Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El conjunto de reglas predeterminado (DRS) administrado por Azure en el firewall de aplicaciones web (WAF) de Application Gateway protege activamente las aplicaciones web frente a vulnerabilidades comunes y vulnerabilidades de seguridad. Estos conjuntos de reglas, administrados por Azure, reciben actualizaciones según sea necesario para protegerse frente a nuevas firmas de ataque. El conjunto de reglas predeterminado también incorpora las reglas de recopilación de inteligencia sobre amenazas de Microsoft. El equipo de Inteligencia de Microsoft colabora en la escritura de estas reglas, lo que garantiza una cobertura mejorada, revisiones de vulnerabilidad específicas y una reducción de falsos positivos mejorada.
Puede deshabilitar las reglas individualmente o establecer acciones específicas para cada regla. En este artículo se enumeran las reglas y los conjuntos de reglas actuales disponibles. Si un conjunto de reglas publicado requiere una actualización, lo documentaremos aquí.
Nota:
Al cambiar una versión del conjunto de reglas en una directiva de WAF, debe reenviar su acción de regla y las anulaciones y exclusiones de estado existentes para que se apliquen a la nueva versión del conjunto de reglas. Para obtener más información, consulte Actualización o cambio de la versión del conjunto de reglas.
Conjunto de reglas predeterminado 2.1
El conjunto de reglas predeterminado (DRS) 2.1 se basa en el Open Web Application Security Project (OWASP) Core Rule Set (CRS) 3.3.2 e incluye reglas de protección propietarias adicionales desarrolladas por el equipo de inteligencia de amenazas de Microsoft y actualizaciones de firmas para reducir los falsos positivos. También admite transformaciones más allá de la descodificación de direcciones URL.
DRS 2.1 ofrece un nuevo motor y nuevos conjuntos de reglas que se defienden contra las inyecciones de Java, un conjunto inicial de comprobaciones de carga de archivos y menos falsos positivos en comparación con las versiones crS. También puede personalizar reglas para satisfacer sus necesidades. Obtenga más información sobre el nuevo motor de WAF de Azure.
DRS 2.1 incluye 17 grupos de reglas, tal como se muestra en la tabla siguiente. Cada grupo contiene varias reglas y puede personalizar el comportamiento de reglas individuales, grupos de reglas o conjuntos de reglas completos.
| Tipo de amenaza | Nombre del grupo de reglas |
|---|---|
| General | General |
| Métodos de bloqueo (PUT, PATCH) | METHOD-ENFORCEMENT |
| Problemas de protocolo y codificación | PROTOCOL-ENFORCEMENT |
| Inserción de encabezados, contrabandamiento de solicitudes y división de respuestas | ATAQUE DE PROTOCOLO |
| Ataques de archivos y rutas de acceso | LFI |
| Ataques de inclusión remota de archivos (RFI) | RFI |
| Ataques de ejecución remota de código | RCE |
| Ataques por inyección de PHP | PHP |
| Ataques de Node JS | NodeJS |
| Ataques por scripts entre sitios | XSS |
| Ataques por inyección de código SQL | SQLI |
| Ataques de corrección de sesión | FIJACIÓN DE SESIÓN |
| Ataques java | SESSION-JAVA |
| Ataques de shell web (MS) | MS-ThreatIntel-WebShells |
| Ataques de AppSec (MS) | MS-ThreatIntel-AppSec |
| Ataques por inyección de código SQL (MS) | MS-ThreatIntel-SQLI |
| Ataques CVE (MS) | MS-ThreatIntel-CVEs |
Guía de ajuste para DRS 2.1
Utilice las instrucciones siguientes para ajustar WAF mientras comienza a trabajar con DRS 2.1 en WAF de Application Gateway.
| Id. de regla | Grupo de reglas | Descripción | Recomendación |
|---|---|---|---|
| 942110 | SQLI | Ataque por inyección de código SQL: pruebas de inyección común detectadas | Deshabilitar la regla 942110, reemplazada por la regla MSTIC 99031001 |
| 942150 | SQLI | Ataque por inyección de código SQL | Deshabilitar la regla 942150, reemplazada por la regla MSTIC 99031003 |
| 942260 | SQLI | Detecta intentos básicos de omisión de la autenticación SQL (2/3) | Deshabilitar la regla 942260, reemplazada por la regla MSTIC 99031004 |
| 942430 | SQLI | Restringe la detección de anomalías de caracteres de SQL (args): número de caracteres especiales que se han excedido (12) | Deshabilitar la regla 942430, desencadena demasiados falsos positivos |
| 942440 | SQLI | Secuencia de comentario SQL detectada | Deshabilitar la regla 942440, reemplazada por la regla MSTIC 99031002 |
| 99005006 | MS-ThreatIntel-WebShells | Intento de interacción de Spring4Shell | Mantén habilitada la regla para evitar la vulnerabilidad de SpringShell |
| 99001014 | MS-ThreatIntel-CVEs | Intento de inserción de expresiones de enrutamiento de Spring Cloud CVE-2022-22963 | Mantén habilitada la regla para evitar la vulnerabilidad de SpringShell |
| 99001015 | MS-ThreatIntel-CVEs | Intento de explotación de objetos de clase no seguros de Spring Framework CVE-2022-22965 | Mantén habilitada la regla para evitar la vulnerabilidad de SpringShell |
| 99001016 | MS-ThreatIntel-CVEs | Intento de inyección de accionador de Spring Cloud Gateway CVE-2022-22947 | Mantén habilitada la regla para evitar la vulnerabilidad de SpringShell |
| 99001017 | MS-ThreatIntel-CVEs | Intento de explotación de carga de archivos de Apache Struts CVE-2023-50164 | Establezca la acción en Bloquear para evitar la vulnerabilidad de Apache Struts. La puntuación de anomalías no se admite en esta regla |
Conjuntos de reglas principales (CRS) - heredado
El conjunto de reglas administradas recomendado es el Conjunto de Reglas Predeterminado 2.1, que se basa en el Conjunto de Reglas Principal (CRS) 3.3.2 del Open Web Application Security Project (OWASP) e incluye reglas de protección propietarias adicionales desarrolladas por el equipo de Inteligencia sobre Amenazas de Microsoft y actualizaciones de firmas de seguridad para reducir los falsos positivos. Al crear una nueva directiva de WAF, debe usar la versión más reciente del conjunto de reglas recomendado DRS 2.1. Si tiene una directiva de WAF existente mediante CRS 3.2 o CRS 3.1, se recomienda actualizar a DRS 2.1. Para más información, consulte Actualización de la versión del conjunto de reglas CRS o DRS.
Nota:
CRS 3.2 solo está disponible en la SKU WAF_v2. No se puede cambiar de CRS 3.2 a CRS 3.1 o versiones anteriores porque CRS 3.2 se ejecuta en el nuevo motor de AZURE WAF. Se recomienda actualizar directamente a la última versión de DRS 2.1 y validar nuevas reglas de forma segura cambiando la acción de las nuevas reglas a modo registro. Para obtener más información, consulte Validación de nuevas reglas de forma segura.
El Firewall de aplicaciones web (WAF) que se ejecuta en la Puerta de enlace de aplicaciones para contenedores no admite el conjunto de reglas principales (CRS).
Activando los conjuntos de reglas administrados
Tanto DRS como CRS están habilitados de forma predeterminada en el modo de detección en tus directivas de WAF. Puedes deshabilitar o habilitar reglas individuales dentro del conjunto de reglas administradas para cumplir con los requisitos de tu aplicación. También puede definir acciones específicas para cada regla. DRS/CRS admite acciones de bloqueo, registro y puntuación de anomalías. El conjunto de reglas de Bot Manager admite las acciones de permitir, bloquear y registrar.
A veces, es posible que tenga que omitir determinados atributos de una solicitud de una evaluación del WAF. Un ejemplo común son los tokens insertados de Active Directory que se usan para la autenticación. Puede configurar que se apliquen exclusiones cuando se evalúen reglas de WAF específicas o que se apliquen globalmente a la evaluación de todas las reglas de WAF. Las reglas de exclusión se aplican a toda la aplicación web. Para más información, ver Firewall de aplicaciones web (WAF) con listas de exclusión de Application Gateway.
De forma predeterminada, Azure WAF usa la puntuación de anomalías cuando una solicitud coincide con una regla. Además, puede configurar reglas personalizadas en la misma directiva de WAF si desea omitir cualquiera de las reglas preconfiguradas en el conjunto de reglas principales.
Las reglas personalizadas se aplican siempre antes de que se evalúen las reglas del conjunto de reglas básico. Si una solicitud coincide con una regla personalizada, se aplica la acción de la regla correspondiente. La solicitud se bloquea o se pasa por el back-end. No se procesa ninguna otra regla personalizada ni las reglas del conjunto de reglas básico.
Puntuación de anomalías
Cuando usas CRS o DRS 2.1 y versiones posteriores, tu WAF está configurado para usar puntuación de anomalías de forma predeterminada. El tráfico que cumpla cualquiera de las reglas no se bloquea inmediatamente, aun cuando WAF esté en modo de prevención. En vez de ello, los conjuntos de reglas OWASP definen una gravedad para cada regla: Crítica, Error, Advertencia o Aviso. Dicha gravedad afecta a un valor numérico de la solicitud, lo que se conoce como puntuación de anomalías:
| Gravedad de la regla | Valor de contribución a una puntuación de anomalías |
|---|---|
| Crítico | 5 |
| Error | 4 |
| Advertencia | 3 |
| Aviso | 2 |
Si la puntuación de anomalía es 5 o superior y el WAF está en modo de prevención, la solicitud se bloquea. Si la puntuación de anomalía es 5 o superior y el WAF está en modo detección, la solicitud se registra pero no se bloquea.
Por ejemplo, cumplir una única regla Crítica es suficiente para que WAF bloquee una solicitud cuando está en modo de prevención, ya que la puntuación de anomalía general es 5. Pero cumplir una regla de tipo Advertencia solo aumenta la puntuación de anomalías en 3, lo cual no basta per se para bloquear el tráfico. Cuando se desencadena una regla de anomalías, muestra una acción "Coincidente" en los registros. Si la puntuación de anomalía es 5 o superior, hay una regla independiente que se desencadena con una acción "Bloqueada" o "Detectada" en función de si la directiva de WAF está en modo de prevención o de detección. Para obtener más información, consulte Modo de puntuación de anomalías.
Nivel de paranoia
Cada regla se asigna en un nivel de paranoia específico (PL). Las reglas configuradas en el nivel de Paranoia 1 (PL1) son menos agresivas y casi nunca desencadenan un falso positivo. Proporcionan seguridad de línea base con una necesidad mínima de ajuste. Las reglas de PL2 detectan más ataques, pero se espera que desencadenen falsos positivos que se deben ajustar.
De forma predeterminada, las versiones de reglas DRS 2.1 y CRS 3.2 están preconfiguradas en el nivel 2 de Paranoia, incluidas las reglas asignadas tanto en PL1 como en PL2. Si desea usar WAF exclusivamente con PL1, puede deshabilitar cualquiera o todas las reglas PL2 o cambiar su acción a "log". PL3 y PL4 no se admiten actualmente en Azure WAF.
Nota:
El conjunto de reglas de CRS 3.2 incluye reglas en PL3 y PL4, pero estas reglas siempre están inactivas y no se pueden habilitar, independientemente de su estado o acción configurados.
Actualización o cambio de la versión del conjunto de reglas
Si va a actualizar o asignar una nueva versión del conjunto de reglas y desea conservar las invalidaciones y exclusiones de reglas existentes, se recomienda usar PowerShell, la CLI, la API REST o una plantilla para realizar cambios en la versión del conjunto de reglas. Una nueva versión de un conjunto de reglas puede tener reglas más recientes o grupos de reglas adicionales, que es posible que desee validar de forma segura. Se recomienda validar los cambios en un entorno de prueba, ajustar si es necesario e implementarlos en un entorno de producción. Para obtener más información, consulte Actualización de la versión del conjunto de reglas crS o DRS.
Si utiliza Azure Portal para asignar un nuevo conjunto de reglas administrado a una directiva WAF, todas las personalizaciones anteriores del conjunto de reglas administrado existente, como el estado de la regla, las acciones de la regla y las exclusiones de nivel de regla, se restablecerán a los valores predeterminados del nuevo conjunto de reglas administrado. Sin embargo, las reglas personalizadas, la configuración de directiva y las exclusiones globales seguirán sin verse afectadas durante la nueva asignación del conjunto de reglas. Deberá volver a definir las invalidaciones de regla y validar los cambios antes de implementarlos en un entorno de producción.
Bot Manager 1.0
El conjunto de reglas de Bot Manager 1.0 proporciona protección contra bots malintencionados y detección de buenos bots. Las reglas proporcionan un control pormenorizado sobre los bots detectados por WAF mediante la categorización del tráfico de bots como bots buenos, maliciosos o desconocidos.
| Grupo de reglas | Descripción |
|---|---|
| BadBots | Protección frente a bots defectuosos |
| GoodBots | Identificación de bots correctos |
| UnknownBots | Identificación de bots desconocidos |
Bot Manager 1.1
El conjunto de reglas de Bot Manager 1.1 es una mejora del conjunto de reglas de Bot Manager 1.0. Proporciona protección mejorada contra bots malintencionados y mejora la detección de bots buenos.
| Grupo de reglas | Descripción |
|---|---|
| BadBots | Protección frente a bots defectuosos |
| GoodBots | Identificación de bots correctos |
| UnknownBots | Identificación de bots desconocidos |
Los siguientes grupos de reglas y reglas están disponibles cuando se usa el Firewall de aplicaciones web en Application Gateway.
2.1 Conjuntos de reglas
General
| Id. de regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 200002 | Crítico: 5 | PL1 | Error al analizar el cuerpo de la solicitud |
| 200003 | Crítico: 5 | PL1 | Error de validación estricta del cuerpo de la solicitud de varias partes |
METHOD-ENFORCEMENT
| Id. de regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 911100 | Crítico: 5 | PL1 | Método no permitido por la directiva |
PROTOCOL-ENFORCEMENT
| Id. de regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 920100 | Aviso: 2 | PL1 | Línea de solicitud HTTP no válida |
| 920120 | Crítico: 5 | PL1 | Intento de omisión multiparte/datos de formulario |
| 920121 | Crítico: 5 | PL2 | Intento de omisión multiparte/datos de formulario |
| 920160 | Crítico: 5 | PL1 | El encabezado Content-Length HTTP no es numérico |
| 920170 | Crítico: 5 | PL1 | Solicitud GET o HEAD con contenido del cuerpo |
| 920171 | Crítico: 5 | PL1 | GET o solicitud HEAD con codificación de transferencia |
| 920180 | Aviso: 2 | PL1 | Falta el encabezado Content-Length en la solicitud POST |
| 920181 | Advertencia: 3 | PL1 | Encabezados de longitud y Transfer-Encoding de contenido presentes 99001003 |
| 920190 | Advertencia: 3 | PL1 | Intervalo: último valor de bytes no válido |
| 920200 | Advertencia: 3 | PL2 | Intervalo: demasiados campos (6 o más). |
| 920201 | Advertencia: 3 | PL2 | Intervalo: Demasiados campos para solicitud PDF (35 o más) |
| 920210 | Crítico: 5 | PL1 | Se han encontrado múltiples datos de encabezado de conexión en conflicto |
| 920220 | Advertencia: 3 | PL1 | Intento de ataque de abuso de codificación de direcciones URL |
| 920230 | Advertencia: 3 | PL2 | Varias codificaciones de direcciones URL detectadas |
| 920240 | Advertencia: 3 | PL1 | Intento de ataque de abuso de codificación de direcciones URL |
| 920260 | Advertencia: 3 | PL1 | Intento de ataque de abuso de caracteres de ancho medio y ancho completo Unicode |
| 920270 | Error: 4 | PL1 | Carácter no válido en la solicitud (carácter nulo) |
| 920271 | Crítico: 5 | PL2 | Carácter no válido en la solicitud (caracteres no imprimibles) |
| 920280 | Advertencia: 3 | PL1 | Falta un encabezado host en la solicitud. |
| 920290 | Advertencia: 3 | PL1 | Encabezado host vacío |
| 920300 | Aviso: 2 | PL2 | Falta un encabezado de aceptación (Accept) en la solicitud. |
| 920310 | Aviso: 2 | PL1 | La solicitud tiene un encabezado de aceptación (Accept) vacío. |
| 920311 | Aviso: 2 | PL1 | La solicitud tiene un encabezado de aceptación (Accept) vacío. |
| 920320 | Aviso: 2 | PL2 | Falta el encabezado de agente de usuario. |
| 920330 | Aviso: 2 | PL1 | Encabezado de agente de usuario vacío |
| 920340 | Aviso: 2 | PL1 | La solicitud tiene contenido, pero falta el encabezado Content-Type. |
| 920341 | Crítico: 5 | PL1 | La solicitud que tiene contenido requiere encabezado Content-Type |
| 920350 | Advertencia: 3 | PL1 | El encabezado host es una dirección IP numérica. |
| 920420 | Crítico: 5 | PL1 | La directiva no permite el tipo de contenido de la solicitud |
| 920430 | Crítico: 5 | PL1 | La directiva no permite la versión del protocolo HTTP |
| 920440 | Crítico: 5 | PL1 | Extensión de archivo URL restringida por una directiva |
| 920450 | Crítico: 5 | PL1 | Encabezado HTTP restringido por una directiva |
| 920470 | Crítico: 5 | PL1 | Encabezado de tipo de contenido no válido |
| 920480 | Crítico: 5 | PL1 | La directiva no permite el conjunto de caracteres de tipo de contenido de solicitud |
| 920500 | Crítico: 5 | PL1 | Intento de acceder a una copia de seguridad o un archivo de trabajo |
PROTOCOL-ATTACK
| Id. de regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 921110 | Crítico: 5 | PL1 | Ataque de contrabando de solicitudes HTTP |
| 921120 | Crítico: 5 | PL1 | Ataque de división de respuestas HTTP |
| 921130 | Crítico: 5 | PL1 | Ataque de división de respuestas HTTP |
| 921140 | Crítico: 5 | PL1 | Ataque por inyección de encabezado HTTP a través de encabezados |
| 921150 | Crítico: 5 | PL1 | Ataque por inyección de encabezado HTTP a través de la carga (Retorno de carro / Avance de línea detectado) |
| 921151 | Crítico: 5 | PL2 | Ataque por inyección de encabezado HTTP a través de la carga (Retorno de carro / Avance de línea detectado) |
| 921160 | Crítico: 5 | PL1 | Ataque por inyección de encabezado HTTP a través de la carga (Retorno de carro/Avance de línea y header-name detectados) |
| 921190 | Crítico: 5 | PL1 | División HTTP (CR/LF en el nombre de archivo de solicitud detectado) |
| 921200 | Crítico: 5 | PL1 | Ataque por inyección de LDAP |
LFI: inclusión de archivos locales
| Id. de regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 930100 | Crítico: 5 | PL1 | Ataque punto punto barra (/.. /) |
| 930110 | Crítico: 5 | PL1 | Ataque punto punto barra (/.. /) |
| 930120 | Crítico: 5 | PL1 | Intento de acceso a archivo del sistema operativo |
| 930130 | Crítico: 5 | PL1 | Intento de acceso a archivo restringido |
RFI: inclusión de archivos remotos
| Id. de regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 931100 | Crítico: 5 | PL1 | Posible ataque remoto de inclusión de archivos (RFI): el parámetro de dirección URL utiliza una dirección IP |
| 931110 | Crítico: 5 | PL1 | Posible ataque remoto de inclusión de archivos (RFI): nombre de parámetro vulnerable de RFI común utilizado con carga de dirección URL |
| 931120 | Crítico: 5 | PL1 | Posible ataque remoto de inclusión de archivos (RFI): carga de dirección URL utilizada con carácter de interrogación de cierre (?) |
| 931130 | Crítico: 5 | PL2 | Posible ataque remoto de inclusión de archivos [RFI]: Referencia o vínculo fuera del dominio |
RCE: ejecución de comandos remotos
| Id. de regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 932100 | Crítico: 5 | PL1 | Ejecución de comandos remotos: Inyección de comandos Unix |
| 932105 | Crítico: 5 | PL1 | Ejecución de comandos remotos: Inyección de comandos Unix |
| 932110 | Crítico: 5 | PL1 | Ejecución de comandos remotos: Inyección de comando de Windows |
| 932115 | Crítico: 5 | PL1 | Ejecución de comandos remotos: Inyección de comando de Windows |
| 932120 | Crítico: 5 | PL1 | Ejecución de comandos remotos: comando de Windows PowerShell encontrado |
| 932130 | Crítico: 5 | PL1 | Ejecución remota de comandos: expresión de shell de Unix o vulnerabilidad de Confluence (CVE-2022-26134) encontrada |
| 932140 | Crítico: 5 | PL1 | Ejecución de comandos remotos: comando FOR/IF de Windows encontrado |
| 932150 | Crítico: 5 | PL1 | Ejecución de comandos remotos: Ejecución directa de comandos de Unix |
| 932160 | Crítico: 5 | PL1 | Ejecución de comandos remotos: código de shell de Unix encontrado |
| 932170 | Crítico: 5 | PL1 | Ejecución de comandos remotos: Shellshock (CVE-2014-6271) |
| 932171 | Crítico: 5 | PL1 | Ejecución de comandos remotos: Shellshock (CVE-2014-6271) |
| 932180 | Crítico: 5 | PL1 | Intento de acceso a archivo restringido |
Ataques PHP
| Id. de regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 933100 | Crítico: 5 | PL1 | Ataque por inyección en PHP: etiqueta de apertura o cierre encontrada |
| 933110 | Crítico: 5 | PL1 | Ataque por inyección en PHP = Se ha encontrado carga de archivo de script PHP |
| 933120 | Crítico: 5 | PL1 | Ataque por inyección en PHP: directiva de configuración encontrada |
| 933130 | Crítico: 5 | PL1 | Ataque por inyección en PHP: Se han encontrado variables |
| 933140 | Crítico: 5 | PL1 | Ataque por inyección en PHP: Flujo de E/S encontrado |
| 933150 | Crítico: 5 | PL1 | Ataque por inyección en PHP: nombre de función de PHP de alto riesgo encontrado |
| 933151 | Crítico: 5 | PL2 | Ataque por inyección en PHP: Se ha encontrado un nombre de función de PHP de riesgo medio |
| 933160 | Crítico: 5 | PL1 | Ataque por inyección en PHP: llamada de función de PHP de alto riesgo encontrada |
| 933170 | Crítico: 5 | PL1 | Ataque por inyección en PHP: Inyección de objetos serializados |
| 933180 | Crítico: 5 | PL1 | Ataque por inyección en PHP: se ha encontrado llamada de función de variable |
| 933200 | Crítico: 5 | PL1 | Ataque por inyección en PHP: esquema contenedor detectado |
| 933210 | Crítico: 5 | PL1 | Ataque por inyección en PHP: se ha encontrado llamada de función de variable |
Ataques de Node JS
| Id. de regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 934100 | Crítico: 5 | PL1 | Ataque por inyección de Node.js |
XSS: scripting entre sitios
| Id. de regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 941100 | Crítico: 5 | PL1 | Ataque XSS detectado mediante libinjection |
| 941101 | Crítico: 5 | PL2 | Ataque XSS detectado mediante libinjection Esta regla detecta solicitudes con un encabezado referer . |
| 941110 | Crítico: 5 | PL1 | Filtro XSS - Categoría 1: vector de etiqueta de script |
| 941120 | Crítico: 5 | PL1 | Filtro XSS - Categoría 2: vector del controlador de eventos |
| 941130 | Crítico: 5 | PL1 | Filtro XSS - Categoría 3: vector de atributo |
| 941140 | Crítico: 5 | PL1 | Filtro XSS - Categoría 4: vector URI de JavaScript |
| 941150 | Crítico: 5 | PL2 | Filtro XSS - Categoría 5: atributos HTML no permitidos |
| 941160 | Crítico: 5 | PL1 | NoScript XSS InjectionChecker: inyección HTML |
| 941170 | Crítico: 5 | PL1 | NoScript XSS InjectionChecker: inyección de atributo |
| 941180 | Crítico: 5 | PL1 | Palabras clave de lista negra de node-validator |
| 941190 | Crítico: 5 | PL1 | XSS mediante hojas de estilos |
| 941200 | Crítico: 5 | PL1 | XSS mediante fotogramas VML |
| 941210 | Crítico: 5 | PL1 | XSS mediante JavaScript ofuscado |
| 941220 | Crítico: 5 | PL1 | XSS mediante VBScript ofuscado |
| 941230 | Crítico: 5 | PL1 | XSS mediante etiqueta "embed" |
| 941240 | Crítico: 5 | PL1 | XSS mediante el atributo "import" o "implementación" |
| 941250 | Crítico: 5 | PL1 | Filtros XSS de IE: ataque detectado |
| 941260 | Crítico: 5 | PL1 | XSS mediante la etiqueta "meta" |
| 941270 | Crítico: 5 | PL1 | XSS mediante href "link" |
| 941280 | Crítico: 5 | PL1 | XSS mediante la etiqueta "base" |
| 941290 | Crítico: 5 | PL1 | XSS mediante la etiqueta "applet" |
| 941300 | Crítico: 5 | PL1 | XSS mediante la etiqueta "object" |
| 941310 | Crítico: 5 | PL1 | Filtro XSS de codificación con formato incorrecto US-ASCII: ataque detectado |
| 941320 | Crítico: 5 | PL2 | Posible ataque XSS detectado: controlador de etiquetas HTML |
| 941330 | Crítico: 5 | PL2 | Filtros XSS de IE: ataque detectado |
| 941340 | Crítico: 5 | PL2 | Filtros XSS de IE: ataque detectado |
| 941350 | Crítico: 5 | PL1 | XSS de IE con codificación UTF-7: ataque detectado |
| 941360 | Crítico: 5 | PL1 | Ofuscación de JavaScript detectada |
| 941370 | Crítico: 5 | PL1 | Variable global de JavaScript encontrada |
| 941380 | Crítico: 5 | PL2 | Inserción de plantillas del lado cliente de AngularJS detectada |
SQLI: inyección de código SQL
| Id. de regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 942100 | Crítico: 5 | PL1 | Ataque por inyección de código SQL detectado mediante libinjection |
| 942110 | Advertencia: 3 | PL2 | Ataque por inyección de código SQL: pruebas de inyección común detectadas |
| 942120 | Crítico: 5 | PL2 | Ataque por inyección de código SQL: se detectó un operador SQL |
| 942130 | Crítico: 5 | PL2 | Ataque por inyección de código SQL: tautología de SQL detectada |
| 942140 | Crítico: 5 | PL1 | Ataque por inyección de código SQL: nombres de base de datos comunes detectados |
| 942150 | Crítico: 5 | PL2 | Ataque por inyección de código SQL |
| 942160 | Crítico: 5 | PL1 | Detección de pruebas de inyección de código SQL a ciegas mediante sleep() o benchmark() |
| 942170 | Crítico: 5 | PL1 | Detección de intentos de inyección con las funciones benchmark y sleep que incluyen consultas condicionales |
| 942180 | Crítico: 5 | PL2 | Detecta intentos básicos de omisión de la autenticación SQL 1/3 |
| 942190 | Crítico: 5 | PL1 | Detecta la ejecución de código MSSQL y los intentos de recopilación de información |
| 942200 | Crítico: 5 | PL2 | Detecta inyecciones de código MySQL cuyo espacio o comentarios resultan confusos y terminaciones con el carácter de acento grave |
| 942210 | Crítico: 5 | PL2 | Detecta los intentos de inyección de SQL encadenado 1/2 |
| 942220 | Crítico: 5 | PL1 | En busca de ataques de desbordamiento de enteros; estos se toman de skipfish, excepto 3.0.00738585072007e-308, que es el bloqueo de "número mágico". |
| 942230 | Crítico: 5 | PL1 | Detección de intentos de inyección de código SQL condicionales |
| 942240 | Crítico: 5 | PL1 | Detecta el modificador de los juegos de caracteres de MySQL y los intentos de DoS MSSQL |
| 942250 | Crítico: 5 | PL1 | Detecta la coincidencia, la combinación y la ejecución de inyecciones inmediatas |
| 942260 | Crítico: 5 | PL2 | Detecta intentos básicos de omisión de la autenticación SQL (2/3) |
| 942270 | Crítico: 5 | PL1 | Búsqueda de inyección de código SQL básico Cadena de ataque común para mysql, oracle y otros |
| 942280 | Crítico: 5 | PL1 | Detecta la inyección de pg_sleep de Postgres, los ataques de retraso de WAITFOR y los intentos de cierre de base de datos |
| 942290 | Crítico: 5 | PL1 | Búsqueda de intentos de inyección de código SQL MongoDB básico |
| 942300 | Crítico: 5 | PL2 | Detecta comentarios, condiciones e inyecciones de caracteres de MySQL. |
| 942310 | Crítico: 5 | PL2 | Detecta los intentos de inyección de SQL encadenado 2/2 |
| 942320 | Crítico: 5 | PL1 | Detección de inyecciones de funciones o procedimientos almacenados de MySQL y PostgreSQL |
| 942330 | Crítico: 5 | PL2 | Detecta sondeos clásicos de inyección de código SQL (1/2) |
| 942340 | Crítico: 5 | PL2 | Detecta intentos básicos de omisión de la autenticación SQL (3/3) |
| 942350 | Crítico: 5 | PL1 | Detección de intentos de inyección de UDF MySQL y otras manipulaciones de datos o estructuras |
| 942360 | Crítico: 5 | PL1 | Detecta intentos concatenados de SQLLFI e inyecciones de código SQL básicas |
| 942361 | Crítico: 5 | PL2 | Detecta la inyección de SQL básica basada en la palabra clave alter o union |
| 942370 | Crítico: 5 | PL2 | Detecta sondeos clásicos de inyección de código SQL (2/2) |
| 942380 | Crítico: 5 | PL2 | Ataque por inyección de código SQL |
| 942390 | Crítico: 5 | PL2 | Ataque por inyección de código SQL |
| 942400 | Crítico: 5 | PL2 | Ataque por inyección de código SQL |
| 942410 | Crítico: 5 | PL2 | Ataque por inyección de código SQL |
| 942430 | Advertencia: 3 | PL2 | Restringe la detección de anomalías de caracteres de SQL (args): número de caracteres especiales que se han excedido (12) |
| 942440 | Crítico: 5 | PL2 | Secuencia de comentario SQL detectada |
| 942450 | Crítico: 5 | PL2 | Codificación hexadecimal de SQL identificada |
| 942470 | Crítico: 5 | PL2 | Ataque por inyección de código SQL |
| 942480 | Crítico: 5 | PL2 | Ataque por inyección de código SQL |
| 942500 | Crítico: 5 | PL1 | Se detectó un comentario en línea de MySQL |
| 942510 | Crítico: 5 | PL2 | Intento de omisión de SQLI por tics o marcas de seguridad detectado |
SESSION-FIXATION
| Id. de regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 943100 | Crítico: 5 | PL1 | Posible ataque de fijación de sesión: definición de valores de cookies en HTML |
| 943110 | Crítico: 5 | PL1 | Posible ataque de fijación de sesión: nombre del parámetro SessionID con origen de referencia fuera del dominio |
| 943120 | Crítico: 5 | PL1 | Posible ataque de fijación de sesión: nombre del parámetro SessionID con origen de referencia fuera del dominio |
Ataques de JAVA
| Id. de regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 944100 | Crítico: 5 | PL1 | Ejecución remota de comandos: Apache Struts, Oracle WebLogic |
| 944110 | Crítico: 5 | PL1 | Detecta la ejecución de la carga útil potencial. |
| 944120 | Crítico: 5 | PL1 | Ejecución de la carga posible y ejecución de comandos remotos |
| 944130 | Crítico: 5 | PL1 | Clases de Java sospechosas |
| 944200 | Crítico: 5 | PL2 | Aprovechamiento de la deserialización de Java Apache Commons |
| 944210 | Crítico: 5 | PL2 | Posible uso de la serialización de Java |
| 944240 | Crítico: 5 | PL2 | Ejecución remota de comandos: vulnerabilidad de Log4j y serialización de Java (CVE-2021-44228, CVE-2021-45046) |
| 944250 | Crítico: 5 | PL2 | Ejecución remota de comandos: se detectó un método de Java sospechoso |
MS-ThreatIntel-WebShells
| Id. de regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 99005002 | Crítico: 5 | PL2 | Intento de interacción del shell web (POST) |
| 99005003 | Crítico: 5 | PL2 | Intento de carga de shell web (POST): CHOPPER PHP |
| 99005004 | Crítico: 5 | PL2 | Intento de carga de shell web (POST): CHOPPER ASPX |
| 99005005 | Crítico: 5 | PL2 | Intento de interacción del shell web |
| 99005006 | Crítico: 5 | PL2 | Intento de interacción de Spring4Shell |
MS-ThreatIntel-AppSec
| Id. de regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 99030001 | Crítico: 5 | PL2 | Evasión transversal de ruta de acceso en encabezados (/.././../) |
| 99030002 | Crítico: 5 | PL2 | Evasión transversal de ruta de acceso en el cuerpo de la solicitud (/.././../) |
MS-ThreatIntel-SQLI
| Id. de regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 99031001 | Advertencia: 3 | PL2 | Ataque por inyección de código SQL: pruebas de inyección común detectadas |
| 99031002 | Crítico: 5 | PL2 | Secuencia de comentario SQL detectada |
| 99031003 | Crítico: 5 | PL2 | Ataque por inyección de código SQL |
| 99031004 | Crítico: 5 | PL2 | Detecta intentos básicos de omisión de la autenticación SQL (2/3) |
MS-ThreatIntel-CVEs
| Id. de regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 99001001 | Crítico: 5 | PL2 | Intento de explotación de la API de REST F5 tmui (CVE-2020-5902) con credenciales conocidas |
| 99001002 | Crítico: 5 | PL2 | Intento de recorrido de directorio de Citrix NSC_USER CVE-2019-19781 |
| 99001003 | Crítico: 5 | PL2 | Intento de explotación del conector de widgets de Confluence atlassian CVE-2019-3396 |
| 99001004 | Crítico: 5 | PL2 | Intento de explotación de plantillas personalizadas de Pulse Secure CVE-2020-8243 |
| 99001005 | Crítico: 5 | PL2 | Intento de explotación del convertidor de tipos de SharePoint CVE-2020-0932 |
| 99001006 | Crítico: 5 | PL2 | Intento de recorrido de directorio de Pulse Connect CVE-2019-11510 |
| 99001007 | Crítico: 5 | PL2 | Intento de inclusión de archivos locales J-Web de Junos OS CVE-2020-1631 |
| 99001008 | Crítico: 5 | PL2 | Intento de recorrido de ruta de Fortinet CVE-2018-13379 |
| 99001009 | Crítico: 5 | PL2 | Intento de inyección de ognl de Apache struts CVE-2017-5638 |
| 99001010 | Crítico: 5 | PL2 | Intento de inyección de ognl de Apache struts CVE-2017-12611 |
| 99001011 | Crítico: 5 | PL2 | Intento de recorrido de ruta de acceso de Oracle WebLogic CVE-2020-14882 |
| 99001012 | Crítico: 5 | PL2 | Intento de explotación de deserialización no segura de Telerik WebUI CVE-2019-18935 |
| 99001013 | Crítico: 5 | PL2 | Intento de deserialización XML no segura de SharePoint CVE-2019-0604 |
| 99001014 | Crítico: 5 | PL2 | Intento de inserción de expresiones de enrutamiento de Spring Cloud CVE-2022-22963 |
| 99001015 | Crítico: 5 | PL2 | Intento de explotación de objetos de clase no seguros de Spring Framework CVE-2022-22965 |
| 99001016 | Crítico: 5 | PL2 | Intento de inyección de accionador de Spring Cloud Gateway CVE-2022-22947 |
| 99001017* | No disponible | No disponible | Intento de explotación de carga de archivos de Apache Struts CVE-2023-50164 |
* Esta acción de regla se establece en registro de manera predeterminada. Establezca la acción en Bloquear para evitar la vulnerabilidad de Apache Struts. La puntuación de anomalías no se admite en esta regla.
Nota:
Al revisar los registros de WAF, es posible que vea el identificador de regla 949110. En la descripción de la regla podría leerse que se ha excedido la puntuación de anomalías entrante.
Esto indica que la puntuación total de anomalías de la solicitud ha superado la puntuación máxima permitida. Para obtener más información, vea Puntuación de anomalías.
A continuación se muestran versiones anteriores del conjunto de reglas principales. Si usa CRS 3.2, CRS 3.1, CRS 3.0 o CRS 2.2.9, se recomienda actualizar a la versión más reciente del conjunto de reglas de DRS 2.1. Para obtener más información, consulte Actualización o cambio de la versión del conjunto de reglas.
3.2 Conjuntos de reglas
General
| Id. de regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 200002 | Crítico: 5 | PL1 | No se pudo analizar el cuerpo de la solicitud |
| 200003 | Crítico: 5 | PL1 | Validación estricta del cuerpo de la solicitud con varias partes |
| 200004 | Crítico: 5 | PL1 | Posible límite sin coincidencia con varias partes |
KNOWN-CVES
| Id. de regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 800100 | Crítico: 5 | PL2 | Regla para ayudar a detectar y mitigar la vulnerabilidad de log4j CVE-2021-44228, CVE-2021-45046 |
| 800110 | Crítico: 5 | PL2 | Intento de interacción de Spring4Shell |
| 800111 | Crítico: 5 | PL2 | Intento de inserción de expresiones de enrutamiento de Spring Cloud: CVE-2022-22963 |
| 800112 | Crítico: 5 | PL2 | Intento de explotación de objetos de clase no seguros de Spring Framework: CVE-2022-22965 |
| 800113 | Crítico: 5 | PL2 | Intento de inyección de accionador de Spring Cloud Gateway: CVE-2022-22947 |
| 800114* | Crítico: 5 | PL2 | Intento de explotación de carga de archivos de Apache Struts: CVE-2023-50164 |
* Esta acción de regla se establece en registro de manera predeterminada. Establezca la acción en Bloquear para evitar la vulnerabilidad de Apache Struts. La puntuación de anomalías no se admite en esta regla.
REQUEST-911-METHOD-ENFORCEMENT
| Id. de regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 911100 | Crítico: 5 | PL1 | Método no permitido por la directiva |
REQUEST-913-SCANNER-DETECTION
| Id. de regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 913100 | Crítico: 5 | PL1 | Se ha encontrado un agente de usuario asociado a un examen de seguridad. |
| 913101 | Crítico: 5 | PL2 | Se ha encontrado un agente de usuario asociado al cliente HTTP genérico o de scripts. |
| 913102 | Crítico: 5 | PL2 | Se ha encontrado un agente de usuario asociado a un robot o agente de búsqueda. |
| 913110 | Crítico: 5 | PL1 | Se ha encontrado un encabezado de solicitud asociado a un examen de seguridad. |
| 913120 | Crítico: 5 | PL1 | Se ha encontrado un argumento o nombre de archivo de solicitud asociado a un examen de seguridad. |
REQUEST-920-PROTOCOL-ENFORCEMENT
| Id. de regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 920100 | Advertencia: 3 | PL1 | Línea de solicitud HTTP no válida |
| 920120 | Crítico: 5 | PL1 | Intento de omisión multiparte/datos de formulario |
| 920121 | Crítico: 5 | PL2 | Intento de omisión multiparte/datos de formulario |
| 920160 | Crítico: 5 | PL1 | El encabezado Content-Length HTTP no es numérico |
| 920170 | Crítico: 5 | PL1 | Solicitud GET o HEAD con contenido del cuerpo |
| 920171 | Crítico: 5 | PL1 | GET o solicitud HEAD con codificación de transferencia |
| 920180 | Advertencia: 3 | PL1 | Falta el encabezado Content-Length en la solicitud POST |
| 920190 | Advertencia: 3 | PL1 | Intervalo: último valor de bytes no válido |
| 920200 | Advertencia: 3 | PL2 | Intervalo: demasiados campos (6 o más). |
| 920201 | Advertencia: 3 | PL2 | Intervalo: Demasiados campos para solicitud PDF (35 o más) |
| 920210 | Advertencia: 3 | PL1 | Se han encontrado múltiples datos de encabezado de conexión en conflicto |
| 920220 | Advertencia: 3 | PL1 | Intento de ataque de abuso de codificación de direcciones URL |
| 920230 | Advertencia: 3 | PL2 | Varias codificaciones de direcciones URL detectadas |
| 920240 | Advertencia: 3 | PL1 | Intento de ataque de abuso de codificación de direcciones URL |
| 920250 | Advertencia: 3 | PL1 | Intento de ataque de abuso de codificación UTF8 |
| 920260 | Advertencia: 3 | PL1 | Intento de ataque de abuso de caracteres de ancho medio y ancho completo Unicode |
| 920270 | Crítico: 5 | PL1 | Carácter no válido en la solicitud (carácter nulo) |
| 920271 | Crítico: 5 | PL2 | Carácter no válido en la solicitud (caracteres no imprimibles) |
| 920280 | Advertencia: 3 | PL1 | Falta un encabezado host en la solicitud. |
| 920290 | Advertencia: 3 | PL1 | Encabezado host vacío |
| 920300 | Aviso: 2 | PL2 | Falta un encabezado de aceptación (Accept) en la solicitud. |
| 920310 | Aviso: 2 | PL1 | La solicitud tiene un encabezado de aceptación (Accept) vacío. |
| 920311 | Aviso: 2 | PL1 | La solicitud tiene un encabezado de aceptación (Accept) vacío. |
| 920320 | Aviso: 2 | PL2 | Falta el encabezado de agente de usuario. |
| 920330 | Aviso: 2 | PL1 | Encabezado de agente de usuario vacío |
| 920340 | Aviso: 2 | PL1 | La solicitud tiene contenido, pero falta el encabezado Content-Type. |
| 920341 | Crítico: 5 | PL2 | La solicitud que tiene contenido requiere encabezado Content-Type |
| 920350 | Advertencia: 3 | PL1 | El encabezado host es una dirección IP numérica. |
| 920420 | Crítico: 5 | PL1 | La directiva no permite el tipo de contenido de la solicitud |
| 920430 | Crítico: 5 | PL1 | La directiva no permite la versión del protocolo HTTP |
| 920440 | Crítico: 5 | PL1 | Extensión de archivo URL restringida por una directiva |
| 920450 | Crítico: 5 | PL1 | Encabezado HTTP restringido por una directiva (%{MATCHED_VAR}) |
| 920470 | Crítico: 5 | PL1 | Encabezado de tipo de contenido no válido |
| 920480 | Crítico: 5 | PL1 | Restricción del parámetro del juego de caracteres con el encabezado Content-Type |
REQUEST-921-PROTOCOL-ATTACK
| Id. de regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 921110 | Crítico: 5 | PL1 | Ataque de contrabando de solicitudes HTTP |
| 921120 | Crítico: 5 | PL1 | Ataque de división de respuestas HTTP |
| 921130 | Crítico: 5 | PL1 | Ataque de división de respuestas HTTP |
| 921140 | Crítico: 5 | PL1 | Ataque por inyección de encabezado HTTP a través de encabezados |
| 921150 | Crítico: 5 | PL1 | Ataque por inyección de encabezado HTTP a través de la carga (Retorno de carro / Avance de línea detectado) |
| 921151 | Crítico: 5 | PL2 | Ataque por inyección de encabezado HTTP a través de la carga (Retorno de carro / Avance de línea detectado) |
| 921160 | Crítico: 5 | PL1 | Ataque por inyección de encabezado HTTP a través de la carga (Retorno de carro/Avance de línea y header-name detectados) |
REQUEST-930-APPLICATION-ATTACK-LFI
| Id. de regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 930100 | Crítico: 5 | PL1 | Ataque punto punto barra (/.. /) |
| 930110 | Crítico: 5 | PL1 | Ataque punto punto barra (/.. /) |
| 930120 | Crítico: 5 | PL1 | Intento de acceso a archivo del sistema operativo |
| 930130 | Crítico: 5 | PL1 | Intento de acceso a archivo restringido |
REQUEST-931-APPLICATION-ATTACK-RFI
| Id. de regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 931100 | Crítico: 5 | PL1 | Posible ataque remoto de inclusión de archivos (RFI): el parámetro de dirección URL utiliza una dirección IP |
| 931110 | Crítico: 5 | PL1 | Posible ataque remoto de inclusión de archivos (RFI): nombre de parámetro vulnerable de RFI común utilizado con carga de dirección URL |
| 931120 | Crítico: 5 | PL1 | Posible ataque remoto de inclusión de archivos (RFI): carga de dirección URL utilizada con carácter de interrogación de cierre (?) |
| 931130 | Crítico: 5 | PL2 | Posible ataque remoto de inclusión de archivos [RFI]: Referencia o vínculo fuera del dominio |
REQUEST-932-APPLICATION-ATTACK-RCE
| Id. de regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 932100 | Crítico: 5 | PL1 | Ejecución de comandos remotos: Inyección de comandos Unix |
| 932105 | Crítico: 5 | PL1 | Ejecución de comandos remotos: Inyección de comandos Unix |
| 932110 | Crítico: 5 | PL1 | Ejecución de comandos remotos: Inyección de comando de Windows |
| 932115 | Crítico: 5 | PL1 | Ejecución de comandos remotos: Inyección de comando de Windows |
| 932120 | Crítico: 5 | PL1 | Ejecución de comandos remotos: comando de Windows PowerShell encontrado |
| 932130 | Crítico: 5 | PL1 | Ejecución remota de comandos: expresión de shell de Unix o vulnerabilidad de Confluence (CVE-2022-26134) o Text4Shell (CVE-2022-42889) encontrada |
| 932140 | Crítico: 5 | PL1 | Ejecución de comandos remotos: comando FOR/IF de Windows encontrado |
| 932150 | Crítico: 5 | PL1 | Ejecución de comandos remotos: Ejecución directa de comandos de Unix |
| 932160 | Crítico: 5 | PL1 | Ejecución de comandos remotos: código de shell de Unix encontrado |
| 932170 | Crítico: 5 | PL1 | Ejecución de comandos remotos: Shellshock (CVE-2014-6271) |
| 932171 | Crítico: 5 | PL1 | Ejecución de comandos remotos: Shellshock (CVE-2014-6271) |
| 932180 | Crítico: 5 | PL1 | Intento de acceso a archivo restringido |
REQUEST-933-APPLICATION-ATTACK-PHP
| Id. de regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 933100 | Crítico: 5 | PL1 | Ataque por inyección en PHP: etiqueta de apertura o cierre encontrada |
| 933110 | Crítico: 5 | PL1 | Ataque por inyección en PHP = Se ha encontrado carga de archivo de script PHP |
| 933120 | Crítico: 5 | PL1 | Ataque por inyección en PHP: directiva de configuración encontrada |
| 933130 | Crítico: 5 | PL1 | Ataque por inyección en PHP: Se han encontrado variables |
| 933140 | Crítico: 5 | PL1 | Ataque por inyección en PHP: Flujo de E/S encontrado |
| 933150 | Crítico: 5 | PL1 | Ataque por inyección en PHP: nombre de función de PHP de alto riesgo encontrado |
| 933151 | Crítico: 5 | PL2 | Ataque por inyección en PHP: Se ha encontrado un nombre de función de PHP de riesgo medio |
| 933160 | Crítico: 5 | PL1 | Ataque por inyección en PHP: llamada de función de PHP de alto riesgo encontrada |
| 933170 | Crítico: 5 | PL1 | Ataque por inyección en PHP: Inyección de objetos serializados |
| 933180 | Crítico: 5 | PL1 | Ataque por inyección en PHP: se ha encontrado llamada de función de variable |
| 933200 | Crítico: 5 | PL1 | Ataque por inyección en PHP: esquema contenedor detectado |
| 933210 | Crítico: 5 | PL1 | Ataque por inyección en PHP: se ha encontrado llamada de función de variable |
REQUEST-941-APPLICATION-ATTACK-XSS
| Id. de regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 941100 | Crítico: 5 | PL1 | Ataque XSS detectado mediante libinjection |
| 941101 | Crítico: 5 | PL2 | Ataque XSS detectado a través de libinjection Esta regla detecta solicitudes con un encabezado referer . |
| 941110 | Crítico: 5 | PL1 | Filtro XSS - Categoría 1: vector de etiqueta de script |
| 941120 | Crítico: 5 | PL1 | Filtro XSS - Categoría 2: vector del controlador de eventos |
| 941130 | Crítico: 5 | PL1 | Filtro XSS - Categoría 3: vector de atributo |
| 941140 | Crítico: 5 | PL1 | Filtro XSS - Categoría 4: vector URI de JavaScript |
| 941150 | Crítico: 5 | PL2 | Filtro XSS - Categoría 5: atributos HTML no permitidos |
| 941160 | Crítico: 5 | PL1 | NoScript XSS InjectionChecker: inyección HTML |
| 941170 | Crítico: 5 | PL1 | NoScript XSS InjectionChecker: inyección de atributo |
| 941180 | Crítico: 5 | PL1 | Palabras clave de lista negra de node-validator |
| 941190 | Crítico: 5 | PL1 | XSS mediante hojas de estilos |
| 941200 | Crítico: 5 | PL1 | XSS mediante fotogramas VML |
| 941210 | Crítico: 5 | PL1 | XSS mediante JavaScript ofuscado o Text4Shell (CVE-2022-42889) |
| 941220 | Crítico: 5 | PL1 | XSS mediante VBScript ofuscado |
| 941230 | Crítico: 5 | PL1 | XSS mediante etiqueta "embed" |
| 941240 | Crítico: 5 | PL1 | XSS mediante el atributo "import" o "implementación" |
| 941250 | Crítico: 5 | PL1 | Filtros XSS de IE: ataque detectado |
| 941260 | Crítico: 5 | PL1 | XSS mediante la etiqueta "meta" |
| 941270 | Crítico: 5 | PL1 | XSS mediante href "link" |
| 941280 | Crítico: 5 | PL1 | XSS mediante la etiqueta "base" |
| 941290 | Crítico: 5 | PL1 | XSS mediante la etiqueta "applet" |
| 941300 | Crítico: 5 | PL1 | XSS mediante la etiqueta "object" |
| 941310 | Crítico: 5 | PL1 | Filtro XSS de codificación con formato incorrecto US-ASCII: ataque detectado |
| 941320 | Crítico: 5 | PL2 | Posible ataque XSS detectado: controlador de etiquetas HTML |
| 941330 | Crítico: 5 | PL2 | Filtros XSS de IE: ataque detectado |
| 941340 | Crítico: 5 | PL2 | Filtros XSS de IE: ataque detectado |
| 941350 | Crítico: 5 | PL1 | XSS de IE con codificación UTF-7: ataque detectado |
| 941360 | Crítico: 5 | PL1 | Ofuscación de JavaScript detectada |
REQUEST-942-APPLICATION-ATTACK-SQLI
| Id. de regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 942100 | Crítico: 5 | PL1 | Ataque por inyección de código SQL detectado mediante libinjection |
| 942110 | Advertencia: 3 | PL2 | Ataque por inyección de código SQL: pruebas de inyección común detectadas |
| 942120 | Crítico: 5 | PL2 | Ataque por inyección de código SQL: se detectó un operador SQL |
| 942130 | Crítico: 5 | PL2 | Ataque por inyección de código SQL: tautología de SQL detectada |
| 942140 | Crítico: 5 | PL1 | Ataque por inyección de código SQL: nombres de base de datos comunes detectados |
| 942150 | Crítico: 5 | PL2 | Ataque por inyección de código SQL |
| 942160 | Crítico: 5 | PL1 | Detección de pruebas de inyección de código SQL a ciegas mediante sleep() o benchmark() |
| 942170 | Crítico: 5 | PL1 | Detección de intentos de inyección con las funciones benchmark y sleep que incluyen consultas condicionales |
| 942180 | Crítico: 5 | PL2 | Detecta intentos básicos de omisión de la autenticación SQL 1/3 |
| 942190 | Crítico: 5 | PL1 | Detecta la ejecución de código MSSQL y los intentos de recopilación de información |
| 942200 | Crítico: 5 | PL2 | Detecta inyecciones de código MySQL cuyo espacio o comentarios resultan confusos y terminaciones con el carácter de acento grave |
| 942210 | Crítico: 5 | PL2 | Detecta los intentos de inyección de SQL encadenado 1/2 |
| 942220 | Crítico: 5 | PL1 | En busca de ataques de desbordamiento de enteros; estos se toman de skipfish, excepto 3.0.00738585072007e-308, que es el bloqueo de "número mágico". |
| 942230 | Crítico: 5 | PL1 | Detección de intentos de inyección de código SQL condicionales |
| 942240 | Crítico: 5 | PL1 | Detecta el modificador de los juegos de caracteres de MySQL y los intentos de DoS MSSQL |
| 942250 | Crítico: 5 | PL1 | Detecta la coincidencia, la combinación y la ejecución de inyecciones inmediatas |
| 942260 | Crítico: 5 | PL2 | Detecta intentos básicos de omisión de la autenticación SQL (2/3) |
| 942270 | Crítico: 5 | PL1 | Búsqueda de inyección de código SQL básico Cadena de ataque común para mysql, oracle y otros |
| 942280 | Crítico: 5 | PL1 | Detecta la inyección de pg_sleep de Postgres, los ataques de retraso de WAITFOR y los intentos de cierre de base de datos |
| 942290 | Crítico: 5 | PL1 | Búsqueda de intentos de inyección de código SQL MongoDB básico |
| 942300 | Crítico: 5 | PL2 | Detecta comentarios, condiciones e inyecciones de caracteres de MySQL. |
| 942310 | Crítico: 5 | PL2 | Detecta los intentos de inyección de SQL encadenado 2/2 |
| 942320 | Crítico: 5 | PL1 | Detección de inyecciones de funciones o procedimientos almacenados de MySQL y PostgreSQL |
| 942330 | Crítico: 5 | PL2 | Detecta sondeos clásicos de inyección de código SQL (1/2) |
| 942340 | Crítico: 5 | PL2 | Detecta intentos básicos de omisión de la autenticación SQL (3/3) |
| 942350 | Crítico: 5 | PL1 | Detección de intentos de inyección de UDF MySQL y otras manipulaciones de datos o estructuras |
| 942360 | Crítico: 5 | PL1 | Detecta intentos concatenados de SQLLFI e inyecciones de código SQL básicas |
| 942361 | Crítico: 5 | PL2 | Detecta la inyección de SQL básica basada en la palabra clave alter o union |
| 942370 | Crítico: 5 | PL2 | Detecta sondeos clásicos de inyección de código SQL (2/2) |
| 942380 | Crítico: 5 | PL2 | Ataque por inyección de código SQL |
| 942390 | Crítico: 5 | PL2 | Ataque por inyección de código SQL |
| 942400 | Crítico: 5 | PL2 | Ataque por inyección de código SQL |
| 942410 | Crítico: 5 | PL2 | Ataque por inyección de código SQL |
| 942430 | Advertencia: 3 | PL2 | Restringe la detección de anomalías de caracteres de SQL (args): número de caracteres especiales que se han excedido (12) |
| 942440 | Crítico: 5 | PL2 | Secuencia de comentario SQL detectada |
| 942450 | Crítico: 5 | PL2 | Codificación hexadecimal de SQL identificada |
| 942470 | Crítico: 5 | PL2 | Ataque por inyección de código SQL |
| 942480 | Crítico: 5 | PL2 | Ataque por inyección de código SQL |
| 942500 | Crítico: 5 | PL1 | Se detectó un comentario en línea de MySQL |
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION
| Id. de regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 943100 | Crítico: 5 | PL1 | Posible ataque de fijación de sesión: definición de valores de cookies en HTML |
| 943110 | Crítico: 5 | PL1 | Posible ataque de fijación de sesión: Nombre del parámetro SessionID con origen de referencia fuera del dominio |
| 943120 | Crítico: 5 | PL1 | Posible ataque de fijación de sesión: nombre del parámetro SessionID con origen de referencia fuera del dominio |
REQUEST-944-APPLICATION-ATTACK-JAVA
| Id. de regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 944100 | Crítico: 5 | PL1 | Ejecución remota de comandos: Apache Struts, Oracle WebLogic |
| 944110 | Crítico: 5 | PL1 | Detecta la ejecución de la carga útil potencial. |
| 944120 | Crítico: 5 | PL1 | Ejecución de la carga posible y ejecución de comandos remotos |
| 944130 | Crítico: 5 | PL1 | Clases de Java sospechosas |
| 944200 | Crítico: 5 | PL2 | Aprovechamiento de la deserialización de Java Apache Commons |
| 944210 | Crítico: 5 | PL2 | Posible uso de la serialización de Java |
| 944240 | Crítico: 5 | PL1 | Ejecución remota de comandos: serialización de Java |
| 944250 | Crítico: 5 | PL1 | Ejecución remota de comandos: se detectó un método de Java sospechoso |
Reglas inactivas
| Id. de regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 920202 | Advertencia: 3 | PL4 | (Regla inactiva, debe omitirse) Intervalo: demasiados campos para la solicitud pdf (6 o más) |
| 920272 | Crítico: 5 | PL3 | (Regla inactiva, debe omitirse) Carácter no válido en la solicitud (fuera de caracteres imprimibles por debajo de ascii 127) |
| 920273 | Crítico: 5 | PL4 | (Regla inactiva, debe omitirse) Carácter no válido en la solicitud (fuera de un conjunto muy estricto) |
| 920274 | Crítico: 5 | PL4 | (Regla inactiva, debe omitirse) Carácter no válido en los encabezados de solicitud (fuera de un conjunto muy estricto) |
| 920460 | Crítico: 5 | PL4 | (Regla inactiva, debe omitirse) Caracteres de escape anómalos |
| 921170 | No disponible | PL3 | (Regla inactiva, debe omitirse) Contaminación de parámetros HTTP |
| 921180 | Crítico: 5 | PL3 | (Regla inactiva, debe omitirse) Contaminación de parámetros HTTP (%{TX.1}) |
| 932106 | Crítico: 5 | PL3 | (Regla inactiva, debe omitirse) Ejecución remota de comandos: Inyección de comandos Unix |
| 932190 | Crítico: 5 | PL3 | (Regla inactiva, debe omitirse) Ejecución remota de comandos: intento de técnica de evasión mediante comodines |
| 933111 | Crítico: 5 | PL3 | (Regla inactiva, debe omitirse) Ataque por inyección de PHP: carga de archivos de script PHP encontrados |
| 933131 | Crítico: 5 | PL3 | (Regla inactiva, debe omitirse) Ataque por inyección de PHP: variables encontradas |
| 933161 | Crítico: 5 | PL3 | (Regla inactiva, debe omitirse) Ataque por inyección de PHP: Low-Value llamada de función PHP encontrada |
| 933190 | Crítico: 5 | PL3 | (Regla inactiva, debe omitirse) Ataque por inyección de PHP: etiqueta de cierre php encontrada |
| 942251 | Crítico: 5 | PL3 | (Regla inactiva, debe omitirse) Detecta inyecciones de HAVING |
| 942420 | Advertencia: 3 | PL3 | (Regla inactiva, debe omitirse) Detección de anomalías de caracteres SQL restringidos (cookies): número de caracteres especiales superados (8) |
| 942421 | Advertencia: 3 | PL4 | (Regla inactiva, debe omitirse) Detección de anomalías de caracteres SQL restringidos (cookies): número de caracteres especiales superado (3) |
| 942431 | Advertencia: 3 | PL3 | (Regla inactiva, debe omitirse) Detección de anomalías de caracteres SQL restringidos (argumentos): número de caracteres especiales superados (6) |
| 942432 | Advertencia: 3 | PL4 | (Regla inactiva, debe omitirse) Detección de anomalías de caracteres SQL restringidos (argumentos): número de caracteres especiales superados (2) |
| 942460 | Advertencia: 3 | PL3 | (Regla inactiva, debe omitirse) Meta-Character alerta de detección de anomalías: caracteres repetitivos que no son palabras |
| 942490 | Crítico: 5 | PL3 | (Regla inactiva, debe omitirse) Detecta sondeos clásicos de inyección de CÓDIGO SQL 3/3 |