Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Web Application Firewall in Azure Front Door schützt Webanwendungen vor gängigen Sicherheitsrisiken und Exploits. Von Azure verwaltete Regelsätze bieten eine einfache Möglichkeit zum Bereitstellen von Schutz vor allgemeinen Sicherheitsbedrohungen. Da Azure diese Regelsätze verwaltet, werden die Regeln bei Bedarf aktualisiert, um vor neuen Angriffssignaturen zu schützen.
Der Standardregelsatz (Default Rule Set, DRS) enthält auch die Microsoft Threat Intelligence Collection-Regeln, die in Zusammenarbeit mit dem Microsoft Intelligence-Team entwickelt wurden, um eine größere Abdeckung, Patches für bestimmte Sicherheitsrisiken und eine Reduzierung von False Positive-Ergebnissen zu gewährleisten.
Hinweis
Wenn eine Regelsatzversion in einer WAF-Richtlinie geändert wird, werden alle vorhandenen Anpassungen, die Sie an Ihrem Regelsatz vorgenommen haben, auf die Standardwerte für den neuen Regelsatz zurückgesetzt. Siehe: Aktualisieren oder Ändern der Regelsatzversion.
Standardregelsätze
Das von Azure verwaltete DRS enthält Regeln für die folgenden Bedrohungskategorien:
- Cross-Site-Scripting
- Java-Angriffe
- Local File Inclusion
- PHP Code-Injection
- Remotebefehlsausführung
- Remote File Inclusion
- Session Fixation
- Schutz vor Einschleusung von SQL-Befehlen
- Protokollangreifer
Die Versionsnummer des Standardregelsatzes wird erhöht, wenn dem Regelsatz neue Angriffssignaturen hinzugefügt werden.
Der Standardregelsatz wird standardmäßig im Erkennungsmodus in den WAF-Richtlinien aktiviert. Sie können einzelne Regeln im DRS deaktivieren bzw. aktivieren, um die Anforderungen Ihrer Anwendungen zu erfüllen. Sie können pro Regel auch bestimmte Aktionen festlegen. Die verfügbaren Aktionen lauten Allow, Block, Log und Redirect (Zulassen, Blockieren, Protokollieren und Umleiten).
Manchmal ist es erforderlich, bestimmte Anforderungsattribute in einer WAF-Auswertung (Web Application Firewall) wegzulassen. Ein gängiges Beispiel sind von Active Directory eingefügte Token, die für die Authentifizierung verwendet werden. Sie können eine Ausschlussliste für eine verwaltete Regel, eine Regelgruppe oder den gesamten Regelsatz konfigurieren. Weitere Informationen finden Sie unter Ausschlusslisten von Azure Web Application Firewall in Azure Front Door.
Standardmäßig verwenden DRS-Versionen ab Version 2.0 und höher die Anomaliebewertung, wenn eine Anforderung mit einer Regel übereinstimmt. DRS-Versionen vor Version 2.0 blockieren Anforderungen, welche die Regeln auslösen. Darüber hinaus können in derselben WAF-Richtlinie auch benutzerdefinierte Regeln konfiguriert werden, wenn Sie eine der vorkonfigurierten Regeln im DRS umgehen möchten.
Benutzerdefinierte Regeln werden immer angewendet, bevor die Regeln im DRS ausgewertet werden. Wenn eine Anforderung einer benutzerdefinierten Regel entspricht, wird die entsprechende Regelaktion angewendet. Die Anforderung wird entweder gesperrt oder an das Back-End weitergeleitet. Es werden keine weiteren benutzerdefinierten Regeln oder Regeln im DRS verarbeitet. Das DRS kann auch aus Ihren WAF-Richtlinien entfernt werden.
Regeln der Microsoft Threat Intelligence-Sammlung
Die Regeln der Microsoft Threat Intelligence-Sammlung werden in Zusammenarbeit mit dem Microsoft Threat Intelligence-Team verfasst, um eine bessere Abdeckung, Patches für bestimmte Sicherheitsrisiken und eine stärkere Reduzierung falsch positiver Ergebnisse zu bieten.
Standardmäßig ersetzen die Regeln der Microsoft Threat Intelligence Collection einige der integrierten DRS-Regeln, wodurch sie deaktiviert werden. So wurde etwa Regel-ID 942440, SQL Comment Sequence Detected., deaktiviert und durch die Microsoft Threat Intelligence Collection-Regel 99031002 ersetzt. Die ersetzte Regel reduziert das Risiko, bei legitimen Anforderungen False Positives zu erkennen.
Anomaliebewertung
Wenn Sie DRS 2.0 oder höher verwenden, verwendet Ihre WAF Anomaliebewertung. Datenverkehr, der einer Regel entspricht, wird nicht sofort blockiert, auch nicht, wenn sich Ihr WAF im Schutzmodus befindet. Stattdessen definieren die OWASP-Regelsätze einen Schweregrad für jede Regel: Kritisch, Fehler, Warnung oder Hinweis. Der Schweregrad wirkt sich auf einen numerischen Wert für die Anforderung aus, der als Anomaliebewertung bezeichnet wird. Wenn eine Anforderung eine Anomaliebewertung von mindestens 5 erreicht, ergreift WAF Maßnahmen gegen diese Anforderung.
| Regelschweregrad | Wert, der in die Anomaliebewertung einfließt |
|---|---|
| Kritisch | 5 |
| Fehler | 4 |
| Warnung | 3 |
| Hinweis | 2 |
Wenn Sie Ihre WAF-Instanz konfigurieren, können Sie entscheiden, wie diese Anforderungen verarbeitet, die den Schwellenwert 5 bei der Anomaliebewertung überschreiten. Die drei Optionen für Anomaliebewertungsaktion sind „Blockieren“, „Protokollieren“ und „Umleiten“. Die Anomaliebewertungsaktion, die Sie zum Zeitpunkt der Konfiguration auswählen, gilt für alle Anforderungen, die den Schwellenwert der Anomaliebewertung überschreiten.
Wenn die Anomaliebewertung einer Anforderung beispielsweise mindestens 5 beträgt, WAF im Präventionsmodus arbeitet und die Anomaliebewertungsaktion auf „Blockieren“ festgelegt ist, wird die Anforderung blockiert. Wenn die Anomaliebewertung mindestens 5 ist und für WAF der Erkennungsmodus festgelegt ist, wird die Anforderung protokolliert, aber nicht blockiert.
Eine Übereinstimmung mit der Regel Kritisch reicht aus, damit WAF eine Anforderung blockiert, wenn der Präventionsmodus aktiv ist und die Anomaliebewertungsaktion auf „Blockieren“ festgelegt ist, da die Anomaliebewertung insgesamt 5 beträgt. Eine Übereinstimmung mit einer Warnungsregel erhöht die Anomaliebewertung jedoch nur um 3, was alleine nicht ausreicht, um den Datenverkehr zu blockieren. Wenn eine Anomalieregel ausgelöst wird, wird in den Protokollen eine Aktion vom Typ „Übereinstimmung“ angezeigt. Wenn die Anomaliewertung 5 oder höher ist, wird eine separate Regel mit der für den Regelsatz konfigurierten Anomaliewertungsaktion ausgelöst. Die standardmäßig festgelegte Anomaliebewertungsaktion ist „Blockieren“, was zu einem Protokolleintrag mit der Aktion blocked führt.
Wenn Ihre WAF eine ältere Version des Standardregelsatzes (vor DRS 2.0) verwendet, wird Ihre WAF im herkömmlichen Modus ausgeführt. Datenverkehr, der einer Regel entspricht, wird unabhängig davon berücksichtigt, ob er mit einer anderen Regel übereinstimmt. Im herkömmlichen Modus haben Sie keinen Einblick in den vollständigen Regelsatz, dem eine bestimmte Anforderung entsprochen hat.
Die Version des von Ihnen verwendeten DRS bestimmt auch, welche Inhaltstypen für die Untersuchung des Anforderungstexts unterstützt werden. Weitere Informationen finden Sie unter "Welche Inhaltstypen unterstützt WAF in den häufig gestellten Fragen".
Paranoia-Grad
Jede Regel ist einer bestimmten Paranoia-Ebene (PL) zugeordnet. Regeln, die in Paranoia Level 1 (PL1) konfiguriert sind, sind weniger aggressiv und lösen kaum ein falsch positives Ergebnis aus. Sie bieten grundlegende Sicherheit mit minimalem Feinoptimierungsbedarf. Die Regeln in PL2 erkennen mehr Angriffe. Es ist jedoch zu erwarten, dass sie falsch positive Warnungen auslösen, die noch optimiert werden müssen.
Standardmäßig sind alle DRS-Regelversionen in Paranoia Level 2 vorkonfiguriert, einschließlich Regeln, die sowohl in PL1 als auch in PL2 zugewiesen sind. Wenn Sie WAF ausschließlich mit PL1 verwenden möchten, können Sie beliebige oder alle PL2-Regeln deaktivieren oder deren Aktion in "protokollieren" ändern. PL3 und PL4 werden derzeit in Azure WAF nicht unterstützt.
Aktualisieren oder Ändern der Regelsatzversion
Wenn Sie ein Upgrade durchführen oder eine neue Regelsatzversion zuweisen und vorhandene Regelüberschreibungen und -ausschlüsse beibehalten möchten, wird empfohlen, PowerShell, CLI, REST-API oder eine Vorlage zu verwenden, um Änderungen an der Regelsatzversion vorzunehmen. Eine neue Version eines Regelsatzes kann neuere Regeln, zusätzliche Regelgruppen und möglicherweise Aktualisierungen vorhandener Signaturen aufweisen, um eine bessere Sicherheit zu erzwingen und falsch positive Ergebnisse zu reduzieren. Es wird empfohlen, Änderungen in einer Testumgebung zu validieren, bei Bedarf eine Feinabstimmung vorzunehmen und dann in einer Produktionsumgebung bereitzustellen.
Hinweis
Wenn Sie das Azure-Portal verwenden, um einer WAF-Richtlinie einen neuen verwalteten Regelsatz zuzuweisen, werden alle vorherigen Anpassungen des vorhandenen verwalteten Regelsatzes, z. B. Regelstatus, Regelaktionen und Ausschlüsse auf Regelebene, auf die Standardwerte des neuen verwalteten Regelsatzes zurückgesetzt. Alle benutzerdefinierten Regeln oder Richtlinieneinstellungen bleiben jedoch während der Zuweisung des neuen Regelsatzes unberührt. Sie müssen Regel-Overrides neu definieren und Änderungen überprüfen, bevor Sie diese in einer Produktionsumgebung implementieren.
DRS 2.1
DRS 2.1-Regeln bieten besseren Schutz als frühere Versionen von DRS. DRS 2.1 enthält weitere Regeln, die vom Microsoft Threat Intelligence-Team entwickelt wurden, sowie Updates für Signaturen, um falsch positive Ergebnisse zu reduzieren. Außerdem werden Transformationen über die URL-Decodierung hinaus unterstützt.
DRS 2.1 umfasst 17 Regelgruppen, wie in der folgenden Tabelle gezeigt. Jede Gruppe enthält mehrere Regeln, und Sie können das Verhalten für einzelne Regeln, Regelgruppen oder den gesamten Regelsatz anpassen. DRS 2.1 basiert auf Open Web Application Security Project (OWASP) Core Rule Set (CRS) 3.3.2 und enthält zusätzliche proprietäre Schutzregeln, die vom Microsoft Threat Intelligence-Team entwickelt wurden.
Weitere Informationen finden Sie unter Tuning Web Application Firewall (WAF) for Azure Front Door.
Hinweis
DRS 2.1 ist nur in Azure Front Door Premium verfügbar.
| Regelgruppe | ruleGroupName | Beschreibung |
|---|---|---|
| Allgemein | Allgemein | Allgemeine Gruppe |
| METHODEN-DURCHSETZUNG | METHODEN-DURCHSETZUNG | Sperren von Methoden (PUT, PATCH) |
| DURCHSETZUNG DES PROTOKOLLS | PROTOKOLL-DURCHSETZUNG | Schutz vor Protokoll- und Codierungsproblemen |
| Protokollangriff | PROTOKOLL-ANGRIFF | Schutz vor Header Injection, Request Smuggling und Response Splitting |
| ANWENDUNG-ANGRIFF-LFI | LFI | Schutz vor Datei- und Pfadangriffen |
| ANWENDUNG-ANGRIFF-RFI | RFI | Schutz vor RFI-Angriffen (Remote File Inclusion) |
| ANWENDUNG-ANGRIFF-RCE | RCE | Schutz vor der Remoteausführung von Code |
| ANWENDUNG-ANGRIFF-PHP | PHP | Schutz vor Angriffen mit Einschleusung von PHP-Befehlen |
| ANWENDUNG-ANGRIFF-NodeJS | NODEJS | Schutz vor Node.js-Angriffen |
| ANWENDUNG-ANGRIFF-XSS | XSS (Englisch) | Schutz vor Angriffen durch websiteübergreifendes Skripting |
| ANWENDUNGSANGRIFF-SQLI | SQLI | Schutz vor Angriffen mit Einschleusung von SQL-Befehlen |
| FIXIERUNG VON ANWENDUNGSANGRIFFEN UND SITZUNGEN | KORREKTUR | Schutz vor Session Fixation-Angriffen |
| ANWENDUNG-ANGRIFF-SITZUNG-JAVA | Java | Schutz vor Java-Angriffen |
| MS-BedrohungIntel-WebShells | MS-ThreatIntel-WebShells | Schutz vor Webshell-Angriffen |
| MS-BedrohungIntel-AppSec | MS-ThreatIntel-AppSec | Schutz vor Angriffen auf die Anwendungssicherheit |
| MS-BedrohungIntel-SQLI | MS-ThreatIntel-SQLI | Schutz vor Angriffen mit Einschleusung von SQL-Befehlen |
| MS-BedrohungIntel-CVEs | MS-ThreatIntel-CVEs | Schutz vor CVE-Angriffen |
Deaktivierte Regeln
Die folgenden Regeln sind für DRS 2.1 standardmäßig deaktiviert.
| Regel-ID | Regelgruppe | Beschreibung | Einzelheiten |
|---|---|---|---|
| 942110 | SQLI | Angriff mit Einschleusung von SQL-Befehlen: Allgemeine Tests auf Einschleusung von SQL-Befehlen erkannt | Ersetzt durch MSTIC-Regel 99031001 |
| 942150 | SQLI | Angriff mit Einschleusung von SQL-Befehlen | Ersetzt durch MSTIC-Regel 99031003 |
| 942260 | SQLI | Erkennt Versuche der Umgehung der einfachen SQL-Authentifizierung, 2/3 | Ersetzt durch MSTIC-Regel 99031004 |
| 942430 | SQLI | Eingeschränkte Anomalieerkennung für SQL-Zeichen (Argumente): Anzahl von Sonderzeichen überschritten (12) | Zu viele False Positives |
| 942440 | SQLI | SQL-Kommentarsequenz erkannt | Ersetzt durch MSTIC-Regel 99031002 |
| 99005006 | MS-ThreatIntel-WebShells | Spring4Shell-Interaktionsversuch | Aktivieren einer Regel zur Verhinderung von SpringShell-Sicherheitsrisiken |
| 99001014 | MS-ThreatIntel-CVEs | Versucht der Einschleusung von Spring Cloud-Routingausdrücken CVE-2022-22963 | Aktivieren einer Regel zur Verhinderung von SpringShell-Sicherheitsrisiken |
| 99001015 | MS-ThreatIntel-WebShells | Versuch der Ausnutzung der nicht sicherer Klassenobjekte von Spring Framework CVE-2022-22965 | Aktivieren einer Regel zur Verhinderung von SpringShell-Sicherheitsrisiken |
| 99001016 | MS-ThreatIntel-WebShells | Versuch der Einschleusung eins Spring Cloud Gateway-Aktuators CVE-2022-22947 | Aktivieren einer Regel zur Verhinderung von SpringShell-Sicherheitsrisiken |
| 99001017 | MS-ThreatIntel-CVEs | Versuchter Apache Struts-Dateiupload CVE-2023-50164 | Regel aktivieren, um das Sicherheitsrisiko von Apache Struts zu verhindern |
DRS 2.0
DRS 2.0-Regeln bieten besseren Schutz als frühere Versionen von DRS. Außerdem unterstützt DRS 2.0 Transformationen über die URL-Decodierung hinaus.
DRS 2.0 umfasst 17 Regelgruppen, wie in der folgenden Tabelle gezeigt. Jede Gruppe enthält mehrere Regeln. Sie können einzelne Regeln und ganze Regelgruppen deaktivieren.
Hinweis
DRS 2.0 ist nur in Azure Front Door Premium verfügbar.
| Regelgruppe | ruleGroupName | Beschreibung |
|---|---|---|
| Allgemein | Allgemein | Allgemeine Gruppe |
| METHODEN-DURCHSETZUNG | METHODEN-DURCHSETZUNG | Sperren von Methoden (PUT, PATCH) |
| DURCHSETZUNG DES PROTOKOLLS | PROTOKOLL-DURCHSETZUNG | Schutz vor Protokoll- und Codierungsproblemen |
| Protokollangriff | PROTOKOLL-ANGRIFF | Schutz vor Header Injection, Request Smuggling und Response Splitting |
| ANWENDUNG-ANGRIFF-LFI | LFI | Schutz vor Datei- und Pfadangriffen |
| ANWENDUNG-ANGRIFF-RFI | RFI | Schutz vor RFI-Angriffen (Remote File Inclusion) |
| ANWENDUNG-ANGRIFF-RCE | RCE | Schutz vor der Remoteausführung von Code |
| ANWENDUNG-ANGRIFF-PHP | PHP | Schutz vor Angriffen mit Einschleusung von PHP-Befehlen |
| ANWENDUNG-ANGRIFF-NodeJS | NODEJS | Schutz vor Node.js-Angriffen |
| ANWENDUNG-ANGRIFF-XSS | XSS (Englisch) | Schutz vor Angriffen durch websiteübergreifendes Skripting |
| ANWENDUNGSANGRIFF-SQLI | SQLI | Schutz vor Angriffen mit Einschleusung von SQL-Befehlen |
| FIXIERUNG VON ANWENDUNGSANGRIFFEN UND SITZUNGEN | KORREKTUR | Schutz vor Session Fixation-Angriffen |
| ANWENDUNG-ANGRIFF-SITZUNG-JAVA | Java | Schutz vor Java-Angriffen |
| MS-BedrohungIntel-WebShells | MS-ThreatIntel-WebShells | Schutz vor Webshell-Angriffen |
| MS-BedrohungIntel-AppSec | MS-ThreatIntel-AppSec | Schutz vor Angriffen auf die Anwendungssicherheit |
| MS-BedrohungIntel-SQLI | MS-ThreatIntel-SQLI | Schutz vor Angriffen mit Einschleusung von SQL-Befehlen |
| MS-BedrohungIntel-CVEs | MS-ThreatIntel-CVEs | Schutz vor CVE-Angriffen |
DRS 1.1
| Regelgruppe | ruleGroupName | Beschreibung |
|---|---|---|
| Protokollangriff | PROTOKOLL-ANGRIFF | Schutz vor Header Injection, Request Smuggling und Response Splitting |
| ANWENDUNG-ANGRIFF-LFI | LFI | Schutz vor Datei- und Pfadangriffen |
| ANWENDUNG-ANGRIFF-RFI | RFI | Schutz vor Remote File Inclusion-Angriffen |
| ANWENDUNG-ANGRIFF-RCE | RCE | Schutz vor Remotebefehlsausführung |
| ANWENDUNG-ANGRIFF-PHP | PHP | Schutz vor Angriffen mit Einschleusung von PHP-Befehlen |
| ANWENDUNG-ANGRIFF-XSS | XSS (Englisch) | Schutz vor Angriffen durch websiteübergreifendes Skripting |
| ANWENDUNGSANGRIFF-SQLI | SQLI | Schutz vor Angriffen mit Einschleusung von SQL-Befehlen |
| FIXIERUNG VON ANWENDUNGSANGRIFFEN UND SITZUNGEN | KORREKTUR | Schutz vor Session Fixation-Angriffen |
| ANWENDUNG-ANGRIFF-SITZUNG-JAVA | Java | Schutz vor Java-Angriffen |
| MS-BedrohungIntel-WebShells | MS-ThreatIntel-WebShells | Schutz vor Webshell-Angriffen |
| MS-BedrohungIntel-AppSec | MS-ThreatIntel-AppSec | Schutz vor Angriffen auf die Anwendungssicherheit |
| MS-BedrohungIntel-SQLI | MS-ThreatIntel-SQLI | Schutz vor Angriffen mit Einschleusung von SQL-Befehlen |
| MS-BedrohungIntel-CVEs | MS-ThreatIntel-CVEs | Schutz vor CVE-Angriffen |
DRS 1.0
| Regelgruppe | ruleGroupName | Beschreibung |
|---|---|---|
| Protokollangriff | PROTOKOLL-ANGRIFF | Schutz vor Header Injection, Request Smuggling und Response Splitting |
| ANWENDUNG-ANGRIFF-LFI | LFI | Schutz vor Datei- und Pfadangriffen |
| ANWENDUNG-ANGRIFF-RFI | RFI | Schutz vor Remote File Inclusion-Angriffen |
| ANWENDUNG-ANGRIFF-RCE | RCE | Schutz vor Remotebefehlsausführung |
| ANWENDUNG-ANGRIFF-PHP | PHP | Schutz vor Angriffen mit Einschleusung von PHP-Befehlen |
| ANWENDUNG-ANGRIFF-XSS | XSS (Englisch) | Schutz vor Angriffen durch websiteübergreifendes Skripting |
| ANWENDUNGSANGRIFF-SQLI | SQLI | Schutz vor Angriffen mit Einschleusung von SQL-Befehlen |
| FIXIERUNG VON ANWENDUNGSANGRIFFEN UND SITZUNGEN | KORREKTUR | Schutz vor Session Fixation-Angriffen |
| ANWENDUNG-ANGRIFF-SITZUNG-JAVA | Java | Schutz vor Java-Angriffen |
| MS-BedrohungIntel-WebShells | MS-ThreatIntel-WebShells | Schutz vor Webshell-Angriffen |
| MS-BedrohungIntel-CVEs | MS-ThreatIntel-CVEs | Schutz vor CVE-Angriffen |
Bot-Manager 1.0
Der Bot Manager 1.0-Regelsatz bietet Schutz vor schädlichen Bots und erkennt gute Bots. Die Regeln bieten präzise Kontrolle über Bots, die von WAF erkannt werden, indem Bot-Datenverkehr als Datenverkehr von guten, ungültigen oder unbekannten Bots kategorisiert wird.
| Regelgruppe | Beschreibung |
|---|---|
| Böse Bots | Schutz vor bösartigen Bots |
| GuteBots | Identifizieren von gültigen Bots |
| Unbekannte Bots | Identifizieren von unbekannten Bots |
Bot-Manager 1.1
Der Bot Manager 1.1-Regelsatz stellt eine Erweiterung des Bot Manager 1.0-Regelsatzes dar. er bietet höheren Schutz vor schädlichen Bots und verbessert die Erkennung guter Bots.
| Regelgruppe | Beschreibung |
|---|---|
| Böse Bots | Schutz vor bösartigen Bots |
| GuteBots | Identifizieren von gültigen Bots |
| Unbekannte Bots | Identifizieren von unbekannten Bots |
Die folgenden Regelgruppen und Regeln sind bei Verwendung von Azure Web Application Firewall für Azure Front Door verfügbar.
2.1-Regelsätze
Allgemein
| Regel-ID | Schweregrad des Anomalie-Scores | Paranoia-Ebene | Beschreibung |
|---|---|---|---|
| 200002 | Kritisch - 5 | 1 | Fehler beim Analysieren des Anforderungstexts |
| 200003 | Kritisch - 5 | 1 | Fehler bei der strengen Überprüfung des mehrteiligen Anforderungstexts |
Methodenerzwingung
| Regel-ID | Schweregrad des Anomalie-Scores | Paranoia-Ebene | Beschreibung |
|---|---|---|---|
| 911100 | Kritisch - 5 | 1 | Methode ist gemäß Richtlinie nicht zulässig |
Protokolldurchsetzung
| Regel-ID | Schweregrad des Anomalie-Scores | Paranoia-Ebene | Beschreibung |
|---|---|---|---|
| 920100 | Hinweis - 2 | 1 | Ungültige HTTP-Anforderungszeile |
| 920120 | Kritisch - 5 | 1 | Versuchte „multipart/form-data“-Umgehung |
| 920121 | Kritisch - 5 | 2 | Versuchte „multipart/form-data“-Umgehung |
| 920160 | Kritisch - 5 | 1 | Der HTTP Header „Content-Length“ ist nicht numerisch. |
| 920170 | Kritisch - 5 | 1 | GET- oder HEAD-Anforderung mit Textinhalt |
| 920171 | Kritisch - 5 | 1 | GET- oder HEAD-Anforderung mit Transfer-Encoding |
| 920180 | Hinweis - 2 | 1 | POST-Anforderung mit fehlendem Content-Length-Header |
| 920181 | Warnung - 3 | 1 | Content-Length- und Transfer-Encoding-Header vorhanden 99001003 |
| 920190 | Warnung - 3 | 1 | Bereich: ungültiger Wert für letztes Byte |
| 920200 | Warnung - 3 | 2 | Bereich: Zu viele Felder (mehr als 6) |
| 920201 | Warnung - 3 | 2 | Bereich: Zu viele Felder für PDF-Anforderung (35 oder mehr) |
| 920210 | Warnung - 3 | 1 | Mehrere/widersprüchliche Verbindungsheader-Daten gefunden |
| 920220 | Warnung - 3 | 1 | Versuchter Missbrauch der URL-Codierung |
| 920230 | Warnung - 3 | 2 | Mehrere URL-Codierungen erkannt |
| 920240 | Warnung - 3 | 1 | Versuchter Missbrauch der URL-Codierung |
| 920260 | Warnung - 3 | 1 | Versuchter Missbrauch: Unicode (volle/halbe Breite) |
| 920270 | Kritisch - 5 | 1 | Ungültiges Zeichen in der Anforderung (Zeichen NULL) |
| 920271 | Kritisch - 5 | 2 | Ungültiges Zeichen in der Anforderung (nicht druckbare Zeichen) |
| 920280 | Warnung - 3 | 1 | Fehlender Hostheader in Anforderung |
| 920290 | Warnung - 3 | 1 | Leerer Hostheader |
| 920300 | Hinweis - 2 | 2 | Fehlender Accept-Header für Anforderung |
| 920310 | Hinweis - 2 | 1 | Anforderung hat einen leeren Accept-Header |
| 920311 | Hinweis - 2 | 1 | Anforderung hat einen leeren Accept-Header |
| 920320 | Hinweis - 2 | 2 | Benutzer-Agent-Header fehlt |
| 920330 | Hinweis - 2 | 1 | Leerer Benutzer-Agent-Header |
| 920340 | Hinweis - 2 | 1 | Anforderung enthält Inhalt, aber keinen Content-Type-Header |
| 920341 | Kritisch - 5 | 2 | Anforderung mit Inhalt erfordert Content-Type-Header |
| 920350 | Warnung - 3 | 1 | Hostheader ist eine numerische IP-Adresse |
| 920420 | Kritisch - 5 | 1 | Anforderungsinhaltstyp ist gemäß Richtlinie nicht zulässig |
| 920430 | Kritisch - 5 | 1 | HTTP-Protokollversion ist gemäß Richtlinie nicht zulässig |
| 920440 | Kritisch - 5 | 1 | URL-Dateierweiterung wird durch Richtlinie eingeschränkt |
| 920450 | Kritisch - 5 | 1 | HTTP-Header ist durch Richtlinie eingeschränkt |
| 920470 | Kritisch - 5 | 1 | Illegaler Content-Type-Header |
| 920480 | Kritisch - 5 | 1 | Zeichensatz für Anforderungsinhaltstyp ist gemäß Richtlinie nicht zulässig |
| 920500 | Kritisch - 5 | 1 | Versuch, auf eine Sicherungs- oder Arbeitsdatei zuzugreifen |
Protokollangriff
| Regel-ID | Schweregrad des Anomalie-Scores | Paranoia-Ebene | Beschreibung |
|---|---|---|---|
| 921110 | Kritisch - 5 | 1 | HTTP Request Smuggling-Angriff |
| 921120 | Kritisch - 5 | 1 | HTTP Response Splitting-Angriff |
| 921130 | Kritisch - 5 | 1 | HTTP Response Splitting-Angriff |
| 921140 | Kritisch - 5 | 1 | HTTP Header Injection-Angriff über Header |
| 921150 | Kritisch - 5 | 1 | HTTP Header Injection-Angriff über Nutzlast (CR/LF erkannt) |
| 921151 | Kritisch - 5 | 2 | HTTP Header Injection-Angriff über Nutzlast (CR/LF erkannt) |
| 921160 | Kritisch - 5 | 1 | HTTP Header Injection-Angriff über Nutzlast (CR/LF und Headername erkannt) |
| 921190 | Kritisch - 5 | 1 | HTTP Splitting (CR/LF im Anforderungsdateinamen erkannt) |
| 921200 | Kritisch - 5 | 1 | Angriff mit LDAP-Einschleusung |
LFI: Lokaler Dateieinschluss
| Regel-ID | Schweregrad des Anomalie-Scores | Paranoia-Ebene | Beschreibung |
|---|---|---|---|
| 930100 | Kritisch - 5 | 1 | Path Traversal-Angriff (/../) |
| 930110 | Kritisch - 5 | 1 | Path Traversal-Angriff (/../) |
| 930120 | Kritisch - 5 | 1 | Zugriffsversuch auf Betriebssystemdatei |
| 930130 | Kritisch - 5 | 1 | Zugriffsversuch auf Datei mit eingeschränktem Zugriff |
RFI: Remote-Dateieinschluss
| Regel-ID | Schweregrad des Anomalie-Scores | Paranoia-Ebene | Beschreibung |
|---|---|---|---|
| 931100 | Kritisch - 5 | 1 | Möglicher RFI-Angriff (Remote-Dateieinschluss): Verwendung von IP-Adresse für URL-Parameter |
| 931110 | Kritisch - 5 | 1 | Möglicher RFI-Angriff (Remote File Inclusion): Verwendung eines häufigen und für RFI anfälligen Parameternamens mit URL-Nutzlast |
| 931120 | Kritisch - 5 | 1 | Möglicher RFI-Angriff (Remote File Inclusion): Verwendung von URL-Nutzlast mit nachgestelltem Fragezeichen (?) |
| 931130 | Kritisch - 5 | 2 | Möglicher RFI-Angriff (Remote File Inclusion): Domänenexterner Verweis/Link |
RCE: Remote Command Execution (Remotebefehlsausführung)
| Regel-ID | Schweregrad des Anomalie-Scores | Paranoia-Ebene | Beschreibung |
|---|---|---|---|
| 932100 | Kritisch - 5 | 1 | Remotebefehlsausführung: Einschleusung von Unix-Befehl |
| 932105 | Kritisch - 5 | 1 | Remotebefehlsausführung: Einschleusung von Unix-Befehl |
| 932110 | Kritisch - 5 | 1 | Remotebefehlsausführung: Einschleusung von Windows-Befehl |
| 932115 | Kritisch - 5 | 1 | Remotebefehlsausführung: Einschleusung von Windows-Befehl |
| 932120 | Kritisch - 5 | 1 | Remotebefehlsausführung: Windows PowerShell-Befehl gefunden |
| 932130 | Kritisch - 5 | 1 | Remotebefehlsausführung: Unix-Shell-Ausdruck oder Confluence-Sicherheitsanfälligkeit (CVE-2022-26134) gefunden. |
| 932140 | Kritisch - 5 | 1 | Remotebefehlsausführung: Windows-FOR/IF-Befehl gefunden |
| 932150 | Kritisch - 5 | 1 | Remotebefehlsausführung: Direkte Ausführung von UNIX-Befehlen |
| 932160 | Kritisch - 5 | 1 | Remotebefehlsausführung: Unix Shell-Code gefunden |
| 932170 | Kritisch - 5 | 1 | Remotebefehlsausführung: Shellshock (CVE-2014-6271) |
| 932171 | Kritisch - 5 | 1 | Remotebefehlsausführung: Shellshock (CVE-2014-6271) |
| 932180 | Kritisch - 5 | 1 | Eingeschränkter Dateiuploadversuch |
PHP-Angriffe
| Regel-ID | Schweregrad des Anomalie-Scores | Paranoia-Ebene | Beschreibung |
|---|---|---|---|
| 933100 | Kritisch - 5 | 1 | Angriff mit PHP-Einschleusung: Öffnendes/schließendes Tag gefunden |
| 933110 | Kritisch - 5 | 1 | Angriff mit PHP-Einschleusung: PHP-Skriptdateiupload gefunden |
| 933120 | Kritisch - 5 | 1 | PHP Injection-Angriff: Konfigurationsanweisung gefunden |
| 933130 | Kritisch - 5 | 1 | Angriff mit PHP-Einschleusung: Variable gefunden |
| 933140 | Kritisch - 5 | 1 | Angriff mit PHP-Einschleusung: E/A-Datenstrom gefunden |
| 933150 | Kritisch - 5 | 1 | Angriff mit PHP-Einschleusung: PHP-Funktionsname mit hohem Risikofaktor gefunden |
| 933151 | Kritisch - 5 | 2 | Angriff mit PHP-Einschleusung: PHP-Funktionsname mit mittlerem Risikofaktor gefunden |
| 933160 | Kritisch - 5 | 1 | Angriff mit PHP-Einschleusung: PHP-Funktionsaufruf mit hohem Risikofaktor gefunden |
| 933170 | Kritisch - 5 | 1 | Angriff mit PHP-Einschleusung: Einschleusung von serialisiertem Objekt |
| 933180 | Kritisch - 5 | 1 | Angriff mit PHP-Einschleusung: Aufruf einer Variablenfunktion gefunden |
| 933200 | Kritisch - 5 | 1 | Angriff mit PHP-Einschleusung: Wrapperschema erkannt |
| 933210 | Kritisch - 5 | 1 | Angriff mit PHP-Einschleusung: Aufruf einer Variablenfunktion gefunden |
Node JS-Angriffe
| Regel-ID | Schweregrad des Anomalie-Scores | Paranoia-Ebene | Beschreibung |
|---|---|---|---|
| 934100 | Kritisch - 5 | 1 | Angriff mit Einschleusung von Node.js-Befehlen |
XSS: Cross-Site-Scripting
| Regel-ID | Schweregrad des Anomalie-Scores | Paranoia-Ebene | Beschreibung |
|---|---|---|---|
| 941100 | Kritisch - 5 | 1 | XSS-Angriff per libinjection erkannt |
| 941101 | Kritisch - 5 | 2 | XSS-Angriff per libinjection erkannt Regel erkennt Anforderungen mit einem Referer-Header |
| 941110 | Kritisch - 5 | 1 | XSS-Filter – Kategorie 1: Skripttagvektor |
| 941120 | Kritisch - 5 | 1 | XSS-Filter – Kategorie 2: Ereignishandlervektor |
| 941130 | Kritisch - 5 | 1 | XSS-Filter – Kategorie 3: Attributvektor |
| 941140 | Kritisch - 5 | 1 | XSS-Filter – Kategorie 4: JavaScript-URI-Vektor |
| 941150 | Kritisch - 5 | 2 | XSS-Filter – Kategorie 5: Unzulässige HTML-Attribute |
| 941160 | Kritisch - 5 | 1 | NoScript XSS InjectionChecker: HTML-Einschleusung |
| 941170 | Kritisch - 5 | 1 | NoScript XSS InjectionChecker: Attributeinschleusung |
| 941180 | Kritisch - 5 | 1 | Schlüsselwörter von Sperrliste für Knotenvalidierung |
| 941190 | Kritisch - 5 | 1 | XSS mit Stylesheets |
| 941200 | Kritisch - 5 | 1 | XSS mit VML-Frames |
| 941210 | Kritisch - 5 | 1 | XSS mit verschleiertem JavaScript |
| 941220 | Kritisch - 5 | 1 | XSS mit verschleiertem VBScript |
| 941230 | Kritisch - 5 | 1 | XSS mit embed-Tag |
| 941240 | Kritisch - 5 | 1 | XSS mit import- oder implementation-Attribut |
| 941250 | Kritisch - 5 | 1 | IE-XSS-Filter – Angriff erkannt |
| 941260 | Kritisch - 5 | 1 | XSS mit meta-Tag |
| 941270 | Kritisch - 5 | 1 | XSS mit link-href |
| 941280 | Kritisch - 5 | 1 | XSS mit base-Tag |
| 941290 | Kritisch - 5 | 1 | XSS mit applet-Tag |
| 941300 | Kritisch - 5 | 1 | XSS mit object-Tag |
| 941310 | Kritisch - 5 | 1 | Falsch formatierte US-ASCII-Codierung für XSS-Filter – Angriff erkannt |
| 941320 | Kritisch - 5 | 2 | Möglicher XSS-Angriff erkannt – HTML-Taghandler |
| 941330 | Kritisch - 5 | 2 | IE-XSS-Filter – Angriff erkannt |
| 941340 | Kritisch - 5 | 2 | IE-XSS-Filter – Angriff erkannt |
| 941350 | Kritisch - 5 | 1 | UTF-7-Codierung – IE XSS – Angriff erkannt |
| 941360 | Kritisch - 5 | 1 | JavaScript-Obfuskation erkannt |
| 941370 | Kritisch - 5 | 1 | Globale JavaScript-Variable gefunden |
| 941380 | Kritisch - 5 | 2 | Einschleusung clientseitiger AngularJS-Vorlagen erkannt |
SQLI: Einschleusung von SQL-Befehlen
| Regel-ID | Schweregrad des Anomalie-Scores | Paranoia-Ebene | Beschreibung |
|---|---|---|---|
| 942100 | Kritisch - 5 | 1 | SQL Injection-Angriff per libinjection erkannt |
| 942110 | Warnung - 3 | 2 | Angriff mit Einschleusung von SQL-Befehlen: Allgemeine Tests auf Einschleusung von SQL-Befehlen erkannt |
| 942120 | Kritisch - 5 | 2 | Angriff mit Einschleusung von SQL-Befehlen: SQL-Operator ermittelt |
| 942140 | Kritisch - 5 | 1 | Angriff mit Einschleusung von SQL-Befehlen: Häufige Datenbanknamen erkannt |
| 942150 | Kritisch - 5 | 2 | Angriff mit Einschleusung von SQL-Befehlen |
| 942160 | Kritisch - 5 | 1 | Erkennt blinde SQLI-Tests mit sleep() oder benchmark() |
| 942170 | Kritisch - 5 | 1 | Erkennt SQL Benchmark- und Sleep Injection-Angriffsversuche, einschließlich bedingter Abfragen. |
| 942180 | Kritisch - 5 | 2 | Erkennt Versuche der Umgehung der einfachen SQL-Authentifizierung 1/3 |
| 942190 | Kritisch - 5 | 1 | Erkennt die Ausführung von MSSQL-Code und Versuche, Informationen auszulesen |
| 942200 | Kritisch - 5 | 2 | Erkennt durch MySQL-Kommentare oder -Leerzeichen verschleierte Einschleusungen und die Terminierung per Backtick |
| 942210 | Kritisch - 5 | 2 | Erkennt verkette Angriffsversuche SQL-Einschleusung 1/2 |
| 942220 | Kritisch - 5 | 1 | Suche nach Ganzzahlüberlauf-Angriffen. Diese werden aus Skipfish übernommen, mit Ausnahme von 3.0.00738585072007e-308 (Absturz wegen ungültiger „magischer Zahl“). |
| 942230 | Kritisch - 5 | 1 | Erkennt Angriffsversuche mit bedingter SQL-Einschleusung. |
| 942240 | Kritisch - 5 | 1 | Erkennt MySQL-Zeichensatzwechsel und MSSQL-DoS-Angriffsversuche |
| 942250 | Kritisch - 5 | 1 | Erkennt MATCH AGAINST-, MERGE- und EXECUTE IMMEDIATE-Einschleusungen |
| 942260 | Kritisch - 5 | 2 | Erkennt Versuche der Umgehung der einfachen SQL-Authentifizierung, 2/3 |
| 942270 | Kritisch - 5 | 1 | Suche nach Einschleusung einfacher SQL-Befehle. Gängige Angriffszeichenfolge für MySQL, Oracle und andere |
| 942280 | Kritisch - 5 | 1 | Erkennt Postgres-Einschleusung per pg_sleep, WAITFOR DELAY-Angriffe und Versuche des Herunterfahrens von Datenbanken |
| 942290 | Kritisch - 5 | 1 | Ermittelt Angriffsversuche mit grundlegender MongoDB SQL-Einschleusung. |
| 942300 | Kritisch - 5 | 2 | Erkennt MySQL-Kommentare, Bedingungen und Einschleusungen von „ch(ar)“ |
| 942310 | Kritisch - 5 | 2 | Erkennt verkette Angriffsversuche SQL-Einschleusung 2/2. |
| 942320 | Kritisch - 5 | 1 | Erkennt Einschleusungen von gespeicherten Prozeduren/Funktionen für MySQL und PostgreSQL. |
| 942330 | Kritisch - 5 | 2 | Erkennt Probings von klassischen Einschleusungen von SQL-Befehlen, 1/2 |
| 942340 | Kritisch - 5 | 2 | Erkennt Versuche der Umgehung der einfachen SQL-Authentifizierung, 3/3 |
| 942350 | Kritisch - 5 | 1 | Erkennt MySQL-UDF-Einschleusung und andere Versuche der Manipulation von Daten bzw. der Struktur. |
| 942360 | Kritisch - 5 | 1 | Erkennt Versuche des Verkettens einfacher eingeschleuster SQL-Befehle und von SQL/LFI |
| 942361 | Kritisch - 5 | 2 | Erkennt grundlegende SQL-Einschleusung basierend auf Schlüsselwort „Alter“ oder „Union“ |
| 942370 | Kritisch - 5 | 2 | Erkennt Probings von klassischen Einschleusungen von SQL-Befehlen, 2/2 |
| 942380 | Kritisch - 5 | 2 | Angriff mit Einschleusung von SQL-Befehlen |
| 942390 | Kritisch - 5 | 2 | Angriff mit Einschleusung von SQL-Befehlen |
| 942400 | Kritisch - 5 | 2 | Angriff mit Einschleusung von SQL-Befehlen |
| 942410 | Kritisch - 5 | 2 | Angriff mit Einschleusung von SQL-Befehlen |
| 942430 | Warnung - 3 | 2 | Eingeschränkte Anomalieerkennung für SQL-Zeichen (Argumente): Anzahl von Sonderzeichen überschritten (12) |
| 942440 | Kritisch - 5 | 2 | SQL-Kommentarsequenz erkannt |
| 942450 | Kritisch - 5 | 2 | Hexadezimale SQL-Codierung identifiziert |
| 942470 | Kritisch - 5 | 2 | Angriff mit Einschleusung von SQL-Befehlen |
| 942480 | Kritisch - 5 | 2 | Angriff mit Einschleusung von SQL-Befehlen |
| 942500 | Kritisch - 5 | 1 | MySQL-Inlinekommentar erkannt |
| 942510 | Kritisch - 5 | 2 | Versuch der Umgehung der Einschleusung von SQL-Befehlen durch Ticks und Backticks erkannt |
Session Fixation
| Regel-ID | Schweregrad des Anomalie-Scores | Paranoia-Ebene | Beschreibung |
|---|---|---|---|
| 943100 | Kritisch - 5 | 1 | Möglicher Session Fixation-Angriff: Festlegung von Cookiewerten in HTML |
| 943110 | Kritisch - 5 | 1 | Möglicher Session Fixation-Angriff: SessionID-Parametername mit domänenexternem Referrer |
| 943120 | Kritisch - 5 | 1 | Möglicher Session Fixation-Angriff: SessionID-Parametername ohne Referrer |
Java-Angriffe
| Regel-ID | Schweregrad des Anomalie-Scores | Paranoia-Ebene | Beschreibung |
|---|---|---|---|
| 944100 | Kritisch - 5 | 1 | Remotebefehlsausführung: Apache Struts, Oracle WebLogic |
| 944110 | Kritisch - 5 | 1 | Erkennt potenzielle Payloadausführung |
| 944120 | Kritisch - 5 | 1 | Mögliche Nutzlastausführung und Remotebefehlsausführung |
| 944130 | Kritisch - 5 | 1 | Verdächtige Java-Klassen |
| 944200 | Kritisch - 5 | 2 | Ausnutzung der Java-Deserialisierung (Apache Commons) |
| 944210 | Kritisch - 5 | 2 | Mögliche Verwendung von Java-Serialisierung |
| 944240 | Kritisch - 5 | 2 | Remotebefehlsausführung: Java-Serialisierung und Log4j-Sicherheitsrisiko (CVE-2021-44228, CVE-2021-45046) |
| 944250 | Kritisch - 5 | 2 | Remotebefehlsausführung: Verdächtige Java-Methode erkannt |
MS-ThreatIntel-WebShells
| Regel-ID | Schweregrad des Anomalie-Scores | Paranoia-Ebene | Beschreibung |
|---|---|---|---|
| 99005002 | Kritisch - 5 | 2 | Webshell-Interaktionsversuch (POST) |
| 99005003 | Kritisch - 5 | 2 | Webshell-Uploadversuch (POST) – CHOPPER PHP |
| 99005004 | Kritisch - 5 | 2 | Webshell-Uploadversuch (POST) – CHOPPER ASPX |
| 99005005 | Kritisch - 5 | 2 | Webshell-Interaktionsversuch |
| 99005006 | Kritisch - 5 | 2 | Spring4Shell-Interaktionsversuch |
MS-ThreatIntel-AppSec
| Regel-ID | Schweregrad des Anomalie-Scores | Paranoia-Ebene | Beschreibung |
|---|---|---|---|
| 99030001 | Kritisch - 5 | 2 | Path Traversal-Umgehung in Headern (/.././../) |
| 99030002 | Kritisch - 5 | 2 | Path Traversal-Umgehung in Anforderungstext (/.././../) |
MS-ThreatIntel-SQLI
| Regel-ID | Schweregrad des Anomalie-Scores | Paranoia-Ebene | Beschreibung |
|---|---|---|---|
| 99031001 | Warnung - 3 | 2 | Angriff mit Einschleusung von SQL-Befehlen: Allgemeine Tests auf Einschleusung von SQL-Befehlen erkannt |
| 99031002 | Kritisch - 5 | 2 | SQL-Kommentarsequenz erkannt |
| 99031003 | Kritisch - 5 | 2 | Angriff mit Einschleusung von SQL-Befehlen |
| 99031004 | Kritisch - 5 | 2 | Erkennt Versuche der Umgehung der einfachen SQL-Authentifizierung, 2/3 |
MS-ThreatIntel-CVEs
| Regel-ID | Schweregrad des Anomalie-Scores | Paranoia-Ebene | Beschreibung |
|---|---|---|---|
| 99001001 | Kritisch - 5 | 2 | Versuch der Ausnutzung der F5 TMUI-REST-API-Schwachstelle (CVE-2020-5902) mit bekannten Anmeldeinformationen |
| 99001002 | Kritisch - 5 | 2 | Versuch eines Citrix NSC_USER-Verzeichnisdurchlaufs CVE-2019-19781 |
| 99001003 | Kritisch - 5 | 2 | Versuch der Ausnutzung eines Atlassian Confluence Widget-Connectors CVE-2019-3396 |
| 99001004 | Kritisch - 5 | 2 | Versuch der Ausnutzung einer benutzerdefinierten Pulse Secure-Vorlage CVE-2020-8243 |
| 99001005 | Kritisch - 5 | 2 | Versuch der Ausnutzung eines SharePoint-Typkonverters CVE-2020-0932 |
| 99001006 | Kritisch - 5 | 2 | Versuch eines Pulse Connect-Verzeichnisdurchlaufs CVE-2019-11510 |
| 99001007 | Kritisch - 5 | 2 | Versuch einer Local File Inclusion für Junos OS J-Web CVE-2020-1631 |
| 99001008 | Kritisch - 5 | 2 | Versuch eines Fortinet-Pfaddurchlaufs CVE-2018-13379 |
| 99001009 | Kritisch - 5 | 2 | Versuch einer Apache-Struts ognl-Einschleusung CVE-2017-5638 |
| 99001010 | Kritisch - 5 | 2 | Versuch einer Apache-Struts ognl-Einschleusung CVE-2017-12611 |
| 99001011 | Kritisch - 5 | 2 | Versuch eines Oracle WebLogic-Pfaddurchlaufs CVE-2020-14882 |
| 99001012 | Kritisch - 5 | 2 | Versuch der Ausnutzung einer unsicheren Telerik WebUI-Deserialisierung CVE-2019-18935 |
| 99001013 | Kritisch - 5 | 2 | Versuch einer unsicheren XML-Deserialisierung in SharePoint CVE-2019-0604 |
| 99001014 | Kritisch - 5 | 2 | Versucht der Einschleusung von Spring Cloud-Routingausdrücken CVE-2022-22963 |
| 99001015 | Kritisch - 5 | 2 | Versuch der Ausnutzung der nicht sicherer Klassenobjekte von Spring Framework CVE-2022-22965 |
| 99001016 | Kritisch - 5 | 2 | Versuch der Einschleusung eins Spring Cloud Gateway-Aktuators CVE-2022-22947 |
| 99001017 | Kritisch - 5 | 2 | Versuchter Apache Struts-Dateiupload CVE-2023-50164 |
Hinweis
Beim Durchgehen der Protokolle Ihrer WAF sehen Sie möglicherweise die Regel-ID 949110. Die Beschreibung der Regel kann Eingehende Anomaliebewertung überschritten enthalten.
Diese Regel gibt an, dass die Gesamtanomaliebewertung für die Anforderung die maximale zulässige Bewertung überschritten hat. Weitere Informationen finden Sie unter Anomaliebewertung.
Wenn Sie Ihre WAF-Richtlinien optimieren, müssen Sie die anderen Regeln untersuchen, die von der Anforderung ausgelöst wurden, damit Sie die Konfiguration Ihrer WAF anpassen können. Weitere Informationen finden Sie unter Optimieren der Azure Web Application Firewall für Azure Front Door.