Skupiny pravidel a pravidla firewallu webových aplikací pro službu DRS a CRS
Článek
Sady pravidel spravovaných Azure v firewallu webových aplikací služby Application Gateway (WAF) aktivně chrání webové aplikace před běžnými ohroženími zabezpečení a zneužitím. Tyto sady pravidel, které spravuje Azure, obdrží aktualizace podle potřeby, aby se hlídaly před novými podpisy útoků. Výchozí sada pravidel také zahrnuje pravidla kolekce Microsoft Threat Intelligence. Tým Microsoft Intelligence spolupracuje na psaní těchto pravidel, zajišťuje lepší pokrytí, konkrétní opravy ohrožení zabezpečení a vylepšené snížení falešně pozitivních výsledků.
Máte také možnost použít pravidla definovaná na základě základních sad pravidel OWASP 3.2, 3.1, 3.0 nebo 2.2.9.
Pravidla můžete zakázat jednotlivě nebo pro každé pravidlo nastavit konkrétní akce. Tento článek obsahuje seznam aktuálních pravidel a dostupných sad pravidel. Pokud publikovaná sada pravidel vyžaduje aktualizaci, dokumentujeme ji tady.
Poznámka:
Při změně verze sady pravidel v zásadách WAF se všechna existující přizpůsobení, která jste provedli v sadě pravidel, resetují na výchozí hodnoty nové sady pravidel. Viz: Upgrade nebo změna verze sady pravidel.
Výchozí sady pravidel
Výchozí sada pravidel spravovaná v Azure (DRS) obsahuje pravidla pro následující kategorie hrozeb:
Skriptování mezi weby
Útoky v Javě
Zahrnutí místních souborů
Útoky prostřednictvím injektáže PHP
Vzdálené spuštění příkazu
Zahrnutí vzdálených souborů
Fixace relace
Ochrana před útoky prostřednictvím injektáže SQL.
Útočníci protokolu při přidání nových podpisů útoku do sady pravidel zvýší číslo verze DRS.
Pravidla kolekce Microsoft Threat Intelligence
Pravidla shromažďování hrozeb Společnosti Microsoft jsou napsána ve spolupráci s týmem Microsoft Threat Intelligence, která poskytují zvýšené pokrytí, opravy konkrétních ohrožení zabezpečení a lepší falešně pozitivní snížení.
Poznámka:
Při zahájení práce s waF ve službě Application Gateway použijte následující doprovodné materiály k ladění WAF ve službě Application Gateway. Podrobnosti o pravidlech jsou popsány dále.
ID pravidla
Skupina pravidel
Popis
Detaily
942110
SQLI
Útok prostřednictvím injektáže SQL: Zjistilo se běžné testování injektáže
Zakázat, nahrazeno pravidlem MSTIC 99031001
942150
SQLI
Útok prostřednictvím injektáže SQL
Zakázat, nahrazeno pravidlem MSTIC 99031003
942260
SQLI
Zjistí pokusy o obejití základního ověřování SQL 2/3.
Zakázat, nahrazeno pravidlem MSTIC 99031004
942430
SQLI
Omezená detekce anomálií znaků SQL (args): počet překročení počtu speciálních znaků (12)
Zakažte, příliš mnoho falešně pozitivních výsledků.
942440
SQLI
Zjištěná sekvence komentářů SQL
Zakázat, nahrazeno pravidlem MSTIC 99031002
99005006
MS-ThreatIntel-WebShells
Pokus o interakci Spring4Shellu
Nechte pravidlo povolené, aby se zabránilo ohrožení zabezpečení SpringShellu.
Nechte pravidlo povolené, aby se zabránilo ohrožení zabezpečení SpringShellu.
99001017
MS-ThreatIntel-CVEs
Pokus o nahrání souboru Apache Struts – cve-2023-50164
Nastavte akci na Blokování, abyste zabránili ohrožení zabezpečení Apache Struts. Skóre anomálií není pro toto pravidlo podporováno.
Základní sady pravidel
WaF služby Application Gateway je ve výchozím nastavení předem nakonfigurovaný s CRS 3.2, ale můžete se rozhodnout použít jakoukoli jinou podporovanou verzi CRS.
CRS 3.2 nabízí nový modul a nové sady pravidel, které chrání před injektážemi Java, počáteční sadou kontrol nahrávání souborů a méně falešně pozitivních výsledků v porovnání s dřívějšími verzemi CRS. Můžete také přizpůsobit pravidla tak, aby vyhovovala vašim potřebám. Přečtěte si další informace o novém modulu Azure WAF.
WAF chrání před následujícími ohroženími zabezpečení webu:
Útoky prostřednictvím injektáže SQL
Útoky skriptování mezi weby
Další běžné útoky, jako je injektáž příkazů, pašování požadavků HTTP, rozdělení odpovědí HTTP a vzdálené zahrnutí souborů
Porušení protokolu HTTP
Anomálie protokolu HTTP, například chybějící uživatelský agent hostitele a hlavičky pro příjem
Roboty, prohledávací moduly a skenery
Běžné chybné konfigurace aplikací (například Apache a IIS)
Ladění spravovaných sad pravidel
Služba DRS i CRS jsou ve výchozím nastavení povolená v režimu detekce ve vašich zásadách WAF. Můžete zakázat nebo povolit jednotlivá pravidla v rámci sady spravovaných pravidel tak, aby splňovala požadavky vaší aplikace. Pro každé pravidlo můžete také nastavit konkrétní akce. DrS/CRS podporuje akce blokového, protokolu a skóre anomálií. Sada pravidel Bot Manageru podporuje akce povolení, blokování a protokolování.
Někdy může být potřeba vynechat některé atributy požadavku z vyhodnocení WAF. Běžným příkladem jsou tokeny vložené službou Active Directory, které se používají k ověřování. Můžete nakonfigurovat vyloučení, která se použijí při vyhodnocování konkrétních pravidel WAF, nebo použít globálně pro vyhodnocení všech pravidel WAF. Pravidla vyloučení platí pro celou webovou aplikaci. Další informace najdete v tématu Firewall webových aplikací (WAF) se seznamy vyloučení služby Application Gateway.
Ve výchozím nastavení používá DRS verze 2.1 / CRS verze 3.2 a vyšší vyhodnocování anomálií, když požadavek odpovídá pravidlu. CRS 3.1 a níže blokuje ve výchozím nastavení odpovídající požadavky. Kromě toho je možné vlastní pravidla nakonfigurovat ve stejné zásadě WAF, pokud chcete obejít některá z předkonfigurovaných pravidel v základní sadě pravidel.
Vlastní pravidla se vždy použijí před vyhodnocením pravidel v základní sadě pravidel. Pokud požadavek odpovídá vlastnímu pravidlu, použije se odpovídající akce pravidla. Požadavek se buď zablokuje, nebo se předává do back-endu. Nezpracují se žádná jiná vlastní pravidla ani pravidla v základní sadě pravidel.
Bodování anomálií
Pokud používáte CRS nebo DRS 2.1 a novější, je waF nakonfigurovaný tak, aby ve výchozím nastavení používal vyhodnocování anomálií. Provoz, který odpovídá jakémukoli pravidlu, se okamžitě neblokuje, ani když je váš WAF v režimu prevence. Místo toho sady pravidel OWASP definují závažnost pro každé pravidlo: Kritické, Chyba, Upozornění nebo Oznámení. Závažnost ovlivňuje číselnou hodnotu požadavku, která se nazývá skóre anomálií:
Závažnost pravidla
Hodnota přispěla ke skóre anomálií
Kritické
5
Chyba
4
Upozorňující
3
Upozornění:
2
Pokud je skóre anomálií 5 nebo vyšší a WAF je v režimu prevence, požadavek se zablokuje. Pokud je skóre anomálií 5 nebo vyšší a WAF je v režimu detekce, zaprotokoluje se požadavek, ale není zablokovaný.
Například jedna shoda kritického pravidla stačí, aby WAF zablokovala požadavek v režimu prevence, protože celkové skóre anomálií je 5. Jedno pravidlo upozornění ale pouze zvyšuje skóre anomálií o 3, což nestačí k blokování provozu. Při aktivaci pravidla anomálií se v protokolech zobrazí akce Odpovídající. Pokud je skóre anomálií 5 nebo vyšší, aktivuje se samostatné pravidlo s akcí "Blokováno" nebo "Zjištěno" v závislosti na tom, jestli jsou zásady WAF v režimu prevence nebo detekce. Další informace najdete v režimu bodování anomálií.
Upgrade nebo změna verze sady pravidel
Pokud upgradujete nebo přiřazujete novou verzi sady pravidel a chcete zachovat stávající přepsání a vyloučení pravidel, doporučujeme použít PowerShell, rozhraní příkazového řádku, rozhraní REST API nebo šablony k provádění změn verze sady pravidel. Nová verze sady pravidel může obsahovat novější pravidla, další skupiny pravidel a můžou mít aktualizace stávajících podpisů, které vynucují lepší zabezpečení a snižují falešně pozitivní výsledky. Doporučuje se ověřit změny v testovacím prostředí, vyladit je v případě potřeby a pak nasadit v produkčním prostředí.
Poznámka:
Pokud k přiřazení nové spravované sady pravidel k zásadám WAF používáte Azure Portal, všechny předchozí vlastní nastavení ze stávající sady spravovaných pravidel, jako je stav pravidla, akce pravidel a vyloučení na úrovni pravidel, se resetují na výchozí hodnoty nové sady spravovaných pravidel. Všechna vlastní pravidla, nastavení zásad a globální vyloučení však nebudou během přiřazování nové sady pravidel ovlivněna. Před nasazením v produkčním prostředí budete muset před nasazením pravidla předefinovat přepsání a ověřit změny.
DRS 2.1
Pravidla DRS 2.1 nabízejí lepší ochranu než starší verze DRS. Obsahuje další pravidla vyvinutá týmem Microsoft Threat Intelligence a aktualizacemi podpisů, aby se snížil počet falešně pozitivních výsledků. Podporuje také transformace nad rámec dekódování adresy URL.
DrS 2.1 obsahuje 17 skupin pravidel, jak je znázorněno v následující tabulce. Každá skupina obsahuje více pravidel a můžete přizpůsobit chování jednotlivých pravidel, skupin pravidel nebo celé sady pravidel. DrS 2.1 je směrný plán od základní sady základních pravidel OWASP (Open Web Application Security Project) 3.3.2 (CRS) a obsahuje další proprietární pravidla ochrany vyvinutá týmem Microsoft Threat Intelligence.
CRS 3.2 obsahuje 14 skupin pravidel, jak je znázorněno v následující tabulce. Každá skupina obsahuje více pravidel, která je možné zakázat. Sada pravidel je založená na verzi OWASP CRS 3.2.0.
Poznámka:
CRS 3.2 je k dispozici pouze na WAF_v2 SKU. Vzhledem k tomu, že CRS 3.2 běží na novém modulu Azure WAF, nemůžete downgradovat na CRS 3.1 nebo starší. Pokud potřebujete downgradovat, obraťte se na podporu Azure.
CRS 3.1 obsahuje 14 skupin pravidel, jak je znázorněno v následující tabulce. Každá skupina obsahuje více pravidel, která je možné zakázat. Sada pravidel je založená na verzi OWASP CRS 3.1.1.
CRS 3.0 obsahuje 13 skupin pravidel, jak je znázorněno v následující tabulce. Každá skupina obsahuje více pravidel, která je možné zakázat. Sada pravidel je založená na verzi OWASP CRS 3.0.0.
Sada pravidel Bot Manageru 1.0 poskytuje ochranu před škodlivými roboty a detekcí dobrých robotů. Pravidla poskytují podrobnou kontrolu nad roboty zjištěnými WAF tím, že kategorizují provoz robota jako dobrý, chybný nebo neznámý robot.
Sada pravidel Bot Manageru 1.1 je vylepšení sady pravidel Bot Manageru 1.0. Poskytuje vylepšenou ochranu před škodlivými roboty a zvyšuje dobrou detekci robotů.
Pokus o nahrání souboru Apache Struts – cve-2023-50164
*Akce tohoto pravidla je ve výchozím nastavení nastavená na protokolování. Nastavte akci na Blokování, abyste zabránili ohrožení zabezpečení Apache Struts. Skóre anomálií není pro toto pravidlo podporováno.
Poznámka:
Při kontrole protokolů WAF se může zobrazit ID pravidla 949110. Popis pravidla může zahrnovat překročení skóre příchozí anomálie.
Toto pravidlo označuje, že celkové skóre anomálií požadavku překročilo maximální povolené skóre. Další informace najdete v tématu Bodování anomálií.
*Akce tohoto pravidla je ve výchozím nastavení nastavená na protokolování. Nastavte akci na Blokování, abyste zabránili ohrožení zabezpečení Apache Struts. Skóre anomálií není pro toto pravidlo podporováno.
REQUEST-911-METHOD-ENFORCEMENT
RuleId
Popis
911100
Zásada nepovoluje metodu
REQUEST-913-SCANNER-DETECTION
RuleId
Popis
913100
Zjistilo se, že uživatelský agent přidružený ke skeneru zabezpečení
913101
Zjistilo se, že uživatelský agent přidružený ke skriptování nebo obecnému klientovi HTTP
913102
Zjistil se uživatelský agent přidružený k prohledávacímu modulu nebo robotovi webu.
913110
Byla nalezena hlavička požadavku přidružená ke skeneru zabezpečení.
913120
Byl nalezen název souboru požadavku nebo argument přidružený ke skeneru zabezpečení.
REQUEST-920-PROTOCOL-ENFORCEMENT
RuleId
Popis
920100
Neplatný řádek požadavku HTTP
920120
Pokus o obejití více částí nebo dat formulářů
920121
Pokus o obejití více částí nebo dat formulářů
920160
Hlavička HTTP pro délku obsahu není číselná.
920170
GET nebo HEAD Request with body content.
920171
GET nebo HEAD Request with Transfer-Encoding.
920180
Požadavek POST chybí hlavička Content-Length.
920190
Rozsah: Neplatná hodnota posledního bajtu.
920200
Rozsah: Příliš mnoho polí (6 nebo více)
920201
Rozsah: Příliš mnoho polí pro požadavek pdf (35 nebo více)
920202
Rozsah: Příliš mnoho polí pro požadavek PDF (6 nebo více)
920210
Byla nalezena data záhlaví více nebo konfliktních připojení.
920220
Pokus o útok na zneužití kódování adresy URL
920230
Bylo zjištěno více kódování adres URL.
920240
Pokus o útok na zneužití kódování adresy URL
920250
Pokus o útok na zneužití kódování UTF8
920260
Pokus o útok na zneužití s plnou šířkou unicode
920270
Neplatný znak v požadavku (znak null)
920271
Neplatný znak v požadavku (netisknutelné znaky)
920272
Neplatný znak v požadavku (mimo tisknutelné znaky pod ascii 127)
920273
Neplatný znak v požadavku (mimo velmi striktní sadu)
920274
Neplatný znak v hlavičkách požadavku (mimo velmi striktní sadu)
920280
Požadavek chybí hlavička hostitele.
920290
Prázdná hlavička hostitele
920300
Požadavek chybí hlavička Accept
920310
Požadavek má prázdnou hlavičku Accept
920311
Požadavek má prázdnou hlavičku Accept
920320
Chybějící hlavička uživatelského agenta
920330
Prázdná hlavička uživatelského agenta
920340
Požadavek obsahující obsah, ale chybí hlavička Content-Type
920341
Požadavek obsahující obsah vyžaduje hlavičku Content-Type.
920350
Hlavička hostitele je číselná IP adresa.
920420
Zásady nepovolují typ obsahu požadavku
920430
Verze protokolu HTTP není povolená zásadami
920440
Zásady omezují příponu souboru URL.
920450
Hlavička HTTP je omezena zásadami (%{MATCHED_VAR}).
920460
Neobvyklé řídicí znaky
920470
Neplatná hlavička Content-Type
920480
Omezení parametru charset v hlavičce content-type
REQUEST-921-PROTOCOL-ATTACK
RuleId
Popis
921110
Útok na pašování požadavků HTTP
921120
HTTP Response Splitting Attack
921130
HTTP Response Splitting Attack
921140
Útok prostřednictvím injektáže hlaviček HTTP prostřednictvím hlaviček
921150
Útok prostřednictvím injektáže hlaviček HTTP prostřednictvím datové části (zjištěný CR/LF)
921151
Útok prostřednictvím injektáže hlaviček HTTP prostřednictvím datové části (zjištěný CR/LF)
921160
Útok prostřednictvím injektáže hlaviček HTTP přes datovou část (zjištěný CR/LF a název hlavičky)
921170
Znečištění parametrů HTTP
921180
Znečištění parametrů HTTP (%{TX.1})
REQUEST-930-APPLICATION-ATTACK-LFI
RuleId
Popis
930100
Útok procházení cesty (/.). /)
930110
Útok procházení cesty (/.). /)
930120
Pokus o přístup k souborům operačního systému
930130
Pokus o přístup k souborům s omezeným přístupem
REQUEST-931-APPLICATION-ATTACK-RFI
RuleId
Popis
931100
Možný útok na zahrnutí vzdálených souborů (RFI): Parametr adresy URL s použitím IP adresy
931110
Možný útok na zahrnutí vzdálených souborů (RFI): Běžný název ohrožených parametrů RFI, který používá datovou část w/URL
931120
Možný útok na zahrnutí vzdálených souborů (RFI): Datová část adresy URL použitá pomocí znaku otazníku (?)
931130
Možný útok na zahrnutí vzdálených souborů (RFI): Odkaz na mimo doménu nebo odkaz
REQUEST-932-APPLICATION-ATTACK-RCE
RuleId
Popis
932100
Vzdálené spuštění příkazu: Injektáž příkazů systému Unix
932105
Vzdálené spuštění příkazu: Injektáž příkazů systému Unix
932106
Vzdálené spuštění příkazu: Injektáž příkazů systému Unix
932110
Vzdálené spuštění příkazu: Injektáž příkazů systému Windows
932115
Vzdálené spuštění příkazu: Injektáž příkazů systému Windows
932120
Vzdálené spuštění příkazu: Byl nalezen příkaz Windows PowerShellu.
932130
Vzdálené spuštění příkazu: Ohrožení zabezpečení z hlediska výrazu prostředí Unix nebo confluence (CVE-2022-26134) nebo Text4Shell (CVE-2022-42889) Nalezeno
932140
Vzdálené spuštění příkazu: Byl nalezen příkaz Windows FOR/IF.
932150
Vzdálené spuštění příkazu: Přímé spouštění příkazů systému Unix
932160
Vzdálené spuštění příkazu: Byl nalezen kód prostředí Unix
*Starší WAF se systémem CRS 3.1 podporují pro toto pravidlo pouze režim protokolování. Pokud chcete povolit režim blokování, budete muset upgradovat na novější verzi sady pravidel.
REQUEST-911-METHOD-ENFORCEMENT
RuleId
Popis
911100
Zásada nepovoluje metodu
REQUEST-913-SCANNER-DETECTION
RuleId
Popis
913100
Zjistilo se, že uživatelský agent přidružený ke skeneru zabezpečení
913101
Zjistilo se, že uživatelský agent přidružený ke skriptování nebo obecnému klientovi HTTP
913102
Zjistil se uživatelský agent přidružený k prohledávacímu modulu nebo robotovi webu.
913110
Byla nalezena hlavička požadavku přidružená ke skeneru zabezpečení.
913120
Byl nalezen název souboru požadavku nebo argument přidružený ke skeneru zabezpečení.
REQUEST-920-PROTOCOL-ENFORCEMENT
RuleId
Popis
920100
Neplatný řádek požadavku HTTP
920120
Pokus o obejití více částí nebo dat formulářů
920121
Pokus o obejití více částí nebo dat formulářů
920130
Analýza textu požadavku se nezdařila.
920140
Text žádosti s více částmi selhal s přísným ověřením.
920160
Hlavička HTTP pro délku obsahu není číselná.
920170
GET nebo HEAD Request with body content.
920171
GET nebo HEAD Request with Transfer-Encoding.
920180
Požadavek POST chybí hlavička Content-Length.
920190
Range = Neplatná hodnota posledního bajtu.
920200
Rozsah = Příliš mnoho polí (6 nebo více)
920201
Rozsah = Příliš mnoho polí pro požadavek PDF (35 nebo více)
920202
Rozsah = Příliš mnoho polí pro požadavek PDF (6 nebo více)
920210
Byla nalezena data záhlaví více nebo konfliktních připojení.
920220
Pokus o útok na zneužití kódování adresy URL
920230
Bylo zjištěno více kódování adres URL.
920240
Pokus o útok na zneužití kódování adresy URL
920250
Pokus o útok na zneužití kódování UTF8
920260
Pokus o útok na zneužití s plnou šířkou unicode
920270
Neplatný znak v požadavku (znak null)
920271
Neplatný znak v požadavku (netisknutelné znaky)
920272
Neplatný znak v požadavku (mimo tisknutelné znaky pod ascii 127)
920273
Neplatný znak v požadavku (mimo velmi striktní sadu)
920274
Neplatný znak v hlavičkách požadavku (mimo velmi striktní sadu)
920280
Požadavek chybí hlavička hostitele.
920290
Prázdná hlavička hostitele
920300
Požadavek chybí hlavička Accept
920310
Požadavek má prázdnou hlavičku Accept
920311
Požadavek má prázdnou hlavičku Accept
920320
Chybějící hlavička uživatelského agenta
920330
Prázdná hlavička uživatelského agenta
920340
Požadavek obsahující obsah, ale chybí hlavička Content-Type
920341
Požadavek obsahující obsah vyžaduje hlavičku Content-Type.
920350
Hlavička hostitele je číselná IP adresa.
920420
Zásady nepovolují typ obsahu požadavku
920430
Verze protokolu HTTP není povolená zásadami
920440
Zásady omezují příponu souboru URL.
920450
Hlavička HTTP je omezena zásadami (%@{MATCHED_VAR}).
920460
Neobvyklé řídicí znaky
920470
Neplatná hlavička Content-Type
920480
Omezení parametru charset v hlavičce content-type
REQUEST-921-PROTOCOL-ATTACK
RuleId
Popis
921110
Útok na pašování požadavků HTTP
921120
HTTP Response Splitting Attack
921130
HTTP Response Splitting Attack
921140
Útok prostřednictvím injektáže hlaviček HTTP prostřednictvím hlaviček
921150
Útok prostřednictvím injektáže hlaviček HTTP prostřednictvím datové části (zjištěný CR/LF)
921151
Útok prostřednictvím injektáže hlaviček HTTP prostřednictvím datové části (zjištěný CR/LF)
921160
Útok prostřednictvím injektáže hlaviček HTTP přes datovou část (zjištěný CR/LF a název hlavičky)
921170
Znečištění parametrů HTTP
921180
Znečištění parametrů HTTP (%{TX.1})
REQUEST-930-APPLICATION-ATTACK-LFI
RuleId
Popis
930100
Útok procházení cesty (/.). /)
930110
Útok procházení cesty (/.). /)
930120
Pokus o přístup k souborům operačního systému
930130
Pokus o přístup k souborům s omezeným přístupem
REQUEST-931-APPLICATION-ATTACK-RFI
RuleId
Popis
931100
Možný útok na zahrnutí vzdálených souborů (RFI) = parametr adresy URL pomocí IP adresy
931110
Možný útok na zahrnutí vzdálených souborů (RFI) = běžný název zranitelného parametru RFI použitý s datovou částí adresy URL
931120
Možný útok na zahrnutí vzdálených souborů (RFI) = datová část adresy URL použitá pomocí znaku otazníku (?)
931130
Možný útok na zahrnutí vzdálených souborů (RFI) = odkaz na mimo doménu nebo odkaz
REQUEST-932-APPLICATION-ATTACK-RCE
RuleId
Popis
932100
Vzdálené spuštění příkazu: Injektáž příkazů systému Unix
932105
Vzdálené spuštění příkazu: Injektáž příkazů systému Unix
932106
Vzdálené spuštění příkazu: Injektáž příkazů systému Unix
932110
Vzdálené spuštění příkazu: Injektáž příkazů systému Windows
932115
Vzdálené spuštění příkazu: Injektáž příkazů systému Windows
932120
Vzdálené spuštění příkazu = Nalezen příkaz Windows PowerShellu
932130
Vzdálené spuštění příkazu: Ohrožení zabezpečení z hlediska výrazu prostředí Unix nebo confluence (CVE-2022-26134) nebo Text4Shell (CVE-2022-42889) Nalezeno
932140
Vzdálené spuštění příkazu = Nalezen příkaz WINDOWS FOR/IF
932150
Vzdálené spuštění příkazu: Přímé spouštění příkazů systému Unix
932160
Vzdálené spuštění příkazu = Nalezen kód prostředí Unix
Pokus o injektáž směrování a výrazu Spring Cloudu – CVE-2022-22963
800112
Pokus o zneužití nebezpečných objektů třídy Spring Framework - CVE-2022-22965
800113
Pokus o injektáž poháněcího zařízení brány Spring Cloud – CVE-2022-22947
REQUEST-911-METHOD-ENFORCEMENT
RuleId
Popis
911100
Zásada nepovoluje metodu
REQUEST-913-SCANNER-DETECTION
RuleId
Popis
913100
Zjistilo se, že uživatelský agent přidružený ke skeneru zabezpečení
913110
Byla nalezena hlavička požadavku přidružená ke skeneru zabezpečení.
913120
Byl nalezen název souboru požadavku nebo argument přidružený ke skeneru zabezpečení.
913101
Zjistilo se, že uživatelský agent přidružený ke skriptování nebo obecnému klientovi HTTP
913102
Zjistil se uživatelský agent přidružený k prohledávacímu modulu nebo robotovi webu.
REQUEST-920-PROTOCOL-ENFORCEMENT
RuleId
Popis
920100
Neplatný řádek požadavku HTTP
920130
Analýza textu požadavku se nezdařila.
920140
Text žádosti s více částmi selhal s přísným ověřením.
920160
Hlavička HTTP pro délku obsahu není číselná.
920170
GET nebo HEAD Request with body content.
920180
Požadavek POST chybí hlavička Content-Length.
920190
Range = Neplatná hodnota posledního bajtu.
920210
Byla nalezena data záhlaví více nebo konfliktních připojení.
920220
Pokus o útok na zneužití kódování adresy URL
920240
Pokus o útok na zneužití kódování adresy URL
920250
Pokus o útok na zneužití kódování UTF8
920260
Pokus o útok na zneužití s plnou šířkou unicode
920270
Neplatný znak v požadavku (znak null)
920280
Požadavek chybí hlavička hostitele.
920290
Prázdná hlavička hostitele
920310
Požadavek má prázdnou hlavičku Accept
920311
Požadavek má prázdnou hlavičku Accept
920330
Prázdná hlavička uživatelského agenta
920340
Požadavek obsahující obsah, ale chybí hlavička Content-Type
920350
Hlavička hostitele je číselná IP adresa.
920380
Příliš mnoho argumentů v požadavku
920360
Název argumentu je příliš dlouhý.
920370
Hodnota argumentu je příliš dlouhá.
920390
Byla překročena celková velikost argumentů.
920400
Nahraná velikost souboru je příliš velká.
920410
Celková velikost nahraných souborů je příliš velká
920420
Zásady nepovolují typ obsahu požadavku
920430
Verze protokolu HTTP není povolená zásadami
920440
Zásady omezují příponu souboru URL.
920450
Hlavička HTTP je omezena zásadami (%@{MATCHED_VAR}).
920200
Rozsah = Příliš mnoho polí (6 nebo více)
920201
Rozsah = Příliš mnoho polí pro požadavek PDF (35 nebo více)
920230
Bylo zjištěno více kódování adres URL.
920300
Požadavek chybí hlavička Accept
920271
Neplatný znak v požadavku (netisknutelné znaky)
920320
Chybějící hlavička uživatelského agenta
920272
Neplatný znak v požadavku (mimo tisknutelné znaky pod ascii 127)
920202
Rozsah = Příliš mnoho polí pro požadavek PDF (6 nebo více)
920273
Neplatný znak v požadavku (mimo velmi striktní sadu)
920274
Neplatný znak v hlavičkách požadavku (mimo velmi striktní sadu)
920460
Neobvyklé řídicí znaky
REQUEST-921-PROTOCOL-ATTACK
RuleId
Popis
921100
Http Request Pašering Útok.
921110
Útok na pašování požadavků HTTP
921120
HTTP Response Splitting Attack
921130
HTTP Response Splitting Attack
921140
Útok prostřednictvím injektáže hlaviček HTTP prostřednictvím hlaviček
921150
Útok prostřednictvím injektáže hlaviček HTTP prostřednictvím datové části (zjištěný CR/LF)
921160
Útok prostřednictvím injektáže hlaviček HTTP přes datovou část (zjištěný CR/LF a název hlavičky)
921151
Útok prostřednictvím injektáže hlaviček HTTP prostřednictvím datové části (zjištěný CR/LF)
921170
Znečištění parametrů HTTP
921180
Znečištění parametrů HTTP (%@{TX.1})
REQUEST-930-APPLICATION-ATTACK-LFI
RuleId
Popis
930100
Útok procházení cesty (/.). /)
930110
Útok procházení cesty (/.). /)
930120
Pokus o přístup k souborům operačního systému
930130
Pokus o přístup k souborům s omezeným přístupem
REQUEST-931-APPLICATION-ATTACK-RFI
RuleId
Popis
931100
Možný útok na zahrnutí vzdálených souborů (RFI) = parametr adresy URL pomocí IP adresy
931110
Možný útok na zahrnutí vzdálených souborů (RFI) = běžný název zranitelného parametru RFI použitý s datovou částí adresy URL
931120
Možný útok na zahrnutí vzdálených souborů (RFI) = datová část adresy URL použitá pomocí znaku otazníku (?)
931130
Možný útok na zahrnutí vzdálených souborů (RFI) = odkaz na mimo doménu nebo odkaz
REQUEST-932-APPLICATION-ATTACK-RCE
RuleId
Popis
932120
Vzdálené spuštění příkazu = Nalezen příkaz Windows PowerShellu
932130
Application Gateway WAF v2: Vzdálené spouštění příkazů: Výraz prostředí Unix nebo ohrožení zabezpečení confluence (CVE-2022-26134) nebo Text4Shell (CVE-2022-42889) Nalezeno
