البايت الأخير غير صحيحة.
920200 النطاق: عدد كبير جدا من الحقول (6 أو أكثر).
920201 النطاق: عدد كبير جدا من الحقول لطلب pdf (35 أو أكثر).
920210 تم العثور على بيانات رأس اتصال متعددة/متعارضة.
920220 محاولة هجوم إساءة ترميز URL.
920230 تم الكشف عن ترميز URL متعدد.
920240 محاولة هجوم إساءة ترميز URL.
920260 محاولة هجوم إساءة عرض Unicode بالكامل/نصف العرض.
920270 حرف غير صحيح في الطلب (حرف فارغ).
920271 حرف غير صحيح في الطلب (أحرف غير قابلة للطباعة).
920280 طلب فقدان رأس مضيف.
920290 رأس المضيف الفارغ.
920300 طلب عنوان قبول مفقود.
920310 يحتوي الطلب على رأس قبول فارغ.
920311 يحتوي الطلب على رأس قبول فارغ.
920320 عنوان عامل المستخدم المفقود.
920330 رأس عامل المستخدم الفارغ.
920340 طلب يحتوي على محتوى، ولكن رأس نوع المحتوى مفقود.
920341 يتطلب الطلب الذي يحتوي على محتوى رأس نوع المحتوى.
920350 عنوان المضيف هو عنوان IP رقمي.
920420 لا يسمح النهج بنوع محتوى الطلب.
920430 لا يسمح النهج بإصدار بروتوكول HTTP.
920440 يتم تقييد ملحق ملف URL بواسطة النهج.
920450 يتم تقييد رأس HTTP بواسطة النهج.
920470 رأس نوع المحتوى غير صحيح.
920480 طلب مجموعة نوع المحتوى غير مسموح به من قبل النهج.
920500 محاولة الوصول إلى نسخة احتياطية أو ملف عمل.

هجوم البروتوكول

معرّف القاعدة ‏‏الوصف
921110 هجوم تهريب لطلب HTTP
921120 هجوم تقسيم لاستجابة HTTP
921130 هجوم تقسيم لاستجابة HTTP
921140 هجوم إدخال رأس HTTP عبر الرؤوس
921150 هجوم إدخال رأس HTTP عبر البيانات الأساسية (تم الكشف عن CR/LF)
921151 هجوم إدخال رأس HTTP عبر البيانات الأساسية (تم الكشف عن CR/LF)
921160 هجوم إدخال عنوان HTTP عبر البيانات الأساسية (تم الكشف عن CR/LF واسم العنوان)
921190 تقسيم HTTP (تم الكشف عن CR/LF في اسم ملف الطلب)
921200 هجوم إدخال PHP

LFI: تضمين الملف المحلي

معرّف القاعدة ‏‏الوصف
930100 هجوم اجتياز المسار (/../)
930110 هجوم اجتياز المسار (/../)
930120 محاولة الوصول إلى ملف نظام التشغيل
930130 محاولة الوصول المقيد إلى الملفات

RFI: تضمين الملف عن بعد

معرّف القاعدة ‏‏الوصف
931100 هجوم تضمين الملفات عن بعد (RFI) المحتمل: معلمة URL باستخدام عنوان IP
931110 الهجوم المحتمل لتضمين الملفات عن بُعد (RFI): اسم المعلمة الضعيفة الشائع لـ RFI المستخدم مع بيانات URL الأساسية
931120 الهجوم المحتمل لتضمين الملفات عن بُعد (RFI): بيانات URL الأساسية المستخدمة مع لاحقة حرف علامة الاستفهام (؟)
931130 الهجوم المحتمل لتضمين الملفات عن بعد (RFI): ارتباط/مرجع خارج المجال

RCE: تنفيذ الأمر عن بعد

معرّف القاعدة ‏‏الوصف
932100 تنفيذ الأمر عن بُعد: إدخال أمر Unix
932105 تنفيذ الأمر عن بُعد: إدخال أمر Unix
932110 تنفيذ الأمر عن بُعد: إدخال أمر Windows
932115 تنفيذ الأمر عن بُعد: إدخال أمر Windows
932120 تنفيذ الأمر عن بُعد: تم العثور على أمر Windows PowerShell
932130 تنفيذ الأمر عن بُعد: تم العثور على Unix Shell Expression أو Confluence Vulnerability (CVE-2022-26134)
932140 تنفيذ الأمر عن بُعد: تم العثور على أمر Windows FOR/IF
932150 تنفيذ الأمر عن بُعد: تنفيذ أمر Unix المباشر
932160 تنفيذ الأمر عن بُعد: تم العثور على تعليمات Unix Shell البرمجية
932170 تنفيذ الأوامر عن بعد: Shellshock (CVE-2014-6271)
932171 تنفيذ الأوامر عن بعد: Shellshock (CVE-2014-6271)
932180 محاولة تحميل ملف مقيد

هجمات PHP

معرّف القاعدة ‏‏الوصف
933100 هجوم إدخال PHP: تم العثور على علامة الفتح/الإغلاق
933110 هجوم إدخال PHP: تم العثور على تحميل ملف البرنامج النصي PHP
933120 هجوم إدخال PHP: تم العثور على توجيه التكوين
933130 هجوم حقن PHP: تم العثور على المتغيرات
933140 هجوم إدخال PHP: تم العثور على بث الإدخال/الإخراج
933150 هجوم إدخال PHP: تم العثور على اسم الدالة PHP عالية الخطورة
933151 هجوم إدخال PHP: تم العثور على اسم الدالة PHP متوسطة الخطورة
933160 هجوم حقن PHP: تم العثور على استدعاء الدالة PHP عالية الخطورة
933170 هجوم إدخال PHP: إدخال الكائن التسلسلي
933180 هجوم حقن PHP: تم العثور على استدعاء الدالة المتغيرة
933200 هجوم إدخال PHP: تم الكشف عن مخطط برنامج التضمين
933210 هجوم حقن PHP: تم العثور على استدعاء الدالة المتغيرة

هجمات عقدة JS

معرّف القاعدة ‏‏الوصف
934100 هجوم حقن Node.js

XSS: البرمجة النصية عبر المواقع

معرّف القاعدة ‏‏الوصف
941100 تم الكشف عن هجوم XSS عبر libinjection
941101 تم الكشف عن هجوم XSS عبر libinjection
تكتشف القاعدة الطلبات ذات Referer الرأس
941110 عامل تصفية XSS - الفئة 1: متجه علامة البرنامج النصي
941120 عامل تصفية XSS - الفئة 2: متجه معالج الأحداث
941130 عامل تصفية XSS - الفئة 3: متجه السمة
941140 عامل تصفية XSS - الفئة 4: متجه JavaScript URI
941150 عامل تصفية XSS - الفئة 5: سمات HTML غير المسموح بها
941160 NoScript XSS InjectionChecker: إدخال HTML
941170 NoScript XSS InjectionChecker: إدخال السمة
941180 الكلمات الأساسية لقائمة مدقق العقدة السوداء
941190 XSS باستخدام أوراق الأنماط
941200 XSS باستخدام إطارات VML
941210 XSS باستخدام JavaScript غير المحدد
941220 XSS باستخدام البرنامج النصي VB غير المحدد
941230 XSS باستخدام embed العلامة
941240 XSS باستخدام import أو implementation سمة
941250 عوامل تصفية IE XSS - تم الكشف عن الهجوم
941260 XSS باستخدام meta العلامة
941270 XSS باستخدام link href
941280 XSS باستخدام base العلامة
941290 XSS باستخدام applet العلامة
941300 XSS باستخدام object العلامة
941310 عامل تصفية XSS لترميز US-ASCII مشوه - تم الكشف عن الهجوم
941320 تم الكشف عن هجوم XSS المحتمل - معالج علامات HTML
941330 عوامل تصفية IE XSS - تم الكشف عن الهجوم
941340 عوامل تصفية IE XSS - تم الكشف عن الهجوم
941350 UTF-7 ترميز XSS IE - تم الكشف عن الهجوم
941360 تم الكشف عن تعتيم JavaScript
941370 تم العثور على متغير JavaScript العمومي
941380 تم الكشف عن حقن قالب عميل AngularJS

SQLI: حقن SQL

معرّف القاعدة ‏‏الوصف
942100 تم الكشف عن هجوم حقن SQL عبر libinjection.
942110 هجوم حقن SQL: تم الكشف عن اختبار الحقن الشائع.
942120 هجوم حقن SQL: تم الكشف عن عامل تشغيل SQL.
942140 هجوم حقن SQL: تم الكشف عن أسماء DB الشائعة.
942150 هجوم إدخال SQL.
942160 الكشف عن اختبارات SQLI العمياء باستخدام السكون() أو المعيار().
942170 يكتشف معيار SQL ومحاولات حقن السكون بما في ذلك الاستعلامات الشرطية.
942180 يكتشف محاولات تجاوز مصادقة SQL الأساسية 1/3.
942190 يكتشف تنفيذ التعليمات البرمجية MSSQL ومحاولات جمع المعلومات.
942200 يكتشف عمليات الحقن المشوشة في MySQL comment-/space وإنهاء backtick.
942210 يكتشف محاولات حقن SQL المتسلسلة 1/2.
942220 تبحث عن عدد صحيح من الهجمات التجاوز، يتم أخذها من التخطي، باستثناء 3.0.00738585072007e-308 هو تعطل "الرقم السحري".
942230 يكتشف محاولات حقن SQL الشرطية.
942240 يكتشف مفتاح تبديل مجموعة الأحرف MySQL ومحاولات MSSQL DoS.
942250 يكتشف مطابقة ضد ودمج وتنفيذ الحقن الفورية.
942260 يكتشف محاولات تجاوز مصادقة SQL الأساسية 2/3.
942270 البحث عن حقنة SQL الأساسية. سلسلة الهجوم الشائعة ل MySQL وOracle وغيرها.
942280 يكتشف Postgres pg_sleep الحقن والانتظار لهجمات التأخير ومحاولات إيقاف تشغيل قاعدة البيانات.
942290 البحث عن محاولات إدخال MongoDB SQL الأساسية.
942300 يكتشف تعليقات MySQL وشروطه وحقن ch(a)r.
942310 يكتشف محاولات حقن SQL المتسلسلة 2/2.
942320 يكتشف إدخالات الإجراء/الوظيفة المخزنة في MySQL وPostgreSQL.
942330 يكتشف فحص حقن SQL الكلاسيكي 1/2.
942340 يكتشف محاولات تجاوز مصادقة SQL الأساسية 3/3.
942350 يكتشف حقن MySQL UDF ومحاولات معالجة البيانات/البنية الأخرى.
942360 يكتشف حقن SQL الأساسي المتسلسلة ومحاولات SQLLFI.
942361 يكتشف إدخال SQL الأساسي استنادا إلى تغيير الكلمة الأساسية أو اتحادها.
942370 يكتشف فحص حقن SQL الكلاسيكي 2/2.
942380 هجوم إدخال SQL.
942390 هجوم إدخال SQL.
942400 هجوم إدخال SQL.
942410 هجوم إدخال SQL.
942430 الكشف عن شذوذ حرف SQL المقيد (args): تجاوز عدد الأحرف الخاصة (12).
942440 تم الكشف عن تسلسل تعليق SQL.
942450 تم تحديد ترميز SQL Hex.
942460 تنبيه الكشف عن الحالات الخارجة عن المألوف للأحرف الوصفية - أحرف متكررة غير Word.
942470 هجوم إدخال SQL.
942480 هجوم إدخال SQL.
942500 تم الكشف عن تعليق MySQL في سطر.
942510 محاولة تجاوز SQLi بواسطة علامات التجزئة أو الرموز الخلفية التي تم اكتشافها.

معالجة الجلسة

معرّف القاعدة ‏‏الوصف
943100 الهجوم المحتمل لإصلاح الجلسة: تعيين قيم ملفات تعريف الارتباط في HTML
943110 هجوم محتمل لتثبيت جلسة العمل: اسم معلمة SessionID مع مرجع Off-Domain
943120 هجوم محتمل لتثبيت جلسة العمل: اسم معلمة SessionID مع مرجع Off-Domain

هجمات Java

معرّف القاعدة ‏‏الوصف
944100 تنفيذ الأمر عن بُعد: Apache Struts، وOracle WebLogic
944110 الكشف عن تنفيذ البيانات الأساسية المحتملة
944120 تنفيذ البيانات الأساسية المحتملة وتنفيذ الأمر عن بُعد
944130 فئات Java المشبوهة
944200 استغلال إلغاء تسلسل Java لـ Apache Commons
944210 الاستخدام المحتمل لإنشاء تسلسل Java
944240 تنفيذ الأمر عن بعد: تسلسل Java والثغرة الأمنية Log4j (CVE-2021-44228، CVE-2021-45046)
944250 تنفيذ الأمر عن بعد: تم الكشف عن أسلوب Java المشبوه

MS-ThreatIntel-WebShells

معرّف القاعدة ‏‏الوصف
99005002 محاولة تفاعل Web Shell (POST)
99005003 محاولة تحميل Web Shell (POST) - CHOPPER PHP
99005004 محاولة تحميل Web Shell (POST) - CHOPPER ASPX
99005005 محاولة تفاعل Web Shell
99005006 محاولة تفاعل Spring4Shell

MS-ThreatIntel-AppSec

معرّف القاعدة ‏‏الوصف
99030001 التهرب من اجتياز المسار في العناوين (/.././../)
99030002 التهرب من اجتياز المسار في نص الطلب (/.././../)

MS-ThreatIntel-SQLI

معرّف القاعدة ‏‏الوصف
99031001 هجوم إدخال SQL: تم الكشف عن اختبار الإدخال الشائع
99031002 تم الكشف عن تسلسل تعليق SQL
99031003 هجوم إدخال SQL
99031004 الكشف عن محاولات تجاوز مصادقة SQL الأساسية 2/3

MS-ThreatIntel-CVEs

معرّف القاعدة ‏‏الوصف
99001001 محاولة استغلال واجهة برمجة تطبيقات F5 tmui (CVE-2020-5902) باستخدام بيانات اعتماد معروفة
99001002 حاول Citrix NSC_USER الدليل اجتياز CVE-2019-19781
99001003 محاولة استغلال Atlassian Confluence Widget Connector CVE-2019-3396
99001004 محاولة استغلال القالب المخصص Pulse Secure CVE-2020-8243
99001005 محاولة استغلال محول نوع SharePoint CVE-2020-0932
99001006 محاولة اجتياز دليل Pulse Connect CVE-2019-11510
99001007 حاول تضمين ملف Junos OS J-Web المحلي CVE-2020-1631
99001008 محاولة اجتياز مسار Fortinet CVE-2018-13379
99001009 محاولة Apache تبختر حقن ognl CVE-2017-5638
99001010 محاولة Apache تبختر حقن ognl CVE-2017-12611
99001011 محاولة اجتياز مسار Oracle WebLogic CVE-2020-14882
99001012 محاولة استغلال إلغاء التسلسل غير الآمن ل Telerik WebUI CVE-2019-18935
99001013 محاولة إلغاء تسلسل XML غير الآمن ل SharePoint CVE-2019-0604
99001014 محاولة حقن تعبير توجيه Spring Cloud CVE-2022-22963
99001015 محاولة استغلال عنصر فئة Spring Framework غير الآمن CVE-2022-22965
99001016 محاولة حقن Spring Cloud Gateway Actuator CVE-2022-22947
99001017 محاولة استغلال تحميل ملف Apache Struts CVE-2023-50164

إشعار

عند مراجعة سجلات WAF، قد ترى معرف القاعدة 949110. قد يتضمن وصف القاعدة تجاوز درجة الأمور الخارجة عن المألوف الواردة.

تشير هذه القاعدة إلى أن إجمالي قياس الأمور الخارجة عن المألوف للطلب تجاوزت الحد الأقصى للنقاط المسموح بها. لمزيد من المعلومات، اطلع على قياس الأمور الخارجة عن المألوف.

عند ضبط نهج WAF الخاصة بك، تحتاج إلى التحقق من القواعد الأخرى التي تم تشغيلها بواسطة الطلب حتى تتمكن من ضبط تكوين WAF الخاص بك. لمزيد من المعلومات، راجع ضبط Azure Web Application Firewall ل Azure Front Door.

الخطوات التالية