Compartir a través de


Grupos de reglas y reglas de Web Application Firewall DRS y CRS

El conjunto de reglas predeterminado (DRS) administrado por Azure en el firewall de aplicaciones web (WAF) de Application Gateway protege activamente las aplicaciones web frente a vulnerabilidades comunes y vulnerabilidades de seguridad. Estos conjuntos de reglas, administrados por Azure, reciben actualizaciones según sea necesario para protegerse frente a nuevas firmas de ataque. El conjunto de reglas predeterminado también incorpora las reglas de recopilación de inteligencia sobre amenazas de Microsoft. El equipo de Inteligencia de Microsoft colabora en la escritura de estas reglas, lo que garantiza una cobertura mejorada, revisiones de vulnerabilidad específicas y una reducción de falsos positivos mejorada.

También tiene la opción de usar reglas definidas en función del conjunto de reglas principal de OWASP 3.2 (CRS 3.2).

Puede deshabilitar las reglas individualmente o establecer acciones específicas para cada regla. En este artículo se enumeran las reglas y los conjuntos de reglas actuales disponibles. Si un conjunto de reglas publicado requiere una actualización, lo documentaremos aquí.

Nota:

Al cambiar una versión del conjunto de reglas en una directiva waf, las personalizaciones existentes realizadas en el conjunto de reglas se restablecerán a los valores predeterminados del nuevo conjunto de reglas. Consulte: Actualización o cambio de versión del conjunto de reglas.

Conjunto de reglas predeterminado 2.1

El conjunto de reglas predeterminado (DRS) 2.1 se basa en el Open Web Application Security Project (OWASP) Core Rule Set (CRS) 3.3.2 e incluye reglas de protección propietarias adicionales desarrolladas por el equipo de inteligencia de amenazas de Microsoft y actualizaciones de firmas para reducir los falsos positivos. También admite transformaciones más allá de la descodificación de direcciones URL.

DRS 2.1 ofrece un nuevo motor y nuevos conjuntos de reglas que se defienden contra las inyecciones de Java, un conjunto inicial de comprobaciones de carga de archivos y menos falsos positivos en comparación con las versiones crS. También puede personalizar reglas para satisfacer sus necesidades. Obtenga más información sobre el nuevo motor de WAF de Azure.

DRS 2.1 incluye 17 grupos de reglas, tal como se muestra en la tabla siguiente. Cada grupo contiene varias reglas y puede personalizar el comportamiento de reglas individuales, grupos de reglas o conjuntos de reglas completos.

Tipo de amenaza Nombre del grupo de reglas
General General
Métodos de bloqueo (PUT, PATCH) APLICACIÓN DE MÉTODOS
Problemas de protocolo y codificación CUMPLIMIENTO DE PROTOCOLOS
Inserción de encabezados, contrabandamiento de solicitudes y división de respuestas ATAQUE DE PROTOCOLO
Ataques de archivos y rutas de acceso LFI
Ataques de inclusión remota de archivos (RFI) RFI
Ataques de ejecución remota de código RCE
Ataques por inyección de PHP PHP
Ataques de Node JS NodeJS
Ataques por scripts entre sitios. XSS
Ataques por inyección de código SQL. SQLI
Ataques de corrección de sesión FIJACIÓN DE SESIÓN
Ataques java SESSION-JAVA
Ataques de shell web (MS) MS-ThreatIntel-WebShells
Ataques de AppSec (MS) MS-ThreatIntel-AppSec
Ataques por inyección de código SQL (MS) MS-ThreatIntel-SQLI
Ataques CVE (MS) MS-ThreatIntel-CVEs

Guía de ajuste para DRS 2.1

Utilice las instrucciones siguientes para ajustar WAF mientras comienza a trabajar con DRS 2.1 en WAF de Application Gateway.

Identificador de la regla Grupo de reglas Descripción Recomendación
942110 SQLI Ataque por inyección de código SQL: Pruebas de inyección de código detectadas Deshabilitar la regla 942110, reemplazada por la regla MSTIC 99031001
942150 SQLI Ataque por inyección de código SQL Deshabilitar la regla 942150, reemplazada por la regla MSTIC 99031003
942260 SQLI Detecta intentos básicos de omisión de la autenticación SQL (2/3) Deshabilitar la regla 942260, reemplazada por la regla MSTIC 99031004
942430 SQLI Restringe la detección de anomalías de caracteres de SQL (args): número de caracteres especiales que se han excedido (12) Deshabilitar la regla 942430, desencadena demasiados falsos positivos
942440 SQLI Secuencia de comentario SQL detectada Deshabilitar la regla 942440, reemplazada por la regla MSTIC 99031002
99005006 MS-ThreatIntel-WebShells Intento de interacción de Spring4Shell Mantén habilitada la regla para evitar la vulnerabilidad de SpringShell
99001014 MS-ThreatIntel-CVEs Intento de inserción de expresiones de enrutamiento de Spring Cloud CVE-2022-22963 Mantén habilitada la regla para evitar la vulnerabilidad de SpringShell
99001015 MS-ThreatIntel-WebShells Intento de explotación de objetos de clase no seguros de Spring Framework CVE-2022-22965 Mantén habilitada la regla para evitar la vulnerabilidad de SpringShell
99001016 MS-ThreatIntel-WebShells Intento de inyección de accionador de Spring Cloud Gateway CVE-2022-22947 Mantén habilitada la regla para evitar la vulnerabilidad de SpringShell
99001017 MS-ThreatIntel-CVEs Intento de explotación de carga de archivos de Apache Struts CVE-2023-50164 Establezca la acción en Bloquear para evitar la vulnerabilidad de Apache Struts. La puntuación de anomalías no se admite en esta regla

Conjunto de reglas principales 3.2

El conjunto de reglas administradas recomendado es el Conjunto de Reglas Predeterminado 2.1, que se basa en el Conjunto de Reglas Principal (CRS) 3.3.2 del Open Web Application Security Project (OWASP) e incluye reglas de protección propietarias adicionales desarrolladas por el equipo de Inteligencia sobre Amenazas de Microsoft y actualizaciones de firmas de seguridad para reducir los falsos positivos. Como alternativa a DRS 2.1, puede usar CRS 3.2, que se basa en la versión OWASP CRS 3.2.0.

CRS 3.2 incluye 14 grupos de reglas, tal como se muestra en la tabla siguiente. Cada grupo contiene varias reglas, las que se pueden deshabilitar.

Nota:

CRS 3.2 solo está disponible en la SKU WAF_v2. Dado que CRS 3.2 se ejecuta en el nuevo motor de WAF de Azure, no se puede cambiar a CRS 3.1, ni a las versiones anteriores. Si necesita cambiar a una versión anterior, póngase en contacto con el soporte técnico de Azure.

Nombre del grupo de reglas Tipo de amenaza
General General
CV nuevos y conocidos KNOWN-CVES
Métodos de bloqueo (PUT, PATCH) REQUEST-911-METHOD-ENFORCEMENT
Escáneres de puerto y entorno REQUEST-913-SCANNER-DETECTION
Problemas de protocolo y codificación REQUEST-920-PROTOCOL-ENFORCEMENT
Inserción de encabezados, contrabandamiento de solicitudes y división de respuestas REQUEST-921-PROTOCOL-ATTACK
Ataques de archivos y rutas de acceso REQUEST-930-APPLICATION-ATTACK-LFI
Ataques de inclusión remota de archivos (RFI) REQUEST-931-APPLICATION-ATTACK-RFI
Ataques de ejecución remota de código REQUEST-932-APPLICATION-ATTACK-RCE
Ataques por inyección de PHP REQUEST-933-APPLICATION-ATTACK-PHP
Ataques por scripts entre sitios. REQUEST-941-APPLICATION-ATTACK-XSS
Ataques por inyección de código SQL. REQUEST-942-APPLICATION-ATTACK-SQLI
Ataques de corrección de sesión REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION
Ataques java REQUEST-944-APPLICATION-ATTACK-JAVA

Activando los conjuntos de reglas administrados

Tanto DRS como CRS están habilitados de forma predeterminada en el modo de detección en tus directivas de WAF. Puedes deshabilitar o habilitar reglas individuales dentro del conjunto de reglas administradas para cumplir con los requisitos de tu aplicación. También puede definir acciones específicas para cada regla. El DRS/CRS admite acciones de puntuación de anomalías, registro y bloqueo. El conjunto de reglas de Bot Manager admite las acciones de permitir, bloquear y registrar.

A veces, es posible que tenga que omitir determinados atributos de una solicitud de una evaluación del WAF. Un ejemplo común son los tokens insertados de Active Directory que se usan para la autenticación. Puede configurar que se apliquen exclusiones cuando se evalúen reglas de WAF específicas o que se apliquen globalmente a la evaluación de todas las reglas de WAF. Las reglas de exclusión se aplican a toda la aplicación web. Para más información, ver Firewall de aplicaciones web (WAF) con listas de exclusión de Application Gateway.

De forma predeterminada, DRS versión 2.1 / CRS versión 3.2 y posteriores usa la puntuación de anomalías cuando una solicitud coincide con una regla. CRS 3.1 y versiones posteriores bloquean las solicitudes coincidentes de forma predeterminada. Además, las reglas personalizadas pueden configurarse en la misma directiva del WAF si quiere omitir cualquiera de las reglas previamente configuradas en el conjunto de reglas básico.

Las reglas personalizadas se aplican siempre antes de que se evalúen las reglas del conjunto de reglas básico. Si una solicitud coincide con una regla personalizada, se aplica la acción de la regla correspondiente. La solicitud se bloquea o se pasa por el back-end. No se procesa ninguna otra regla personalizada ni las reglas del conjunto de reglas básico.

Puntuación de anomalías

Cuando usas CRS o DRS 2.1 y versiones posteriores, tu WAF está configurado para usar puntuación de anomalías de forma predeterminada. El tráfico que cumpla cualquiera de las reglas no se bloquea inmediatamente, aun cuando WAF esté en modo de prevención. En vez de ello, los conjuntos de reglas OWASP definen una gravedad para cada regla: Crítica, Error, Advertencia o Aviso. Dicha gravedad afecta a un valor numérico de la solicitud, lo que se conoce como puntuación de anomalías:

Gravedad de las reglas Valor de contribución a una puntuación de anomalías
Crítico 5
Error 4
Advertencia 3
Aviso 2

Si la puntuación de anomalía es 5 o superior y el WAF está en modo de prevención, la solicitud se bloquea. Si la puntuación de anomalía es 5 o superior y el WAF está en modo detección, la solicitud se registra pero no se bloquea.

Por ejemplo, cumplir una única regla Crítica es suficiente para que WAF bloquee una solicitud cuando está en modo de prevención, ya que la puntuación de anomalía general es 5. Pero cumplir una regla de tipo Advertencia solo aumenta la puntuación de anomalías en 3, lo cual no basta per se para bloquear el tráfico. Cuando se desencadena una regla de anomalías, muestra una acción "Coincidente" en los registros. Si la puntuación de anomalía es 5 o superior, hay una regla independiente que se desencadena con una acción "Bloqueada" o "Detectada" en función de si la directiva de WAF está en modo de prevención o de detección. Para más información, consulte el Modo de puntuación de anomalías.

Nivel de paranoia

Cada regla se asigna en un nivel de paranoia específico (PL). Las reglas configuradas en el nivel de Paranoia 1 (PL1) son menos agresivas y casi nunca desencadenan un falso positivo. Proporcionan seguridad de línea base con una necesidad mínima de ajuste. Las reglas de PL2 detectan más ataques, pero es probable que desencadenen falsos positivos que se deben afinar.

De forma predeterminada, las versiones de reglas DRS 2.1 y CRS 3.2 están preconfiguradas en el nivel 2 de Paranoia, incluidas las reglas asignadas tanto en PL1 como en PL2. Si desea usar WAF exclusivamente con PL1, puede deshabilitar cualquiera o todas las reglas PL2 o cambiar su acción a "log". PL3 y PL4 no se admiten actualmente en Azure WAF.

Nota:

El conjunto de reglas de CRS 3.2 incluye reglas en PL3 y PL4, pero estas reglas siempre están inactivas y no se pueden habilitar, independientemente de su estado o acción configurados.

Actualización o cambio de la versión del conjunto de reglas

Si va a actualizar o asignar una nueva versión del conjunto de reglas y desea conservar las invalidaciones y exclusiones de reglas existentes, se recomienda usar PowerShell, la CLI, la API REST o una plantilla para realizar cambios en la versión del conjunto de reglas. Una nueva versión de un conjunto de reglas puede tener reglas más recientes, grupos de reglas adicionales y puede tener actualizaciones de firmas existentes para aplicar una mejor seguridad y reducir los falsos positivos. Se recomienda validar los cambios en un entorno de prueba, ajustar si es necesario e implementarlos en un entorno de producción.

Nota:

Si utiliza Azure Portal para asignar un nuevo conjunto de reglas administrado a una directiva WAF, todas las personalizaciones anteriores del conjunto de reglas administrado existente, como el estado de la regla, las acciones de la regla y las exclusiones de nivel de regla, se restablecerán a los valores predeterminados del nuevo conjunto de reglas administrado. Sin embargo, las reglas personalizadas, la configuración de directiva y las exclusiones globales seguirán sin verse afectadas durante la nueva asignación del conjunto de reglas. Deberá volver a definir las invalidaciones de regla y validar los cambios antes de implementarlos en un entorno de producción.

OWASP CRS 3.1

CRS 3.1 incluye 14 grupos de reglas, tal como se muestra en la tabla siguiente. Cada grupo contiene varias reglas, las que se pueden deshabilitar. El conjunto de reglas se basa en la versión de OWASP CRS 3.1.1.

Nota:

CRS 3.1 solo está disponible en la SKU WAF_v2.

Nombre del grupo de reglas Descripción
General Grupo general
KNOWN-CVES Ayuda para detectar los CVE nuevos y conocidos
REQUEST-911-METHOD-ENFORCEMENT Métodos de bloqueo (PUT, PATCH)
REQUEST-913-SCANNER-DETECTION Protección contra los escáneres de puertos y entornos
REQUEST-920-PROTOCOL-ENFORCEMENT Protección contra problemas de protocolo y codificación
REQUEST-921-PROTOCOL-ATTACK Protección contra ataques por inyección de encabezado, contrabando de solicitudes y división de respuestas
REQUEST-930-APPLICATION-ATTACK-LFI Protección contra ataques a archivos y rutas de acceso
REQUEST-931-APPLICATION-ATTACK-RFI Protección contra ataques por inclusión de archivos remotos (RFI)
REQUEST-932-APPLICATION-ATTACK-RCE Protección contra ataques de ejecución de código remoto
REQUEST-933-APPLICATION-ATTACK-PHP Protección contra ataques por inyección de código PHP
REQUEST-941-APPLICATION-ATTACK-XSS Protección contra ataques por scripts entre sitios
REQUEST-942-APPLICATION-ATTACK-SQLI Protección contra ataques por inyección de código SQL
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Protección contra ataques por fijación de sesión
REQUEST-944-APPLICATION-ATTACK-SESSION-JAVA Protección contra ataques de JAVA

Administrador de bots 1.0

El conjunto de reglas de Bot Manager 1.0 proporciona protección contra bots malintencionados y detección de buenos bots. Las reglas proporcionan un control pormenorizado sobre los bots detectados por WAF mediante la categorización del tráfico de bots como bots buenos, maliciosos o desconocidos.

Grupo de reglas Descripción
BadBots Protección frente a bots defectuosos
GoodBots Identificación de bots correctos
UnknownBots Identificación de bots desconocidos

Administrador de bots 1.1

El conjunto de reglas de Bot Manager 1.1 es una mejora del conjunto de reglas de Bot Manager 1.0. Proporciona protección mejorada contra bots malintencionados y mejora la detección de bots buenos.

Grupo de reglas Descripción
BadBots Protección frente a bots defectuosos
GoodBots Identificación de bots correctos
UnknownBots Identificación de bots desconocidos

Los siguientes grupos de reglas y reglas están disponibles cuando se usa el Firewall de aplicaciones web en Application Gateway.

2.1 Conjuntos de reglas

General

Identificador de la regla Gravedad de puntuación de anomalías Nivel de paranoia Descripción
200002 Crítico: 5 PL1 Error al analizar el cuerpo de la solicitud
200003 Crítico: 5 PL1 Error de validación estricta del cuerpo de la solicitud de varias partes

METHOD-ENFORCEMENT

Identificador de la regla Gravedad de puntuación de anomalías Nivel de paranoia Descripción
911100 Crítico: 5 PL1 Método no permitido por la directiva

CUMPLIMIENTO DE PROTOCOLO

Identificador de la regla Gravedad de puntuación de anomalías Nivel de paranoia Descripción
920100 Aviso: 2 PL1 Línea de solicitud HTTP no válida
920120 Crítico: 5 PL1 Intento de omisión multiparte/datos de formulario
920121 Crítico: 5 PL2 Intento de omisión multiparte/datos de formulario
920160 Crítico: 5 PL1 El encabezado Content-Length HTTP no es numérico
920170 Crítico: 5 PL1 Solicitud GET o HEAD con contenido del cuerpo
920171 Crítico: 5 PL1 GET o solicitud HEAD con codificación de transferencia
920180 Aviso: 2 PL1 Falta el encabezado Content-Length en la solicitud POST
920181 Advertencia: 3 PL1 Encabezados de longitud y Transfer-Encoding de contenido presentes 99001003
920190 Advertencia: 3 PL1 Intervalo: último valor de bytes no válido
920200 Advertencia: 3 PL2 Intervalo: demasiados campos (6 o más).
920201 Advertencia: 3 PL2 Intervalo: demasiados campos para solicitudes PDF (35 o más).
920210 Crítico: 5 PL1 Se han encontrado múltiples datos de encabezado de conexión en conflicto
920220 Advertencia: 3 PL1 Intento de ataque de abuso de codificación de direcciones URL
920230 Advertencia: 3 PL2 Varias codificaciones de direcciones URL detectadas
920240 Advertencia: 3 PL1 Intento de ataque de abuso de codificación de direcciones URL
920260 Advertencia: 3 PL1 Intento de ataque de abuso de caracteres de ancho medio y ancho completo Unicode
920270 Error: 4 PL1 Carácter no válido en la solicitud (carácter nulo)
920271 Crítico: 5 PL2 Carácter no válido en la solicitud (caracteres no imprimibles)
920280 Advertencia: 3 PL1 Falta un encabezado host en la solicitud.
920290 Advertencia: 3 PL1 Encabezado host vacío
920300 Aviso: 2 PL2 Falta un encabezado de aceptación (Accept) en la solicitud.
920310 Aviso: 2 PL1 La solicitud tiene un encabezado de aceptación (Accept) vacío.
920311 Aviso: 2 PL1 La solicitud tiene un encabezado de aceptación (Accept) vacío.
920320 Aviso: 2 PL2 Falta el encabezado de agente de usuario.
920330 Aviso: 2 PL1 Encabezado de agente de usuario vacío
920340 Aviso: 2 PL1 La solicitud tiene contenido, pero falta el encabezado Content-Type.
920341 Crítico: 5 PL1 La solicitud que tiene contenido requiere encabezado Content-Type
920350 Advertencia: 3 PL1 El encabezado host es una dirección IP numérica.
920420 Crítico: 5 PL1 La directiva no permite el tipo de contenido de la solicitud
920430 Crítico: 5 PL1 La directiva no permite la versión del protocolo HTTP
920440 Crítico: 5 PL1 Extensión de archivo URL restringida por una directiva
920450 Crítico: 5 PL1 Encabezado HTTP restringido por una directiva
920470 Crítico: 5 PL1 Encabezado de tipo de contenido no válido
920480 Crítico: 5 PL1 La directiva no permite el conjunto de caracteres de tipo de contenido de solicitud
920500 Crítico: 5 PL1 Intento de acceder a una copia de seguridad o un archivo de trabajo

ATAQUE DE PROTOCOLO

Identificador de la regla Gravedad de puntuación de anomalías Nivel de paranoia Descripción
921110 Crítico: 5 PL1 Ataque de contrabando de solicitudes HTTP
921120 Crítico: 5 PL1 Ataque de división de respuestas HTTP
921130 Crítico: 5 PL1 Ataque de división de respuestas HTTP
921140 Crítico: 5 PL1 Ataque por inyección de encabezado HTTP a través de encabezados
921150 Crítico: 5 PL1 Ataque por inyección de encabezado HTTP a través de la carga (Retorno de carro / Avance de línea detectado)
921151 Crítico: 5 PL2 Ataque por inyección de encabezado HTTP a través de la carga (Retorno de carro / Avance de línea detectado)
921160 Crítico: 5 PL1 Ataque por inyección de encabezado HTTP a través de la carga (Retorno de carro/Avance de línea y header-name detectados)
921190 Crítico: 5 PL1 División HTTP (CR/LF en el nombre de archivo de solicitud detectado)
921200 Crítico: 5 PL1 Ataque por inyección de LDAP

LFI: inclusión de archivos locales

Identificador de la regla Gravedad de puntuación de anomalías Nivel de paranoia Descripción
930100 Crítico: 5 PL1 Ataque punto punto barra (/.. /)
930110 Crítico: 5 PL1 Ataque punto punto barra (/.. /)
930120 Crítico: 5 PL1 Intento de acceso a archivo del sistema operativo
930130 Crítico: 5 PL1 Intento de acceso a archivo restringido

RFI: inclusión de archivos remotos

Identificador de la regla Gravedad de puntuación de anomalías Nivel de paranoia Descripción
931100 Crítico: 5 PL1 Posible ataque remoto de inclusión de archivos (RFI): el parámetro de dirección URL utiliza una dirección IP
931110 Crítico: 5 PL1 Posible ataque remoto de inclusión de archivos (RFI): nombre de parámetro vulnerable de RFI común utilizado con carga de dirección URL
931120 Crítico: 5 PL1 Posible ataque remoto de inclusión de archivos (RFI): carga de dirección URL utilizada con carácter de interrogación de cierre (?)
931130 Crítico: 5 PL2 Posible ataque remoto de inclusión de archivos (RFI): referencia o vínculo fuera del dominio

RCE: ejecución de comandos remotos

Identificador de la regla Gravedad de puntuación de anomalías Nivel de paranoia Descripción
932100 Crítico: 5 PL1 Ejecución de comandos remotos: Inyección de comandos Unix
932105 Crítico: 5 PL1 Ejecución de comandos remotos: Inyección de comandos Unix
932110 Crítico: 5 PL1 Ejecución de comandos remotos: Inyección de comando de Windows
932115 Crítico: 5 PL1 Ejecución de comandos remotos: Inyección de comando de Windows
932120 Crítico: 5 PL1 Ejecución de comandos remotos: comando de Windows PowerShell encontrado
932130 Crítico: 5 PL1 Ejecución remota de comandos: expresión de shell de Unix o vulnerabilidad de Confluence (CVE-2022-26134) encontrada
932140 Crítico: 5 PL1 Ejecución de comandos remotos: comando FOR/IF de Windows encontrado
932150 Crítico: 5 PL1 Ejecución de comandos remotos: Ejecución directa de comandos de Unix
932160 Crítico: 5 PL1 Ejecución de comandos remotos: código de shell de Unix encontrado
932170 Crítico: 5 PL1 Ejecución de comandos remotos: Shellshock (CVE-2014-6271)
932171 Crítico: 5 PL1 Ejecución de comandos remotos: Shellshock (CVE-2014-6271)
932180 Crítico: 5 PL1 Intento de acceso a archivo restringido

Ataques PHP

Identificador de la regla Gravedad de puntuación de anomalías Nivel de paranoia Descripción
933100 Crítico: 5 PL1 Ataque por inyección en PHP: etiqueta de apertura o cierre encontrada
933110 Crítico: 5 PL1 Ataque por inyección en PHP: Carga de archivos de script PHP encontrada
933120 Crítico: 5 PL1 Ataque por inyección en PHP: directiva de configuración encontrada
933130 Crítico: 5 PL1 Ataque por inyección en PHP: Variables encontradas
933140 Crítico: 5 PL1 Ataque por inyección en PHP: Flujo de E/S encontrado
933150 Crítico: 5 PL1 Ataque por inyección en PHP: nombre de función de PHP de alto riesgo encontrado
933151 Crítico: 5 PL2 Ataque por inyección en PHP: Se encontró un nombre de función PHP de riesgo medio
933160 Crítico: 5 PL1 Ataque por inyección en PHP: llamada de función de PHP de alto riesgo encontrada
933170 Crítico: 5 PL1 Ataque por inyección en PHP: Inyección de objetos serializados
933180 Crítico: 5 PL1 Ataque por inyección en PHP: llamada de función de variable encontrada
933200 Crítico: 5 PL1 Ataque por inyección de PHP: esquema contenedor
933210 Crítico: 5 PL1 Ataque por inyección en PHP: llamada de función de variable encontrada

Ataques de Node JS

Identificador de la regla Gravedad de puntuación de anomalías Nivel de paranoia Descripción
934100 Crítico: 5 PL1 Ataque por inyección de Node.js

XSS: scripting entre sitios

Identificador de la regla Gravedad de puntuación de anomalías Nivel de paranoia Descripción
941100 Crítico: 5 PL1 Ataque XSS detectado mediante libinjection
941101 Crítico: 5 PL2 Ataque XSS detectado mediante libinjection
Esta regla detecta solicitudes con un encabezado referer .
941110 Crítico: 5 PL1 Filtro XSS - Categoría 1: vector de etiqueta de script
941120 Crítico: 5 PL1 Filtro XSS - Categoría 2: vector del controlador de eventos
941130 Crítico: 5 PL1 Filtro XSS - Categoría 3: vector de atributo
941140 Crítico: 5 PL1 Filtro XSS - Categoría 4: vector URI de JavaScript
941150 Crítico: 5 PL2 Filtro XSS - Categoría 5: atributos HTML no permitidos
941160 Crítico: 5 PL1 NoScript XSS InjectionChecker: Inyección HTML
941170 Crítico: 5 PL1 NoScript XSS InjectionChecker: Inyección de atributo
941180 Crítico: 5 PL1 Palabras clave de lista de bloqueados de node-validator
941190 Crítico: 5 PL1 XSS mediante hojas de estilos
941200 Crítico: 5 PL1 XSS mediante fotogramas VML
941210 Crítico: 5 PL1 XSS mediante JavaScript ofuscado
941220 Crítico: 5 PL1 XSS mediante VBScript ofuscado
941230 Crítico: 5 PL1 XSS mediante etiqueta "embed"
941240 Crítico: 5 PL1 XSS mediante el atributo "import" o "implementación"
941250 Crítico: 5 PL1 Filtros XSS de IE: ataque detectado
941260 Crítico: 5 PL1 XSS mediante la etiqueta "meta"
941270 Crítico: 5 PL1 XSS mediante href "link"
941280 Crítico: 5 PL1 XSS mediante la etiqueta "base"
941290 Crítico: 5 PL1 XSS mediante la etiqueta "applet"
941300 Crítico: 5 PL1 XSS mediante la etiqueta "object"
941310 Crítico: 5 PL1 Filtro XSS de codificación con formato incorrecto US-ASCII: ataque detectado
941320 Crítico: 5 PL2 Posible ataque XSS detectado: controlador de etiquetas HTML
941330 Crítico: 5 PL2 Filtros XSS de IE: ataque detectado
941340 Crítico: 5 PL2 Filtros XSS de IE: ataque detectado
941350 Crítico: 5 PL1 XSS de IE con codificación UTF-7: ataque detectado
941360 Crítico: 5 PL1 Ofuscación de JavaScript detectada
941370 Crítico: 5 PL1 Variable global de JavaScript encontrada
941380 Crítico: 5 PL2 Inserción de plantillas del lado cliente de AngularJS detectada

SQLI: inyección de código SQL

Identificador de la regla Gravedad de puntuación de anomalías Nivel de paranoia Descripción
942100 Crítico: 5 PL1 Ataque por inyección de código SQL detectado mediante libinjection
942110 Advertencia: 3 PL2 Ataque por inyección de código SQL: Pruebas de inyección de código detectadas
942120 Crítico: 5 PL2 Ataque por inyección de código SQL: Se detectó un operador SQL
942130 Crítico: 5 PL2 Ataque por inyección de código SQL: tautología de SQL detectada
942140 Crítico: 5 PL1 Ataque por inyección de código SQL: nombres de base de datos comunes detectados
942150 Crítico: 5 PL2 Ataque por inyección de código SQL
942160 Crítico: 5 PL1 Detección de pruebas de inyección de código SQL a ciegas mediante sleep() o benchmark()
942170 Crítico: 5 PL1 Detección de intentos de inyección con las funciones benchmark y sleep que incluyen consultas condicionales
942180 Crítico: 5 PL2 Detecta intentos básicos de omisión de la autenticación SQL 1/3
942190 Crítico: 5 PL1 Detecta la ejecución de código MSSQL y los intentos de recopilación de información
942200 Crítico: 5 PL2 Detecta inyecciones de código MySQL cuyo espacio o comentarios resultan confusos y terminaciones con el carácter de acento grave
942210 Crítico: 5 PL2 Detecta los intentos de inyección de SQL encadenado 1/2
942220 Crítico: 5 PL1 En busca de ataques de desbordamiento de enteros; estos se toman de skipfish, excepto 3.0.00738585072007e-308, que es el bloqueo de "número mágico".
942230 Crítico: 5 PL1 Detección de intentos de inyección de código SQL condicionales
942240 Crítico: 5 PL1 Detecta el modificador de los juegos de caracteres de MySQL y los intentos de DoS MSSQL
942250 Crítico: 5 PL1 Detecta la coincidencia, la combinación y la ejecución de inyecciones inmediatas
942260 Crítico: 5 PL2 Detecta intentos básicos de omisión de la autenticación SQL (2/3)
942270 Crítico: 5 PL1 Búsqueda de inyección de código SQL básico Cadena de ataque común para mysql, oracle y otros
942280 Crítico: 5 PL1 Detecta la inyección de pg_sleep de Postgres, los ataques de retraso de WAITFOR y los intentos de cierre de base de datos
942290 Crítico: 5 PL1 Búsqueda de intentos de inyección de código SQL MongoDB básico
942300 Crítico: 5 PL2 Detecta comentarios, condiciones e inyecciones de caracteres de MySQL.
942310 Crítico: 5 PL2 Detecta los intentos de inyección de SQL encadenado 2/2
942320 Crítico: 5 PL1 Detección de inyecciones de funciones o procedimientos almacenados de MySQL y PostgreSQL
942330 Crítico: 5 PL2 Detecta sondeos clásicos de inyección de código SQL (1/2)
942340 Crítico: 5 PL2 Detecta intentos básicos de omisión de la autenticación SQL (3/3)
942350 Crítico: 5 PL1 Detección de intentos de inyección de UDF MySQL y otras manipulaciones de datos o estructuras
942360 Crítico: 5 PL1 Detecta intentos concatenados de SQLLFI e inyecciones de código SQL básicas
942361 Crítico: 5 PL2 Detecta la inyección de SQL básica basada en la palabra clave alter o union
942370 Crítico: 5 PL2 Detecta sondeos clásicos de inyección de código SQL (2/2)
942380 Crítico: 5 PL2 Ataque por inyección de código SQL
942390 Crítico: 5 PL2 Ataque por inyección de código SQL
942400 Crítico: 5 PL2 Ataque por inyección de código SQL
942410 Crítico: 5 PL2 Ataque por inyección de código SQL
942430 Advertencia: 3 PL2 Restringe la detección de anomalías de caracteres de SQL (args): número de caracteres especiales que se han excedido (12)
942440 Crítico: 5 PL2 Secuencia de comentario SQL detectada
942450 Crítico: 5 PL2 Codificación hexadecimal de SQL identificada
942470 Crítico: 5 PL2 Ataque por inyección de código SQL
942480 Crítico: 5 PL2 Ataque por inyección de código SQL
942500 Crítico: 5 PL1 Se detectó un comentario en línea de MySQL
942510 Crítico: 5 PL2 Intento de omisión de SQLI por tics o marcas de seguridad detectado

FIJACIÓN DE SESIÓN

Identificador de la regla Gravedad de puntuación de anomalías Nivel de paranoia Descripción
943100 Crítico: 5 PL1 Posible ataque de fijación de sesión: definición de valores de cookies en HTML
943110 Crítico: 5 PL1 Posible ataque de fijación de sesión: nombre del parámetro SessionID con origen de referencia fuera del dominio
943120 Crítico: 5 PL1 Posible ataque de fijación de sesión: nombre del parámetro SessionID con origen de referencia fuera del dominio

Ataques de JAVA

Identificador de la regla Gravedad de puntuación de anomalías Nivel de paranoia Descripción
944100 Crítico: 5 PL1 Ejecución remota de comandos: Apache Struts, Oracle WebLogic
944110 Crítico: 5 PL1 Detecta la ejecución de la carga útil potencial.
944120 Crítico: 5 PL1 Ejecución de la carga posible y ejecución de comandos remotos
944130 Crítico: 5 PL1 Clases de Java sospechosas
944200 Crítico: 5 PL2 Aprovechamiento de la deserialización de Java Apache Commons
944210 Crítico: 5 PL2 Posible uso de la serialización de Java
944240 Crítico: 5 PL2 Ejecución remota de comandos: vulnerabilidad de Log4j y serialización de Java (CVE-2021-44228, CVE-2021-45046)
944250 Crítico: 5 PL2 Ejecución remota de comandos: se detectó un método de Java sospechoso

MS-ThreatIntel-WebShells

Identificador de la regla Gravedad de puntuación de anomalías Nivel de paranoia Descripción
99005002 Crítico: 5 PL2 Intento de interacción del shell web (POST)
99005003 Crítico: 5 PL2 Intento de carga de shell web (POST): CHOPPER PHP
99005004 Crítico: 5 PL2 Intento de carga de shell web (POST): CHOPPER ASPX
99005005 Crítico: 5 PL2 Intento de interacción del shell web
99005006 Crítico: 5 PL2 Intento de interacción de Spring4Shell

MS-ThreatIntel-AppSec

Identificador de la regla Gravedad de puntuación de anomalías Nivel de paranoia Descripción
99030001 Crítico: 5 PL2 Evasión transversal de ruta de acceso en encabezados (/.././../)
99030002 Crítico: 5 PL2 Evasión transversal de ruta de acceso en el cuerpo de la solicitud (/.././../)

MS-ThreatIntel-SQLI

Identificador de la regla Gravedad de puntuación de anomalías Nivel de paranoia Descripción
99031001 Advertencia: 3 PL2 Ataque por inyección de código SQL: Pruebas de inyección de código detectadas
99031002 Crítico: 5 PL2 Secuencia de comentario SQL detectada
99031003 Crítico: 5 PL2 Ataque por inyección de código SQL
99031004 Crítico: 5 PL2 Detecta intentos básicos de omisión de la autenticación SQL (2/3)

MS-ThreatIntel-CVEs

Identificador de la regla Gravedad de puntuación de anomalías Nivel de paranoia Descripción
99001001 Crítico: 5 PL2 Intento de explotación de la API de REST F5 tmui (CVE-2020-5902) con credenciales conocidas
99001002 Crítico: 5 PL2 Intento de recorrido de directorio de Citrix NSC_USER CVE-2019-19781
99001003 Crítico: 5 PL2 Intento de explotación del conector de widgets de Confluence atlassian CVE-2019-3396
99001004 Crítico: 5 PL2 Intento de explotación de plantillas personalizadas de Pulse Secure CVE-2020-8243
99001005 Crítico: 5 PL2 Intento de explotación del convertidor de tipos de SharePoint CVE-2020-0932
99001006 Crítico: 5 PL2 Intento de recorrido de directorio de Pulse Connect CVE-2019-11510
99001007 Crítico: 5 PL2 Intento de inclusión de archivos locales J-Web de Junos OS CVE-2020-1631
99001008 Crítico: 5 PL2 Intento de recorrido de ruta de Fortinet CVE-2018-13379
99001009 Crítico: 5 PL2 Intento de inyección de ognl de Apache struts CVE-2017-5638
99001010 Crítico: 5 PL2 Intento de inyección de ognl de Apache struts CVE-2017-12611
99001011 Crítico: 5 PL2 Intento de recorrido de ruta de acceso de Oracle WebLogic CVE-2020-14882
99001012 Crítico: 5 PL2 Intento de explotación de deserialización no segura de Telerik WebUI CVE-2019-18935
99001013 Crítico: 5 PL2 Intento de deserialización XML no segura de SharePoint CVE-2019-0604
99001014 Crítico: 5 PL2 Intento de inserción de expresiones de enrutamiento de Spring Cloud CVE-2022-22963
99001015 Crítico: 5 PL2 Intento de explotación de objetos de clase no seguros de Spring Framework CVE-2022-22965
99001016 Crítico: 5 PL2 Intento de inyección de accionador de Spring Cloud Gateway CVE-2022-22947
99001017* No disponible No disponible Intento de explotación de carga de archivos de Apache Struts CVE-2023-50164

* Esta acción de regla se establece en registro de forma predeterminada. Establezca la acción en Bloquear para evitar la vulnerabilidad de Apache Struts. La puntuación de anomalías no se admite en esta regla.

Nota:

Al revisar los registros de WAF, es posible que vea el identificador de regla 949110. En la descripción de la regla podría leerse que se ha excedido la puntuación de anomalías entrante.

Esto indica que la puntuación total de anomalías de la solicitud ha superado la puntuación máxima permitida. Para obtener más información, vea Puntuación de anomalías.

Los siguientes conjuntos de reglas, los grupos de reglas CRS 3.0 y CRS 2.2.9, ya no se admiten en el Firewall de Aplicaciones Web de Azure en Application Gateway. Se recomienda actualizar a DRS 2.1 / CRS 3.2

3.0 Conjuntos de reglas

General

Identificador de regla Descripción
200004 Posible límite sin coincidencia con varias partes

KNOWN-CVES

Identificador de regla Descripción
800100 Regla para ayudar a detectar y mitigar la vulnerabilidad de log4j CVE-2021-44228, CVE-2021-45046
800110 Intento de interacción de Spring4Shell
800111 Intento de inserción de expresiones de enrutamiento de Spring Cloud: CVE-2022-22963
800112 Intento de explotación de objetos de clase no seguros de Spring Framework: CVE-2022-22965
800113 Intento de inyección de accionador de Spring Cloud Gateway: CVE-2022-22947

REQUEST-911-METHOD-ENFORCEMENT

Identificador de regla Descripción
911100 Método no permitido por la directiva

REQUEST-913-SCANNER-DETECTION

Identificador de regla Descripción
913100 Se ha encontrado un agente de usuario asociado a un examen de seguridad.
913110 Se ha encontrado un encabezado de solicitud asociado a un examen de seguridad.
913120 Se ha encontrado un argumento o nombre de archivo de solicitud asociado a un examen de seguridad.
913101 Se ha encontrado un agente de usuario asociado al cliente HTTP genérico o de scripts.
913102 Se ha encontrado un agente de usuario asociado a un robot o agente de búsqueda.

REQUEST-920-PROTOCOL-ENFORCEMENT

Identificador de regla Descripción
920100 Línea de solicitud HTTP no válida
920130 Error al analizar el cuerpo de la solicitud
920140 Error de validación estricta del cuerpo de la solicitud de varias partes
920160 El encabezado Content-Length HTTP no es numérico
920170 Solicitud GET o HEAD con contenido del cuerpo
920180 Falta el encabezado Content-Length en la solicitud POST
920190 Intervalo: último valor de bytes no válido
920210 Se han encontrado múltiples datos de encabezado de conexión en conflicto
920220 Intento de ataque de abuso de codificación de direcciones URL
920240 Intento de ataque de abuso de codificación de direcciones URL
920250 Intento de ataque de abuso de codificación UTF8
920260 Intento de ataque de abuso de caracteres de ancho medio y ancho completo Unicode
920270 Carácter no válido en la solicitud (carácter nulo)
920280 Falta un encabezado host en la solicitud.
920290 Encabezado host vacío
920310 La solicitud tiene un encabezado de aceptación (Accept) vacío.
920311 La solicitud tiene un encabezado de aceptación (Accept) vacío.
920330 Encabezado de agente de usuario vacío
920340 La solicitud tiene contenido, pero falta el encabezado Content-Type.
920350 El encabezado host es una dirección IP numérica.
920380 Hay demasiados argumentos en la solicitud.
920360 Nombre de argumento demasiado largo
920370 Valor de argumento demasiado largo
920390 Se ha superado el tamaño total de argumentos.
920400 El tamaño del archivo cargado es demasiado grande.
920410 El tamaño total de los archivos cargados es demasiado grande.
920420 La directiva no permite el tipo de contenido de la solicitud
920430 La directiva no permite la versión del protocolo HTTP
920440 Extensión de archivo URL restringida por una directiva
920450 Encabezado HTTP restringido por una directiva (%@{MATCHED_VAR})
920200 Intervalo = Demasiados campos (6 o más)
920201 Intervalo = Demasiados campos para solicitud PDF (35 o más)
920230 Varias codificaciones de direcciones URL detectadas
920300 Falta un encabezado de aceptación (Accept) en la solicitud.
920271 Carácter no válido en la solicitud (caracteres no imprimibles)
920320 Falta el encabezado de agente de usuario.
920272 Carácter no válido en la solicitud (fuera de los caracteres imprimibles, por debajo de ASCII 127)
920202 Intervalo = Demasiados campos para solicitud PDF (6 o más)
920273 Carácter no válido en la solicitud (fuera de conjunto muy estricto)
920274 Carácter no válido en encabezados de solicitud (fuera de conjunto muy estricto)
920460 Caracteres de escape anómalos

REQUEST-921-PROTOCOL-ATTACK

Identificador de regla Descripción
921100 Ataque de contrabando de solicitudes HTTP
921110 Ataque de contrabando de solicitudes HTTP
921120 Ataque de división de respuestas HTTP
921130 Ataque de división de respuestas HTTP
921140 Ataque por inyección de encabezado HTTP a través de encabezados
921150 Ataque por inyección de encabezado HTTP a través de la carga (Retorno de carro / Avance de línea detectado)
921160 Ataque por inyección de encabezado HTTP a través de la carga (Retorno de carro/Avance de línea y header-name detectados)
921151 Ataque por inyección de encabezado HTTP a través de la carga (Retorno de carro / Avance de línea detectado)
921170 Polución de parámetros HTTP
921180 Polución de parámetros HTTP (%@{TX.1})

REQUEST-930-APPLICATION-ATTACK-LFI

Identificador de regla Descripción
930100 Ataque punto punto barra (/.. /)
930110 Ataque punto punto barra (/.. /)
930120 Intento de acceso a archivo del sistema operativo
930130 Intento de acceso a archivo restringido

REQUEST-931-APPLICATION-ATTACK-RFI

Identificador de regla Descripción
931100 Posible ataque remoto de inclusión de archivos (RFI) = El parámetro de dirección URL utiliza una dirección IP
931110 Posible ataque remoto de inclusión de archivos (RFI) = Nombre de parámetro vulnerable de RFI común utilizado con carga de dirección URL
931120 Posible ataque remoto de inclusión de archivos (RFI) = Carga de dirección URL utilizada con carácter de interrogación de cierre (?)
931130 Posible ataque remoto de inclusión de archivos (RFI) = Referencia o vínculo fuera del dominio

REQUEST-932-APPLICATION-ATTACK-RCE

Identificador de regla Descripción
932120 Ejecución de comando remoto = Comando de Windows PowerShell encontrado
932130 Application Gateway WAF v2: Ejecución remota de comandos: expresión de shell de Unix o vulnerabilidad de Confluence (CVE-2022-26134) o Text4Shell (CVE-2022-42889) encontrada

Application Gateway WAF v1: Ejecución remota de comandos: expresión de shell de Unix
932140 Ejecución de comando remoto = Comando FOR/IF de Windows encontrado
932160 Ejecución de comando remoto = Código de shell de Unix encontrado
932170 Ejecución de comando remoto = Shellshock (CVE-2014-6271)
932171 Ejecución de comando remoto = Shellshock (CVE-2014-6271)

REQUEST-933-APPLICATION-ATTACK-PHP

Identificador de regla Descripción
933100 Ataque por inyección en PHP = Se ha encontrado etiqueta de apertura o cierre
933110 Ataque por inyección en PHP = Se ha encontrado carga de archivo de script PHP
933120 Ataque por inyección en PHP = Se ha encontrado directiva de configuración
933130 Ataque por inyección en PHP = Se han encontrado variables
933150 Ataque por inyección en PHP = Se ha encontrado nombre de función de PHP de alto riesgo
933160 Ataque por inyección en PHP = Se ha encontrado llamada de función de PHP de alto riesgo
933180 Ataque por inyección en PHP = Se ha encontrado llamada de función de variable
933151 Ataque por inyección en PHP = Se ha encontrado nombre de función de PHP de riesgo medio
933131 Ataque por inyección en PHP = Se han encontrado variables
933161 Ataque por inyección en PHP = Se ha encontrado llamada de función de PHP de valor bajo
933111 Ataque por inyección en PHP = Se ha encontrado carga de archivo de script PHP

REQUEST-941-APPLICATION-ATTACK-XSS

Identificador de regla Descripción
941100 Ataque XSS detectado mediante libinjection
941110 Filtro XSS - Categoría 1 = Vector de etiqueta de script
941130 Filtro XSS - Categoría 3 = Vector de atributo
941140 Filtro XSS - Categoría 4 = Vector URI de JavaScript
941150 Filtro XSS - Categoría 5 = Atributos HTML no permitidos
941180 Palabras clave de lista de bloqueados de node-validator
941190 XSS mediante hojas de estilos
941200 XSS mediante fotogramas VML
941210 XSS mediante JavaScript ofuscado o Text4Shell (CVE-2022-42889)
941220 XSS mediante VBScript ofuscado
941230 XSS mediante etiqueta "embed"
941240 XSS mediante el atributo "import" o "implementación"
941260 XSS mediante la etiqueta "meta"
941270 XSS mediante href "link"
941280 XSS mediante la etiqueta "base"
941290 XSS mediante la etiqueta "applet"
941300 XSS mediante la etiqueta "object"
941310 Filtro XSS de codificación con formato incorrecto US-ASCII: ataque detectado
941330 Filtros XSS de IE: ataque detectado
941340 Filtros XSS de IE: ataque detectado
941350 XSS de IE con codificación UTF-7: ataque detectado
941320 Posible ataque XSS detectado: controlador de etiquetas HTML

REQUEST-942-APPLICATION-ATTACK-SQLI

Identificador de regla Descripción
942100 Ataque por inyección de código SQL detectado mediante libinjection
942110 Ataque por inyección de código SQL: Pruebas de inyección de código detectadas
942130 Ataque por inyección de código SQL: tautología de SQL detectada
942140 Ataque por inyección de código SQL = nombres de base de datos comunes detectados
942160 Detección de pruebas de inyección de código SQL a ciegas mediante sleep() o benchmark()
942170 Detección de intentos de inyección con las funciones benchmark y sleep que incluyen consultas condicionales
942190 Detecta la ejecución de código MSSQL y los intentos de recopilación de información
942200 Detecta inyecciones de código MySQL cuyo espacio o comentarios resultan confusos y terminaciones con el carácter de acento grave
942230 Detección de intentos de inyección de código SQL condicionales
942260 Detecta intentos básicos de omisión de la autenticación SQL (2/3)
942270 Búsqueda de inyección de código SQL básico Cadena de ataque común para Oracle MySQL y otras
942290 Búsqueda de intentos de inyección de código SQL MongoDB básico
942300 Detecta comentarios, condiciones e inyecciones de caracteres de MySQL
942310 Detecta los intentos de inyección de SQL encadenado 2/2
942320 Detección de inyecciones de funciones o procedimientos almacenados de MySQL y PostgreSQL
942330 Detecta sondeos clásicos de inyección de código SQL (1/2)
942340 Detecta intentos básicos de omisión de la autenticación SQL (3/3)
942350 Detección de intentos de inyección de UDF MySQL y otras manipulaciones de datos o estructuras
942360 Detecta intentos concatenados de SQLLFI e inyecciones de código SQL básicas
942370 Detecta sondeos clásicos de inyección de código SQL (2/2)
942150 Ataque por inyección de código SQL
942410 Ataque por inyección de código SQL
942430 Restringe la detección de anomalías de caracteres de SQL (args): número de caracteres especiales que se han excedido (12)
942440 Secuencia de comentario SQL detectada
942450 Codificación hexadecimal de SQL identificada
942251 Detección de inyecciones HAVING
942460 Alerta de detección de anomalías de metacaracteres: repetición de caracteres que no se usan en las palabras

REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION

Identificador de regla Descripción
943100 Posible ataque de fijación de sesión = Definición de valores de cookies en HTML
943110 Posible ataque de fijación de sesión = Nombre del parámetro SessionID con origen de referencia fuera del dominio
943120 Posible ataque de fijación de sesión = Nombre del parámetro SessionID con origen de referencia fuera del dominio