A Web Application Firewall DRS-szabálycsoportjai és szabályai
Az Azure Web Application Firewall az Azure Front Dooron védi a webalkalmazásokat a gyakori biztonsági résektől és biztonsági résektől. Az Azure által felügyelt szabálykészletek egyszerű módot nyújtanak a gyakori biztonsági fenyegetések elleni védelem üzembe helyezésére. Mivel az Azure kezeli ezeket a szabálykészleteket, a szabályok szükség szerint frissülnek az új támadási aláírások elleni védelem érdekében.
Az alapértelmezett szabálykészlet (DRS) tartalmazza a Microsoft Threat Intelligence Collection-szabályokat is, amelyek a Microsoft Intelligence csapatával együttműködve lettek megírva, hogy nagyobb lefedettséget, adott biztonsági rések javítását és jobb hamis pozitív csökkentést biztosítsanak.
Alapértelmezett szabálykészletek
Az Azure által felügyelt DRS a következő fenyegetéskategóriákra vonatkozó szabályokat tartalmaz:
- Webhelyek közötti, szkriptalapú támadás
- Java-támadások
- Helyi fájlbefoglalás
- PHP-injektálási támadások
- Távoli parancsvégrehajtás
- Távolifájl-beszúrás
- Munkamenet-javítás
- SQL-injektálás elleni védelem
- Protokoll támadói
A DRS verziószáma növekszik, amikor új támadási aláírásokat ad hozzá a szabálykészlethez.
A DRS alapértelmezés szerint engedélyezve van észlelési módban a WAF-szabályzatokban. Az alkalmazás követelményeinek való megfelelés érdekében letilthatja vagy engedélyezheti az egyes szabályokat a DRS-ben. Szabályonként meghatározott műveleteket is beállíthat. Az elérhető műveletek az Engedélyezés, a Letiltás, a Napló és az Átirányítás.
Előfordulhat, hogy bizonyos kérésattribútumokat ki kell hagynia egy webalkalmazási tűzfal (WAF) kiértékeléséből. Gyakori példa a hitelesítéshez használt Active Directory-beszúrt jogkivonatok. Konfigurálhat egy kizárási listát egy felügyelt szabályhoz, egy szabálycsoporthoz vagy a teljes szabálykészlethez. További információ: Azure Web Application Firewall az Azure Front Door kizárási listáin.
Alapértelmezés szerint a DRS 2.0-s és újabb verziói anomáliadekontingetinget használnak, ha egy kérés megfelel egy szabálynak. A 2.0-nál korábbi DRS-verziók blokkolják a szabályokat aktiváló kéréseket. Emellett az egyéni szabályok ugyanabban a WAF-házirendben is konfigurálhatók, ha meg szeretné kerülni a DRS előre konfigurált szabályainak bármelyikét.
A DRS-ben lévő szabályok kiértékelése előtt mindig egyéni szabályok lesznek alkalmazva. Ha egy kérelem egyezik egy egyéni szabálysal, a rendszer alkalmazza a megfelelő szabályműveletet. A kérés le van tiltva, vagy a háttérbe kerül. Nincs más egyéni szabály vagy a DRS szabályainak feldolgozása. A DRS-t a WAF-szabályzatokból is eltávolíthatja.
Microsoft Threat Intelligence Collection-szabályok
A Microsoft Threat Intelligence Collection szabályai a Microsoft Threat Intelligence csapatával együttműködve vannak megírva, hogy nagyobb lefedettséget, adott biztonsági rések javítását és jobb hamis pozitív csökkentést biztosítsanak.
Alapértelmezés szerint a Microsoft Threat Intelligence Collection szabályai lecserélnek néhány beépített DRS-szabályt, ami miatt le vannak tiltva. Például a 942440-ben észlelt SQL-megjegyzésütemezés szabálya le lett tiltva, és a Microsoft Threat Intelligence Collection szabály 99031002 váltotta fel. A lecserélt szabály csökkenti a hamis pozitív észlelések kockázatát a jogos kérelmekből.
Anomáliák pontozása
A DRS 2.0-s vagy újabb verziójának használatakor a WAF anomáliadetációt használ. A szabálynak megfelelő forgalom nem lesz azonnal blokkolva, még akkor sem, ha a WAF megelőzési módban van. Ehelyett az OWASP-szabálykészletek minden szabályhoz definiálnak súlyosságot: Kritikus, Hiba, Figyelmeztetés vagy Figyelmeztetés. A súlyosság hatással van a kérelem numerikus értékére, amelyet anomáliának nevezünk. Ha egy kérelem 5 vagy annál nagyobb anomáliapontot halmoz fel, a WAF végrehajtja a műveletet a kérésen.
| Szabály súlyossága | Az anomáliához hozzájárult érték |
|---|---|
| Kritikus | 5 |
| Hiba | 4 |
| Figyelmeztetés | 3 |
| Értesítés | 2 |
A WAF konfigurálásakor eldöntheti, hogy a WAF hogyan kezeli az 5-ös anomáliapont-küszöbértéket meghaladó kérelmeket. A három anomáliapont-művelet a Blokkolás, a Napló vagy az Átirányítás. A konfiguráció időpontjában kiválasztott anomáliadetektált pontszám művelet minden olyan kérelemre érvényes, amely túllépi az anomáliadetektált pontszám küszöbértékét.
Ha például az anomália pontszáma 5 vagy annál nagyobb egy kérelemnél, és a WAF megelőzési módban van, és az anomáliapont-művelet Blokk értékre van állítva, a kérés le lesz tiltva. Ha egy kérelem anomáliadetektálási pontszáma 5 vagy annál nagyobb, és a WAF észlelési módban van, a rendszer naplózza a kérést, de nem tiltja le.
Egyetlen kritikus szabályegyeztetés elegendő ahhoz, hogy a WAF blokkoljon egy kérést, ha megelőzési módban az anomáliapont-művelet blokkra van állítva, mert az összesített anomáliadetikus pontszám 5. Egy figyelmeztetési szabály egyezése azonban csak 3-tal növeli az anomáliapontot, ami önmagában nem elegendő a forgalom blokkolásához. Az anomáliaszabály aktiválásakor egy "egyeztetett" műveletet jelenít meg a naplókban. Ha az anomália pontszáma 5 vagy annál nagyobb, a rendszer egy külön szabályt aktivál a szabálykészlethez konfigurált anomáliapont-művelettel. Az alapértelmezett anomáliapont-művelet a Blokk, amely egy naplóbejegyzést eredményez a művelettel blocked.
Ha a WAF az alapértelmezett szabálykészlet régebbi verzióját használja (a DRS 2.0 előtt), a WAF hagyományos módban fut. A szabálynak megfelelő forgalom minden más szabály-egyezéstől függetlenül tekinthető. Hagyományos módban nem ismerheti meg az adott kérések által egyező szabályok teljes készletét.
Az ön által használt DRS-verzió azt is meghatározza, hogy mely tartalomtípusok támogatottak a kérelemtörzs vizsgálatához. További információ: Milyen tartalomtípusokat támogat a WAF? a gyakori kérdések között.
DRS 2.1
A DRS 2.1-szabályok jobb védelmet nyújtanak, mint a DRS korábbi verziói. Ez magában foglalja a Microsoft Threat Intelligence csapata által kifejlesztett egyéb szabályokat, valamint az aláírások frissítését a hamis pozitív értékek csökkentése érdekében. Emellett az URL-dekódoláson túl az átalakításokat is támogatja.
A DRS 2.1 17 szabálycsoportot tartalmaz az alábbi táblázatban látható módon. Minden csoport több szabályt tartalmaz, és testre szabhatja az egyes szabályok, szabálycsoportok vagy egy teljes szabálykészlet viselkedését. További információ: Tuning Web Application Firewall (WAF) for Azure Front Door.
Feljegyzés
A DRS 2.1 csak az Azure Front Door Premiumban érhető el.
| Szabálycsoport | Felügyelt szabálycsoport azonosítója | Leírás |
|---|---|---|
| Általános | Általános | Általános csoport |
| METÓDUS-KÉNYSZERÍTÉS | METÓDUS-KÉNYSZERÍTÉS | Zárolási módszerek (PUT, PATCH) |
| PROTOKOLL-KÉNYSZERÍTÉS | PROTOKOLL-KÉNYSZERÍTÉS | Védelem protokoll- és kódolási problémák ellen |
| PROTOKOLL-TÁMADÁS | PROTOKOLL-TÁMADÁS | Védelem a fejlécinjektálás, a csempészet és a válasz felosztása ellen |
| APPLICATION-ATTACK-LFI | LFI | Védelem fájl- és elérésiút-támadások ellen |
| APPLICATION-ATTACK-RFI | RFI | Védelem a távoli fájlbefoglalási (RFI) támadások ellen |
| APPLICATION-ATTACK-RCE | RCE | A távoli kódvégrehajtási támadások ismételt védelme |
| APPLICATION-ATTACK-PHP | PHP | Védelem a PHP-injektálási támadások ellen |
| APPLICATION-ATTACK-NodeJS | NODEJS | Védelem a Node JS-támadások ellen |
| APPLICATION-ATTACK-XSS | XSS | Védelem a helyek közötti szkriptelési támadások ellen |
| APPLICATION-ATTACK-SQLI | SQLI | Védelem az SQL-injektálási támadások ellen |
| APPLICATION-ATTACK-Standard kiadás SSION-FIXATION | FIX | Védelem a munkamenet-rögzítési támadások ellen |
| APPLICATION-ATTACK-Standard kiadás SSION-JAVA | JAVA | Védelem JAVA-támadások ellen |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Védelem a webes rendszerhéj-támadások ellen |
| MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | Védelem az AppSec-támadások ellen |
| MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | Védelem az SQLI-támadások ellen |
| MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Védelem a CVE-támadások ellen |
Letiltott szabályok
A DRS 2.1 esetében alapértelmezés szerint az alábbi szabályok vannak letiltva.
| Szabályazonosító | Szabálycsoport | Leírás | Részletek |
|---|---|---|---|
| 942110 | SQLI | SQL-injektálási támadás: Gyakori injektálási tesztelés észlelhető | Az MSTIC-szabály helyébe 99031001 |
| 942150 | SQLI | SQL-injektálási támadás | Az MSTIC-szabály helyébe 99031003 |
| 942260 | SQLI | Észleli az alapszintű SQL-hitelesítési megkerülési kísérleteket 2/3 | Az MSTIC-szabály helyébe 99031004 |
| 942430 | SQLI | Korlátozott SQL-karakter anomáliadetektálása (args): a speciális karakterek száma túllépve (12) | Túl sok hamis pozitív |
| 942440 | SQLI | SQL-megjegyzésütemezés észlelhető | MsTIC-szabály 99031002 |
| 99005006 | MS-ThreatIntel-WebShells | Spring4Shell-interakciós kísérlet | Szabály engedélyezése a SpringShell biztonsági résének megelőzéséhez |
| 99001014 | MS-ThreatIntel-CVEs | A Spring Cloud útválasztási kifejezésének CVE-2022-22963-as injektálása | Szabály engedélyezése a SpringShell biztonsági résének megelőzéséhez |
| 99001015 | MS-ThreatIntel-WebShells | A Spring Framework nem biztonságos osztályobjektum-kihasználása CVE-2022-22965 | Szabály engedélyezése a SpringShell biztonsági résének megelőzéséhez |
| 99001016 | MS-ThreatIntel-WebShells | A Spring Cloud Gateway Actuator injektálása CVE-2022-22947 | Szabály engedélyezése a SpringShell biztonsági résének megelőzéséhez |
| 99001017 | MS-ThreatIntel-CVEs | Megkísérelt Apache Struts-fájlfeltöltési CVE-2023-50164. | Szabály engedélyezése az Apache Struts biztonsági résének megelőzéséhez |
DRS 2.0
A DRS 2.0-szabályok jobb védelmet nyújtanak, mint a DRS korábbi verziói. A DRS 2.0 az URL-dekódoláson túl az átalakításokat is támogatja.
A DRS 2.0 17 szabálycsoportot tartalmaz az alábbi táblázatban látható módon. Minden csoport több szabályt tartalmaz. Az egyes szabályokat és a teljes szabálycsoportokat letilthatja.
Feljegyzés
A DRS 2.0 csak az Azure Front Door Premiumban érhető el.
| Szabálycsoport | Felügyelt szabálycsoport azonosítója | Leírás |
|---|---|---|
| Általános | Általános | Általános csoport |
| METÓDUS-KÉNYSZERÍTÉS | METÓDUS-KÉNYSZERÍTÉS | Zárolási módszerek (PUT, PATCH) |
| PROTOKOLL-KÉNYSZERÍTÉS | PROTOKOLL-KÉNYSZERÍTÉS | Védelem protokoll- és kódolási problémák ellen |
| PROTOKOLL-TÁMADÁS | PROTOKOLL-TÁMADÁS | Védelem a fejlécinjektálás, a csempészet és a válasz felosztása ellen |
| APPLICATION-ATTACK-LFI | LFI | Védelem fájl- és elérésiút-támadások ellen |
| APPLICATION-ATTACK-RFI | RFI | Védelem a távoli fájlbefoglalási (RFI) támadások ellen |
| APPLICATION-ATTACK-RCE | RCE | A távoli kódvégrehajtási támadások ismételt védelme |
| APPLICATION-ATTACK-PHP | PHP | Védelem a PHP-injektálási támadások ellen |
| APPLICATION-ATTACK-NodeJS | NODEJS | Védelem a Node JS-támadások ellen |
| APPLICATION-ATTACK-XSS | XSS | Védelem a helyek közötti szkriptelési támadások ellen |
| APPLICATION-ATTACK-SQLI | SQLI | Védelem az SQL-injektálási támadások ellen |
| APPLICATION-ATTACK-Standard kiadás SSION-FIXATION | FIX | Védelem a munkamenet-rögzítési támadások ellen |
| APPLICATION-ATTACK-Standard kiadás SSION-JAVA | JAVA | Védelem JAVA-támadások ellen |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Védelem a webes rendszerhéj-támadások ellen |
| MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | Védelem az AppSec-támadások ellen |
| MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | Védelem az SQLI-támadások ellen |
| MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Védelem a CVE-támadások ellen |
DRS 1.1
| Szabálycsoport | Felügyelt szabálycsoport azonosítója | Leírás |
|---|---|---|
| PROTOKOLL-TÁMADÁS | PROTOKOLL-TÁMADÁS | Védelem a fejlécinjektálás, a csempészet és a válasz felosztása ellen |
| APPLICATION-ATTACK-LFI | LFI | Védelem fájl- és elérésiút-támadások ellen |
| APPLICATION-ATTACK-RFI | RFI | Védelem a távoli fájlbefoglalási támadások ellen |
| APPLICATION-ATTACK-RCE | RCE | Távoli parancsvégrehajtás elleni védelem |
| APPLICATION-ATTACK-PHP | PHP | Védelem a PHP-injektálási támadások ellen |
| APPLICATION-ATTACK-XSS | XSS | Védelem a helyek közötti szkriptelési támadások ellen |
| APPLICATION-ATTACK-SQLI | SQLI | Védelem az SQL-injektálási támadások ellen |
| APPLICATION-ATTACK-Standard kiadás SSION-FIXATION | FIX | Védelem a munkamenet-rögzítési támadások ellen |
| APPLICATION-ATTACK-Standard kiadás SSION-JAVA | JAVA | Védelem JAVA-támadások ellen |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Védelem a webes rendszerhéj-támadások ellen |
| MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | Védelem az AppSec-támadások ellen |
| MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | Védelem az SQLI-támadások ellen |
| MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Védelem a CVE-támadások ellen |
DRS 1.0
| Szabálycsoport | Felügyelt szabálycsoport azonosítója | Leírás |
|---|---|---|
| PROTOKOLL-TÁMADÁS | PROTOKOLL-TÁMADÁS | Védelem a fejlécinjektálás, a csempészet és a válasz felosztása ellen |
| APPLICATION-ATTACK-LFI | LFI | Védelem fájl- és elérésiút-támadások ellen |
| APPLICATION-ATTACK-RFI | RFI | Védelem a távoli fájlbefoglalási támadások ellen |
| APPLICATION-ATTACK-RCE | RCE | Távoli parancsvégrehajtás elleni védelem |
| APPLICATION-ATTACK-PHP | PHP | Védelem a PHP-injektálási támadások ellen |
| APPLICATION-ATTACK-XSS | XSS | Védelem a helyek közötti szkriptelési támadások ellen |
| APPLICATION-ATTACK-SQLI | SQLI | Védelem az SQL-injektálási támadások ellen |
| APPLICATION-ATTACK-Standard kiadás SSION-FIXATION | FIX | Védelem a munkamenet-rögzítési támadások ellen |
| APPLICATION-ATTACK-Standard kiadás SSION-JAVA | JAVA | Védelem JAVA-támadások ellen |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Védelem a webes rendszerhéj-támadások ellen |
| MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Védelem a CVE-támadások ellen |
Robotszabályok
| Szabálycsoport | Leírás |
|---|---|
| BadBots | Védelem a rossz robotok ellen |
| GoodBots | A jó robotok azonosítása |
| UnknownBots | Ismeretlen robotok azonosítása |
A következő szabálycsoportok és szabályok érhetők el az Azure Web Application Firewall Azure Front Dooron való használatakor.
2.1 szabálykészletek
Általános
| Szabályazonosító | Leírás |
|---|---|
| 200002 | Nem sikerült elemezni a kérelem törzsét |
| 200003 | A többrészes kérelem törzse nem tudott szigorú ellenőrzést végrehajtani |
Metódus kényszerítése
| Szabályazonosító | Leírás |
|---|---|
| 911100 | A szabályzat nem engedélyezi a metódust |
Protokoll kényszerítése
| Szabályazonosító | Leírás |
|---|---|
| 920100 | Érvénytelen HTTP-kérelemsor. |
| 920120 | Többrészes/űrlapadat-megkerülési kísérlet. |
| 920121 | Többrészes/űrlapadat-megkerülési kísérlet. |
| 920160 | A Content-Length HTTP-fejléc nem numerikus. |
| 920170 | GET vagy HEAD kérés törzstartalommal. |
| 920171 | GET vagy HEAD kérés átvitelkódolással. |
| 920180 | POST-kérelem hiányzó tartalomhosszúságú fejléc. |
| 920181 | A tartalomhosszúságú és átviteli kódolású fejlécek 99001003 jelenik meg. |
| 920190 | Tartomány: Érvénytelen utolsó bájtérték. |
| 920200 | Tartomány: Túl sok mező (6 vagy több). |
| 920201 | Tartomány: Túl sok mező a pdf-kérelemhez (35 vagy több). |
| 920210 | Több/ütköző Csatlakozás ion fejlécadatok találhatók. |
| 920220 | URL-kódolási visszaéléses támadási kísérlet. |
| 920230 | Több URL-kódolás észlelhető. |
| 920240 | URL-kódolási visszaéléses támadási kísérlet. |
| 920260 | Unicode teljes/félszélességű visszaélés támadási kísérlet. |
| 920270 | Érvénytelen karakter a kérelemben (null karakter). |
| 920271 | Érvénytelen karakter a kérelemben (nem nyomtatható karakterek). |
| 920280 | A kérelemben hiányzik egy gazdagépfejléc. |
| 920290 | Üres gazdagépfejléc. |
| 920300 | A kérelemben hiányzik egy elfogadási fejléc. |
| 920310 | A kérelem üres elfogadási fejléccel rendelkezik. |
| 920311 | A kérelem üres elfogadási fejléccel rendelkezik. |
| 920320 | Hiányzik a felhasználói ügynök fejléce. |
| 920330 | Üres felhasználói ügynök fejléce. |
| 920340 | Tartalommal kapcsolatos kérés, de hiányzik a tartalomtípus fejléce. |
| 920341 | A tartalmat tartalmazó kérelemhez Tartalomtípus fejléc szükséges. |
| 920350 | A gazdagépfejléc egy numerikus IP-cím. |
| 920420 | A szabályzat nem engedélyezi a kérelem tartalomtípusát. |
| 920430 | A SZABÁLYZAT nem engedélyezi a HTTP protokoll verzióját. |
| 920440 | Az URL-fájlkiterjesztést szabályzat korlátozza. |
| 920450 | A HTTP-fejlécet szabályzat korlátozza. |
| 920470 | Érvénytelen tartalomtípus fejléce. |
| 920480 | A szabályzat nem engedélyezi a kérelem tartalomtípus-karakterkészletét. |
| 920500 | Próbáljon meg hozzáférni egy biztonsági másolathoz vagy egy működő fájlhoz. |
Protokollos támadás
| Szabályazonosító | Leírás |
|---|---|
| 921110 | HTTP-kérések csempészeti támadása |
| 921120 | HTTP-válasz felosztási támadása |
| 921130 | HTTP-válasz felosztási támadása |
| 921140 | HTTP-fejlécinjektálási támadás fejléceken keresztül |
| 921150 | HTTP-fejlécinjektálási támadás hasznos adatokkal (CR/LF észlelve) |
| 921151 | HTTP-fejlécinjektálási támadás hasznos adatokkal (CR/LF észlelve) |
| 921160 | HTTP-fejlécinjektálási támadás hasznos adatokon keresztül (CR/LF és fejlécnév észlelhető) |
| 921190 | HTTP-felosztás (CR/LF a kérelemfájlnév észlelésekor) |
| 921200 | LDAP-injektálási támadás |
LFI: Helyi fájlbefoglalás
| Szabályazonosító | Leírás |
|---|---|
| 930100 | Path Traversal Attack (/.. /) |
| 930110 | Path Traversal Attack (/.. /) |
| 930120 | Operációsrendszer-fájlelérési kísérlet |
| 930130 | Korlátozott fájlelérési kísérlet |
RFI: Távoli fájlbefoglalás
| Szabályazonosító | Leírás |
|---|---|
| 931100 | Lehetséges távoli fájlbefoglalási (RFI) támadás: URL-paraméter IP-címmel |
| 931110 | Lehetséges távoli fájlbefoglalási (RFI)-támadás: Gyakori RFI sebezhető paraméternév, amelyet w/URL hasznos adatként használnak |
| 931120 | Lehetséges távoli fájlbefoglalási (RFI) támadás: URL-hasznos adat használt w/záró kérdőjel karakter (?) |
| 931130 | Lehetséges távoli fájlbefoglalási (RFI-) támadás: tartományon kívüli hivatkozás/hivatkozás |
RCE: Távoli parancsvégrehajtás
| Szabályazonosító | Leírás |
|---|---|
| 932100 | Távoli parancsvégrehajtás: Unix-parancsinjektálás |
| 932105 | Távoli parancsvégrehajtás: Unix-parancsinjektálás |
| 932110 | Távoli parancsvégrehajtás: Windows parancsinjektálás |
| 932115 | Távoli parancsvégrehajtás: Windows parancsinjektálás |
| 932120 | Távoli parancsvégrehajtás: Windows PowerShell-parancs található |
| 932130 | Távoli parancsvégrehajtás: Unix Shell-kifejezés vagy confluence biztonsági rés (CVE-2022-26134) található |
| 932140 | Távoli parancsvégrehajtás: Windows FOR/IF parancs található |
| 932150 | Távoli parancsvégrehajtás: Direct Unix-parancs végrehajtása |
| 932160 | Távoli parancsvégrehajtás: Unix Shell-kód található |
| 932170 | Távoli parancsvégrehajtás: Shellshock (CVE-2014-6271) |
| 932171 | Távoli parancsvégrehajtás: Shellshock (CVE-2014-6271) |
| 932180 | Korlátozott fájlfeltöltési kísérlet |
PHP-támadások
| Szabályazonosító | Leírás |
|---|---|
| 933100 | PHP-injektálási támadás: Megnyíló/záró címke található |
| 933110 | PHP-injektálási támadás: PHP-szkriptfájl feltöltése található |
| 933120 | PHP-injektálási támadás: Konfigurációs irányelv található |
| 933130 | PHP-injektálási támadás: Változók találhatók |
| 933140 | PHP-injektálási támadás: I/O-stream található |
| 933150 | PHP-injektálási támadás: Magas kockázatú PHP-függvény neve található |
| 933151 | PHP-injektálási támadás: Közepes kockázatú PHP-függvény neve található |
| 933160 | PHP-injektálási támadás: Magas kockázatú PHP-függvényhívás található |
| 933170 | PHP-injektálási támadás: Szerializált objektuminjektálás |
| 933180 | PHP-injektálási támadás: Változó függvény hívása található |
| 933200 | PHP-injektálási támadás: Burkoló séma észlelhető |
| 933210 | PHP-injektálási támadás: Változó függvény hívása található |
Node JS-támadások
| Szabályazonosító | Leírás |
|---|---|
| 934100 | Node.js injektálási támadás |
XSS: Helyek közötti szkriptelés
| Szabályazonosító | Leírás |
|---|---|
| 941100 | XSS-támadás észlelése libinjection használatával |
| 941101 | XSS-támadás észlelése libinjection használatával A szabály fejléccel rendelkező Referer kéréseket észlel |
| 941110 | XSS-szűrő – 1. kategória: Szkriptcímke-vektor |
| 941120 | XSS-szűrő – 2. kategória: Eseménykezelő vektor |
| 941130 | XSS-szűrő – 3. kategória: Attribútumvektor |
| 941140 | XSS-szűrő – 4. kategória: JavaScript URI-vektor |
| 941150 | XSS-szűrő – 5. kategória: Letiltott HTML-attribútumok |
| 941160 | NoScript XSS InjectionChecker: HTML-injektálás |
| 941170 | NoScript XSS InjectionChecker: Attribútuminjektálás |
| 941180 | Node-Validator blocklist kulcsszavak |
| 941190 | XSS stíluslapok használatával |
| 941200 | XSS VML-keretek használatával |
| 941210 | XSS obfuscated JavaScript használatával |
| 941220 | XSS obfuscated VB Script használatával |
| 941230 | XSS címke használatával embed |
| 941240 | XSS használata vagy implementation attribútuma import |
| 941250 | IE XSS-szűrők – Támadás észlelhető |
| 941260 | XSS címke használatával meta |
| 941270 | XSS a href használatával link |
| 941280 | XSS címke használatával base |
| 941290 | XSS címke használatával applet |
| 941300 | XSS címke használatával object |
| 941310 | US-ASCII hibás kódolású XSS-szűrő – Támadás észlelhető |
| 941320 | Lehetséges XSS-támadás észlelhető – HTML-címkekezelő |
| 941330 | IE XSS-szűrők – Támadás észlelhető |
| 941340 | IE XSS-szűrők – Támadás észlelhető |
| 941350 | UTF-7 kódolási IE XSS – Támadás észlelhető |
| 941360 | JavaScript-obfuscation észlelve |
| 941370 | JavaScript globális változó található |
| 941380 | AngularJS ügyféloldali sabloninjektálás észlelhető |
SQLI: SQL-injektálás
| Szabályazonosító | Leírás |
|---|---|
| 942100 | Lib használatával észlelt SQL-injektálási támadás. |
| 942110 | SQL-injektálási támadás: Gyakori injektálási tesztelés észlelhető. |
| 942120 | SQL-injektálási támadás: Sql-operátor észlelhető. |
| 942140 | SQL-injektálási támadás: Gyakori adatbázisnevek észlelhetők. |
| 942150 | SQL-injektálási támadás. |
| 942160 | Vak SQLI-teszteket észlel alvó() vagy benchmark() használatával. |
| 942170 | Észleli az SQL-teljesítménytesztet és az alvásinjektálási kísérleteket, beleértve a feltételes lekérdezéseket is. |
| 942180 | Észleli a 1/3-as alapszintű SQL-hitelesítési megkerülési kísérleteket. |
| 942190 | MsSQL-kódvégrehajtási és információgyűjtési kísérleteket észlel. |
| 942200 | Észleli a MySQL comment-/space-obfuscated injektálását és a backtick leállását. |
| 942210 | 1/2 láncolt SQL-injektálási kísérleteket észlel. |
| 942220 | Egész szám túlcsordulási támadásokat keres, ezeket a skipfishből veszik, kivéve a 3.0.00738585072007e-308 a "varázsszám" összeomlását. |
| 942230 | Észleli a feltételes SQL-injektálási kísérleteket. |
| 942240 | Észleli a MySQL-karakterkészlet-kapcsolót és az MSSQL DoS-kísérleteket. |
| 942250 | A MATCH AGAINST, MERGE és EXECUTE IMMEDIATE injektálást észleli. |
| 942260 | Észleli a 2/3-as alapszintű SQL-hitelesítési megkerülési kísérleteket. |
| 942270 | Alapszintű SQL-injektálást keres. A MySQL, az Oracle és mások gyakori támadási sztringje. |
| 942280 | Észleli a Postgres pg_sleep injektálását, a késleltetési támadásokat és az adatbázis-leállítási kísérleteket. |
| 942290 | Alapszintű MongoDB SQL-injektálási kísérleteket keres. |
| 942300 | Észleli a MySQL-megjegyzéseket, a feltételeket és a ch(a)r-injektálásokat. |
| 942310 | 2/2 láncolt SQL-injektálási kísérleteket észlel. |
| 942320 | Észleli a MySQL- és PostgreSQL-tárolt eljárásokat/függvényinjektálásokat. |
| 942330 | A klasszikus SQL-injektálási próba 1/2-ét észleli. |
| 942340 | Észleli a 3/3-as alapszintű SQL-hitelesítési megkerülési kísérleteket. |
| 942350 | Észleli a MySQL UDF-injektálását és más adat-/struktúramanipulációs kísérleteket. |
| 942360 | Az összefűzött alapszintű SQL-injektálási és SQLLFI-kísérleteket észleli. |
| 942361 | Alapszintű SQL-injektálást észlel kulcsszó-módosítás vagy egyesítés alapján. |
| 942370 | A klasszikus SQL-injektálási 2/2-et észleli. |
| 942380 | SQL-injektálási támadás. |
| 942390 | SQL-injektálási támadás. |
| 942400 | SQL-injektálási támadás. |
| 942410 | SQL-injektálási támadás. |
| 942430 | Korlátozott SQL-karakter anomáliadetektálása (args): a speciális karakterek száma túllépve (12). |
| 942440 | SQL-megjegyzésütemezés észlelhető. |
| 942450 | Azonosított SQL Hex-kódolás. |
| 942460 | Metakarakterek anomáliadetektálási riasztása – Ismétlődő, nem word karakterek. |
| 942470 | SQL-injektálási támadás. |
| 942480 | SQL-injektálási támadás. |
| 942500 | A mySQL-ben lévő megjegyzést észlelte. |
| 942510 | Az SQLi megkerülési kísérlete az észlelt kullancsok vagy backtickek által. |
Munkamenet-javítás
| Szabályazonosító | Leírás |
|---|---|
| 943100 | Lehetséges munkamenet-javítási támadás: Cookie-értékek beállítása HTML-ben |
| 943110 | Lehetséges munkamenet-javítási támadás: SessionID paraméternév tartományon kívüli hivatkozóval |
| 943120 | Lehetséges munkamenet-javítási támadás: SessionID paraméter neve hivatkozó nélkül |
Java-támadások
| Szabályazonosító | Leírás |
|---|---|
| 944100 | Távoli parancsvégrehajtás: Apache Struts, Oracle WebLogic |
| 944110 | Észleli a hasznos adatok lehetséges végrehajtását |
| 944120 | Lehetséges hasznos adatok végrehajtása és távoli parancsvégrehajtás |
| 944130 | Gyanús Java-osztályok |
| 944200 | A Java deszerializálási Apache Commons kiaknázása |
| 944210 | Java-szerializálás lehetséges használata |
| 944240 | Távoli parancsvégrehajtás: Java-szerializálás és Log4j biztonsági rés (CVE-2021-44228, CVE-2021-45046) |
| 944250 | Távoli parancsvégrehajtás: Gyanús Java-metódus észlelhető |
MS-ThreatIntel-WebShells
| Szabályazonosító | Leírás |
|---|---|
| 99005002 | Webes rendszerhéj-interakciós kísérlet (POST) |
| 99005003 | Web Shell feltöltési kísérlet (POST) - CHOPPER PHP |
| 99005004 | Web Shell feltöltési kísérlet (POST) – CHOPPER ASPX |
| 99005005 | Webes rendszerhéj-interakciós kísérlet |
| 99005006 | Spring4Shell-interakciós kísérlet |
MS-ThreatIntel-AppSec
| Szabályazonosító | Leírás |
|---|---|
| 99030001 | Path Traversal Evasion in Headers (/.. /./.. /) |
| 99030002 | Path Traversal Evasion in Request Body (/.. /./.. /) |
MS-ThreatIntel-SQLI
| Szabályazonosító | Leírás |
|---|---|
| 99031001 | SQL-injektálási támadás: Gyakori injektálási tesztelés észlelhető |
| 99031002 | SQL-megjegyzésütemezés észlelhető |
| 99031003 | SQL-injektálási támadás |
| 99031004 | Észleli az alapszintű SQL-hitelesítési megkerülési kísérleteket 2/3 |
MS-ThreatIntel-CVEs
| Szabályazonosító | Leírás |
|---|---|
| 99001001 | F5 tmui (CVE-2020-5902) REST API-kihasználás ismert hitelesítő adatokkal |
| 99001002 | Citrix-NSC_U Standard kiadás R könyvtárbejárási kísérlet CVE-2019-19781 |
| 99001003 | A CVE-2019-3396 atlassian confluence widget Csatlakozás or kihasználása |
| 99001004 | A Pulse Secure egyéni sablon kihasználása CVE-2020-8243 |
| 99001005 | SharePoint-típuskonverter-hasznosítási kísérlet CVE-2020-0932 |
| 99001006 | Pulse-kísérlet Csatlakozás könyvtár bejárása CVE-2019-11510 |
| 99001007 | A Junos OS J-Web helyi fájlbefoglalási kísérlete CVE-2020-1631 |
| 99001008 | Megkísérelt Fortinet-útvonal bejárása CVE-2018-13379 |
| 99001009 | Apache struts ognl injektálás CVE-2017-5638 |
| 99001010 | Apache struts ognl injekció CVE-2017-12611 |
| 99001011 | Az Oracle WebLogic elérési útja CVE-2020-14882 bejárása |
| 99001012 | Kísérlet a Telerik WebUI nem biztonságos deszerializálási hasznosítására CVE-2019-18935 |
| 99001013 | Kísérlet a SharePoint nem biztonságos XML-deszerializálására CVE-2019-0604 |
| 99001014 | A Spring Cloud útválasztási kifejezésének CVE-2022-22963-as injektálása |
| 99001015 | A Spring Framework nem biztonságos osztályobjektum-kihasználása CVE-2022-22965 |
| 99001016 | A Spring Cloud Gateway Actuator injektálása CVE-2022-22947 |
| 99001017 | Apache Struts-fájlfeltöltési kísérlet CVE-2023-50164 |
Feljegyzés
A WAF naplóinak áttekintésekor a 949110-s szabályazonosító jelenhet meg. A szabály leírása tartalmazhat túllépett bejövő anomáliadetektációt.
Ez a szabály azt jelzi, hogy a kérelem összes rendellenességi pontszáma túllépte a maximális megengedett pontszámot. További információ: Anomália pontozása.
A WAF-szabályzatok finomhangolásakor meg kell vizsgálnia a kérés által aktivált többi szabályt, hogy módosíthassa a WAF konfigurációját. További információ: Az Azure Web Application Firewall hangolása az Azure Front Doorhoz.