مشاركة عبر

مجموعات قواعد وقواعد جدار حماية تطبيق الويب DRS و CRS

  • مقالة

تحمي مجموعات القواعد المدارة من Azure في جدار حماية تطبيق الويب لبوابة التطبيق (WAF) تطبيقات الويب بشكل نشط من الثغرات الأمنية والمآثر الشائعة. تتلقى مجموعات القواعد هذه، التي تديرها Azure، التحديثات حسب الضرورة للحماية من توقيعات الهجوم الجديدة. تتضمن مجموعة القواعد الافتراضية أيضا قواعد Microsoft Threat Intelligence Collection. يتعاون فريق Microsoft Intelligence في كتابة هذه القواعد، وضمان تغطية محسنة، وتصحيحات محددة للثغرات الأمنية، وتقليل إيجابي خاطئ محسن.

لديك أيضا خيار استخدام القواعد التي تم تعريفها استنادا إلى مجموعات القواعد الأساسية OWASP 3.2 أو 3.1 أو 3.0 أو 2.2.9.

يمكنك تعطيل القواعد بشكل فردي، أو تعيين إجراءات محددة لكل قاعدة. تسرد هذه المقالة القواعد ومجموعات القواعد الحالية المتوفرة. إذا كانت مجموعة القواعد المنشورة تتطلب تحديثا، فسنوثقها هنا.

إشعار

عند تغيير إصدار مجموعة القواعد في نهج WAF، ستتم إعادة تعيين أي تخصيصات موجودة أجريتها على مجموعة القواعد إلى الإعدادات الافتراضية لمجموعة القواعد الجديدة. راجع: ترقية إصدار مجموعة القواعد أو تغييره.

مجموعة القواعد الافتراضية

تتضمن مجموعة القواعد الافتراضية (DRS) المدارة من Azure قواعد ضد فئات التهديد التالية:

  • البرمجة النصية للمواقع المشتركة
  • هجمات Java
  • تضمين الملف المحلي
  • هجوم عن طريق الحقن بـ PHP
  • تنفيذ الأوامر عن بعد
  • تضمين الملف البعيد
  • معالجة الجلسة
  • حماية حقن SQL
  • مهاجمو البروتوكول يتزايد رقم إصدار DRS عند إضافة تواقيع هجوم جديدة إلى مجموعة القواعد.

قواعد Microsoft Threat Intelligence Collection

قواعد Microsoft Threat Intelligence Collection مكتوبة بالشراكة مع فريق Microsoft Threat Intelligence لتوفير زيادة التغطية وتصحيحات لثغرات أمنية محددة وتقليل إيجابي خاطئ أفضل.

إشعار

يرجى استخدام الإرشادات التالية لضبط WAF أثناء بدء استخدام الإصدار 2.1 على Application Gateway WAF. يتم وصف تفاصيل القواعد بعد ذلك.

معرف ID القاعدة مجموعة القواعد ‏‏الوصف التفاصيل
942110 SQLI هجوم إدخال SQL: تم الكشف عن اختبار الإدخال الشائع تعطيل، استبدال بقاعدة MSTIC 99031001
942150 SQLI هجوم إدخال SQL تعطيل، استبدال بقاعدة MSTIC 99031003
942260 SQLI الكشف عن محاولات تجاوز مصادقة SQL الأساسية 2/3 تعطيل، استبدال بقاعدة MSTIC 99031004
942430 SQLI الكشف المقيّد عن أخطاء SQL في الأحرف (args): تم تجاوز # من عدد الأحرف الخاصة (12) تعطيل، عدد كبير جدا من الإيجابيات الخاطئة.
942440 SQLI تم الكشف عن تسلسل تعليق SQL تعطيل، استبدال بقاعدة MSTIC 99031002
99005006 MS-ThreatIntel-WebShells محاولة تفاعل Spring4Shell الاحتفاظ بالقاعدة ممكنة لمنع الثغرة الأمنية في SpringShell
99001014 MS-ThreatIntel-CVEs محاولة حقن تعبير توجيه Spring Cloud CVE-2022-22963 الاحتفاظ بالقاعدة ممكنة لمنع الثغرة الأمنية في SpringShell
99001015 MS-ThreatIntel-WebShells محاولة استغلال عنصر فئة Spring Framework غير الآمن CVE-2022-22965 الاحتفاظ بالقاعدة ممكنة لمنع الثغرة الأمنية في SpringShell
99001016 MS-ThreatIntel-WebShells محاولة حقن Spring Cloud Gateway Actuator CVE-2022-22947 الاحتفاظ بالقاعدة ممكنة لمنع الثغرة الأمنية في SpringShell
99001017 MS-ThreatIntel-CVEs محاولة استغلال تحميل ملف Apache Struts CVE-2023-50164 تعيين الإجراء إلى حظر لمنع الثغرة الأمنية ضد Apache Struts. Anomaly Score غير مدعوم لهذه القاعدة.

مجموعات القواعد الأساسية

يأتي Application Gateway WAF مكونا مسبقا مع CRS 3.2 بشكل افتراضي، ولكن يمكنك اختيار استخدام أي إصدار CRS معتمد آخر.

يوفر CRS 3.2 محركا جديدا ومجموعات قواعد جديدة تدافع ضد حقن Java، ومجموعة أولية من عمليات التحقق من تحميل الملفات، وإيجابية خاطئة أقل مقارنة بالإصدارات السابقة من CRS. يمكنك أيضًا تخصيص القواعد لتناسب احتياجاتك. تعرف على المزيد عن محرك Azure WAF الجديد.

إدارة القواعد

يحمي WAF من الثغرات الأمنية التالية على الويب:

  • هجمات إدخال SQL
  • هجمات البرمجة النصية عبر المواقع
  • الهجمات الشائعة الأخرى، مثل إدخال الأوامر وتهريب طلب HTTP وتقسيم استجابة HTTP وإدراج الملفات عن بُعد
  • انتهاكات بروتوكول HTTP
  • الحالات غير الطبيعية لبروتوكول HTTP مثل فقدان عامل المستخدم المضيف ورؤوس القبول
  • الروبوت، متتبعات الزحف، والماسحات الضوئية
  • التكوينات الخطأ الشائعة للتطبيق (على سبيل المثال، Apache وIIS)

ضبط مجموعات القواعد المدارة

يتم تمكين كل من DRS و CRS بشكل افتراضي في وضع الكشف في نهج WAF. يمكنك تعطيل القواعد الفردية أو تمكينها ضمن مجموعة القواعد المدارة لتلبية متطلبات التطبيق الخاص بك. يمكنك أيضًا تعيين إجراءات معينة لكل قاعدة. يدعم DRS/CRS إجراءات نقاط الحظر والسجل والشذوذ. تدعم مجموعة قواعد Bot Manager إجراءات السماح والحظر والسجل.

في بعض الأحيان ربما تحتاج إلى حذف سمات طلب معينة من تقييم WAF. على سبيل المثال، يدرج Active Directory الرموز المميزة المستخدَمة للمصادقة. يمكنك تكوين الاستثناءات لتطبيقها عند تقييم قواعد WAF معينة، أو لتطبيقها عالميا على تقييم جميع قواعد WAF. تنطبق قواعد الاستبعاد على تطبيق الويب بأكمله. لمزيد من المعلومات، راجع جدار حماية تطبيق الويب (WAF) مع قوائم استبعاد بوابة التطبيق.

بشكل افتراضي، يستخدم إصدار DRS 2.1 / CRS الإصدار 3.2 والإصدارات الأحدث تسجيل الخروج عن المألوف عندما يتطابق الطلب مع قاعدة. CRS 3.1 وما دونه يحظر الطلبات المطابقة بشكل افتراضي. بالإضافة إلى ذلك، يمكن تكوين القواعد المخصصة في نفس نهج WAF إذا كنت تريد تجاوز أي من القواعد التي تم تكوينها مسبقا في مجموعة القواعد الأساسية.

يتم تطبيق القواعد المخصصة دائما قبل تقييم القواعد في مجموعة القواعد الأساسية. إذا تطابق الطلب مع قاعدة مخصصة، يتم تطبيق إجراء القاعدة المقابلة. يتم حظر الطلب أو تمريره إلى الخلفية. لا تتم معالجة أي قواعد مخصصة أخرى أو القواعد في مجموعة القواعد الأساسية.

تسجيل الشذوذ

عند استخدام CRS أو DRS 2.1 والإصدارات الأحدث، يتم تكوين WAF الخاص بك لاستخدام تسجيل الخروج عن المألوف بشكل افتراضي. لا يتم حظر نسبة استخدام الشبكة التي تطابق أي قاعدة على الفور، حتى عندما يكون WAF في وضع الوقاية. بدلًا من ذلك، تحدد مجموعات قواعد OWASP خطورة لكل قاعدة: حرج أو خطأ أو تحذير أو إشعار. تؤثر هذه الخطورة على القيمة الرقمية للطلب، والتي تسمى قياس الأمور الخارجة عن المألوف:

خطورة القاعدة ساهمت القيمة في الأمور الخارجة عن المألوف
هام 5
خطأ 4
تحذير 3
إشعار 2

إذا كانت درجة الشذوذ 5 أو أكبر، وكان WAF في وضع الوقاية، يتم حظر الطلب. إذا كانت درجة الشذوذ 5 أو أكثر، وكان WAF في وضع الكشف، يتم تسجيل الطلب ولكن لا يتم حظره.

على سبيل المثال، تطابق قاعدة حرجة واحدة يكفي ل WAF لحظر طلب عندما يكون في وضع الوقاية، لأن درجة الشذوذ الإجمالية هي 5. رغم ذلك، تطابق قاعدة تحذير واحدة يزيد فقط من قياس الأمور الخارجة عن المألوف بمقدار 3، وهو أمر غير كافٍ في حد ذاته لمنع نسبة استخدام الشبكة. عند تشغيل قاعدة شاذة، فإنها تعرض إجراء "متطابق" في السجلات. إذا كانت درجة الشذوذ 5 أو أكبر، فهناك قاعدة منفصلة يتم تشغيلها مع إجراء "محظور" أو "تم الكشف عنه" اعتمادا على ما إذا كان نهج WAF في وضع الوقاية أو الكشف. لمزيد من المعلومات، يرجى الاطلاع على وضع تسجيل الخروج عن المألوف.

ترقية إصدار مجموعة القواعد أو تغييره

إذا كنت تقوم بالترقية أو تعيين إصدار مجموعة قواعد جديد، وترغب في الاحتفاظ بتجاوزات القواعد والاستثناءات الموجودة، فمن المستحسن استخدام PowerShell أو CLI أو REST API أو قوالب لإجراء تغييرات على إصدار مجموعة القواعد. يمكن أن يحتوي الإصدار الجديد من مجموعة القواعد على قواعد أحدث ومجموعات قواعد إضافية، وقد يحتوي على تحديثات للتواقيع الموجودة لفرض أمان أفضل وتقليل الإيجابيات الزائفة. يوصى بالتحقق من صحة التغييرات في بيئة اختبار، وضبطها إذا لزم الأمر، ثم نشرها في بيئة إنتاج.

إشعار

إذا كنت تستخدم مدخل Microsoft Azure لتعيين مجموعة قواعد مدارة جديدة إلى نهج WAF، إعادة تعيين جميع التخصيصات السابقة من مجموعة القواعد المدارة الحالية مثل حالة القاعدة وإجراءات القاعدة واستبعادات مستوى القاعدة إلى الإعدادات الافتراضية لإدارة مجموعة القواعد الجديدة. ومع ذلك، ستظل أي قواعد مخصصة وإعدادات نهج واستبعادات عمومية غير متأثرة أثناء تعيين مجموعة القواعد الجديدة. ستحتاج إلى إعادة تعريف تجاوزات القواعد والتحقق من صحة التغييرات قبل النشر في بيئة إنتاج.

DRS 2.1

توفر قواعد DRS 2.1 حماية أفضل من الإصدارات السابقة من DRS. ويتضمن المزيد من القواعد التي طورها فريق التحليل الذكي للمخاطر من Microsoft وتحديثات للتواقيع لتقليل الإيجابيات الزائفة. كما أنه يدعم التحويلات التي تتجاوز مجرد فك ترميز URL.

يتضمن DRS 2.1 17 مجموعة قواعد، كما هو موضح في الجدول التالي. تحتوي كل مجموعة على قواعد متعددة، ويمكنك تخصيص سلوك القواعد الفردية أو مجموعات القواعد أو مجموعة القواعد بأكملها. تم وضع DRS 2.1 على أساس مجموعة القواعد الأساسية لمشروع أمان تطبيقات الويب المفتوح (OWASP) (CRS) 3.3.2 ويتضمن قواعد حماية إضافية خاصة تم تطويرها بواسطة فريق التحليل الذكي للمخاطر من Microsoft.

مجموعة القواعد اسم مجموعة القواعد ‏‏الوصف
عام عام المجموعة العامة
METHOD-ENFORCEMENT METHOD-ENFORCEMENT أساليب التأمين (PUT، PATCH)
PROTOCOL-ENFORCEMENT PROTOCOL-ENFORCEMENT الحماية من مشكلات البروتوكول والترميز
PROTOCOL-ATTACK PROTOCOL-ATTACK الحماية من إدخال الرأس وتهريب الطلب وتقسيم الاستجابة
APPLICATION-ATTACK-LFI LFI الحماية من هجمات الملفات والمسار
APPLICATION-ATTACK-RFI RFI الحماية من هجمات تضمين الملفات عن بُعد (RFI)
APPLICATION-ATTACK-RCE RCE الحماية من هجمات تنفيذ التعليمات البرمجية عن بعد مرة أخرى
APPLICATION-ATTACK-PHP PHP الحماية من هجمات حقن PHP
APPLICATION-ATTACK-NodeJS NODEJS الحماية من هجمات Node JS
APPLICATION-ATTACK-XSS XSS الحماية من هجمات البرمجة النصية عبر المواقع
APPLICATION-ATTACK-SQLI SQLI الحماية من هجمات إدخال SQL
APPLICATION-ATTACK-SESSION-FIXATION ضبط الحماية من هجمات إصلاح الجلسة
APPLICATION-ATTACK-SESSION-JAVA JAVA الحماية من هجمات JAVA
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells الحماية من هجمات Web shell
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec الحماية من هجمات AppSec
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI الحماية من هجمات SQLI
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs الحماية من هجمات CVE

OWASP CRS 3.2

يتضمن CRS 3.2 عدد 14 مجموعة قواعد، كما هو موضح في الجدول التالي. تحتوي كل مجموعة على قواعد متعددة، والتي يمكن تعطيلها. تستند مجموعة القواعد إلى إصدار OWASP CRS 3.2.0.

إشعار

يتوفر CRS 3.2 على WAF_v2 SKU فقط. نظرًا إلى أن CRS 3.2 يعمل على محرك Azure WAF الجديد، فلا يمكنك الرجوع إلى إصدار CRS 3.1 أو إصدار أقدم. إذا كنت تريد الرجوع إلى إصدار أقدم، فتواصل مع دعم Azure.

اسم مجموعة القواعد ‏‏الوصف
عام المجموعة العامة
KNOWN-CVES المساعدة في اكتشاف CVE الجديد والمعروف
REQUEST-911-METHOD-ENFORCEMENT أساليب التأمين (PUT، PATCH)
REQUEST-913-SCANNER-DETECTION الحماية من الماسحات الضوئية للمنافذ والبيئة
REQUEST-920-PROTOCOL-ENFORCEMENT الحماية من مشكلات البروتوكول والترميز
REQUEST-921-PROTOCOL-ATTACK الحماية من إدخال الرأس وتهريب الطلب وتقسيم الاستجابة
REQUEST-930-APPLICATION-ATTACK-LFI الحماية من هجمات الملفات والمسار
REQUEST-931-APPLICATION-ATTACK-RFI الحماية من هجمات تضمين الملفات عن بُعد (RFI)
REQUEST-932-APPLICATION-ATTACK-RCE الحماية من هجمات تنفيذ التعليمات البرمجية عن بعد مرة أخرى
REQUEST-933-APPLICATION-ATTACK-PHP الحماية من هجمات حقن PHP
REQUEST-941-APPLICATION-ATTACK-XSS الحماية من هجمات البرمجة النصية عبر المواقع
REQUEST-942-APPLICATION-ATTACK-SQLI الحماية من هجمات إدخال SQL
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION الحماية من هجمات إصلاح الجلسة
REQUEST-944-APPLICATION-ATTACK-JAVA الحماية من هجمات JAVA

OWASP CRS 3.1

يتضمن المعيار CRS 3.1 عدد 14 مجموعة قواعد، كما هو موضح في الجدول التالي. تحتوي كل مجموعة على قواعد متعددة، والتي يمكن تعطيلها. تستند مجموعة القواعد إلى إصدار OWASP CRS 3.1.1.

إشعار

يتوفر CRS 3.1 في WAF_v2 SKU فقط.

اسم مجموعة القواعد ‏‏الوصف
عام المجموعة العامة
KNOWN-CVES المساعدة في اكتشاف CVE الجديد والمعروف
REQUEST-911-METHOD-ENFORCEMENT أساليب التأمين (PUT، PATCH)
REQUEST-913-SCANNER-DETECTION الحماية من الماسحات الضوئية للمنافذ والبيئة
REQUEST-920-PROTOCOL-ENFORCEMENT الحماية من مشكلات البروتوكول والترميز
REQUEST-921-PROTOCOL-ATTACK الحماية من إدخال الرأس وتهريب الطلب وتقسيم الاستجابة
REQUEST-930-APPLICATION-ATTACK-LFI الحماية من هجمات الملفات والمسار
REQUEST-931-APPLICATION-ATTACK-RFI الحماية من هجمات تضمين الملفات عن بُعد (RFI)
REQUEST-932-APPLICATION-ATTACK-RCE الحماية من هجمات تنفيذ التعليمات البرمجية عن بعد مرة أخرى
REQUEST-933-APPLICATION-ATTACK-PHP الحماية من هجمات حقن PHP
REQUEST-941-APPLICATION-ATTACK-XSS الحماية من هجمات البرمجة النصية عبر المواقع
REQUEST-942-APPLICATION-ATTACK-SQLI الحماية من هجمات إدخال SQL
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION الحماية من هجمات إصلاح الجلسة
REQUEST-944-APPLICATION-ATTACK-SESSION-JAVA الحماية من هجمات JAVA

OWASP CRS 3.0

يتضمن CRS 3.0 عدد 13 مجموعة قواعد، كما هو موضح في الجدول التالي. تحتوي كل مجموعة على قواعد متعددة، والتي يمكن تعطيلها. تستند مجموعة القواعد إلى إصدار OWASP CRS 3.0.0.

اسم مجموعة القواعد ‏‏الوصف
عام المجموعة العامة
KNOWN-CVES المساعدة في اكتشاف CVE الجديد والمعروف
REQUEST-911-METHOD-ENFORCEMENT أساليب التأمين (PUT، PATCH)
REQUEST-913-SCANNER-DETECTION الحماية من الماسحات الضوئية للمنافذ والبيئة
REQUEST-920-PROTOCOL-ENFORCEMENT الحماية من مشكلات البروتوكول والترميز
REQUEST-921-PROTOCOL-ATTACK الحماية من إدخال الرأس وتهريب الطلب وتقسيم الاستجابة
REQUEST-930-APPLICATION-ATTACK-LFI الحماية من هجمات الملفات والمسار
REQUEST-931-APPLICATION-ATTACK-RFI الحماية من هجمات تضمين الملفات عن بُعد (RFI)
REQUEST-932-APPLICATION-ATTACK-RCE الحماية من هجمات تنفيذ التعليمات البرمجية عن بعد مرة أخرى
REQUEST-933-APPLICATION-ATTACK-PHP الحماية من هجمات حقن PHP
REQUEST-941-APPLICATION-ATTACK-XSS الحماية من هجمات البرمجة النصية عبر المواقع
REQUEST-942-APPLICATION-ATTACK-SQLI الحماية من هجمات إدخال SQL
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION الحماية من هجمات إصلاح الجلسة

OWASP CRS 2.2.9

يتضمن المعيار CRS 2.2.9 عدد 10 مجموعات قواعد، كما هو موضح في الجدول التالي. تحتوي كل مجموعة على قواعد متعددة، والتي يمكن تعطيلها.

إشعار

لم يعد CRS 2.2.9 مدعومًا لنهج WAF الجديدة. نوصي بالترقية إلى أحدث CRS 3.2/DRS 2.1 والإصدارات الأحدث.

اسم مجموعة القواعد ‏‏الوصف
crs_20_protocol_violations الحماية من انتهاكات البروتوكول (مثل الأحرف غير الصالحة أو GET مع نص الطلب)
crs_21_protocol_anomalies الحماية من معلومات الرأس غير الصحيحة
crs_23_request_limits الحماية من الوسيطات أو الملفات التي تتجاوز الحدود
crs_30_http_policy الحماية من الأساليب والرؤوس وأنواع الملفات المقيدة
crs_35_bad_robots الحماية من برامج زحف الويب والماسحات الضوئية
crs_40_generic_attacks الحماية من الهجمات العامة (مثل تثبيت الجلسة وإدراج الملفات عن بُعد وإدخال PHP)
crs_41_sql_injection_attacks الحماية من هجمات إدخال SQL
crs_41_xss_attacks الحماية من هجمات البرمجة النصية عبر المواقع
crs_42_tight_security الحماية من هجمات اجتياز المسار
crs_45_trojans الحماية من أحصنة طروادة مستترة

Bot Manager 1.0

توفر مجموعة قواعد Bot Manager 1.0 الحماية من الروبوتات الضارة والكشف عن الروبوتات الجيدة. توفر القواعد تحكما دقيقا في الروبوتات التي تم اكتشافها بواسطة WAF عن طريق تصنيف نسبة استخدام الشبكة للروبوت على أنها روبوتات جيدة أو سيئة أو غير معروفة.

مجموعة القواعد ‏‏الوصف
BadBots الحماية من الدردشات الآلية السيئة
GoodBots تحديد الدردشات الآلية الجيدة
UnknownBots تحديد الدردشات الآلية غير المعروفة

Bot Manager 1.1

تعد مجموعة قواعد Bot Manager 1.1 تحسينا لمجموعة قواعد Bot Manager 1.0. يوفر حماية محسنة ضد الروبوتات الضارة، ويزيد من اكتشاف الروبوت الجيد.

مجموعة القواعد ‏‏الوصف
BadBots الحماية من الدردشات الآلية السيئة
GoodBots تحديد الدردشات الآلية الجيدة
UnknownBots تحديد الدردشات الآلية غير المعروفة

تتوفر مجموعات القواعد والقواعد التالية عند استخدام Web Application Firewall على Application Gateway.

مجموعات قواعد 2.1

عام

معرّف القاعدة ‏‏الوصف
200002 تعذر تحليل نص الطلب.
200003 فشل نص الطلب متعدد الأحزاب في التحقق الصارم من الصحة

إنفاذ الأسلوب

معرّف القاعدة ‏‏الوصف
911100 الأسلوب غير مسموح به من قبل النهج

PROTOCOL-ENFORCEMENT

معرّف القاعدة ‏‏الوصف
920100 سطر طلب HTTP غير صحيح
920120 محاولة تجاوز بيانات متعددة الأجزاء/النموذج
920121 محاولة تجاوز بيانات متعددة الأجزاء/النموذج
920160 رأس HTTP طول المحتوى غير رقمي.
920170 طلب GET أو HEAD مع محتوى النص.
920171 طلب GET أو HEAD مع ترميز النقل.
920180 يفتقد طلب POST رأس طول المحتوى.
920181 رؤوس طول المحتوى وترميز النقل موجودة 99001003
920190 النطاق: قيمة البايت الأخير غير صحيحة.
920200 النطاق: عدد كبير للغاية من الحقول (6 أو أكثر)
920201 النطاق: عدد كبير للغاية من الحقول لطلب pdf (35 أو أكثر)
920210 تم العثور على بيانات رأس اتصال متعددة/متعارضة.
920220 محاولة هجوم إساءة استخدام ترميز URL
920230 تم اكتشاف ترميز URL متعدد
920240 محاولة هجوم إساءة استخدام ترميز URL
920260 محاولة هجوم إساءة عرض كامل/نصف عرض من عرض Unicode
920270 حرف غير صحيح في الطلب (حرف فارغ)
920271 حرف غير صحيح في الطلب (أحرف غير قابلة للطباعة)
920280 طلب ينقصه عنوان المضيف
920290 عنوان مضيف فارغ
920300 طلب ينقصه رأس القبول
920310 طلب يتضمن رأس قبول فارغ
920311 طلب يتضمن رأس قبول فارغ
920320 عنوان العميل المستخدم مفقود
920330 عنوان العميل المستخدم فارغ
920340 طلب يحتوي على محتوى، ولكن رأس نوع المحتوى مفقود
920341 يتطلب الطلب الذي يحتوي على محتوى رأس نوع المحتوى
920350 عنوان المضيف هو عنوان IP رقمي
920420 لا يسمح النهج بنوع محتوى الطلب
920430 لا يسمح النهج بإصدار بروتوكول HTTP
920440 ملحق ملف URL مقيد بالنهج
920450 عنوان HTTP مقيد بالنهج
920470 رأس نوع محتوى غير قانوني
920480 طلب مجموعة نوع المحتوى غير مسموح به من قبل النهج
920500 محاولة الوصول إلى نسخة احتياطية أو ملف عمل

PROTOCOL-ATTACK

معرّف القاعدة ‏‏الوصف
921110 هجوم تهريب لطلب HTTP
921120 هجوم تقسيم لاستجابة HTTP
921130 هجوم تقسيم لاستجابة HTTP
921140 هجوم إدخال رأس HTTP عبر الرؤوس
921150 هجوم إدخال رأس HTTP عبر البيانات الأساسية (تم الكشف عن CR/LF)
921151 هجوم إدخال رأس HTTP عبر البيانات الأساسية (تم الكشف عن CR/LF)
921160 هجوم إدخال عنوان HTTP عبر البيانات الأساسية (تم الكشف عن CR/LF واسم العنوان)
921190 تقسيم HTTP (تم الكشف عن CR/LF في اسم ملف الطلب)
921200 هجوم إدخال PHP

LFI - تضمين الملف المحلي

معرّف القاعدة ‏‏الوصف
930100 هجوم اجتياز المسار (/../)
930110 هجوم اجتياز المسار (/../)
930120 محاولة الوصول إلى ملف نظام التشغيل
930130 محاولة الوصول المقيد إلى الملفات

RFI - تضمين الملفات عن بعد

معرّف القاعدة ‏‏الوصف
931100 الهجوم المحتمل لتضمين الملفات عن بُعد (RFI): معلمة URL باستخدام عنوان IP
931110 الهجوم المحتمل لتضمين الملفات عن بُعد (RFI): اسم المعلمة الضعيفة الشائع لـ RFI المستخدم مع بيانات URL الأساسية
931120 الهجوم المحتمل لتضمين الملفات عن بُعد (RFI): بيانات URL الأساسية المستخدمة مع لاحقة حرف علامة الاستفهام (؟)
931130 الهجوم المحتمل لتضمين الملفات عن بعد (RFI): ارتباط/مرجع خارج المجال

RCE - تنفيذ الأوامر عن بعد

معرّف القاعدة ‏‏الوصف
932100 تنفيذ الأمر عن بُعد: إدخال أمر Unix
932105 تنفيذ الأمر عن بُعد: إدخال أمر Unix
932110 تنفيذ الأمر عن بُعد: إدخال أمر Windows
932115 تنفيذ الأمر عن بُعد: إدخال أمر Windows
932120 تنفيذ الأمر عن بُعد: تم العثور على أمر Windows PowerShell
932130 تنفيذ الأمر عن بُعد: تم العثور على Unix Shell Expression أو Confluence Vulnerability (CVE-2022-26134)
932140 تنفيذ الأمر عن بُعد: تم العثور على أمر Windows FOR/IF
932150 تنفيذ الأمر عن بُعد: تنفيذ أمر Unix المباشر
932160 تنفيذ الأمر عن بُعد: تم العثور على تعليمات Unix Shell البرمجية
932170 تنفيذ الأوامر عن بعد: Shellshock (CVE-2014-6271)
932171 تنفيذ الأوامر عن بعد: Shellshock (CVE-2014-6271)
932180 محاولة تحميل ملف مقيد

هجمات PHP

معرّف القاعدة ‏‏الوصف
933100 هجوم إدخال PHP: تم العثور على علامة الفتح/الإغلاق
933110 هجوم إدخال PHP: تم العثور على تحميل ملف البرنامج النصي PHP
933120 هجوم إدخال PHP: تم العثور على توجيه التكوين
933130 هجوم حقن PHP: تم العثور على المتغيرات
933140 هجوم إدخال PHP: تم العثور على بث الإدخال/الإخراج
933150 هجوم إدخال PHP: تم العثور على اسم الدالة PHP عالية الخطورة
933151 هجوم إدخال PHP: تم العثور على اسم الدالة PHP متوسطة الخطورة
933160 هجوم حقن PHP: تم العثور على استدعاء الدالة PHP عالية الخطورة
933170 هجوم إدخال PHP: إدخال الكائن التسلسلي
933180 هجوم حقن PHP: تم العثور على استدعاء الدالة المتغيرة
933200 هجوم إدخال PHP: تم الكشف عن مخطط برنامج التضمين
933210 هجوم حقن PHP: تم العثور على استدعاء الدالة المتغيرة

هجمات JS للعقدة

معرّف القاعدة ‏‏الوصف
934100 هجوم حقن Node.js

XSS - البرمجة النصية عبر المواقع

معرّف القاعدة ‏‏الوصف
941100 تم الكشف عن هجوم XSS عبر libinjection
941101 تم الكشف عن هجوم XSS عبر libinjection.
تكتشف هذه القاعدة الطلبات ذات عنوان المرجع.
941110 عامل تصفية XSS - الفئة 1: متجه علامة البرنامج النصي
941120 عامل تصفية XSS - الفئة 2: متجه معالج الأحداث
941130 عامل تصفية XSS - الفئة 3: متجه السمة
941140 عامل تصفية XSS - الفئة 4: متجه JavaScript URI
941150 عامل تصفية XSS - الفئة 5: سمات HTML غير المسموح بها
941160 NoScript XSS InjectionChecker: إدخال HTML
941170 NoScript XSS InjectionChecker: إدخال السمة
941180 الكلمات الأساسية لقائمة مدقق العقدة السوداء
941190 XSS باستخدام أوراق الأنماط
941200 XSS باستخدام إطارات VML
941210 XSS باستخدام JavaScript غير المحدد
941220 XSS باستخدام البرنامج النصي VB غير المحدد
941230 XSS باستخدام علامة «تضمين»
941240 XSS باستخدام سمة «استيراد» أو «تنفيذ»
941250 عوامل تصفية IE XSS - تم الكشف عن الهجوم.
941260 XSS باستخدام علامة «meta»
941270 XSS باستخدام href «ارتباط»
941280 XSS باستخدام علامة «base»
941290 XSS باستخدام علامة «applet»
941300 XSS باستخدام علامة «object»
941310 عامل تصفية XSS لترميز مكوّن بشكل غير صحيح US-ASCII - تم الكشف عن الهجوم.
941320 تم الكشف عن هجوم XSS المحتمل - معالج علامات HTML
941330 عوامل تصفية IE XSS - تم الكشف عن الهجوم.
941340 عوامل تصفية IE XSS - تم الكشف عن الهجوم.
941350 IE XSS ترميز UTF-7 - تم الكشف عن الهجوم.
941360 تم الكشف عن تعتيم JavaScript.
941370 تم العثور على متغير JavaScript العمومي
941380 تم الكشف عن حقن قالب عميل AngularJS

SQLI - حقن SQL

معرّف القاعدة ‏‏الوصف
942100 تم الكشف عن هجوم إدخال SQL عبر libinjection
942110 هجوم إدخال SQL: تم الكشف عن اختبار الإدخال الشائع
942120 هجوم إدخال SQL: تم الكشف عن عامل تشغيل SQL
942130 هجوم إدخال SQL: تم الكشف عن حشو SQL.
942140 هجوم إدخال SQL: تم الكشف عن أسماء قاعدة البيانات الشائعة
942150 هجوم إدخال SQL
942160 الكشف عن اختبارات sqli الخفية باستخدام السكون () أو المعيار ().
942170 الكشف عن معيار SQL ومحاولات إدخال السكون بما في ذلك الاستعلامات الشرطية
942180 الكشف عن محاولات تجاوز مصادقة SQL الأساسية 1/3
942190 الكشف عن تنفيذ التعليمات البرمجية MSSQL ومحاولات جمع المعلومات
942200 الكشف عن الإدخالات غير المحددة لتعليق MySQL comment-/space- وإنهاء علامات الاقتباس النهائية
942210 الكشف عن محاولات إدخال SQL المتسلسلة 1/2
942220 البحث عن هجمات تجاوز عدد صحيح، ويتم أخذها من skipfish، باستثناء 3.0.00738585072007e-308 هو تعطل «الرقم السحري»
942230 الكشف عن محاولات إدخال SQL الشرطية
942240 الكشف عن مفتاح مجموعة أحرف MySQL ومحاولات MSSQL DoS
942250 الكشف عن التطابق مع الإدخال الفوري ودمجه وتنفيذه
942260 الكشف عن محاولات تجاوز مصادقة SQL الأساسية 2/3
942270 البحث عن إدخال sql الأساسية. سلسلة الهجوم الشائعة لـ mysql وoracle وغيرها.
942280 الكشف عن إدخال Postgres pg_sleep، وهجمات الانتظار للتأخير ومحاولات إيقاف تشغيل قاعدة البيانات
942290 البحث عن محاولات إدخال MongoDB SQL الأساسية
942300 يكشف عن تعليقات MySQL وشروطه وحقن ch(a)r
942310 الكشف عن محاولات إدخال SQL المتسلسلة 2/2
942320 الكشف عن إدخالات الإجراء/الوظيفة المخزنة في MySQL وPostgreSQL
942330 الكشف عن فحص إدخال SQL الكلاسيكي 1/2
942340 الكشف عن محاولات تجاوز مصادقة SQL الأساسية 3/3
942350 الكشف عن إدخال MySQL UDF ومحاولات معالجة البيانات/البنية الأخرى
942360 الكشف عن إدخال SQL الأساسية المتسلسلة ومحاولات SQLLFI
942361 الكشف عن إدخال SQL الأساسي استنادًا إلى اتحاد أو تغيير الكلمة الأساسية
942370 الكشف عن فحص إدخال SQL الكلاسيكي 2/2
942380 هجوم إدخال SQL
942390 هجوم إدخال SQL
942400 هجوم إدخال SQL
942410 هجوم إدخال SQL
942430 الكشف المقيّد عن أخطاء SQL في الأحرف (args): تم تجاوز # من عدد الأحرف الخاصة (12)
942440 تم الكشف عن تسلسل تعليق SQL
942450 تم تحديد ترميز SQL Hex
942460 تنبيه الكشف عن حالات أحرف التعريف الخارجة عن المألوف - أحرف متكررة ليست كلمات
942470 هجوم إدخال SQL
942480 هجوم إدخال SQL
942500 تم الكشف عن تعليق MySQL في سطر.
942510 محاولة تجاوز SQLi بواسطة علامات التجزئة أو الرموز الخلفية التي تم اكتشافها.

جلسات الإصلاح

معرّف القاعدة ‏‏الوصف
943100 الهجوم المحتمل لإصلاح الجلسة: تعيين قيم ملفات تعريف الارتباط في HTML
943110 هجوم محتمل لتثبيت جلسة العمل: اسم معلمة SessionID مع مرجع Off-Domain
943120 هجوم محتمل لتثبيت جلسة العمل: اسم معلمة SessionID مع مرجع Off-Domain

هجمات Java

معرّف القاعدة ‏‏الوصف
944100 تنفيذ الأمر عن بُعد: Apache Struts، وOracle WebLogic
944110 الكشف عن تنفيذ البيانات الأساسية المحتملة
944120 تنفيذ البيانات الأساسية المحتملة وتنفيذ الأمر عن بُعد
944130 فئات Java المشبوهة
944200 استغلال إلغاء تسلسل Java لـ Apache Commons
944210 الاستخدام المحتمل لإنشاء تسلسل Java
944240 تنفيذ الأمر عن بعد: تسلسل Java والثغرة الأمنية Log4j (CVE-2021-44228، CVE-2021-45046)
944250 تنفيذ الأمر عن بعد: تم الكشف عن أسلوب Java المشبوه

MS-ThreatIntel-WebShells

معرّف القاعدة ‏‏الوصف
99005002 محاولة تفاعل Web Shell (POST)
99005003 محاولة تحميل Web Shell (POST) - CHOPPER PHP
99005004 محاولة تحميل Web Shell (POST) - CHOPPER ASPX
99005005 محاولة تفاعل Web Shell
99005006 محاولة تفاعل Spring4Shell

MS-ThreatIntel-AppSec

معرّف القاعدة ‏‏الوصف
99030001 التهرب من اجتياز المسار في العناوين (/.././../)
99030002 التهرب من اجتياز المسار في نص الطلب (/.././../)

MS-ThreatIntel-SQLI

معرّف القاعدة ‏‏الوصف
99031001 هجوم إدخال SQL: تم الكشف عن اختبار الإدخال الشائع
99031002 تم الكشف عن تسلسل تعليق SQL.
99031003 هجوم إدخال SQL
99031004 الكشف عن محاولات تجاوز مصادقة SQL الأساسية 2/3

MS-ThreatIntel-CVEs

معرّف القاعدة ‏‏الوصف
99001001 محاولة استغلال واجهة برمجة تطبيقات REST لـ F5 tmui (CVE-2020-5902) باستخدام بيانات اعتماد معروفة
99001002 حاول Citrix NSC_USER الدليل اجتياز CVE-2019-19781
99001003 محاولة استغلال Atlassian Confluence Widget Connector CVE-2019-3396
99001004 محاولة استغلال القالب المخصص Pulse Secure CVE-2020-8243
99001005 محاولة استغلال محول نوع SharePoint CVE-2020-0932
99001006 محاولة اجتياز دليل Pulse Connect CVE-2019-11510
99001007 حاول تضمين ملف Junos OS J-Web المحلي CVE-2020-1631
99001008 محاولة اجتياز مسار Fortinet CVE-2018-13379
99001009 محاولة Apache تبختر حقن ognl CVE-2017-5638
99001010 محاولة Apache تبختر حقن ognl CVE-2017-12611
99001011 محاولة اجتياز مسار Oracle WebLogic CVE-2020-14882
99001012 محاولة استغلال إلغاء التسلسل غير الآمن ل Telerik WebUI CVE-2019-18935
99001013 محاولة إلغاء تسلسل XML غير الآمن ل SharePoint CVE-2019-0604
99001014 محاولة حقن تعبير توجيه Spring Cloud CVE-2022-22963
99001015 محاولة استغلال عنصر فئة Spring Framework غير الآمن CVE-2022-22965
99001016 محاولة حقن Spring Cloud Gateway Actuator CVE-2022-22947
99001017* محاولة استغلال تحميل ملف Apache Struts CVE-2023-50164

*يتم تعيين إجراء هذه القاعدة إلى تسجيل بشكل افتراضي. تعيين الإجراء إلى حظر لمنع الثغرة الأمنية ضد Apache Struts. Anomaly Score غير مدعوم لهذه القاعدة.

إشعار

عند مراجعة سجلات WAF، قد ترى معرف القاعدة 949110. قد يتضمن وصف القاعدة تجاوز درجة الأمور الخارجة عن المألوف الواردة.

تشير هذه القاعدة إلى أن إجمالي قياس الأمور الخارجة عن المألوف للطلب تجاوزت الحد الأقصى للنقاط المسموح بها. لمزيد من المعلومات، اطلع على قياس الأمور الخارجة عن المألوف.

الخطوات التالية