Groupes de règles DRS Web Application Firewall et règles
Azure Web Application Firewall sur Azure Front Door protège les applications Web contre les vulnérabilités et les exploits courants. Les ensembles de règles managées par Azure fournissent un moyen simple de déployer une solution de protection contre diverses menaces de sécurité courantes. Comme Azure gère ces ensembles de règles, celles-ci sont mises à jour si nécessaire pour assurer la protection contre les nouvelles signatures d'attaques.
L'ensemble de règles par défaut (Data Replication Service) comprend également les règles Microsoft Threat Intelligence Collection écrites en partenariat avec l'équipe Microsoft Intelligence pour fournir une couverture accrue, des correctifs pour des vulnérabilités spécifiques et une meilleure réduction des faux positifs.
Notes
Lorsqu'une version d'un ensemble de règles est modifiée dans une stratégie WAF, toutes les personnalisations existantes que vous avez apportées à votre ensemble de règles seront réinitialisées aux valeurs par défaut du nouvel ensemble de règles. Voyez : Mise à niveau ou modification de la version du jeu de règles.
Le Data Replication Service géré par Azure inclut des règles contre les catégories de menaces suivantes :
- Scripts intersites (XSS)
- Attaques Java
- Inclusion de fichier local (LFI)
- Injection de code PHP
- Exécution de commande à distance
- Inclusion de fichier distant (RFI)
- Fixation de session
- Protection contre les injections de code SQL
- Attaquants de protocole
Le numéro de version de l’ensemble de règles par défaut (DRS) s’incrémente quand de nouvelles signatures d’attaque sont ajoutées à l’ensemble de règles.
Le DRS est activé par défaut en mode détection dans vos stratégies de pare-feu d’applications web (WAF). Vous pouvez désactiver ou activer des règles individuelles dans le Data Replication Service pour répondre aux exigences de votre application. Vous pouvez également définir des actions spécifiques par règle. Les actions disponibles sont : Autoriser, Bloquer, Journaliser et Rediriger.
Parfois, vous devrez peut-être omettre certains attributs de requête lors d'une évaluation de pare-feu d'application Web (WAF). Les jetons insérés par Active Directory qui sont utilisés pour l’authentification en sont un exemple courant. Vous pouvez configurer une liste d'exclusion pour une règle gérée, un groupe de règles ou l'ensemble des règles. Pour plus d’informations, consultez Azure Web Application Firewall sur les listes d’exclusion Azure Front Door.
Par défaut, les versions 2.0 et supérieures de Data Replication Service utilisent le score d'anomalie lorsqu'une requête correspond à une règle. Les versions Data Replication Service antérieures à 2.0 bloquent les requêtes qui déclenchent les règles. En outre, des règles personnalisées peuvent être configurées dans la même stratégie WAF si vous souhaitez contourner l'une des règles préconfigurées dans le Data Replication Service.
Les règles personnalisées sont toujours appliquées avant que les règles du Data Replication Service ne soient évaluées. Si une demande correspond à une règle personnalisée, l’action de la règle correspondante est appliquée. La demande est bloquée ou transmise au back-end. Aucune autre règle personnalisée ni les règles du Data Replication Service ne sont traitées. Vous pouvez également supprimer le Data Replication Service de vos stratégies WAF.
Les règles de collecte de Microsoft Threat Intelligence sont écrites en partenariat avec l’équipe Microsoft Threat Intelligence, afin de fournir une couverture accrue, des correctifs pour des vulnérabilités spécifiques et une meilleure réduction des faux positifs.
Par défaut, les règles Microsoft Threat Intelligence Collection remplacent certaines des règles Data Replication Service intégrées, ce qui entraîne leur désactivation. Par exemple, l’ID de règle 942440, SQL Comment Sequence Detected, a été désactivé et remplacé par la règle Microsoft Threat Intelligence Collection 99031002. La règle remplacée réduit le risque de détections de faux positifs à partir de requêtes légitimes.
Lorsque vous utilisez DRS 2.0 ou version ultérieure, votre WAF utilise un scoring d’anomalie. Le trafic correspondant à une règle n’est pas immédiatement bloqué, même lorsque votre WAF est en mode prévention. Au lieu de cela, les ensembles de règles OWASP définissent une gravité pour chaque règle : Critique, Erreur, Avertissement ou Avis. La gravité affecte à la requête une valeur numérique appelée score d’anomalie. Si une requête accumule un score d’anomalie de 5 ou plus, le WAF prend des mesures concernant la demande.
Gravité des règles | Valeur contribuant au score de l’anomalie |
---|---|
Critique | 5 |
Error | 4 |
Avertissement | 3 |
Avis | 2 |
Lorsque vous configurez votre WAF, vous pouvez décider de la façon dont le WAF gère les demandes qui dépassent le seuil de score d’anomalie de 5. Les trois options d'action de score d'anomalie sont Bloquer, Consigner ou Redirection. L'action de score d'anomalie que vous sélectionnez au moment de la configuration est appliquée à toutes les demandes qui dépassent le seuil de score d'anomalie.
Par exemple, si le score d'anomalie est de 5 ou plus sur une requête et que le WAF est en mode Prévention avec l'action de score d'anomalie définie sur Bloquer, la requête est bloquée. Si le score d’anomalie est supérieur ou égal à 5 sur une requête et que le WAF est en mode de détection, la requête est journalisée mais pas bloquée.
Une seule correspondance de règle Critique suffit au WAF pour bloquer une requête en mode Prévention avec l'action de score d'anomalie définie sur Bloquer, car le score d'anomalie global est de 5. En revanche, une correspondance de règle Avertissement n’augmente le score d’anomalie que de 3, ce qui est insuffisant en soi pour bloquer le trafic. Lorsqu'une règle d'anomalie est déclenchée, elle affiche une action « correspondante » dans les journaux. Si le score d'anomalie est de 5 ou plus, une règle distincte est déclenchée avec l'action de score d'anomalie configurée pour l'ensemble de règles. L'action de score d'anomalie par défaut est Bloquer, ce qui entraîne une entrée de journal avec l'action blocked
.
Lorsque votre WAF utilise une ancienne version du jeu de règles par défaut (avant Data Replication Service 2.0), votre WAF s'exécute en mode traditionnel. Le trafic correspondant à une règle quelconque est considéré indépendamment de toute autre correspondance de règle. En mode traditionnel, vous n’avez pas de visibilité de l’ensemble complet de règles auxquelles correspond une requête spécifique.
La version du RDS que vous utilisez détermine également les types de contenus pris en charge pour l’inspection du corps de requête. Pour plus d’informations, consultez la rubrique Quels types de contenu le pare-feu d’applications web (WAF) prend-il en charge ? dans le FAQ.
Si vous effectuez une mise à niveau ou attribuez une nouvelle version d'ensemble de règles et souhaitez conserver les remplacements et exclusions de règles existants, il est recommandé d'utiliser PowerShell, CLI, REST API ou des modèles pour apporter des modifications à la version d'ensemble de règles. Une nouvelle version d'un ensemble de règles peut contenir des règles plus récentes, des groupes de règles supplémentaires et des mises à jour des signatures existantes pour renforcer la sécurité et réduire les faux positifs. Il est recommandé de valider les modifications dans un environnement de test, d'affiner si nécessaire, puis de déployer dans un environnement de production.
Notes
Si vous utilisez le Portail Microsoft Azure pour affecter un nouvel ensemble de règles gérées à une stratégie WAF, toutes les personnalisations précédentes de l’ensemble de règles gérées existant, telles que l’état de la règle, les actions de règle et les exclusions de niveau de règle, seront réinitialisées sur les valeurs par défaut du nouvel ensemble de règles gérées. Toutefois, toutes les règles personnalisées ou les paramètres de stratégie resteront inchangés lors de l’attribution du nouvel ensemble de règles. Vous devrez redéfinir les remplacements de règles et valider les modifications avant le déploiement dans un environnement de production.
Les règles DRS 2.1 offrent une meilleure protection que les versions antérieures de DRS. Il comprend d'autres règles développées par l'équipe Microsoft Threat Intelligence et des mises à jour des signatures pour réduire les faux positifs. Il prend également en charge les transformations au-delà du simple décodage d’URL.
DRS 2.1 inclut 17 groupes de règles, comme le montre le tableau suivant. Chaque groupe contient plusieurs règles et vous pouvez personnaliser le comportement de règles individuelles, de groupes de règles ou d'un ensemble de règles complet. DRS 2.1 est basé sur l'ensemble de règles de base (CRS) 3.3.2 de l'Open Web Application Security Project (OWASP) et inclut des règles de protection propriétaires supplémentaires développées par l'équipe Microsoft Threat Intelligence.
Pour plus d’informations, consultez Paramétrage du pare-feu d’applications web (WAF) pour Azure Front Door.
Notes
DRS 2.1 est disponible uniquement dans Azure Front Door Premium.
Groupe de règles | ruleGroupName | Description |
---|---|---|
Général | Général | Groupe général |
METHOD-ENFORCEMENT | METHOD-ENFORCEMENT | Verrouiller les méthodes (PUT, PATCH) |
PROTOCOL-ENFORCEMENT | PROTOCOL-ENFORCEMENT | Protéger contre les problèmes de protocole et d’encodage. |
PROTOCOL-ATTACK | PROTOCOL-ATTACK | Protéger contre les attaques par injection d’en-tête, dissimulation de requête et fractionnement de réponse. |
APPLICATION-ATTACK-LFI | LFI | Protéger contre les attaques par fichier et chemin d’accès. |
APPLICATION-ATTACK-RFI | RFI | Protéger contre les attaques par inclusion de fichier distant (RFI) |
APPLICATION-ATTACK-RCE | RCE | Protéger contre les attaques par exécution de code à distance. |
APPLICATION-ATTACK-PHP | PHP | Protéger contre les attaques par injection de code PHP. |
APPLICATION-ATTACK-NodeJS | NODEJS | Protéger contre les attaques Node JS |
APPLICATION-ATTACK-XSS | XSS | Protéger contre les attaques par exécution de scripts de site à site. |
APPLICATION-ATTACK-SQLI | SQLI | Protéger contre les attaques par injection de code SQL. |
APPLICATION-ATTACK-SESSION-FIXATION | FIX | Protéger contre les attaques par fixation de session. |
APPLICATION-ATTACK-SESSION-JAVA | JAVA | Protéger contre les attaques JAVA |
MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Protéger contre les attaques par l’interpréteur de commandes web |
MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | Protéger contre les attaques par AppSec |
MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | Protéger contre les attaques par SQLI |
MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Protéger contre les attaques par CVE |
Les règles suivantes sont désactivées par défaut pour Data Replication Service 2.1.
Identificateur de la règle | Groupe de règles | Description | Détails |
---|---|---|---|
942110 | SQLI | Attaque par injection de code SQL : Test d’injection commune détecté | Remplacé par la règle MSTIC 99031001 |
942150 | SQLI | Attaque par injection de code SQL | Remplacé par la règle MSTIC 99031003 |
942260 | SQLI | Détecte les tentatives de contournement d’authentification SQL de base 2/3 | Remplacé par la règle MSTIC 99031004 |
942430 | SQLI | Détection restreinte d’anomalies de caractères SQL (args) : nombre de caractères spéciaux dépassés (12) | Le nombre de faux positifs est trop élevé. |
942440 | SQLI | Séquence de commentaire SQL détectée | Remplacé par la règle MSTIC 99031002 |
99005006 | MS-ThreatIntel-WebShells | Tentative d’interaction Spring4Shell | Activer la règle pour empêcher la vulnérabilité SpringShell |
99001014 | MS-ThreatIntel-CVEs | Tentative d’injection d’expression de routage Spring Cloud CVE-2022-22963 | Activer la règle pour empêcher la vulnérabilité SpringShell |
99001015 | MS-ThreatIntel-WebShells | Tentative d’exploitation d’objets de classe non sécurisée Spring Framework CVE-2022-22965 | Activer la règle pour empêcher la vulnérabilité SpringShell |
99001016 | MS-ThreatIntel-WebShells | Tentative d’injection d’actionneur Spring Cloud Gateway CVE-2022-22947 | Activer la règle pour empêcher la vulnérabilité SpringShell |
99001017 | MS-ThreatIntel-CVEs | Tentative d'exploitation du téléchargement de fichiers Apache Struts CVE-2023-50164. | Activer la règle pour prévenir la vulnérabilité Apache Struts |
Les règles DRS 2.0 offrent une meilleure protection que les versions antérieures du Data Replication Service. Data Replication Service 2.0 prend également en charge les transformations au-delà du simple décodage d'URL.
DRS 2.0 inclut 17 groupes de règles, comme illustré dans le tableau suivant. Chaque groupe contient plusieurs règles. Vous pouvez désactiver des règles individuelles et des groupes de règles entiers.
Notes
DRS 2.0 est disponible uniquement sur Azure Front Door Premium.
Groupe de règles | ruleGroupName | Description |
---|---|---|
Général | Général | Groupe général |
METHOD-ENFORCEMENT | METHOD-ENFORCEMENT | Verrouiller les méthodes (PUT, PATCH) |
PROTOCOL-ENFORCEMENT | PROTOCOL-ENFORCEMENT | Protéger contre les problèmes de protocole et d’encodage. |
PROTOCOL-ATTACK | PROTOCOL-ATTACK | Protéger contre les attaques par injection d’en-tête, dissimulation de requête et fractionnement de réponse. |
APPLICATION-ATTACK-LFI | LFI | Protéger contre les attaques par fichier et chemin d’accès. |
APPLICATION-ATTACK-RFI | RFI | Protéger contre les attaques par inclusion de fichier distant (RFI) |
APPLICATION-ATTACK-RCE | RCE | Protéger contre les attaques par exécution de code à distance. |
APPLICATION-ATTACK-PHP | PHP | Protéger contre les attaques par injection de code PHP. |
APPLICATION-ATTACK-NodeJS | NODEJS | Protéger contre les attaques Node JS |
APPLICATION-ATTACK-XSS | XSS | Protéger contre les attaques par exécution de scripts de site à site. |
APPLICATION-ATTACK-SQLI | SQLI | Protéger contre les attaques par injection de code SQL. |
APPLICATION-ATTACK-SESSION-FIXATION | FIX | Protéger contre les attaques par fixation de session. |
APPLICATION-ATTACK-SESSION-JAVA | JAVA | Protéger contre les attaques JAVA |
MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Protéger contre les attaques par l’interpréteur de commandes web |
MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | Protéger contre les attaques par AppSec |
MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | Protéger contre les attaques par SQLI |
MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Protéger contre les attaques par CVE |
Groupe de règles | ruleGroupName | Description |
---|---|---|
PROTOCOL-ATTACK | PROTOCOL-ATTACK | Protéger contre les attaques par injection d’en-tête, dissimulation de requête et fractionnement de réponse. |
APPLICATION-ATTACK-LFI | LFI | Protéger contre les attaques par fichier et chemin d’accès. |
APPLICATION-ATTACK-RFI | RFI | Protection contre les attaques par inclusion de fichier distant (RFI) |
APPLICATION-ATTACK-RCE | RCE | Protection contre l’exécution de commandes à distance |
APPLICATION-ATTACK-PHP | PHP | Protéger contre les attaques par injection de code PHP. |
APPLICATION-ATTACK-XSS | XSS | Protéger contre les attaques par exécution de scripts de site à site. |
APPLICATION-ATTACK-SQLI | SQLI | Protéger contre les attaques par injection de code SQL. |
APPLICATION-ATTACK-SESSION-FIXATION | FIX | Protéger contre les attaques par fixation de session. |
APPLICATION-ATTACK-SESSION-JAVA | JAVA | Protéger contre les attaques JAVA |
MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Protéger contre les attaques par l’interpréteur de commandes web |
MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | Protéger contre les attaques par AppSec |
MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | Protéger contre les attaques par SQLI |
MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Protéger contre les attaques par CVE |
Groupe de règles | ruleGroupName | Description |
---|---|---|
PROTOCOL-ATTACK | PROTOCOL-ATTACK | Protéger contre les attaques par injection d’en-tête, dissimulation de requête et fractionnement de réponse. |
APPLICATION-ATTACK-LFI | LFI | Protéger contre les attaques par fichier et chemin d’accès. |
APPLICATION-ATTACK-RFI | RFI | Protection contre les attaques par inclusion de fichier distant (RFI) |
APPLICATION-ATTACK-RCE | RCE | Protection contre l’exécution de commandes à distance |
APPLICATION-ATTACK-PHP | PHP | Protéger contre les attaques par injection de code PHP. |
APPLICATION-ATTACK-XSS | XSS | Protéger contre les attaques par exécution de scripts de site à site. |
APPLICATION-ATTACK-SQLI | SQLI | Protéger contre les attaques par injection de code SQL. |
APPLICATION-ATTACK-SESSION-FIXATION | FIX | Protéger contre les attaques par fixation de session. |
APPLICATION-ATTACK-SESSION-JAVA | JAVA | Protéger contre les attaques JAVA |
MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Protéger contre les attaques par l’interpréteur de commandes web |
MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Protéger contre les attaques par CVE |
L’ensemble de règles de Bot Manager 1.0 offre une protection contre les bots malveillants et permet de détecter les bons bots. Les règles fournissent un contrôle granulaire sur les bots détectés par WAF en classant les bots dans les catégories suivantes selon leur trafic : bon (Good), mauvais (Bad) ou inconnu (Unknown).
Groupe de règles | Description |
---|---|
BadBots | Protection contre les bots malveillants |
GoodBots | Identification des bots bienveillants |
UnknownBots | Identification des bots inconnus |
L’ensemble de règles de Bot Manager 1.1 améliore l’ensemble de règles de Bot Manager 1.0. Il offre une protection renforcée contre les bots malveillants et une meilleure détection des bons bots.
Groupe de règles | Description |
---|---|
BadBots | Protection contre les bots malveillants |
GoodBots | Identification des bots bienveillants |
UnknownBots | Identification des bots inconnus |
Les groupes de règles et règles suivants sont disponibles lorsque vous utilisez Azure Web Application Firewall sur Azure Front Door.
ID de la règle | Description |
---|---|
200002 | Échec de l’analyse du corps de la requête |
200003 | Échec de la validation stricte du corps de la requête à parties multiples |
ID de la règle | Description |
---|---|
911100 | La méthode n’est pas autorisée par la stratégie |
ID de la règle | Description |
---|---|
920100 | Ligne de requête HTTP non valide. |
920120 | Tentative de contournement des données multiparts/formulaires. |
920121 | Tentative de contournement des données multiparts/formulaires. |
920160 | L’en-tête HTTP Content-Length n’est pas numérique. |
920170 | Requête GET ou HEAD avec contenu du corps. |
920171 | Requête GET ou HEAD avec Transfer-Encoding. |
920180 | En-tête Content-Length manquant dans la requête POST. |
920181 | Les en-têtes Content-Length et Transfer-Encoding présentent 99001003. |
920190 | Plage : dernière valeur d’octet non valide. |
920200 | Plage : trop de champs (6 ou plus). |
920201 | Plage : Trop de champs pour la requête PDF (35 ou plus). |
920210 | Détection de données d’en-tête de connexion en conflit/multiples. |
920220 | Tentative d’attaque abusive d’encodage d’URL. |
920230 | Encodage d'URL multiples détecté. |
920240 | Tentative d’attaque abusive d’encodage d’URL. |
920260 | Tentative d'attaque abusive Unicode pleine/demi-largeur. |
920270 | Caractère non valide dans la requête (caractère null). |
920271 | Caractère invalide dans la requête (caractères non imprimables). |
920280 | Demander l’absence d’un en-tête d’hôte. |
920290 | En-tête d'hôte vide. |
920300 | Demander l’absence d’un en-tête Accept. |
920310 | La requête a un en-tête d’acceptation vide. |
920311 | La requête a un en-tête d’acceptation vide. |
920320 | En-tête de l'agent utilisateur manquant. |
920330 | En-tête de l'agent utilisateur vide. |
920340 | Requête contenant du contenu, mais en-tête Content-Type manquant. |
920341 | La requête contenant du contenu nécessite un en-tête Content-Type. |
920350 | L'en-tête de l'hôte est une adresse IP numérique. |
920420 | Le type de contenu de la requête n’est pas autorisé par la stratégie. |
920430 | La version du protocole HTTP n’est pas autorisée par la stratégie. |
920440 | L’extension de fichier URL est limitée par la stratégie. |
920450 | L’en-tête HTTP est limité par la stratégie. |
920470 | En-tête Content-Type illégal. |
920480 | L’ensemble de caractères de type de contenu de requête n’est pas autorisé par la stratégie. |
920500 | Essayez d’accéder à une sauvegarde ou à un fichier de travail. |
ID de la règle | Description |
---|---|
921110 | Attaque par dissimulation de requête HTTP |
921120 | Attaque par fractionnement de réponse HTTP |
921130 | Attaque par fractionnement de réponse HTTP |
921140 | Attaque par injection d’en-tête HTTP via les en-têtes |
921150 | Attaque par injection d’en-tête HTTP via la charge utile (CR/LF détecté) |
921151 | Attaque par injection d’en-tête HTTP via la charge utile (CR/LF détecté) |
921160 | Attaque par injection d’en-tête HTTP via la charge utile (CR/LF et nom d’en-tête détecté) |
921190 | Fractionnement HTTP (CR/LF détecté dans le nom de fichier de demande) |
921200 | Attaque par injection de code LDAP |
ID de la règle | Description |
---|---|
930100 | Attaque par traversée de chemin (/../) |
930110 | Attaque par traversée de chemin (/../) |
930120 | Tentative d’accès au fichier du système d’exploitation |
930130 | Tentative d’accès au fichier restreint |
ID de la règle | Description |
---|---|
931100 | Attaque RFI (Remote File Inclusion) possible : paramètre d’URL à l’aide de l’adresse IP |
931110 | Attaque possible par inclusion de fichier distant (RFI) : nom de paramètre vulnérable RFI commun utilisé avec la charge utile URL |
931120 | Attaque possible par inclusion de fichier distant : charge utile URL utilisée avec caractère point d’interrogation de fin (?) |
931130 | Attaque possible par inclusion de fichier distant : Référence/Lien hors domaine |
ID de la règle | Description |
---|---|
932100 | Exécution de commande à distance : Injection de commande Unix |
932105 | Exécution de commande à distance : Injection de commande Unix |
932110 | Exécution de commande à distance : Injection de commande Windows |
932115 | Exécution de commande à distance : Injection de commande Windows |
932120 | Exécution de commande à distance : commande Windows PowerShell détectée |
932130 | Exécution de commandes distantes : Vulnérabilité d’expression ou de confluence du shell Unix(CVE-2022-26134) trouvée |
932140 | Exécution de commande à distance : commande Windows FOR/IF détectée |
932150 | Exécution de commande à distance : Exécution de commande UNIX directe |
932160 | Exécution de commande à distance : code de l’interpréteur de commandes Unix détecté |
932170 | Exécution de commande à distance : Shellshock (CVE-2014-6271) |
932171 | Exécution de commande à distance : Shellshock (CVE-2014-6271) |
932180 | Tentative de chargement de fichier limitée |
ID de la règle | Description |
---|---|
933100 | Attaque par injection de code PHP : balise d’ouverture/fermeture détectée |
933110 | Attaque par injection de code PHP : Chargement de fichier de script PHP détecté |
933120 | Attaque par injection de code PHP : directive de configuration détectée |
933130 | Attaque par injection de code PHP : Variables détectées |
933140 | Attaque par injection de code PHP : Flux d’E/S détecté |
933150 | Attaque par injection de code PHP : nom de fonction PHP à risque élevé détecté |
933151 | Attaque par injection de code PHP : Nom de fonction PHP à risque moyen détecté |
933160 | Attaque par injection de code PHP : appel de fonction PHP à risque élevé détecté |
933170 | Attaque par injection de code PHP : Injection d’objet sérialisé |
933180 | Attaque par injection de code PHP : appel de fonction variable détecté |
933200 | Attaque par injection de code PHP : schéma de wrapper détecté |
933210 | Attaque par injection de code PHP : appel de fonction variable détecté |
ID de la règle | Description |
---|---|
934100 | Attaque par injection de code Node.js |
ID de la règle | Description |
---|---|
941100 | Attaque XSS détectée via libinjection |
941101 | Attaque XSS détectée via libinjection La règle détecte les requêtes avec un en-tête Referer |
941110 | Filtre XSS - Catégorie 1 : vecteur de balise de script |
941120 | Filtre XSS - Catégorie 2 : vecteur de gestionnaire d’événements |
941130 | Filtre XSS - Catégorie 3 : vecteur d’attribut |
941140 | Filtre XSS - Catégorie 4 : vecteur URI JavaScript |
941150 | Filtre XSS - Catégorie 5 : attributs HTML non autorisés |
941160 | NoScript XSS InjectionChecker : Injection de code HTML |
941170 | NoScript XSS InjectionChecker : Injection d’attribut |
941180 | Mots clés de la liste de refus du validateur de nœuds |
941190 | XSS utilisant des feuilles de style |
941200 | XSS utilisant des frames VML |
941210 | XSS utilisant du JavaScript obfusqué |
941220 | XSS utilisant du VB Script obfusqué |
941230 | XSS utilisant embed balise |
941240 | XSS utilisant import ou attribut implementation |
941250 | Filtre XSS IE - Attaque détectée |
941260 | XSS utilisant meta balise |
941270 | XSS utilisant link href |
941280 | XSS utilisant base balise |
941290 | XSS utilisant applet balise |
941300 | XSS utilisant object balise |
941310 | Filtre XSS d’encodage mal formé US-ASCII – Attaque détectée |
941320 | Possible attaque XSS détectée - Gestionnaire de balise HTML |
941330 | Filtre XSS IE - Attaque détectée |
941340 | Filtre XSS IE - Attaque détectée |
941350 | Encodage UTF-7 IE XSS – Attaque détectée |
941360 | Obfuscation JavaScript détectée |
941370 | Variable globale JavaScript détectée |
941380 | Injection de modèle côté client AngularJS détectée |
ID de la règle | Description |
---|---|
942100 | Attaque par injection SQL détectée via libinjection. |
942110 | Attaque par injection SQL : test d’injection courant détecté. |
942120 | Attaque par injection SQL : opérateur SQL détecté. |
942140 | Attaque par injection SQL : noms de base de données courants détectés. |
942150 | Attaque par injection de code SQL. |
942160 | Détecte les tests SQLI aveugles à l’aide de sleep() ou de benchmark(). |
942170 | Détecte les tentatives de test SQL et d’injection de veille, y compris les requêtes conditionnelles. |
942180 | Détecte les tentatives de contournement d’authentification SQL de base 1/3. |
942190 | Détecte l’exécution du code MSSQL et les tentatives de collecte d’informations. |
942200 | Détecte les injections MySQL obscurcies par les commentaires/espaces et les terminaisons de backtick. |
942210 | Détecte les tentatives d’injection SQL chaînées 1/2. |
942220 | À la recherche d'attaques par débordement d'entier, celles-ci proviennent de skipfish, sauf que 3.0.00738585072007e-308 est le crash du "nombre magique". |
942230 | Détecte les tentatives d’injection SQL conditionnelles. |
942240 | Détecte le changement de jeu de caractères MySQL et les tentatives MSSQL DoS. |
942250 | Détecte les injections MATCH CONTRE, MERGE et EXECUTE IMMÉDIATE. |
942260 | Détecte les tentatives de contournement de l’authentification SQL de base 2/3. |
942270 | Recherche d’injection SQL de base. Chaîne d'attaque courante pour MySQL, Oracle et autres. |
942280 | Détecte l'injection Postgres pg_sleep, attend les attaques par retard et les tentatives d'arrêt de la base de données. |
942290 | Recherche les tentatives d'injection SQL MongoDB de base. |
942300 | Détecte les commentaires MySQL, les conditions et les injections ch(a)r. |
942310 | Détecte les tentatives d’injection SQL chaînées 2/2. |
942320 | Détecte les injections de procédures stockées/de fonction MySQL et PostgreSQL. |
942330 | Détecte les détections d’injection SQL classiques 1/2. |
942340 | Détecte les tentatives de contournement de l’authentification SQL de base 3/3. |
942350 | Détecte l’injection UDF MySQL et d’autres tentatives de manipulation de données/structure. |
942360 | Détecte les injections SQL de base concaténées et les tentatives SQLLFI. |
942361 | Détecte l’injection SQL de base basée sur le mot clé alter ou l’union. |
942370 | Détecte les détections classiques d’injection SQL 2/2. |
942380 | Attaque par injection de code SQL. |
942390 | Attaque par injection de code SQL. |
942400 | Attaque par injection de code SQL. |
942410 | Attaque par injection de code SQL. |
942430 | Détection restreinte des anomalies de caractères SQL (arguments) : nombre de caractères spéciaux dépassés (12). |
942440 | Séquence de commentaire SQL détectée. |
942450 | Encodage hexadécimal SQL identifié. |
942460 | Alerte de détection d'anomalies de méta-caractères – Caractères non-verbaux répétitifs. |
942470 | Attaque par injection de code SQL. |
942480 | Attaque par injection de code SQL. |
942500 | Commentaire en ligne MySQL détecté. |
942510 | Tentative de contournement SQLi par apostrophes ou apostrophes inversées détectée. |
ID de la règle | Description |
---|---|
943100 | Attaque possible par fixation de session : définition de valeurs de cookies en HTML |
943110 | Attaque possible par fixation de session : nom du paramètre SessionID avec référent hors domaine |
943120 | Attaque possible par fixation de session : nom du paramètre SessionID sans référent |
ID de la règle | Description |
---|---|
944100 | Exécution de commande à distance : Apache Struts, Oracle WebLogic |
944110 | Détecte l’exécution de charge utile potentielle |
944120 | Exécution de charge utile et de commande à distance possible |
944130 | Classes Java suspectes |
944200 | Exploitation de la désérialisation Java Apache Commons |
944210 | Utilisation possible de la sérialisation Java |
944240 | Exécution de commande à distance : sérialisation Java et vulnérabilité Log4j (CVE-2021-44228, CVE-2021-45046) |
944250 | Exécution de commande à distance : méthode Java suspecte détectée |
ID de la règle | Description |
---|---|
99005002 | Tentative d’interaction avec l’interpréteur de commandes web (POST) |
99005003 | Tentative de chargement de l’interpréteur de commandes web (POST) - CHOPPER PHP |
99005004 | Tentative de chargement de l’interpréteur de commandes web (POST) - CHOPPER ASPX |
99005005 | Tentative d’interaction avec l’interpréteur de commandes web |
99005006 | Tentative d’interaction Spring4Shell |
ID de la règle | Description |
---|---|
99030001 | Esquive par traversée de chemin dans les en-têtes (/.././../) |
99030002 | Esquive par traversée de chemin dans le corps de requête (/.././../) |
ID de la règle | Description |
---|---|
99031001 | Attaque par injection de code SQL : Test d’injection commune détecté |
99031002 | Séquence de commentaire SQL détectée |
99031003 | Attaque par injection de code SQL |
99031004 | Détecte les tentatives de contournement d’authentification SQL de base 2/3 |
ID de la règle | Description |
---|---|
99001001 | Tentative d’exploitation de l’API REST F5 (CVE-2020-5902) avec des informations d’identification connues |
99001002 | Tentative d’attaque par traversée de répertoire Citrix NSC_USER CVE-2019-19781 |
99001003 | Tentative d’exploitation du connecteur de widget Atlassian Confluence CVE-2019-3396 |
99001004 | Tentative d’exploitation de modèle personnalisé Pulse Secure CVE-2020-8243 |
99001005 | Tentative d’exploitation du convertisseur de type SharePoint CVE-2020-0932 |
99001006 | Tentative d’attaque par traversée de répertoire Pulse Connect CVE-2019-11510 |
99001007 | Tentative d’inclusion de fichier local Junos OS J-Web CVE-2020-1631 |
99001008 | Tentative d’attaque par traversée de chemin Fortinet CVE-2018-13379 |
99001009 | Tentative d’injection Apache struts ognl CVE-2017-5638 |
99001010 | Tentative d’injection Apache struts ognl CVE-2017-12611 |
99001011 | Tentative d’attaque par traversée de chemin Oracle WebLogic CVE-2020-14882 |
99001012 | Tentative d’exploitation de désérialisation non sécurisée de Telerik WebUI CVE-2019-18935 |
99001013 | Tentative de désérialisation XML non sécurisée de SharePoint CVE-2019-0604 |
99001014 | Tentative d’injection d’expression de routage Spring Cloud CVE-2022-22963 |
99001015 | Tentative d’exploitation d’objets de classe non sécurisée Spring Framework CVE-2022-22965 |
99001016 | Tentative d’injection d’actionneur Spring Cloud Gateway CVE-2022-22947 |
99001017 | Tentative d’exploitation du chargement de fichiers Apache Struts CVE-2023-50164 |
Notes
Lorsque vous passez en revue les journaux de votre WAF, vous pouvez voir l’ID de règle 949110. La description de la règle pourrait indiquer que le score d’anomalies entrantes a été dépassé.
Cette règle indique que le score de total d’anomalies pour la requête a dépassé le score maximal autorisé. Pour plus d’informations, consultez Scoring d’anomalie.
Lorsque vous ajustez vos stratégies WAF, vous devez examiner les autres règles déclenchées par la requête afin de pouvoir ajuster la configuration de votre WAF. Pour plus d’informations, consultez Réglage du Azure Web Application Firewall pour Azure Front Door.