A Web Application Firewall DRS-szabálycsoportjai és szabályai
Az Azure Web Application Firewall az Azure Front Dooron védi a webalkalmazásokat a gyakori biztonsági résektől és biztonsági résektől. Az Azure által felügyelt szabálykészletek egyszerű módot nyújtanak a gyakori biztonsági fenyegetések elleni védelem üzembe helyezésére. Mivel az Azure kezeli ezeket a szabálykészleteket, a szabályok szükség szerint frissülnek az új támadási aláírások elleni védelem érdekében.
Az alapértelmezett szabálykészlet (DRS) tartalmazza a Microsoft Threat Intelligence Collection-szabályokat is, amelyek a Microsoft Intelligence csapatával együttműködve lettek megírva, hogy nagyobb lefedettséget, adott biztonsági rések javítását és jobb hamis pozitív csökkentést biztosítsanak.
Alapértelmezett szabálykészletek
Az Azure által felügyelt DRS a következő fenyegetéskategóriákra vonatkozó szabályokat tartalmaz:
- Webhelyek közötti, szkriptalapú támadás
- Java-támadások
- Helyi fájlbefoglalás
- PHP-injektálási támadások
- Távoli parancsvégrehajtás
- Távolifájl-beszúrás
- Munkamenet-javítás
- SQL-injektálás elleni védelem
- Protokoll támadói
A DRS verziószáma növekszik, amikor új támadási aláírásokat ad hozzá a szabálykészlethez.
A DRS alapértelmezés szerint engedélyezve van észlelési módban a WAF-szabályzatokban. Az alkalmazás követelményeinek való megfelelés érdekében letilthatja vagy engedélyezheti az egyes szabályokat a DRS-ben. Szabályonként meghatározott műveleteket is beállíthat. Az elérhető műveletek az Engedélyezés, a Letiltás, a Napló és az Átirányítás.
Előfordulhat, hogy bizonyos kérésattribútumokat ki kell hagynia egy webalkalmazási tűzfal (WAF) kiértékeléséből. Gyakori példa a hitelesítéshez használt Active Directory-beszúrt jogkivonatok. Konfigurálhat egy kizárási listát egy felügyelt szabályhoz, egy szabálycsoporthoz vagy a teljes szabálykészlethez. További információ: Azure Web Application Firewall az Azure Front Door kizárási listáin.
Alapértelmezés szerint a DRS 2.0-s és újabb verziói anomáliadekontingetinget használnak, ha egy kérés megfelel egy szabálynak. A 2.0-nál korábbi DRS-verziók blokkolják a szabályokat aktiváló kéréseket. Emellett az egyéni szabályok ugyanabban a WAF-házirendben is konfigurálhatók, ha meg szeretné kerülni a DRS előre konfigurált szabályainak bármelyikét.
A DRS-ben lévő szabályok kiértékelése előtt mindig egyéni szabályok lesznek alkalmazva. Ha egy kérelem egyezik egy egyéni szabálysal, a rendszer alkalmazza a megfelelő szabályműveletet. A kérés le van tiltva, vagy a háttérbe kerül. Nincs más egyéni szabály vagy a DRS szabályainak feldolgozása. A DRS-t a WAF-szabályzatokból is eltávolíthatja.
Microsoft Threat Intelligence Collection-szabályok
A Microsoft Threat Intelligence Collection szabályai a Microsoft Threat Intelligence csapatával együttműködve vannak megírva, hogy nagyobb lefedettséget, adott biztonsági rések javítását és jobb hamis pozitív csökkentést biztosítsanak.
Alapértelmezés szerint a Microsoft Threat Intelligence Collection szabályai lecserélnek néhány beépített DRS-szabályt, ami miatt le vannak tiltva. Például a 942440-ben észlelt SQL-megjegyzésütemezés szabálya le lett tiltva, és a Microsoft Threat Intelligence Collection szabály 99031002 váltotta fel. A lecserélt szabály csökkenti a hamis pozitív észlelések kockázatát a jogos kérelmekből.
Anomáliák pontozása
A DRS 2.0-s vagy újabb verziójának használatakor a WAF anomáliadetációt használ. A szabálynak megfelelő forgalom nem lesz azonnal blokkolva, még akkor sem, ha a WAF megelőzési módban van. Ehelyett az OWASP-szabálykészletek minden szabályhoz definiálnak súlyosságot: Kritikus, Hiba, Figyelmeztetés vagy Figyelmeztetés. A súlyosság hatással van a kérelem numerikus értékére, amelyet anomáliának nevezünk. Ha egy kérelem 5 vagy annál nagyobb anomáliapontot halmoz fel, a WAF végrehajtja a műveletet a kérésen.
Szabály súlyossága | Az anomáliához hozzájárult érték |
---|---|
Kritikus | 5 |
Hiba | 4 |
Figyelmeztetés | 3 |
Értesítés | 2 |
A WAF konfigurálásakor eldöntheti, hogy a WAF hogyan kezeli az 5-ös anomáliapont-küszöbértéket meghaladó kérelmeket. A három anomáliapont-művelet a Blokkolás, a Napló vagy az Átirányítás. A konfiguráció időpontjában kiválasztott anomáliadetektált pontszám művelet minden olyan kérelemre érvényes, amely túllépi az anomáliadetektált pontszám küszöbértékét.
Ha például az anomália pontszáma 5 vagy annál nagyobb egy kérelemnél, és a WAF megelőzési módban van, és az anomáliapont-művelet Blokk értékre van állítva, a kérés le lesz tiltva. Ha egy kérelem anomáliadetektálási pontszáma 5 vagy annál nagyobb, és a WAF észlelési módban van, a rendszer naplózza a kérést, de nem tiltja le.
Egyetlen kritikus szabályegyeztetés elegendő ahhoz, hogy a WAF blokkoljon egy kérést, ha megelőzési módban az anomáliapont-művelet blokkra van állítva, mert az összesített anomáliadetikus pontszám 5. Egy figyelmeztetési szabály egyezése azonban csak 3-tal növeli az anomáliapontot, ami önmagában nem elegendő a forgalom blokkolásához. Az anomáliaszabály aktiválásakor egy "egyeztetett" műveletet jelenít meg a naplókban. Ha az anomália pontszáma 5 vagy annál nagyobb, a rendszer egy külön szabályt aktivál a szabálykészlethez konfigurált anomáliapont-művelettel. Az alapértelmezett anomáliapont-művelet a Blokk, amely egy naplóbejegyzést eredményez a művelettel blocked
.
Ha a WAF az alapértelmezett szabálykészlet régebbi verzióját használja (a DRS 2.0 előtt), a WAF hagyományos módban fut. A szabálynak megfelelő forgalom minden más szabály-egyezéstől függetlenül tekinthető. Hagyományos módban nem ismerheti meg az adott kérések által egyező szabályok teljes készletét.
Az ön által használt DRS-verzió azt is meghatározza, hogy mely tartalomtípusok támogatottak a kérelemtörzs vizsgálatához. További információ: Milyen tartalomtípusokat támogat a WAF? a gyakori kérdések között.
DRS 2.1
A DRS 2.1-szabályok jobb védelmet nyújtanak, mint a DRS korábbi verziói. Ez magában foglalja a Microsoft Threat Intelligence csapata által kifejlesztett egyéb szabályokat, valamint az aláírások frissítését a hamis pozitív értékek csökkentése érdekében. Emellett az URL-dekódoláson túl az átalakításokat is támogatja.
A DRS 2.1 17 szabálycsoportot tartalmaz az alábbi táblázatban látható módon. Minden csoport több szabályt tartalmaz, és testre szabhatja az egyes szabályok, szabálycsoportok vagy egy teljes szabálykészlet viselkedését. További információ: Tuning Web Application Firewall (WAF) for Azure Front Door.
Feljegyzés
A DRS 2.1 csak az Azure Front Door Premiumban érhető el.
Szabálycsoport | ruleGroupName | Leírás |
---|---|---|
Általános | Általános | Általános csoport |
METÓDUS-KÉNYSZERÍTÉS | METÓDUS-KÉNYSZERÍTÉS | Zárolási módszerek (PUT, PATCH) |
PROTOKOLL-KÉNYSZERÍTÉS | PROTOKOLL-KÉNYSZERÍTÉS | Védelem protokoll- és kódolási problémák ellen |
PROTOKOLL-TÁMADÁS | PROTOKOLL-TÁMADÁS | Védelem a fejlécinjektálás, a csempészet és a válasz felosztása ellen |
APPLICATION-ATTACK-LFI | LFI | Védelem fájl- és elérésiút-támadások ellen |
APPLICATION-ATTACK-RFI | RFI | Védelem a távoli fájlbefoglalási (RFI) támadások ellen |
APPLICATION-ATTACK-RCE | RCE | A távoli kódvégrehajtási támadások ismételt védelme |
APPLICATION-ATTACK-PHP | PHP | Védelem a PHP-injektálási támadások ellen |
APPLICATION-ATTACK-NodeJS | NODEJS | Védelem a Node JS-támadások ellen |
APPLICATION-ATTACK-XSS | XSS | Védelem a helyek közötti szkriptelési támadások ellen |
APPLICATION-ATTACK-SQLI | SQLI | Védelem az SQL-injektálási támadások ellen |
APPLICATION-ATTACK-SESSION-FIXATION | FIX | Védelem a munkamenet-rögzítési támadások ellen |
APPLICATION-ATTACK-SESSION-JAVA | JAVA | Védelem JAVA-támadások ellen |
MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Védelem a webes rendszerhéj-támadások ellen |
MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | Védelem az AppSec-támadások ellen |
MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | Védelem az SQLI-támadások ellen |
MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Védelem a CVE-támadások ellen |
Letiltott szabályok
A DRS 2.1 esetében alapértelmezés szerint az alábbi szabályok vannak letiltva.
Szabályazonosító | Szabálycsoport | Leírás | Részletek |
---|---|---|---|
942110 | SQLI | SQL-injektálási támadás: Gyakori injektálási tesztelés észlelhető | Az MSTIC-szabály helyébe 99031001 |
942150 | SQLI | SQL-injektálási támadás | Az MSTIC-szabály helyébe 99031003 |
942260 | SQLI | Észleli az alapszintű SQL-hitelesítési megkerülési kísérleteket 2/3 | Az MSTIC-szabály helyébe 99031004 |
942430 | SQLI | Korlátozott SQL-karakter anomáliadetektálása (args): a speciális karakterek száma túllépve (12) | Túl sok hamis pozitív |
942440 | SQLI | SQL-megjegyzésütemezés észlelhető | MsTIC-szabály 99031002 |
99005006 | MS-ThreatIntel-WebShells | Spring4Shell-interakciós kísérlet | Szabály engedélyezése a SpringShell biztonsági résének megelőzéséhez |
99001014 | MS-ThreatIntel-CVEs | A Spring Cloud útválasztási kifejezésének CVE-2022-22963-as injektálása | Szabály engedélyezése a SpringShell biztonsági résének megelőzéséhez |
99001015 | MS-ThreatIntel-WebShells | A Spring Framework nem biztonságos osztályobjektum-kihasználása CVE-2022-22965 | Szabály engedélyezése a SpringShell biztonsági résének megelőzéséhez |
99001016 | MS-ThreatIntel-WebShells | A Spring Cloud Gateway Actuator injektálása CVE-2022-22947 | Szabály engedélyezése a SpringShell biztonsági résének megelőzéséhez |
99001017 | MS-ThreatIntel-CVEs | Megkísérelt Apache Struts-fájlfeltöltési CVE-2023-50164. | Szabály engedélyezése az Apache Struts biztonsági résének megelőzéséhez |
DRS 2.0
A DRS 2.0-szabályok jobb védelmet nyújtanak, mint a DRS korábbi verziói. A DRS 2.0 az URL-dekódoláson túl az átalakításokat is támogatja.
A DRS 2.0 17 szabálycsoportot tartalmaz az alábbi táblázatban látható módon. Minden csoport több szabályt tartalmaz. Az egyes szabályokat és a teljes szabálycsoportokat letilthatja.
Feljegyzés
A DRS 2.0 csak az Azure Front Door Premiumban érhető el.
Szabálycsoport | ruleGroupName | Leírás |
---|---|---|
Általános | Általános | Általános csoport |
METÓDUS-KÉNYSZERÍTÉS | METÓDUS-KÉNYSZERÍTÉS | Zárolási módszerek (PUT, PATCH) |
PROTOKOLL-KÉNYSZERÍTÉS | PROTOKOLL-KÉNYSZERÍTÉS | Védelem protokoll- és kódolási problémák ellen |
PROTOKOLL-TÁMADÁS | PROTOKOLL-TÁMADÁS | Védelem a fejlécinjektálás, a csempészet és a válasz felosztása ellen |
APPLICATION-ATTACK-LFI | LFI | Védelem fájl- és elérésiút-támadások ellen |
APPLICATION-ATTACK-RFI | RFI | Védelem a távoli fájlbefoglalási (RFI) támadások ellen |
APPLICATION-ATTACK-RCE | RCE | A távoli kódvégrehajtási támadások ismételt védelme |
APPLICATION-ATTACK-PHP | PHP | Védelem a PHP-injektálási támadások ellen |
APPLICATION-ATTACK-NodeJS | NODEJS | Védelem a Node JS-támadások ellen |
APPLICATION-ATTACK-XSS | XSS | Védelem a helyek közötti szkriptelési támadások ellen |
APPLICATION-ATTACK-SQLI | SQLI | Védelem az SQL-injektálási támadások ellen |
APPLICATION-ATTACK-SESSION-FIXATION | FIX | Védelem a munkamenet-rögzítési támadások ellen |
APPLICATION-ATTACK-SESSION-JAVA | JAVA | Védelem JAVA-támadások ellen |
MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Védelem a webes rendszerhéj-támadások ellen |
MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | Védelem az AppSec-támadások ellen |
MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | Védelem az SQLI-támadások ellen |
MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Védelem a CVE-támadások ellen |
DRS 1.1
Szabálycsoport | ruleGroupName | Leírás |
---|---|---|
PROTOKOLL-TÁMADÁS | PROTOKOLL-TÁMADÁS | Védelem a fejlécinjektálás, a csempészet és a válasz felosztása ellen |
APPLICATION-ATTACK-LFI | LFI | Védelem fájl- és elérésiút-támadások ellen |
APPLICATION-ATTACK-RFI | RFI | Védelem a távoli fájlbefoglalási támadások ellen |
APPLICATION-ATTACK-RCE | RCE | Távoli parancsvégrehajtás elleni védelem |
APPLICATION-ATTACK-PHP | PHP | Védelem a PHP-injektálási támadások ellen |
APPLICATION-ATTACK-XSS | XSS | Védelem a helyek közötti szkriptelési támadások ellen |
APPLICATION-ATTACK-SQLI | SQLI | Védelem az SQL-injektálási támadások ellen |
APPLICATION-ATTACK-SESSION-FIXATION | FIX | Védelem a munkamenet-rögzítési támadások ellen |
APPLICATION-ATTACK-SESSION-JAVA | JAVA | Védelem JAVA-támadások ellen |
MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Védelem a webes rendszerhéj-támadások ellen |
MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | Védelem az AppSec-támadások ellen |
MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | Védelem az SQLI-támadások ellen |
MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Védelem a CVE-támadások ellen |
DRS 1.0
Szabálycsoport | ruleGroupName | Leírás |
---|---|---|
PROTOKOLL-TÁMADÁS | PROTOKOLL-TÁMADÁS | Védelem a fejlécinjektálás, a csempészet és a válasz felosztása ellen |
APPLICATION-ATTACK-LFI | LFI | Védelem fájl- és elérésiút-támadások ellen |
APPLICATION-ATTACK-RFI | RFI | Védelem a távoli fájlbefoglalási támadások ellen |
APPLICATION-ATTACK-RCE | RCE | Távoli parancsvégrehajtás elleni védelem |
APPLICATION-ATTACK-PHP | PHP | Védelem a PHP-injektálási támadások ellen |
APPLICATION-ATTACK-XSS | XSS | Védelem a helyek közötti szkriptelési támadások ellen |
APPLICATION-ATTACK-SQLI | SQLI | Védelem az SQL-injektálási támadások ellen |
APPLICATION-ATTACK-SESSION-FIXATION | FIX | Védelem a munkamenet-rögzítési támadások ellen |
APPLICATION-ATTACK-SESSION-JAVA | JAVA | Védelem JAVA-támadások ellen |
MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Védelem a webes rendszerhéj-támadások ellen |
MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Védelem a CVE-támadások ellen |
Bot Manager 1.0
A Bot Manager 1.0 szabálykészlet védelmet nyújt a rosszindulatú robotok ellen, és észleli a jó robotokat. A szabályok részletes vezérlést biztosítanak a WAF által észlelt robotok felett a robotforgalom jó, rossz vagy ismeretlen robotként való kategorizálásával.
Szabálycsoport | Leírás |
---|---|
BadBots | Védelem a rossz robotok ellen |
GoodBots | A jó robotok azonosítása |
UnknownBots | Ismeretlen robotok azonosítása |
Bot Manager 1.1
A Bot Manager 1.1 szabálykészlet a Bot Manager 1.0 szabálykészlet továbbfejlesztése. Továbbfejlesztett védelmet nyújt a rosszindulatú robotok ellen, és növeli a robotok megfelelő észlelését.
Szabálycsoport | Leírás |
---|---|
BadBots | Védelem a rossz robotok ellen |
GoodBots | A jó robotok azonosítása |
UnknownBots | Ismeretlen robotok azonosítása |
A következő szabálycsoportok és szabályok érhetők el az Azure Web Application Firewall Azure Front Dooron való használatakor.
2.1 szabálykészletek
Általános
Szabályazonosító | Leírás |
---|---|
200002 | Nem sikerült elemezni a kérelem törzsét |
200003 | A többrészes kérelem törzse nem tudott szigorú ellenőrzést végrehajtani |
Metódus kényszerítése
Szabályazonosító | Leírás |
---|---|
911100 | A szabályzat nem engedélyezi a metódust |
Protokoll kényszerítése
Szabályazonosító | Leírás |
---|---|
920100 | Érvénytelen HTTP-kérelemsor. |
920120 | Többrészes/űrlapadat-megkerülési kísérlet. |
920121 | Többrészes/űrlapadat-megkerülési kísérlet. |
920160 | A Content-Length HTTP-fejléc nem numerikus. |
920170 | GET vagy HEAD kérés törzstartalommal. |
920171 | GET vagy HEAD kérés átvitelkódolással. |
920180 | POST-kérelem hiányzó tartalomhosszúságú fejléc. |
920181 | A tartalomhosszúságú és átviteli kódolású fejlécek 99001003 jelenik meg. |
920190 | Tartomány: Érvénytelen utolsó bájtérték. |
920200 | Tartomány: Túl sok mező (6 vagy több). |
920201 | Tartomány: Túl sok mező a pdf-kérelemhez (35 vagy több). |
920210 | Több/ütköző kapcsolatfejléc-adat található. |
920220 | URL-kódolási visszaéléses támadási kísérlet. |
920230 | Több URL-kódolás észlelhető. |
920240 | URL-kódolási visszaéléses támadási kísérlet. |
920260 | Unicode teljes/félszélességű visszaélés támadási kísérlet. |
920270 | Érvénytelen karakter a kérelemben (null karakter). |
920271 | Érvénytelen karakter a kérelemben (nem nyomtatható karakterek). |
920280 | A kérelemben hiányzik egy gazdagépfejléc. |
920290 | Üres gazdagépfejléc. |
920300 | A kérelemben hiányzik egy elfogadási fejléc. |
920310 | A kérelem üres elfogadási fejléccel rendelkezik. |
920311 | A kérelem üres elfogadási fejléccel rendelkezik. |
920320 | Hiányzik a felhasználói ügynök fejléce. |
920330 | Üres felhasználói ügynök fejléce. |
920340 | Tartalommal kapcsolatos kérés, de hiányzik a tartalomtípus fejléce. |
920341 | A tartalmat tartalmazó kérelemhez Tartalomtípus fejléc szükséges. |
920350 | A gazdagépfejléc egy numerikus IP-cím. |
920420 | A szabályzat nem engedélyezi a kérelem tartalomtípusát. |
920430 | A SZABÁLYZAT nem engedélyezi a HTTP protokoll verzióját. |
920440 | Az URL-fájlkiterjesztést szabályzat korlátozza. |
920450 | A HTTP-fejlécet szabályzat korlátozza. |
920470 | Érvénytelen tartalomtípus fejléce. |
920480 | A szabályzat nem engedélyezi a kérelem tartalomtípus-karakterkészletét. |
920500 | Próbáljon meg hozzáférni egy biztonsági másolathoz vagy egy működő fájlhoz. |
Protokollos támadás
Szabályazonosító | Leírás |
---|---|
921110 | HTTP-kérések csempészeti támadása |
921120 | HTTP-válasz felosztási támadása |
921130 | HTTP-válasz felosztási támadása |
921140 | HTTP-fejlécinjektálási támadás fejléceken keresztül |
921150 | HTTP-fejlécinjektálási támadás hasznos adatokkal (CR/LF észlelve) |
921151 | HTTP-fejlécinjektálási támadás hasznos adatokkal (CR/LF észlelve) |
921160 | HTTP-fejlécinjektálási támadás hasznos adatokon keresztül (CR/LF és fejlécnév észlelhető) |
921190 | HTTP-felosztás (CR/LF a kérelemfájlnév észlelésekor) |
921200 | LDAP-injektálási támadás |
LFI: Helyi fájlbefoglalás
Szabályazonosító | Leírás |
---|---|
930100 | Path Traversal Attack (/.. /) |
930110 | Path Traversal Attack (/.. /) |
930120 | Operációsrendszer-fájlelérési kísérlet |
930130 | Korlátozott fájlelérési kísérlet |
RFI: Távoli fájlbefoglalás
Szabályazonosító | Leírás |
---|---|
931100 | Lehetséges távoli fájlbefoglalási (RFI) támadás: URL-paraméter IP-címmel |
931110 | Lehetséges távoli fájlbefoglalási (RFI)-támadás: Gyakori RFI sebezhető paraméternév, amelyet w/URL hasznos adatként használnak |
931120 | Lehetséges távoli fájlbefoglalási (RFI) támadás: URL-hasznos adat használt w/záró kérdőjel karakter (?) |
931130 | Lehetséges távoli fájlbefoglalási (RFI-) támadás: tartományon kívüli hivatkozás/hivatkozás |
RCE: Távoli parancsvégrehajtás
Szabályazonosító | Leírás |
---|---|
932100 | Távoli parancsvégrehajtás: Unix-parancsinjektálás |
932105 | Távoli parancsvégrehajtás: Unix-parancsinjektálás |
932110 | Távoli parancsvégrehajtás: Windows parancsinjektálás |
932115 | Távoli parancsvégrehajtás: Windows parancsinjektálás |
932120 | Távoli parancsvégrehajtás: Windows PowerShell-parancs található |
932130 | Távoli parancsvégrehajtás: Unix Shell-kifejezés vagy confluence biztonsági rés (CVE-2022-26134) található |
932140 | Távoli parancsvégrehajtás: Windows FOR/IF parancs található |
932150 | Távoli parancsvégrehajtás: Direct Unix-parancs végrehajtása |
932160 | Távoli parancsvégrehajtás: Unix Shell-kód található |
932170 | Távoli parancsvégrehajtás: Shellshock (CVE-2014-6271) |
932171 | Távoli parancsvégrehajtás: Shellshock (CVE-2014-6271) |
932180 | Korlátozott fájlfeltöltési kísérlet |
PHP-támadások
Szabályazonosító | Leírás |
---|---|
933100 | PHP-injektálási támadás: Megnyíló/záró címke található |
933110 | PHP-injektálási támadás: PHP-szkriptfájl feltöltése található |
933120 | PHP-injektálási támadás: Konfigurációs irányelv található |
933130 | PHP-injektálási támadás: Változók találhatók |
933140 | PHP-injektálási támadás: I/O-stream található |
933150 | PHP-injektálási támadás: Magas kockázatú PHP-függvény neve található |
933151 | PHP-injektálási támadás: Közepes kockázatú PHP-függvény neve található |
933160 | PHP-injektálási támadás: Magas kockázatú PHP-függvényhívás található |
933170 | PHP-injektálási támadás: Szerializált objektuminjektálás |
933180 | PHP-injektálási támadás: Változó függvény hívása található |
933200 | PHP-injektálási támadás: Burkoló séma észlelhető |
933210 | PHP-injektálási támadás: Változó függvény hívása található |
Node JS-támadások
Szabályazonosító | Leírás |
---|---|
934100 | Node.js injektálási támadás |
XSS: Helyek közötti szkriptelés
Szabályazonosító | Leírás |
---|---|
941100 | XSS-támadás észlelése libinjection használatával |
941101 | XSS-támadás észlelése libinjection használatával A szabály fejléccel rendelkező Referer kéréseket észlel |
941110 | XSS-szűrő – 1. kategória: Szkriptcímke-vektor |
941120 | XSS-szűrő – 2. kategória: Eseménykezelő vektor |
941130 | XSS-szűrő – 3. kategória: Attribútumvektor |
941140 | XSS-szűrő – 4. kategória: JavaScript URI-vektor |
941150 | XSS-szűrő – 5. kategória: Letiltott HTML-attribútumok |
941160 | NoScript XSS InjectionChecker: HTML-injektálás |
941170 | NoScript XSS InjectionChecker: Attribútuminjektálás |
941180 | Node-Validator blocklist kulcsszavak |
941190 | XSS stíluslapok használatával |
941200 | XSS VML-keretek használatával |
941210 | XSS obfuscated JavaScript használatával |
941220 | XSS obfuscated VB Script használatával |
941230 | XSS címke használatával embed |
941240 | XSS használata vagy implementation attribútuma import |
941250 | IE XSS-szűrők – Támadás észlelhető |
941260 | XSS címke használatával meta |
941270 | XSS a href használatával link |
941280 | XSS címke használatával base |
941290 | XSS címke használatával applet |
941300 | XSS címke használatával object |
941310 | US-ASCII hibás kódolású XSS-szűrő – Támadás észlelhető |
941320 | Lehetséges XSS-támadás észlelhető – HTML-címkekezelő |
941330 | IE XSS-szűrők – Támadás észlelhető |
941340 | IE XSS-szűrők – Támadás észlelhető |
941350 | UTF-7 kódolási IE XSS – Támadás észlelhető |
941360 | JavaScript-obfuscation észlelve |
941370 | JavaScript globális változó található |
941380 | AngularJS ügyféloldali sabloninjektálás észlelhető |
SQLI: SQL-injektálás
Szabályazonosító | Leírás |
---|---|
942100 | Lib használatával észlelt SQL-injektálási támadás. |
942110 | SQL-injektálási támadás: Gyakori injektálási tesztelés észlelhető. |
942120 | SQL-injektálási támadás: Sql-operátor észlelhető. |
942140 | SQL-injektálási támadás: Gyakori adatbázisnevek észlelhetők. |
942150 | SQL-injektálási támadás. |
942160 | Vak SQLI-teszteket észlel alvó() vagy benchmark() használatával. |
942170 | Észleli az SQL-teljesítménytesztet és az alvásinjektálási kísérleteket, beleértve a feltételes lekérdezéseket is. |
942180 | Észleli a 1/3-as alapszintű SQL-hitelesítési megkerülési kísérleteket. |
942190 | MsSQL-kódvégrehajtási és információgyűjtési kísérleteket észlel. |
942200 | Észleli a MySQL comment-/space-obfuscated injektálását és a backtick leállását. |
942210 | 1/2 láncolt SQL-injektálási kísérleteket észlel. |
942220 | Egész szám túlcsordulási támadásokat keres, ezeket a skipfishből veszik, kivéve a 3.0.00738585072007e-308 a "varázsszám" összeomlását. |
942230 | Észleli a feltételes SQL-injektálási kísérleteket. |
942240 | Észleli a MySQL-karakterkészlet-kapcsolót és az MSSQL DoS-kísérleteket. |
942250 | A MATCH AGAINST, MERGE és EXECUTE IMMEDIATE injektálást észleli. |
942260 | Észleli a 2/3-as alapszintű SQL-hitelesítési megkerülési kísérleteket. |
942270 | Alapszintű SQL-injektálást keres. A MySQL, az Oracle és mások gyakori támadási sztringje. |
942280 | Észleli a Postgres pg_sleep injektálását, a késleltetési támadásokat és az adatbázis-leállítási kísérleteket. |
942290 | Alapszintű MongoDB SQL-injektálási kísérleteket keres. |
942300 | Észleli a MySQL-megjegyzéseket, a feltételeket és a ch(a)r-injektálásokat. |
942310 | 2/2 láncolt SQL-injektálási kísérleteket észlel. |
942320 | Észleli a MySQL- és PostgreSQL-tárolt eljárásokat/függvényinjektálásokat. |
942330 | A klasszikus SQL-injektálási próba 1/2-ét észleli. |
942340 | Észleli a 3/3-as alapszintű SQL-hitelesítési megkerülési kísérleteket. |
942350 | Észleli a MySQL UDF-injektálását és más adat-/struktúramanipulációs kísérleteket. |
942360 | Az összefűzött alapszintű SQL-injektálási és SQLLFI-kísérleteket észleli. |
942361 | Alapszintű SQL-injektálást észlel kulcsszó-módosítás vagy egyesítés alapján. |
942370 | A klasszikus SQL-injektálási 2/2-et észleli. |
942380 | SQL-injektálási támadás. |
942390 | SQL-injektálási támadás. |
942400 | SQL-injektálási támadás. |
942410 | SQL-injektálási támadás. |
942430 | Korlátozott SQL-karakter anomáliadetektálása (args): a speciális karakterek száma túllépve (12). |
942440 | SQL-megjegyzésütemezés észlelhető. |
942450 | Azonosított SQL Hex-kódolás. |
942460 | Metakarakterek anomáliadetektálási riasztása – Ismétlődő, nem word karakterek. |
942470 | SQL-injektálási támadás. |
942480 | SQL-injektálási támadás. |
942500 | A mySQL-ben lévő megjegyzést észlelte. |
942510 | Az SQLi megkerülési kísérlete az észlelt kullancsok vagy backtickek által. |
Munkamenet-javítás
Szabályazonosító | Leírás |
---|---|
943100 | Lehetséges munkamenet-javítási támadás: Cookie-értékek beállítása HTML-ben |
943110 | Lehetséges munkamenet-javítási támadás: SessionID paraméternév tartományon kívüli hivatkozóval |
943120 | Lehetséges munkamenet-javítási támadás: SessionID paraméter neve hivatkozó nélkül |
Java-támadások
Szabályazonosító | Leírás |
---|---|
944100 | Távoli parancsvégrehajtás: Apache Struts, Oracle WebLogic |
944110 | Észleli a hasznos adatok lehetséges végrehajtását |
944120 | Lehetséges hasznos adatok végrehajtása és távoli parancsvégrehajtás |
944130 | Gyanús Java-osztályok |
944200 | A Java deszerializálási Apache Commons kiaknázása |
944210 | Java-szerializálás lehetséges használata |
944240 | Távoli parancsvégrehajtás: Java-szerializálás és Log4j biztonsági rés (CVE-2021-44228, CVE-2021-45046) |
944250 | Távoli parancsvégrehajtás: Gyanús Java-metódus észlelhető |
MS-ThreatIntel-WebShells
Szabályazonosító | Leírás |
---|---|
99005002 | Webes rendszerhéj-interakciós kísérlet (POST) |
99005003 | Web Shell feltöltési kísérlet (POST) - CHOPPER PHP |
99005004 | Web Shell feltöltési kísérlet (POST) – CHOPPER ASPX |
99005005 | Webes rendszerhéj-interakciós kísérlet |
99005006 | Spring4Shell-interakciós kísérlet |
MS-ThreatIntel-AppSec
Szabályazonosító | Leírás |
---|---|
99030001 | Path Traversal Evasion in Headers (/.. /./.. /) |
99030002 | Path Traversal Evasion in Request Body (/.. /./.. /) |
MS-ThreatIntel-SQLI
Szabályazonosító | Leírás |
---|---|
99031001 | SQL-injektálási támadás: Gyakori injektálási tesztelés észlelhető |
99031002 | SQL-megjegyzésütemezés észlelhető |
99031003 | SQL-injektálási támadás |
99031004 | Észleli az alapszintű SQL-hitelesítési megkerülési kísérleteket 2/3 |
MS-ThreatIntel-CVEs
Szabályazonosító | Leírás |
---|---|
99001001 | F5 tmui (CVE-2020-5902) REST API-kihasználás ismert hitelesítő adatokkal |
99001002 | Citrix-NSC_USER könyvtárbejárási kísérlet CVE-2019-19781 |
99001003 | A CVE-2019-3396 atlassian confluence widget-összekötőjének kísérlete |
99001004 | A Pulse Secure egyéni sablon kihasználása CVE-2020-8243 |
99001005 | SharePoint-típuskonverter-hasznosítási kísérlet CVE-2020-0932 |
99001006 | Pulse Connect-könyvtár bejárása CVE-2019-11510 |
99001007 | A Junos OS J-Web helyi fájlbefoglalási kísérlete CVE-2020-1631 |
99001008 | Megkísérelt Fortinet-útvonal bejárása CVE-2018-13379 |
99001009 | Apache struts ognl injektálás CVE-2017-5638 |
99001010 | Apache struts ognl injekció CVE-2017-12611 |
99001011 | Az Oracle WebLogic elérési útja CVE-2020-14882 bejárása |
99001012 | Kísérlet a Telerik WebUI nem biztonságos deszerializálási hasznosítására CVE-2019-18935 |
99001013 | Kísérlet a SharePoint nem biztonságos XML-deszerializálására CVE-2019-0604 |
99001014 | A Spring Cloud útválasztási kifejezésének CVE-2022-22963-as injektálása |
99001015 | A Spring Framework nem biztonságos osztályobjektum-kihasználása CVE-2022-22965 |
99001016 | A Spring Cloud Gateway Actuator injektálása CVE-2022-22947 |
99001017 | Apache Struts-fájlfeltöltési kísérlet CVE-2023-50164 |
Feljegyzés
A WAF naplóinak áttekintésekor a 949110-s szabályazonosító jelenhet meg. A szabály leírása tartalmazhat túllépett bejövő anomáliadetektációt.
Ez a szabály azt jelzi, hogy a kérelem összes rendellenességi pontszáma túllépte a maximális megengedett pontszámot. További információ: Anomália pontozása.
A WAF-szabályzatok finomhangolásakor meg kell vizsgálnia a kérés által aktivált többi szabályt, hogy módosíthassa a WAF konfigurációját. További információ: Az Azure Web Application Firewall hangolása az Azure Front Doorhoz.
Következő lépések
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: