قواعد ومجموعات قواعد Web Application Firewall DRS
يحمي Azure Web Application Firewall على Azure Front Door تطبيقات الويب من الثغرات الأمنية والمآثر الشائعة. توفر مجموعات القواعد المدارة من Azure طريقة سهلة لتوزيع الحماية ضد مجموعة مشتركة من تهديدات الأمان. نظرا لأن Azure يدير مجموعات القواعد هذه، يتم تحديث القواعد حسب الحاجة للحماية من توقيعات الهجوم الجديدة.
تتضمن مجموعة القواعد الافتراضية (DRS) أيضا قواعد Microsoft Threat Intelligence Collection المكتوبة بالشراكة مع فريق Microsoft Intelligence لتوفير تغطية متزايدة وتصحيحات لثغرات أمنية معينة وتقليل إيجابي خاطئ أفضل.
إشعار
عند تغيير إصدار مجموعة القواعد في نهج WAF، ستتم إعادة تعيين أي تخصيصات موجودة أجريتها على مجموعة القواعد إلى الإعدادات الافتراضية لمجموعة القواعد الجديدة. راجع: ترقية إصدار مجموعة القواعد أو تغييره.
مجموعة القواعد الافتراضية
يتضمن DRS المدار من Azure قواعد مقابل فئات التهديد التالية:
- البرمجة النصية للمواقع المشتركة
- هجمات Java
- تضمين الملف المحلي
- هجوم عن طريق الحقن بـ PHP
- تنفيذ الأوامر عن بعد
- تضمين الملف البعيد
- معالجة الجلسة
- حماية حقن SQL
- هجمات البروتوكول
يتزايد رقم إصدار DRS عند إضافة تواقيع هجوم جديدة إلى مجموعة القواعد.
يتم تمكين DRS بشكلٍ افتراضي في وضع الكشف في نهج WAF. يمكنك تعطيل أو تمكين القواعد الفردية داخل DRS لتلبية متطلبات التطبيق الخاص بك. يمكنك أيضًا تعيين إجراءات معينة لكل قاعدة. الإجراءات المتوفرة هي السماح والكتلة والسجل وإعادة التوجيه.
في بعض الأحيان قد تحتاج إلى حذف سمات طلب معينة من تقييم جدار حماية تطبيق الويب (WAF). على سبيل المثال، يدرج Active Directory الرموز المميزة المستخدَمة للمصادقة. يمكنك تكوين قائمة استثناء لقاعدة مدارة أو مجموعة قواعد أو مجموعة القواعد بأكملها. لمزيد من المعلومات، راجع Azure Web Application Firewall على قوائم استبعاد Azure Front Door.
بشكل افتراضي، تستخدم إصدارات DRS 2.0 والإصدارات الأحدث تسجيل الشذوذ عندما يتطابق الطلب مع قاعدة. إصدارات DRS الأقدم من 2.0 حظر الطلبات التي تؤدي إلى تشغيل القواعد. أيضا، يمكن تكوين القواعد المخصصة في نفس نهج WAF إذا كنت تريد تجاوز أي من القواعد التي تم تكوينها مسبقا في DRS.
يتم تطبيق القواعد المخصصة دائما قبل تقييم القواعد في DRS. إذا تطابق الطلب مع قاعدة مخصصة، يتم تطبيق إجراء القاعدة المقابلة. يتم حظر الطلب أو تمريره إلى النهاية الخلفية. لا تتم معالجة أي قواعد مخصصة أخرى أو القواعد في DRS. يمكنك أيضا إزالة DRS من نهج WAF.
قواعد Microsoft Threat Intelligence Collection
قواعد Microsoft Threat Intelligence Collection مكتوبة بالشراكة مع فريق Microsoft Threat Intelligence لتوفير زيادة التغطية وتصحيحات لثغرات أمنية محددة وتقليل إيجابي خاطئ أفضل.
بشكل افتراضي، تحل قواعد Microsoft Threat Intelligence Collection محل بعض قواعد DRS المضمنة، مما يؤدي إلى تعطيلها. على سبيل المثال، تم تعطيل معرف القاعدة 942440، تم الكشف عن تسلسل تعليق SQL، واستبداله بقاعدة Microsoft Threat Intelligence Collection 99031002. تقلل القاعدة التي تم استبدالها من مخاطر الاكتشافات الإيجابية الخاطئة من الطلبات المشروعة.
تسجيل الشذوذ
عند استخدام DRS 2.0 أو أحدث، يستخدم WAF قياس الأمور الخارجة عن المألوف. لا يتم حظر نسبة استخدام الشبكة التي تطابق أي قاعدة على الفور، حتى عندما يكون WAF في وضع الوقاية. بدلًا من ذلك، تحدد مجموعات قواعد OWASP خطورة لكل قاعدة: حرج أو خطأ أو تحذير أو إشعار. تؤثر الخطورة على قيمة رقمية للطلب، والتي تسمى درجة الشذوذ. إذا تراكم طلب درجة شذوذ من 5 أو أكثر، فإن WAF يتخذ إجراء على الطلب.
خطورة القاعدة | ساهمت القيمة في الأمور الخارجة عن المألوف |
---|---|
هام | 5 |
خطأ | 4 |
تحذير | 3 |
إشعار | 2 |
عند تكوين WAF الخاص بك، يمكنك تحديد كيفية معالجة WAF للطلبات التي تتجاوز حد درجة الشذوذ البالغ 5. خيارات إجراء درجة الشذوذ الثلاثة هي الحظر أو السجل أو إعادة التوجيه. يتم تطبيق إجراء درجة الشذوذ الذي تحدده في وقت التكوين على جميع الطلبات التي تتجاوز حد درجة الشذوذ.
على سبيل المثال، إذا كانت درجة الشذوذ 5 أو أكثر بناء على طلب، وكان WAF في وضع الوقاية مع تعيين إجراء درجة الشذوذ إلى حظر، يتم حظر الطلب. إذا كانت درجة الشذوذ 5 أو أكثر بناء على طلب، وكان WAF في وضع الكشف، يتم تسجيل الطلب ولكن لم يتم حظره.
مطابقة قاعدة حرجة واحدة كافية ل WAF لحظر طلب عندما تكون في وضع الوقاية مع تعيين إجراء درجة الشذوذ إلى حظر لأن درجة الشذوذ الإجمالية هي 5. رغم ذلك، تطابق قاعدة تحذير واحدة يزيد فقط من قياس الأمور الخارجة عن المألوف بمقدار 3، وهو أمر غير كافٍ في حد ذاته لمنع نسبة استخدام الشبكة. عند تشغيل قاعدة شاذة، فإنها تعرض إجراء "متطابق" في السجلات. إذا كانت درجة الشذوذ 5 أو أكبر، يتم تشغيل قاعدة منفصلة مع إجراء درجة الشذوذ المكون لمجموعة القواعد. إجراء درجة الشذوذ الافتراضي هو Block، ما يؤدي إلى إدخال سجل مع الإجراء blocked
.
عندما يستخدم WAF إصدارا قديما من مجموعة القواعد الافتراضية (قبل DRS 2.0)، يتم تشغيل WAF الخاص بك في الوضع التقليدي. تعتبر نسبة استخدام الشبكة التي تطابق أي قاعدة بشكلٍ مستقل عن أي تطابقات أخرى للقاعدة. في الوضع التقليدي، ليس لديك رؤية في المجموعة الكاملة من القواعد التي تطابقها طلب معين.
يحدد إصدار DRS الذي تستخدمه أيضًا أنواع المحتويات المدعومة لفحص نص الطلب. لمزيد من المعلومات، راجع ما أنواع المحتوى التي يدعمها WAF؟ في قسم الأسئلة المتداولة.
ترقية إصدار مجموعة القواعد أو تغييره
إذا كنت تقوم بالترقية أو تعيين إصدار مجموعة قواعد جديد، وترغب في الاحتفاظ بتجاوزات القواعد والاستثناءات الموجودة، فمن المستحسن استخدام PowerShell أو CLI أو REST API أو قوالب لإجراء تغييرات على إصدار مجموعة القواعد. يمكن أن يحتوي الإصدار الجديد من مجموعة القواعد على قواعد أحدث ومجموعات قواعد إضافية، وقد يحتوي على تحديثات للتواقيع الموجودة لفرض أمان أفضل وتقليل الإيجابيات الزائفة. يوصى بالتحقق من صحة التغييرات في بيئة اختبار، وضبطها إذا لزم الأمر، ثم نشرها في بيئة إنتاج.
إشعار
إذا كنت تستخدم مدخل Microsoft Azure لتعيين مجموعة قواعد مدارة جديدة إلى نهج WAF، إعادة تعيين جميع التخصيصات السابقة من مجموعة القواعد المدارة الحالية مثل حالة القاعدة وإجراءات القاعدة واستبعادات مستوى القاعدة إلى الإعدادات الافتراضية لإدارة مجموعة القواعد الجديدة. ومع ذلك، ستظل أي قواعد مخصصة أو إعدادات نهج غير متأثرة أثناء تعيين مجموعة القواعد الجديدة. ستحتاج إلى إعادة تعريف تجاوزات القواعد والتحقق من صحة التغييرات قبل النشر في بيئة إنتاج.
DRS 2.1
توفر قواعد DRS 2.1 حماية أفضل من الإصدارات السابقة من DRS. ويتضمن قواعد أخرى تم تطويرها من قبل فريق التحليل الذكي للمخاطر من Microsoft وتحديثات للتواقيع لتقليل الإيجابيات الزائفة. كما أنه يدعم التحويلات التي تتجاوز مجرد فك ترميز URL.
يتضمن DRS 2.1 17 مجموعة قواعد، كما هو موضح في الجدول التالي. تحتوي كل مجموعة على قواعد متعددة، ويمكنك تخصيص سلوك القواعد الفردية أو مجموعات القواعد أو مجموعة القواعد بأكملها. تم وضع DRS 2.1 على أساس مجموعة القواعد الأساسية لمشروع أمان تطبيقات الويب المفتوح (OWASP) (CRS) 3.3.2 ويتضمن قواعد حماية إضافية خاصة تم تطويرها بواسطة فريق التحليل الذكي للمخاطر من Microsoft.
لمزيد من المعلومات، راجع ضبط Web Application Firewall (WAF) لـ Azure Front Door.
إشعار
يتوفر DRS 2.1 فقط على Azure Front Door Premium.
مجموعة القواعد | اسم مجموعة القواعد | الوصف |
---|---|---|
عام | عام | المجموعة العامة |
METHOD-ENFORCEMENT | METHOD-ENFORCEMENT | أساليب التأمين (PUT، PATCH) |
PROTOCOL-ENFORCEMENT | PROTOCOL-ENFORCEMENT | الحماية من مشكلات البروتوكول والترميز |
PROTOCOL-ATTACK | PROTOCOL-ATTACK | الحماية من إدخال الرأس وتهريب الطلب وتقسيم الاستجابة |
APPLICATION-ATTACK-LFI | LFI | الحماية من هجمات الملفات والمسار |
APPLICATION-ATTACK-RFI | RFI | الحماية من هجمات تضمين الملفات عن بُعد (RFI) |
APPLICATION-ATTACK-RCE | RCE | الحماية من هجمات تنفيذ التعليمات البرمجية عن بعد مرة أخرى |
APPLICATION-ATTACK-PHP | PHP | الحماية من هجمات حقن PHP |
APPLICATION-ATTACK-NodeJS | NODEJS | الحماية من هجمات Node JS |
APPLICATION-ATTACK-XSS | XSS | الحماية من هجمات البرمجة النصية عبر المواقع |
APPLICATION-ATTACK-SQLI | SQLI | الحماية من هجمات إدخال SQL |
APPLICATION-ATTACK-SESSION-FIXATION | ضبط | الحماية من هجمات إصلاح الجلسة |
APPLICATION-ATTACK-SESSION-JAVA | JAVA | الحماية من هجمات JAVA |
MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | الحماية من هجمات Web shell |
MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | الحماية من هجمات AppSec |
MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | الحماية من هجمات SQLI |
MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | الحماية من هجمات CVE |
القواعد المعطلة
يتم تعطيل القواعد التالية بشكل افتراضي ل DRS 2.1.
معرف ID القاعدة | مجموعة القواعد | الوصف | التفاصيل |
---|---|---|---|
942110 | SQLI | هجوم إدخال SQL: تم الكشف عن اختبار الإدخال الشائع | تم استبداله بقاعدة MSTIC 99031001 |
942150 | SQLI | هجوم إدخال SQL | تم استبداله 99031003 قاعدة MSTIC |
942260 | SQLI | الكشف عن محاولات تجاوز مصادقة SQL الأساسية 2/3 | تم استبداله 99031004 قاعدة MSTIC |
942430 | SQLI | الكشف المقيّد عن أخطاء SQL في الأحرف (args): تم تجاوز # من عدد الأحرف الخاصة (12) | الكثير من الإيجابيات الخاطئة |
942440 | SQLI | تم الكشف عن تسلسل تعليق SQL | تم استبداله بقاعدة MSTIC 99031002 |
99005006 | MS-ThreatIntel-WebShells | محاولة تفاعل Spring4Shell | تمكين القاعدة لمنع الثغرة الأمنية في SpringShell |
99001014 | MS-ThreatIntel-CVEs | محاولة حقن تعبير توجيه Spring Cloud CVE-2022-22963 | تمكين القاعدة لمنع الثغرة الأمنية في SpringShell |
99001015 | MS-ThreatIntel-WebShells | محاولة استغلال عنصر فئة Spring Framework غير الآمن CVE-2022-22965 | تمكين القاعدة لمنع الثغرة الأمنية في SpringShell |
99001016 | MS-ThreatIntel-WebShells | محاولة حقن Spring Cloud Gateway Actuator CVE-2022-22947 | تمكين القاعدة لمنع الثغرة الأمنية في SpringShell |
99001017 | MS-ThreatIntel-CVEs | محاولة استغلال تحميل ملف Apache Struts CVE-2023-50164. | تمكين القاعدة لمنع عدم حصانة Apache Struts |
DRS 2.0
توفر قواعد DRS 2.0 حماية أفضل من الإصدارات السابقة من DRS. يدعم DRS 2.0 أيضا التحويلات التي تتجاوز مجرد فك ترميز URL.
يتضمن DRS 2.0 عدد 17 مجموعة قواعد، كما هو موضح في الجدول التالي. تحتوي كل مجموعة على قواعد متعددة. يمكنك تعطيل القواعد الفردية ومجموعات القواعد بأكملها.
إشعار
يتوفر DRS 2.0 فقط على Azure Front Door Premium.
مجموعة القواعد | اسم مجموعة القواعد | الوصف |
---|---|---|
عام | عام | المجموعة العامة |
METHOD-ENFORCEMENT | METHOD-ENFORCEMENT | أساليب التأمين (PUT، PATCH) |
PROTOCOL-ENFORCEMENT | PROTOCOL-ENFORCEMENT | الحماية من مشكلات البروتوكول والترميز |
PROTOCOL-ATTACK | PROTOCOL-ATTACK | الحماية من إدخال الرأس وتهريب الطلب وتقسيم الاستجابة |
APPLICATION-ATTACK-LFI | LFI | الحماية من هجمات الملفات والمسار |
APPLICATION-ATTACK-RFI | RFI | الحماية من هجمات تضمين الملفات عن بُعد (RFI) |
APPLICATION-ATTACK-RCE | RCE | الحماية من هجمات تنفيذ التعليمات البرمجية عن بعد مرة أخرى |
APPLICATION-ATTACK-PHP | PHP | الحماية من هجمات حقن PHP |
APPLICATION-ATTACK-NodeJS | NODEJS | الحماية من هجمات Node JS |
APPLICATION-ATTACK-XSS | XSS | الحماية من هجمات البرمجة النصية عبر المواقع |
APPLICATION-ATTACK-SQLI | SQLI | الحماية من هجمات إدخال SQL |
APPLICATION-ATTACK-SESSION-FIXATION | ضبط | الحماية من هجمات إصلاح الجلسة |
APPLICATION-ATTACK-SESSION-JAVA | JAVA | الحماية من هجمات JAVA |
MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | الحماية من هجمات Web shell |
MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | الحماية من هجمات AppSec |
MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | الحماية من هجمات SQLI |
MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | الحماية من هجمات CVE |
DRS 1.1
مجموعة القواعد | اسم مجموعة القواعد | الوصف |
---|---|---|
PROTOCOL-ATTACK | PROTOCOL-ATTACK | الحماية من إدخال الرأس وتهريب الطلب وتقسيم الاستجابة |
APPLICATION-ATTACK-LFI | LFI | الحماية من هجمات الملفات والمسار |
APPLICATION-ATTACK-RFI | RFI | الحماية من هجمات تضمين الملفات عن بعد |
APPLICATION-ATTACK-RCE | RCE | الحماية من تنفيذ الأوامر عن بعد |
APPLICATION-ATTACK-PHP | PHP | الحماية من هجمات حقن PHP |
APPLICATION-ATTACK-XSS | XSS | الحماية من هجمات البرمجة النصية عبر المواقع |
APPLICATION-ATTACK-SQLI | SQLI | الحماية من هجمات إدخال SQL |
APPLICATION-ATTACK-SESSION-FIXATION | ضبط | الحماية من هجمات إصلاح الجلسة |
APPLICATION-ATTACK-SESSION-JAVA | JAVA | الحماية من هجمات JAVA |
MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | الحماية من هجمات Web shell |
MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | الحماية من هجمات AppSec |
MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | الحماية من هجمات SQLI |
MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | الحماية من هجمات CVE |
DRS 1.0
مجموعة القواعد | اسم مجموعة القواعد | الوصف |
---|---|---|
PROTOCOL-ATTACK | PROTOCOL-ATTACK | الحماية من إدخال الرأس وتهريب الطلب وتقسيم الاستجابة |
APPLICATION-ATTACK-LFI | LFI | الحماية من هجمات الملفات والمسار |
APPLICATION-ATTACK-RFI | RFI | الحماية من هجمات تضمين الملفات عن بعد |
APPLICATION-ATTACK-RCE | RCE | الحماية من تنفيذ الأوامر عن بعد |
APPLICATION-ATTACK-PHP | PHP | الحماية من هجمات حقن PHP |
APPLICATION-ATTACK-XSS | XSS | الحماية من هجمات البرمجة النصية عبر المواقع |
APPLICATION-ATTACK-SQLI | SQLI | الحماية من هجمات إدخال SQL |
APPLICATION-ATTACK-SESSION-FIXATION | ضبط | الحماية من هجمات إصلاح الجلسة |
APPLICATION-ATTACK-SESSION-JAVA | JAVA | الحماية من هجمات JAVA |
MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | الحماية من هجمات Web shell |
MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | الحماية من هجمات CVE |
Bot Manager 1.0
توفر مجموعة قواعد Bot Manager 1.0 الحماية من الروبوتات الضارة والكشف عن الروبوتات الجيدة. توفر القواعد تحكما دقيقا في الروبوتات التي تم اكتشافها بواسطة WAF عن طريق تصنيف نسبة استخدام الشبكة للروبوت على أنها روبوتات جيدة أو سيئة أو غير معروفة.
مجموعة القواعد | الوصف |
---|---|
BadBots | الحماية من الدردشات الآلية السيئة |
GoodBots | تحديد الدردشات الآلية الجيدة |
UnknownBots | تحديد الدردشات الآلية غير المعروفة |
Bot Manager 1.1
تعد مجموعة قواعد Bot Manager 1.1 تحسينا لمجموعة قواعد Bot Manager 1.0. يوفر حماية محسنة ضد الروبوتات الضارة، ويزيد من اكتشاف الروبوت الجيد.
مجموعة القواعد | الوصف |
---|---|
BadBots | الحماية من الدردشات الآلية السيئة |
GoodBots | تحديد الدردشات الآلية الجيدة |
UnknownBots | تحديد الدردشات الآلية غير المعروفة |
تتوفر مجموعات القواعد والقواعد التالية عند استخدام Azure Web Application Firewall على Azure Front Door.
مجموعات قواعد 2.1
عام
معرّف القاعدة | الوصف |
---|---|
200002 | فشل تحليل نص الطلب |
200003 | فشل نص الطلب متعدد الأحزاب في التحقق الصارم من الصحة |
إنفاذ الأسلوب
معرّف القاعدة | الوصف |
---|---|
911100 | الأسلوب غير مسموح به من قبل النهج |
فرض البروتوكول
معرّف القاعدة | الوصف |
---|---|
920100 | سطر طلب HTTP غير صحيح. |
920120 | محاولة تجاوز متعدد الأحزاب/بيانات النموذج. |
920121 | محاولة تجاوز متعدد الأحزاب/بيانات النموذج. |
920160 | رأس HTTP طول المحتوى غير رقمي. |
920170 | طلب GET أو HEAD مع محتوى النص. |
920171 | طلب GET أو HEAD مع ترميز النقل. |
920180 | يفتقد طلب POST رأس طول المحتوى. |
920181 | تعرض رؤوس طول المحتوى وترميز النقل 99001003. |
920190 | النطاق: قيمة البايت الأخير غير صحيحة. |
920200 | النطاق: عدد كبير جدا من الحقول (6 أو أكثر). |
920201 | النطاق: عدد كبير جدا من الحقول لطلب pdf (35 أو أكثر). |
920210 | تم العثور على بيانات رأس اتصال متعددة/متعارضة. |
920220 | محاولة هجوم إساءة ترميز URL. |
920230 | تم الكشف عن ترميز URL متعدد. |
920240 | محاولة هجوم إساءة ترميز URL. |
920260 | محاولة هجوم إساءة عرض Unicode بالكامل/نصف العرض. |
920270 | حرف غير صحيح في الطلب (حرف فارغ). |
920271 | حرف غير صحيح في الطلب (أحرف غير قابلة للطباعة). |
920280 | طلب فقدان رأس مضيف. |
920290 | رأس المضيف الفارغ. |
920300 | طلب عنوان قبول مفقود. |
920310 | يحتوي الطلب على رأس قبول فارغ. |
920311 | يحتوي الطلب على رأس قبول فارغ. |
920320 | عنوان عامل المستخدم المفقود. |
920330 | رأس عامل المستخدم الفارغ. |
920340 | طلب يحتوي على محتوى، ولكن رأس نوع المحتوى مفقود. |
920341 | يتطلب الطلب الذي يحتوي على محتوى رأس نوع المحتوى. |
920350 | عنوان المضيف هو عنوان IP رقمي. |
920420 | لا يسمح النهج بنوع محتوى الطلب. |
920430 | لا يسمح النهج بإصدار بروتوكول HTTP. |
920440 | يتم تقييد ملحق ملف URL بواسطة النهج. |
920450 | يتم تقييد رأس HTTP بواسطة النهج. |
920470 | رأس نوع المحتوى غير صحيح. |
920480 | طلب مجموعة نوع المحتوى غير مسموح به من قبل النهج. |
920500 | محاولة الوصول إلى نسخة احتياطية أو ملف عمل. |
هجوم البروتوكول
معرّف القاعدة | الوصف |
---|---|
921110 | هجوم تهريب لطلب HTTP |
921120 | هجوم تقسيم لاستجابة HTTP |
921130 | هجوم تقسيم لاستجابة HTTP |
921140 | هجوم إدخال رأس HTTP عبر الرؤوس |
921150 | هجوم إدخال رأس HTTP عبر البيانات الأساسية (تم الكشف عن CR/LF) |
921151 | هجوم إدخال رأس HTTP عبر البيانات الأساسية (تم الكشف عن CR/LF) |
921160 | هجوم إدخال عنوان HTTP عبر البيانات الأساسية (تم الكشف عن CR/LF واسم العنوان) |
921190 | تقسيم HTTP (تم الكشف عن CR/LF في اسم ملف الطلب) |
921200 | هجوم إدخال PHP |
LFI: تضمين الملف المحلي
معرّف القاعدة | الوصف |
---|---|
930100 | هجوم اجتياز المسار (/../) |
930110 | هجوم اجتياز المسار (/../) |
930120 | محاولة الوصول إلى ملف نظام التشغيل |
930130 | محاولة الوصول المقيد إلى الملفات |
RFI: تضمين الملف عن بعد
معرّف القاعدة | الوصف |
---|---|
931100 | هجوم تضمين الملفات عن بعد (RFI) المحتمل: معلمة URL باستخدام عنوان IP |
931110 | الهجوم المحتمل لتضمين الملفات عن بُعد (RFI): اسم المعلمة الضعيفة الشائع لـ RFI المستخدم مع بيانات URL الأساسية |
931120 | الهجوم المحتمل لتضمين الملفات عن بُعد (RFI): بيانات URL الأساسية المستخدمة مع لاحقة حرف علامة الاستفهام (؟) |
931130 | الهجوم المحتمل لتضمين الملفات عن بعد (RFI): ارتباط/مرجع خارج المجال |
RCE: تنفيذ الأمر عن بعد
معرّف القاعدة | الوصف |
---|---|
932100 | تنفيذ الأمر عن بُعد: إدخال أمر Unix |
932105 | تنفيذ الأمر عن بُعد: إدخال أمر Unix |
932110 | تنفيذ الأمر عن بُعد: إدخال أمر Windows |
932115 | تنفيذ الأمر عن بُعد: إدخال أمر Windows |
932120 | تنفيذ الأمر عن بُعد: تم العثور على أمر Windows PowerShell |
932130 | تنفيذ الأمر عن بُعد: تم العثور على Unix Shell Expression أو Confluence Vulnerability (CVE-2022-26134) |
932140 | تنفيذ الأمر عن بُعد: تم العثور على أمر Windows FOR/IF |
932150 | تنفيذ الأمر عن بُعد: تنفيذ أمر Unix المباشر |
932160 | تنفيذ الأمر عن بُعد: تم العثور على تعليمات Unix Shell البرمجية |
932170 | تنفيذ الأوامر عن بعد: Shellshock (CVE-2014-6271) |
932171 | تنفيذ الأوامر عن بعد: Shellshock (CVE-2014-6271) |
932180 | محاولة تحميل ملف مقيد |
هجمات PHP
معرّف القاعدة | الوصف |
---|---|
933100 | هجوم إدخال PHP: تم العثور على علامة الفتح/الإغلاق |
933110 | هجوم إدخال PHP: تم العثور على تحميل ملف البرنامج النصي PHP |
933120 | هجوم إدخال PHP: تم العثور على توجيه التكوين |
933130 | هجوم حقن PHP: تم العثور على المتغيرات |
933140 | هجوم إدخال PHP: تم العثور على بث الإدخال/الإخراج |
933150 | هجوم إدخال PHP: تم العثور على اسم الدالة PHP عالية الخطورة |
933151 | هجوم إدخال PHP: تم العثور على اسم الدالة PHP متوسطة الخطورة |
933160 | هجوم حقن PHP: تم العثور على استدعاء الدالة PHP عالية الخطورة |
933170 | هجوم إدخال PHP: إدخال الكائن التسلسلي |
933180 | هجوم حقن PHP: تم العثور على استدعاء الدالة المتغيرة |
933200 | هجوم إدخال PHP: تم الكشف عن مخطط برنامج التضمين |
933210 | هجوم حقن PHP: تم العثور على استدعاء الدالة المتغيرة |
هجمات عقدة JS
معرّف القاعدة | الوصف |
---|---|
934100 | هجوم حقن Node.js |
XSS: البرمجة النصية عبر المواقع
معرّف القاعدة | الوصف |
---|---|
941100 | تم الكشف عن هجوم XSS عبر libinjection |
941101 | تم الكشف عن هجوم XSS عبر libinjection تكتشف القاعدة الطلبات ذات Referer الرأس |
941110 | عامل تصفية XSS - الفئة 1: متجه علامة البرنامج النصي |
941120 | عامل تصفية XSS - الفئة 2: متجه معالج الأحداث |
941130 | عامل تصفية XSS - الفئة 3: متجه السمة |
941140 | عامل تصفية XSS - الفئة 4: متجه JavaScript URI |
941150 | عامل تصفية XSS - الفئة 5: سمات HTML غير المسموح بها |
941160 | NoScript XSS InjectionChecker: إدخال HTML |
941170 | NoScript XSS InjectionChecker: إدخال السمة |
941180 | الكلمات الأساسية لقائمة مدقق العقدة السوداء |
941190 | XSS باستخدام أوراق الأنماط |
941200 | XSS باستخدام إطارات VML |
941210 | XSS باستخدام JavaScript غير المحدد |
941220 | XSS باستخدام البرنامج النصي VB غير المحدد |
941230 | XSS باستخدام embed العلامة |
941240 | XSS باستخدام import أو implementation سمة |
941250 | عوامل تصفية IE XSS - تم الكشف عن الهجوم |
941260 | XSS باستخدام meta العلامة |
941270 | XSS باستخدام link href |
941280 | XSS باستخدام base العلامة |
941290 | XSS باستخدام applet العلامة |
941300 | XSS باستخدام object العلامة |
941310 | عامل تصفية XSS لترميز US-ASCII مشوه - تم الكشف عن الهجوم |
941320 | تم الكشف عن هجوم XSS المحتمل - معالج علامات HTML |
941330 | عوامل تصفية IE XSS - تم الكشف عن الهجوم |
941340 | عوامل تصفية IE XSS - تم الكشف عن الهجوم |
941350 | UTF-7 ترميز XSS IE - تم الكشف عن الهجوم |
941360 | تم الكشف عن تعتيم JavaScript |
941370 | تم العثور على متغير JavaScript العمومي |
941380 | تم الكشف عن حقن قالب عميل AngularJS |
SQLI: حقن SQL
معرّف القاعدة | الوصف |
---|---|
942100 | تم الكشف عن هجوم حقن SQL عبر libinjection. |
942110 | هجوم حقن SQL: تم الكشف عن اختبار الحقن الشائع. |
942120 | هجوم حقن SQL: تم الكشف عن عامل تشغيل SQL. |
942140 | هجوم حقن SQL: تم الكشف عن أسماء DB الشائعة. |
942150 | هجوم إدخال SQL. |
942160 | الكشف عن اختبارات SQLI العمياء باستخدام السكون() أو المعيار(). |
942170 | يكتشف معيار SQL ومحاولات حقن السكون بما في ذلك الاستعلامات الشرطية. |
942180 | يكتشف محاولات تجاوز مصادقة SQL الأساسية 1/3. |
942190 | يكتشف تنفيذ التعليمات البرمجية MSSQL ومحاولات جمع المعلومات. |
942200 | يكتشف عمليات الحقن المشوشة في MySQL comment-/space وإنهاء backtick. |
942210 | يكتشف محاولات حقن SQL المتسلسلة 1/2. |
942220 | تبحث عن عدد صحيح من الهجمات التجاوز، يتم أخذها من التخطي، باستثناء 3.0.00738585072007e-308 هو تعطل "الرقم السحري". |
942230 | يكتشف محاولات حقن SQL الشرطية. |
942240 | يكتشف مفتاح تبديل مجموعة الأحرف MySQL ومحاولات MSSQL DoS. |
942250 | يكتشف مطابقة ضد ودمج وتنفيذ الحقن الفورية. |
942260 | يكتشف محاولات تجاوز مصادقة SQL الأساسية 2/3. |
942270 | البحث عن حقنة SQL الأساسية. سلسلة الهجوم الشائعة ل MySQL وOracle وغيرها. |
942280 | يكتشف Postgres pg_sleep الحقن والانتظار لهجمات التأخير ومحاولات إيقاف تشغيل قاعدة البيانات. |
942290 | البحث عن محاولات إدخال MongoDB SQL الأساسية. |
942300 | يكتشف تعليقات MySQL وشروطه وحقن ch(a)r. |
942310 | يكتشف محاولات حقن SQL المتسلسلة 2/2. |
942320 | يكتشف إدخالات الإجراء/الوظيفة المخزنة في MySQL وPostgreSQL. |
942330 | يكتشف فحص حقن SQL الكلاسيكي 1/2. |
942340 | يكتشف محاولات تجاوز مصادقة SQL الأساسية 3/3. |
942350 | يكتشف حقن MySQL UDF ومحاولات معالجة البيانات/البنية الأخرى. |
942360 | يكتشف حقن SQL الأساسي المتسلسلة ومحاولات SQLLFI. |
942361 | يكتشف إدخال SQL الأساسي استنادا إلى تغيير الكلمة الأساسية أو اتحادها. |
942370 | يكتشف فحص حقن SQL الكلاسيكي 2/2. |
942380 | هجوم إدخال SQL. |
942390 | هجوم إدخال SQL. |
942400 | هجوم إدخال SQL. |
942410 | هجوم إدخال SQL. |
942430 | الكشف عن شذوذ حرف SQL المقيد (args): تجاوز عدد الأحرف الخاصة (12). |
942440 | تم الكشف عن تسلسل تعليق SQL. |
942450 | تم تحديد ترميز SQL Hex. |
942460 | تنبيه الكشف عن الحالات الخارجة عن المألوف للأحرف الوصفية - أحرف متكررة غير Word. |
942470 | هجوم إدخال SQL. |
942480 | هجوم إدخال SQL. |
942500 | تم الكشف عن تعليق MySQL في سطر. |
942510 | محاولة تجاوز SQLi بواسطة علامات التجزئة أو الرموز الخلفية التي تم اكتشافها. |
معالجة الجلسة
معرّف القاعدة | الوصف |
---|---|
943100 | الهجوم المحتمل لإصلاح الجلسة: تعيين قيم ملفات تعريف الارتباط في HTML |
943110 | هجوم محتمل لتثبيت جلسة العمل: اسم معلمة SessionID مع مرجع Off-Domain |
943120 | هجوم محتمل لتثبيت جلسة العمل: اسم معلمة SessionID مع مرجع Off-Domain |
هجمات Java
معرّف القاعدة | الوصف |
---|---|
944100 | تنفيذ الأمر عن بُعد: Apache Struts، وOracle WebLogic |
944110 | الكشف عن تنفيذ البيانات الأساسية المحتملة |
944120 | تنفيذ البيانات الأساسية المحتملة وتنفيذ الأمر عن بُعد |
944130 | فئات Java المشبوهة |
944200 | استغلال إلغاء تسلسل Java لـ Apache Commons |
944210 | الاستخدام المحتمل لإنشاء تسلسل Java |
944240 | تنفيذ الأمر عن بعد: تسلسل Java والثغرة الأمنية Log4j (CVE-2021-44228، CVE-2021-45046) |
944250 | تنفيذ الأمر عن بعد: تم الكشف عن أسلوب Java المشبوه |
MS-ThreatIntel-WebShells
معرّف القاعدة | الوصف |
---|---|
99005002 | محاولة تفاعل Web Shell (POST) |
99005003 | محاولة تحميل Web Shell (POST) - CHOPPER PHP |
99005004 | محاولة تحميل Web Shell (POST) - CHOPPER ASPX |
99005005 | محاولة تفاعل Web Shell |
99005006 | محاولة تفاعل Spring4Shell |
MS-ThreatIntel-AppSec
معرّف القاعدة | الوصف |
---|---|
99030001 | التهرب من اجتياز المسار في العناوين (/.././../) |
99030002 | التهرب من اجتياز المسار في نص الطلب (/.././../) |
MS-ThreatIntel-SQLI
معرّف القاعدة | الوصف |
---|---|
99031001 | هجوم إدخال SQL: تم الكشف عن اختبار الإدخال الشائع |
99031002 | تم الكشف عن تسلسل تعليق SQL |
99031003 | هجوم إدخال SQL |
99031004 | الكشف عن محاولات تجاوز مصادقة SQL الأساسية 2/3 |
MS-ThreatIntel-CVEs
معرّف القاعدة | الوصف |
---|---|
99001001 | محاولة استغلال واجهة برمجة تطبيقات F5 tmui (CVE-2020-5902) باستخدام بيانات اعتماد معروفة |
99001002 | حاول Citrix NSC_USER الدليل اجتياز CVE-2019-19781 |
99001003 | محاولة استغلال Atlassian Confluence Widget Connector CVE-2019-3396 |
99001004 | محاولة استغلال القالب المخصص Pulse Secure CVE-2020-8243 |
99001005 | محاولة استغلال محول نوع SharePoint CVE-2020-0932 |
99001006 | محاولة اجتياز دليل Pulse Connect CVE-2019-11510 |
99001007 | حاول تضمين ملف Junos OS J-Web المحلي CVE-2020-1631 |
99001008 | محاولة اجتياز مسار Fortinet CVE-2018-13379 |
99001009 | محاولة Apache تبختر حقن ognl CVE-2017-5638 |
99001010 | محاولة Apache تبختر حقن ognl CVE-2017-12611 |
99001011 | محاولة اجتياز مسار Oracle WebLogic CVE-2020-14882 |
99001012 | محاولة استغلال إلغاء التسلسل غير الآمن ل Telerik WebUI CVE-2019-18935 |
99001013 | محاولة إلغاء تسلسل XML غير الآمن ل SharePoint CVE-2019-0604 |
99001014 | محاولة حقن تعبير توجيه Spring Cloud CVE-2022-22963 |
99001015 | محاولة استغلال عنصر فئة Spring Framework غير الآمن CVE-2022-22965 |
99001016 | محاولة حقن Spring Cloud Gateway Actuator CVE-2022-22947 |
99001017 | محاولة استغلال تحميل ملف Apache Struts CVE-2023-50164 |
إشعار
عند مراجعة سجلات WAF، قد ترى معرف القاعدة 949110. قد يتضمن وصف القاعدة تجاوز درجة الأمور الخارجة عن المألوف الواردة.
تشير هذه القاعدة إلى أن إجمالي قياس الأمور الخارجة عن المألوف للطلب تجاوزت الحد الأقصى للنقاط المسموح بها. لمزيد من المعلومات، اطلع على قياس الأمور الخارجة عن المألوف.
عند ضبط نهج WAF الخاصة بك، تحتاج إلى التحقق من القواعد الأخرى التي تم تشغيلها بواسطة الطلب حتى تتمكن من ضبط تكوين WAF الخاص بك. لمزيد من المعلومات، راجع ضبط Azure Web Application Firewall ل Azure Front Door.