Megosztás a következőn keresztül:

Webalkalmazási tűzfal DRS- és CRS-szabálycsoportjai és szabályai

Az Application Gateway webalkalmazási tűzfalában (WAF) az Azure által felügyelt alapértelmezett szabálykészlet (DRS) aktívan védi a webalkalmazásokat a gyakori biztonsági résekkel és biztonsági résekkel szemben. Ezek az Azure által felügyelt szabálykészletek szükség szerint frissítéseket kapnak az új támadási aláírások elleni védelemhez. Az alapértelmezett szabálykészlet tartalmazza a Microsoft Threat Intelligence Collection szabályait is. A Microsoft Intelligence csapata együttműködik ezeknek a szabályoknak a megírásában, biztosítva a fokozott lefedettséget, a speciális sebezhetőségi javításokat és a jobb hamis pozitív csökkentést.

Az OWASP 3.2-ben (CRS 3.2) beállított alapvető szabálykészlet alapján definiált szabályokat is használhatja.

A szabályokat külön-külön is letilthatja, vagy az egyes szabályokhoz meghatározott műveleteket állíthat be. Ez a cikk az aktuálisan elérhető szabályokat és szabálykészleteket sorolja fel. Ha egy közzétett szabálykészlet frissítésre van szükség, itt dokumentáljuk.

Feljegyzés

Ha módosít egy szabálykészlet-verziót egy WAF-házirendben, a szabálykészleten végrehajtott meglévő testreszabások az új szabálykészlet alapértelmezett beállításaira lesznek visszaállítva. Lásd: A szabálykészlet verziójának frissítése vagy módosítása.

Alapértelmezett szabálykészlet 2.1

Az alapértelmezett szabálykészlet (DRS) 2.1 az Open Web Application Security Project (OWASP) Core Rule Set (CRS) 3.3.2-ből van kiindulva, és a Microsoft Threat Intelligence csapata által kifejlesztett további védett védelmi szabályokat és az aláírások frissítését tartalmazza a hamis pozitív értékek csökkentése érdekében. Emellett az URL-dekódoláson túl az átalakításokat is támogatja.

A DRS 2.1 új motort és új szabálykészleteket kínál a Java-injektálások ellen, egy kezdeti fájlfeltöltési ellenőrzést, és kevesebb hamis pozitívot a CRS-verziókhoz képest. A szabályokat igényeinek megfelelően testre is szabhatja. További információ az új Azure WAF-motorról.

A DRS 2.1 17 szabálycsoportot tartalmaz az alábbi táblázatban látható módon. Minden csoport több szabályt tartalmaz, és testre szabhatja az egyes szabályok, szabálycsoportok vagy teljes szabálykészletek viselkedését.

Fenyegetés típusa Szabálycsoport neve
Általános Általános
Zárolási módszerek (PUT, PATCH) METÓDUS-KÉNYSZERÍTÉS
Protokoll- és kódolási problémák PROTOKOLL-KÉNYSZERÍTÉS
Fejlécinjektálás, kéréscsempészet és válaszhasítás PROTOKOLL-TÁMADÁS
Fájl- és elérésiút-támadások LFI
Távoli fájlbefoglalási (RFI) támadások RFI
Távoli kódvégrehajtási támadások RCE
PHP-injektálási támadások PHP
Node JS-támadások NodeJS
Helyek közötti szkriptelési támadások XSS
SQL-injektálási támadások SQLI
Munkamenet-fixálási támadások MUNKAMENET-JAVÍTÁS
JAVA-támadások SESSION-JAVA
Webes rendszerhéj-támadások (MS) MS-ThreatIntel-WebShells
AppSec-támadások (MS) MS-ThreatIntel-AppSec
SQL-injektálási támadások (MS) MS-ThreatIntel-SQLI
CVE-támadások (MS) MS-ThreatIntel-CVEs

A DRS 2.1 finomhangolási útmutatója

Az alábbi útmutatással hangolhatja a WAF-et a DRS 2.1 használatának első lépéseihez az Application Gateway WAF-en:

Szabályazonosító Szabálycsoport Leírás Ajánlás
942110 SQLI SQL-injektálási támadás: Gyakori injektálási tesztelés észlelhető Tiltsa le a 942110 szabályt, amelyet az MSTIC szabály 99031001 vált fel.
942150 SQLI SQL-injektálási támadás Tiltsa le a 942150-ös szabályt, amelyet az MSTIC szabály 99031003 vált fel.
942260 SQLI Észleli az alapszintű SQL-hitelesítési megkerülési kísérleteket 2/3 Tiltsa le a 942260-os szabályt, amelyet kicserél az MSTIC-szabály 99031004.
942430 SQLI Korlátozott SQL-karakter anomáliadetektálása (args): a speciális karakterek száma túllépve (12) Tiltsa le a 942430 szabályt, mert túl sok hamis pozitív értéket aktivál
942440 SQLI SQL-megjegyzésütemezés észlelhető Tiltsa le a 942440-es szabályt, amelyet az MSTIC szabály 99031002 vált fel.
99005006 MS-ThreatIntel-WebShells Spring4Shell-interakciós kísérlet A Szabály engedélyezése a SpringShell biztonsági résének megelőzéséhez
99001014 MS-ThreatIntel-CVEs A Spring Cloud útválasztási kifejezésének CVE-2022-22963-as injektálása A Szabály engedélyezése a SpringShell biztonsági résének megelőzéséhez
99001015 MS-ThreatIntel-WebShells A Spring Framework nem biztonságos osztályobjektum-kihasználásának kísérlete CVE-2022-22965 A Szabály engedélyezése a SpringShell biztonsági résének megelőzéséhez
99001016 MS-ThreatIntel-WebShells Kísérlet a Spring Cloud Gateway Actuator injektálására CVE-2022-22947 A Szabály engedélyezése a SpringShell biztonsági résének megelőzéséhez
99001017 MS-ThreatIntel-CVEs Apache Struts-fájlfeltöltési kísérlet CVE-2023-50164 Állítsa be a Letiltás műveletet az Apache Struts biztonsági résének megelőzéséhez. Az anomáliapontszám nem támogatott ennél a szabálynál

Alapvető szabálykészlet 3.2

Az ajánlott felügyelt szabálykészlet az Alapértelmezett szabálykészlet 2.1, amely az Open Web Application Security Project (OWASP) Core Rule Set (CRS) 3.3.2-ből van kiindulva, és a Microsoft Threat Intelligence csapata által kifejlesztett további védett védelmi szabályokat és az aláírások frissítését tartalmazza a hamis pozitív értékek csökkentése érdekében. A DRS 2.1 alternatívaként használhatja a CRS 3.2-t, amely az OWASP CRS 3.2.0-s verzióján alapul.

A CRS 3.2 14 szabálycsoportot tartalmaz az alábbi táblázatban látható módon. Minden csoport több szabályt tartalmaz, amelyek letilthatók.

Feljegyzés

A CRS 3.2 csak a WAF_v2 termékváltozatban érhető el. Mivel a CRS 3.2 az új Azure WAF-motoron fut, nem válthat crS 3.1-es vagy korábbi verzióra. Ha vissza kell lépnie, lépjen kapcsolatba az Azure ügyfélszolgálatával.

Szabálycsoport neve Fenyegetés típusa
Általános Általános
Új és ismert CVE-k ISMERT SEBEZHETŐSÉGEK ÉS KOCKÁZATOK
Zárolási módszerek (PUT, PATCH) REQUEST-911-METHOD-ENFORCEMENT
Port- és környezetszkennerek REQUEST-913-SCANNER-DETECTION
Protokoll- és kódolási problémák KÉRÉS-920-PROTOKOLL-VÉGREHAJTÁSA
Fejlécinjektálás, kéréscsempészet és válaszhasítás REQUEST-921-PROTOCOL-ATTACK
Fájl- és elérésiút-támadások REQUEST-930-APPLICATION-ATTACK-LFI
Távoli fájlbefoglalási (RFI) támadások REQUEST-931-APPLICATION-ATTACK-RFI
Távoli kódvégrehajtási támadások REQUEST-932-APPLICATION-ATTACK-RCE
PHP-injektálási támadások REQUEST-933-APPLICATION-ATTACK-PHP
Helyek közötti szkriptelési támadások REQUEST-941-APPLICATION-ATTACK-XSS
SQL-injektálási támadások REQUEST-942-APPLICATION-ATTACK-SQLI
Munkamenet-fixálási támadások REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION
JAVA-támadások REQUEST-944-APPLICATION-ATTACK-JAVA

Felügyelt szabálykészletek hangolása

A DRS és a CRS alapértelmezés szerint engedélyezve van észlelési módban a WAF-házirendekben. Az alkalmazás követelményeinek megfelelően letilthatja vagy engedélyezheti az egyes szabályokat a felügyelt szabálykészleten belül. Szabályonként meghatározott műveleteket is beállíthat. A DRS/CRS támogatja a blokk-, napló- és anomáliapontozási műveleteket. A Bot Manager-szabálykészlet támogatja az engedélyezési, blokk- és naplóműveleteket.

Előfordulhat, hogy bizonyos kérésattribútumokat ki kell hagynia egy WAF-értékelésből. Gyakori példa a hitelesítéshez használt Active Directory-beszúrt jogkivonatok. A kizárásokat úgy konfigurálhatja, hogy adott WAF-szabályok kiértékelésekor alkalmazhatók legyenek, vagy globálisan alkalmazzanak az összes WAF-szabály értékelésére. A kizárási szabályok a teljes webalkalmazásra vonatkoznak. További információ: Webalkalmazási tűzfal (WAF) az Application Gateway kizárási listáival.

Alapértelmezés szerint a DRS 2.1/CRS 3.2-es és újabb verziója anomáliademikrációt használ, ha egy kérelem megfelel egy szabálynak. A CRS 3.1 és az alábbi verzió alapértelmezés szerint blokkolja az egyező kéréseket. Emellett az egyéni szabályok ugyanabban a WAF-házirendben is konfigurálhatók, ha meg szeretné kerülni az alapszabálykészlet egyik előre konfigurált szabályát.

A rendszer mindig egyéni szabályokat alkalmaz az alapvető szabálykészlet szabályainak kiértékelése előtt. Ha egy kérelem egyezik egy egyéni szabálysal, a rendszer alkalmazza a megfelelő szabályműveletet. A kérés le van tiltva, vagy továbbítva van a háttérrendszernek. A rendszer nem dolgoz fel más egyéni szabályokat vagy az alapvető szabálykészletben lévő szabályokat.

Anomáliák pontozása

A CRS vagy a DRS 2.1 és újabb verziók használatakor a WAF alapértelmezés szerint anomália-pontozás használatára van konfigurálva. A szabálynak megfelelő forgalom nem lesz azonnal blokkolva, még akkor sem, ha a WAF megelőzési módban van. Ehelyett az OWASP-szabálykészletek minden szabályhoz definiálnak súlyosságot: Kritikus, Hiba, Figyelmeztetés vagy Figyelmeztetés. A súlyosság hatással van a kérelem numerikus értékére, amelyet anomáliának nevezünk:

Szabály súlyossága Az anomáliához hozzájárult érték
Kritikus 5
Hiba 4
Figyelmeztetés 3
Értesítés 2

Ha az anomália pontszáma 5 vagy nagyobb, és a WAF megelőzési módban van, a kérés le lesz tiltva. Ha az anomáliadetektálási pontszám 5 vagy nagyobb, és a WAF észlelési módban van, a rendszer naplózza a kérést, de nem tiltja le.

Például egyetlen kritikus szabályegyeztetés elegendő ahhoz, hogy a WAF letiltsa a kérést védelmi módban, mivel az általános anomáliapontszám 5. Egy figyelmeztetési szabály egyezése azonban csak 3-tal növeli az anomáliapontot, ami önmagában nem elegendő a forgalom blokkolásához. A rendellenességi szabály aktiválásakor a naplókban egy "Egyeztetett" művelet jelenik meg. Ha az anomáliadetektálási pontszám 5 vagy annál nagyobb, egy külön szabály aktiválódik "Letiltva" vagy "Észlelt" művelettel attól függően, hogy a WAF-szabályzat megelőzési vagy észlelési módban van-e. További információért kérjük, tekintse meg Anomália pontozási mód.

Paranoia szint

Minden szabály egy adott Paranoia-szinthez (PL) van rendelve. A Paranoia Level 1 -ben (PL1) konfigurált szabályok kevésbé agresszívek, és szinte soha nem váltanak ki hamis pozitív értéket. Olyan alapvető biztonságot nyújtanak, amely minimális finomhangolást igényel. A PL2 szabályai több támadást észlelnek, de várhatóan hamis pozitívumokat aktiválnak, amelyeket finomhangolni kell.

Alapértelmezés szerint a DRS 2.1 és CRS 3.2 szabályverziók előre konfigurálva vannak a Paranoia 2. szintjén, beleértve a PL1-ben és a PL2-ben is hozzárendelt szabályokat. Ha kizárólag a PL1-et szeretné használni a WAF-hez, letilthatja bármelyik VAGY az összes PL2-szabályt, vagy módosíthatja a műveletüket "naplóra". A PL3 és a PL4 jelenleg nem támogatott az Azure WAF-ben.

Feljegyzés

A CRS 3.2-szabálykészlet a PL3-ban és a PL4-ben is tartalmaz szabályokat, de ezek a szabályok mindig inaktívak, és a konfigurált állapottól vagy művelettől függetlenül nem engedélyezhetők.

A szabálykészlet verziójának frissítése vagy módosítása

Ha frissít vagy új szabálykészlet-verziót rendel hozzá, és meg szeretné őrizni a meglévő szabály felülbírálásokat és kizárásokat, javasoljuk, hogy a Szabálykészlet verziómódosításaihoz használja a PowerShellt, a CLI-t, a REST API-t vagy a sablont. A szabálykészletek új verziójában lehetnek újabb szabályok, további szabálycsoportok, és a meglévő aláírások frissítései is lehetnek a nagyobb biztonság és a hamis pozitív értékek csökkentése érdekében. Ajánlott ellenőrizni a tesztkörnyezet változásait, szükség esetén finomhangolni, majd éles környezetben üzembe helyezni.

Feljegyzés

Ha az Azure Portal használatával rendel hozzá egy új felügyelt szabálykészletet egy WAF-szabályzathoz, a meglévő felügyelt szabálykészlet összes korábbi testreszabása, például a szabályállapot, a szabályműveletek és a szabályszintű kizárások az új felügyelt szabálykészlet alapértelmezett beállításaira lesznek visszaállítva. Az egyéni szabályok, szabályzatbeállítások és globális kizárások azonban nem változnak az új szabálykészlet-hozzárendelés során. Éles környezetben való üzembe helyezés előtt újra kell definiálnia a szabály felülbírálásait és ellenőriznie kell a módosításokat.

OWASP CRS 3.1

A CRS 3.1 14 szabálycsoportot tartalmaz az alábbi táblázatban látható módon. Minden csoport több szabályt tartalmaz, amelyek letilthatók. A szabálykészlet az OWASP CRS 3.1.1-es verzióján alapul.

Feljegyzés

A CRS 3.1 csak a WAF_v2 termékváltozatban érhető el.

Szabálycsoport neve Leírás
Általános Általános csoport
ISMERT SEBEZHETŐSÉGEK ÉS KOCKÁZATOK Segítség az új és ismert CVE-k észleléséhez
REQUEST-911-METHOD-ENFORCEMENT Zárolási módszerek (PUT, PATCH)
REQUEST-913-SCANNER-DETECTION Port- és környezetszkennerek elleni védelem
KÉRÉS-920-PROTOKOLL-VÉGREHAJTÁSA Védelem protokoll- és kódolási problémák ellen
REQUEST-921-PROTOCOL-ATTACK Védelem a fejlécinjektálás, a csempészet és a válasz felosztása ellen
REQUEST-930-APPLICATION-ATTACK-LFI Védelem fájl- és elérésiút-támadások ellen
REQUEST-931-APPLICATION-ATTACK-RFI Védelem a távoli fájlbefoglalási (RFI) támadások ellen
REQUEST-932-APPLICATION-ATTACK-RCE A távoli kódvégrehajtási támadások ismételt védelme
REQUEST-933-APPLICATION-ATTACK-PHP Védelem a PHP-injektálási támadások ellen
REQUEST-941-APPLICATION-ATTACK-XSS Védelem a helyek közötti szkriptelési támadások ellen
REQUEST-942-APPLICATION-ATTACK-SQLI Védelem az SQL-injektálási támadások ellen
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Védelem a munkamenet-rögzítési támadások ellen
REQUEST-944-APPLICATION-ATTACK-SESSION-JAVA Védelem JAVA-támadások ellen

Bot Manager 1.0

A Bot Manager 1.0 szabálykészlet védelmet nyújt a rosszindulatú robotok ellen, és észleli a jó robotokat. A szabályok részletes vezérlést biztosítanak a WAF által észlelt robotok felett a robotforgalom jó, rossz vagy ismeretlen robotként való kategorizálásával.

Szabálycsoport Leírás
BadBots Védelem a rossz robotok ellen
GoodBots A jó robotok azonosítása
UnknownBots Ismeretlen robotok azonosítása

Bot Manager 1.1

A Bot Manager 1.1 szabálykészlet a Bot Manager 1.0 szabálykészlet továbbfejlesztése. Továbbfejlesztett védelmet nyújt a rosszindulatú robotok ellen, és növeli a robotok megfelelő észlelését.

Szabálycsoport Leírás
BadBots Védelem a rossz robotok ellen
GoodBots A jó robotok azonosítása
UnknownBots Ismeretlen robotok azonosítása

Az alábbi szabálycsoportok és szabályok érhetők el az Application Gateway webalkalmazási tűzfalának használatakor.

2.1 szabálykészletek

Általános

Szabályazonosító Anomália pontszám súlyossága Paranoia szint Leírás
200002 Kritikus – 5 PL1 Nem sikerült elemezni a kérelem törzsét
200003 Kritikus – 5 PL1 A többrészes kérelem törzse nem tudott szigorú ellenőrzést végrehajtani

METÓDUS KÉNYSZERÍTÉSE

Szabályazonosító Anomália pontszám súlyossága Paranoia szint Leírás
911100 Kritikus – 5 PL1 A szabályzat nem engedélyezi a metódust

PROTOKOLL-KÉNYSZERÍTÉS

Szabályazonosító Anomália pontszám súlyossága Paranoia szint Leírás
920100 Értesítés – 2 PL1 Érvénytelen HTTP-kérelemsor
920120 Kritikus – 5 PL1 Többrészes/űrlapadat-megkerülési kísérlet
920121 Kritikus – 5 PL2 Többrészes/űrlapadat-megkerülési kísérlet
920160 Kritikus – 5 PL1 A Content-Length HTTP-fejléc nem numerikus
920170 Kritikus – 5 PL1 A GET vagy HEAD kérés törzstartalommal
920171 Kritikus – 5 PL1 GET vagy HEAD kérés Transfer-Encoding
920180 Értesítés – 2 PL1 POST-kérelem hiányzó tartalomhosszúságú fejléc
920181 Figyelmeztetés – 3 PL1 Tartalomhosszúságú és átviteli kódolású fejlécek 99001003
920190 Figyelmeztetés – 3 PL1 Tartomány: Érvénytelen utolsó bájtérték
920200 Figyelmeztetés – 3 PL2 Tartomány: Túl sok mező (6 vagy több)
920201 Figyelmeztetés – 3 PL2 Tartomány: Túl sok mező pdf-kérelemhez (35 vagy több)
920210 Kritikus – 5 PL1 Többszörös/ütköző kapcsolati fejléc adatok találhatók
920220 Figyelmeztetés – 3 PL1 URL-kódolási visszaélések támadási kísérlete
920230 Figyelmeztetés – 3 PL2 Több URL-kódolás észlelhető
920240 Figyelmeztetés – 3 PL1 URL-kódolási visszaélések támadási kísérlete
920260 Figyelmeztetés – 3 PL1 Unicode teljes/félszélességű visszaéléses támadási kísérlet
920270 Hiba – 4 PL1 Érvénytelen karakter a kérelemben (null karakter)
920271 Kritikus – 5 PL2 Érvénytelen karakter a kérelemben (nem nyomtatható karakterek)
920280 Figyelmeztetés – 3 PL1 Gazdagépfejléc hiányának kérése
920290 Figyelmeztetés – 3 PL1 Üres gazdagépfejléc
920300 Értesítés – 2 PL2 Az elfogadási fejléc hiányzó kérése
920310 Értesítés – 2 PL1 A kérelem üres elfogadási fejlécet kapott
920311 Értesítés – 2 PL1 A kérelem üres elfogadási fejlécet kapott
920320 Értesítés – 2 PL2 Hiányzó felhasználói ügynök fejléce
920330 Értesítés – 2 PL1 A felhasználói ügynök fejlécének kiürítése
920340 Értesítés – 2 PL1 Tartalommal kapcsolatos kérés, de hiányzik a tartalomtípus fejléce
920341 Kritikus – 5 PL1 A tartalmat tartalmazó kérelemhez tartalomtípus-fejléc szükséges
920350 Figyelmeztetés – 3 PL1 A gazdagépfejléc egy numerikus IP-cím
920420 Kritikus – 5 PL1 A szabályzat nem engedélyezi a tartalomtípus kérését
920430 Kritikus – 5 PL1 A SZABÁLYZAT nem engedélyezi a HTTP protokoll verzióját
920440 Kritikus – 5 PL1 Az URL-fájlkiterjesztést szabályzat korlátozza
920450 Kritikus – 5 PL1 A HTTP-fejlécet szabályzat korlátozza
920470 Kritikus – 5 PL1 Érvénytelen tartalomtípus fejléce
920480 Kritikus – 5 PL1 A szabályzat nem engedélyezi a tartalomtípus-karakterkészlet kérését
920500 Kritikus – 5 PL1 Biztonsági mentési vagy munkafájl elérése

PROTOKOLL-TÁMADÁS

Szabályazonosító Anomália pontszám súlyossága Paranoia szint Leírás
921110 Kritikus – 5 PL1 HTTP-kérések csempészeti támadása
921120 Kritikus – 5 PL1 HTTP-válasz felosztási támadása
921130 Kritikus – 5 PL1 HTTP-válasz felosztási támadása
921140 Kritikus – 5 PL1 HTTP-fejlécinjektálási támadás fejléceken keresztül
921150 Kritikus – 5 PL1 HTTP-fejlécinjektálási támadás hasznos adatokkal (CR/LF észlelve)
921151 Kritikus – 5 PL2 HTTP-fejlécinjektálási támadás hasznos adatokkal (CR/LF észlelve)
921160 Kritikus – 5 PL1 HTTP-fejlécinjektálási támadás hasznos adatokon keresztül (CR/LF és fejlécnév észlelhető)
921190 Kritikus – 5 PL1 HTTP-felosztás (CR/LF a kérelemfájlnév észlelésekor)
921200 Kritikus – 5 PL1 LDAP-injektálási támadás

LFI – Helyi fájlbefoglalás

Szabályazonosító Anomália pontszám súlyossága Paranoia szint Leírás
930100 Kritikus – 5 PL1 Path Traversal Attack (/.. /)
930110 Kritikus – 5 PL1 Path Traversal Attack (/.. /)
930120 Kritikus – 5 PL1 Operációsrendszer-fájlelérési kísérlet
930130 Kritikus – 5 PL1 Korlátozott fájlelérési kísérlet

RFI – Távoli fájlbefoglalás

Szabályazonosító Anomália pontszám súlyossága Paranoia szint Leírás
931100 Kritikus – 5 PL1 Lehetséges távoli fájlbefoglalási (RFI) támadás: URL-paraméter IP-címmel
931110 Kritikus – 5 PL1 Lehetséges távoli fájlbefoglalási (RFI)-támadás: Gyakori RFI sebezhető paraméternév, amelyet w/URL hasznos adatként használnak
931120 Kritikus – 5 PL1 Lehetséges távoli fájlbefoglalási (RFI) támadás: URL-hasznos adat használt w/záró kérdőjel karakter (?)
931130 Kritikus – 5 PL2 Lehetséges távoli fájlbefoglalási (RFI-) támadás: tartományon kívüli hivatkozás/hivatkozás

RCE – Távoli parancsvégrehajtás

Szabályazonosító Anomália pontszám súlyossága Paranoia szint Leírás
932100 Kritikus – 5 PL1 Távoli parancsvégrehajtás: Unix-parancsinjektálás
932105 Kritikus – 5 PL1 Távoli parancsvégrehajtás: Unix-parancsinjektálás
932110 Kritikus – 5 PL1 Távoli parancsvégrehajtás: Windows parancsinjektálás
932115 Kritikus – 5 PL1 Távoli parancsvégrehajtás: Windows parancsinjektálás
932120 Kritikus – 5 PL1 Távoli parancsvégrehajtás: Windows PowerShell-parancs található
932130 Kritikus – 5 PL1 Távoli parancsvégrehajtás: Unix Shell-kifejezés vagy confluence biztonsági rés (CVE-2022-26134) található
932140 Kritikus – 5 PL1 Távoli parancsvégrehajtás: Windows FOR/IF parancs található
932150 Kritikus – 5 PL1 Távoli parancsvégrehajtás: Direct Unix-parancs végrehajtása
932160 Kritikus – 5 PL1 Távoli parancsvégrehajtás: Unix Shell-kód található
932170 Kritikus – 5 PL1 Távoli parancsvégrehajtás: Shellshock (CVE-2014-6271)
932171 Kritikus – 5 PL1 Távoli parancsvégrehajtás: Shellshock (CVE-2014-6271)
932180 Kritikus – 5 PL1 Korlátozott fájlfeltöltési kísérlet

PHP-támadások

Szabályazonosító Anomália pontszám súlyossága Paranoia szint Leírás
933100 Kritikus – 5 PL1 PHP-injektálási támadás: Megnyíló/záró címke található
933110 Kritikus – 5 PL1 PHP-injektálási támadás: PHP-szkriptfájl feltöltése található
933120 Kritikus – 5 PL1 PHP-injektálási támadás: Konfigurációs irányelv található
933130 Kritikus – 5 PL1 PHP-injektálási támadás: Változók találhatók
933140 Kritikus – 5 PL1 PHP-injektálási támadás: I/O-stream található
933150 Kritikus – 5 PL1 PHP-injektálási támadás: Magas kockázatú PHP-függvény neve található
933151 Kritikus – 5 PL2 PHP-injektálási támadás: Közepes kockázatú PHP-függvény neve található
933160 Kritikus – 5 PL1 PHP-injektálási támadás: Magas kockázatú PHP-függvényhívás található
933170 Kritikus – 5 PL1 PHP-injektálási támadás: Szerializált objektuminjektálás
933180 Kritikus – 5 PL1 PHP-injektálási támadás: Változó függvény hívása található
933200 Kritikus – 5 PL1 PHP-injektálási támadás: Burkoló séma észlelhető
933210 Kritikus – 5 PL1 PHP-injektálási támadás: Változó függvény hívása található

Node JS-támadások

Szabályazonosító Anomália pontszám súlyossága Paranoia szint Leírás
934100 Kritikus – 5 PL1 Node.js injektálási támadás

XSS – Helyek közötti szkriptelés

Szabályazonosító Anomália pontszám súlyossága Paranoia szint Leírás
941100 Kritikus – 5 PL1 XSS-támadás észlelése libinjection használatával
941101 Kritikus – 5 PL2 Az XSS-támadás libinjection használatával észlelhető.
Ez a szabály egy Referer fejléccel rendelkező kéréseket észlel
941110 Kritikus – 5 PL1 XSS-szűrő – 1. kategória: Szkriptcímke-vektor
941120 Kritikus – 5 PL1 XSS-szűrő – 2. kategória: Eseménykezelő vektor
941130 Kritikus – 5 PL1 XSS-szűrő – 3. kategória: Attribútumvektor
941140 Kritikus – 5 PL1 XSS-szűrő – 4. kategória: JavaScript URI-vektor
941150 Kritikus – 5 PL2 XSS-szűrő – 5. kategória: Letiltott HTML-attribútumok
941160 Kritikus – 5 PL1 NoScript XSS InjectionChecker: HTML-injektálás
941170 Kritikus – 5 PL1 NoScript XSS InjectionChecker: Attribútuminjektálás
941180 Kritikus – 5 PL1 Node-Validator blocklist kulcsszavak
941190 Kritikus – 5 PL1 XSS Stíluslapok használata
941200 Kritikus – 5 PL1 XSS VML-keretek használatával
941210 Kritikus – 5 PL1 XSS obfuscated JavaScript használatával
941220 Kritikus – 5 PL1 XSS obfuscated VB Script használatával
941230 Kritikus – 5 PL1 XSS beágyazás címkével
941240 Kritikus – 5 PL1 XSS az "import" vagy a "implementálás" attribútum használatával
941250 Kritikus – 5 PL1 IE XSS-szűrők – Támadás észlelhető
941260 Kritikus – 5 PL1 XSS a "meta" címkével
941270 Kritikus – 5 PL1 XSS a "link" href használatával
941280 Kritikus – 5 PL1 XSS az "alap" címkével
941290 Kritikus – 5 PL1 XSS az "applet" címkével
941300 Kritikus – 5 PL1 XSS objektumcímke használatával
941310 Kritikus – 5 PL1 US-ASCII hibás kódolású XSS-szűrő – Támadás észlelhető
941320 Kritikus – 5 PL2 Lehetséges XSS-támadás észlelhető – HTML-címkekezelő
941330 Kritikus – 5 PL2 IE XSS-szűrők – Támadás észlelhető
941340 Kritikus – 5 PL2 IE XSS-szűrők – Támadás észlelhető
941350 Kritikus – 5 PL1 UTF-7 kódolási IE XSS – Támadás észlelhető
941360 Kritikus – 5 PL1 JavaScript-obfuscation észlelve
941370 Kritikus – 5 PL1 JavaScript globális változó található
941380 Kritikus – 5 PL2 AngularJS ügyféloldali sabloninjektálás észlelhető

SQLI – SQL-injektálás

Szabályazonosító Anomália pontszám súlyossága Paranoia szint Leírás
942100 Kritikus – 5 PL1 Lib használatával észlelt SQL-injektálási támadás
942110 Figyelmeztetés – 3 PL2 SQL-injektálási támadás: Gyakori injektálási tesztelés észlelhető
942120 Kritikus – 5 PL2 SQL-injektálási támadás: SQL-operátor észlelhető
942130 Kritikus – 5 PL2 SQL-injektálási támadás: Sql Tautology észlelve
942140 Kritikus – 5 PL1 SQL-injektálási támadás: Gyakori adatbázisnevek észlelhetők
942150 Kritikus – 5 PL2 SQL-injektálási támadás
942160 Kritikus – 5 PL1 Vak SQLi-teszteket észlel sleep() vagy benchmark() használatával
942170 Kritikus – 5 PL1 Észleli az SQL-teljesítménytesztet és az alvásinjektálási kísérleteket, beleértve a feltételes lekérdezéseket is
942180 Kritikus – 5 PL2 Alapszintű SQL-hitelesítési megkerülési kísérletek észlelése 1/3
942190 Kritikus – 5 PL1 MSSQL-kódvégrehajtási és információgyűjtési kísérleteket észlel
942200 Kritikus – 5 PL2 Észleli a MySQL comment-/space-obfuscated injektálását és a backtick megszakítását
942210 Kritikus – 5 PL2 Láncolt SQL-injektálási kísérleteket észlel 1/2
942220 Kritikus – 5 PL1 Egész szám túlcsordulási támadásokat keres, ezeket a skipfishből veszik, kivéve a 3.0.00738585072007e-308 a "magic number" összeomlást
942230 Kritikus – 5 PL1 Feltételes SQL-injektálási kísérleteket észlel
942240 Kritikus – 5 PL1 Észleli a MySQL-karakterkészlet-kapcsolót és az MSSQL DoS-kísérleteket
942250 Kritikus – 5 PL1 A MATCH AGAINST, MERGE és EXECUTE IMMEDIATE injektálásokat észleli
942260 Kritikus – 5 PL2 Észleli az alapszintű SQL-hitelesítési megkerülési kísérleteket 2/3
942270 Kritikus – 5 PL1 Alapszintű SQL-injektálást keres. A mysql, oracle és mások gyakori támadási karakterlánca.
942280 Kritikus – 5 PL1 Észleli a Postgres pg_sleep injektálását, a késleltetési támadásokat és az adatbázis-leállítási kísérleteket
942290 Kritikus – 5 PL1 Alapszintű MongoDB SQL-injektálási kísérletek keresése
942300 Kritikus – 5 PL2 MySQL-megjegyzések, feltételek és ch(a)r injektálások észlelése
942310 Kritikus – 5 PL2 Láncolt SQL-injektálási kísérleteket észlel 2/2
942320 Kritikus – 5 PL1 Észleli a MySQL- és PostgreSQL-tárolt eljárásokat/függvényinjektálásokat
942330 Kritikus – 5 PL2 A klasszikus SQL-injektálási próbaidőket észleli 1/2
942340 Kritikus – 5 PL2 Alapszintű SQL-hitelesítési megkerülési kísérletek észlelése 3/3
942350 Kritikus – 5 PL1 Észleli a MySQL UDF-injektálását és más adat-/struktúramanipulációs kísérleteket
942360 Kritikus – 5 PL1 Az összefűzött alapszintű SQL-injektálási és SQLLFI-kísérleteket észleli
942361 Kritikus – 5 PL2 Alapszintű SQL-injektálás észlelése kulcsszó-módosítás vagy egyesítés alapján
942370 Kritikus – 5 PL2 A klasszikus SQL-injektálási 2/2-et észleli
942380 Kritikus – 5 PL2 SQL-injektálási támadás
942390 Kritikus – 5 PL2 SQL-injektálási támadás
942400 Kritikus – 5 PL2 SQL-injektálási támadás
942410 Kritikus – 5 PL2 SQL-injektálási támadás
942430 Figyelmeztetés – 3 PL2 Korlátozott SQL-karakter anomáliadetektálása (args): a speciális karakterek száma túllépve (12)
942440 Kritikus – 5 PL2 SQL-megjegyzésütemezés észlelhető
942450 Kritikus – 5 PL2 Azonosított SQL Hex-kódolás
942470 Kritikus – 5 PL2 SQL-injektálási támadás
942480 Kritikus – 5 PL2 SQL-injektálási támadás
942500 Kritikus – 5 PL1 MySQL sorok közötti megjegyzés észlelve
942510 Kritikus – 5 PL2 SQLi-megkerülési kísérlet az idézőjelek vagy backtickek segítségével észlelve

MUNKAMENET-JAVÍTÁS

Szabályazonosító Anomália pontszám súlyossága Paranoia szint Leírás
943100 Kritikus – 5 PL1 Lehetséges munkamenet-javítási támadás: Cookie-értékek beállítása HTML-ben
943110 Kritikus – 5 PL1 Lehetséges munkamenet-javítási támadás: SessionID paraméternév tartományon kívüli hivatkozóval
943120 Kritikus – 5 PL1 Lehetséges munkamenet-javítási támadás: SessionID paraméter neve hivatkozó nélkül

JAVA-támadások

Szabályazonosító Anomália pontszám súlyossága Paranoia szint Leírás
944100 Kritikus – 5 PL1 Távoli parancsvégrehajtás: Apache Struts, Oracle WebLogic
944110 Kritikus – 5 PL1 Észleli a hasznos adatok lehetséges végrehajtását
944120 Kritikus – 5 PL1 Lehetséges hasznos adatok végrehajtása és távoli parancsvégrehajtás
944130 Kritikus – 5 PL1 Gyanús Java-osztályok
944200 Kritikus – 5 PL2 A Java deszerializálási Apache Commons kiaknázása
944210 Kritikus – 5 PL2 Java-szerializálás lehetséges használata
944240 Kritikus – 5 PL2 Távoli parancsvégrehajtás: Java-szerializálás és Log4j biztonsági rés (CVE-2021-44228, CVE-2021-45046)
944250 Kritikus – 5 PL2 Távoli parancsvégrehajtás: Gyanús Java-metódus észlelhető

MS-ThreatIntel-WebShells

Szabályazonosító Anomália pontszám súlyossága Paranoia szint Leírás
99005002 Kritikus – 5 PL2 Webes rendszerhéj-interakciós kísérlet (POST)
99005003 Kritikus – 5 PL2 Web Shell feltöltési kísérlet (POST) - CHOPPER PHP
99005004 Kritikus – 5 PL2 Web Shell feltöltési kísérlet (POST) – CHOPPER ASPX
99005005 Kritikus – 5 PL2 Webes rendszerhéj-interakciós kísérlet
99005006 Kritikus – 5 PL2 Spring4Shell-interakciós kísérlet

MS-ThreatIntel-AppSec

Szabályazonosító Anomália pontszám súlyossága Paranoia szint Leírás
99030001 Kritikus – 5 PL2 Path Traversal Evasion in Headers (/.. /./.. /)
99030002 Kritikus – 5 PL2 Path Traversal Evasion in Request Body (/.. /./.. /)

MS-ThreatIntel-SQLI

Szabályazonosító Anomália pontszám súlyossága Paranoia szint Leírás
99031001 Figyelmeztetés – 3 PL2 SQL-injektálási támadás: Gyakori injektálási tesztelés észlelhető
99031002 Kritikus – 5 PL2 SQL-megjegyzésütemezés észlelhető
99031003 Kritikus – 5 PL2 SQL-injektálási támadás
99031004 Kritikus – 5 PL2 Észleli az alapszintű SQL-hitelesítési megkerülési kísérleteket 2/3

MS-ThreatIntel-CVEs

Szabályazonosító Anomália pontszám súlyossága Paranoia szint Leírás
99001001 Kritikus – 5 PL2 F5 tmui (CVE-2020-5902) REST API-kihasználás ismert hitelesítő adatokkal
99001002 Kritikus – 5 PL2 Citrix-NSC_USER könyvtárbejárási kísérlet CVE-2019-19781
99001003 Kritikus – 5 PL2 A CVE-2019-3396 atlassian confluence widget-összekötőjének kísérlete
99001004 Kritikus – 5 PL2 Kísérlet a Pulse Secure egyéni sablon kihasználására CVE-2020-8243
99001005 Kritikus – 5 PL2 SharePoint-típuskonverter-hasznosítási kísérlet CVE-2020-0932
99001006 Kritikus – 5 PL2 Kísérlet a Pulse Connect könyvtár bejárására CVE-2019-11510
99001007 Kritikus – 5 PL2 A Junos OS J-Web helyi fájlbefoglalási kísérlete CVE-2020-1631
99001008 Kritikus – 5 PL2 Megkísérelt Fortinet-útvonal bejárása CVE-2018-13379
99001009 Kritikus – 5 PL2 Kísérlet Apache Struts ognl injektálásra CVE-2017-5638
99001010 Kritikus – 5 PL2 Kísérlet tett Apache struts ognl injekcióra CVE-2017-12611
99001011 Kritikus – 5 PL2 Az Oracle WebLogic elérési útja CVE-2020-14882 bejárása
99001012 Kritikus – 5 PL2 Kísérlet a Telerik WebUI nem biztonságos deszerializálásának kihasználására CVE-2019-18935
99001013 Kritikus – 5 PL2 Kísérlet a SharePoint nem biztonságos XML-deszerializálására CVE-2019-0604
99001014 Kritikus – 5 PL2 A Spring Cloud útválasztási kifejezésének CVE-2022-22963-as injektálása
99001015 Kritikus – 5 PL2 A Spring Framework nem biztonságos osztályobjektum-kihasználásának kísérlete CVE-2022-22965
99001016 Kritikus – 5 PL2 Kísérlet a Spring Cloud Gateway Actuator injektálására CVE-2022-22947
99001017* Nincs adat. Nincs adat. Apache Struts-fájlfeltöltési kísérlet CVE-2023-50164

* A szabály művelete alapértelmezés szerint naplózás. Állítsa a műveletet Letiltásra az Apache Struts sebezhetőségének megelőzése érdekében. Ehhez a szabályhoz az Anomália Pontszám nem támogatott.

Feljegyzés

A WAF naplóinak áttekintésekor előfordulhat, hogy a szabályazonosító 949110. A szabály leírása tartalmazhat bejövő anomáliapontszám túllépését.

Ez a szabály azt jelzi, hogy a kérelem összes rendellenességi pontszáma túllépte a maximális megengedett pontszámot. További információ: Anomália pontszámai.

A következő szabálykészletek – a CRS 3.0 és a CRS 2.2.9 csoportok és szabályok már nem támogatottak az Application Gatewayen futó Azure Web Application Firewallban. Javasoljuk, hogy frissítsen a DRS 2.1/CRS 3.2-re

3.0-s szabálykészletek

Általános

Szabályazonosító Leírás
200004 Lehetséges több részből álló nem egyező határérték

ISMERT CVES

Szabályazonosító Leírás
800100 Szabály a CVE-2021-44228, CVE-2021-45046 log4j biztonsági rés észleléséhez és elhárításához
800110 Spring4Shell-interakciós kísérlet
800111 Spring Cloud útválasztási kifejezés injektálásának kísérlete – CVE-2022-22963
800112 A Spring Framework nem biztonságos osztályobjektum biztonsági rést kihasználó kísérlet – CVE-2022-22965
800113 Spring Cloud Gateway-működtető injektálásának kísérlete – CVE-2022-22947

KÉRÉS-911-METHOD-ENFORCEMENT

Szabályazonosító Leírás
911100 A szabályzat nem engedélyezi a metódust

REQUEST-913-SCANNER-DETECTION

Szabályazonosító Leírás
913100 A biztonsági szkennerhez társított felhasználói ügynököt találta
913110 A biztonsági ellenőrzőhöz társított kérésfejléc található
913120 A biztonsági képolvasóhoz társított kérelemfájlnév/argumentum található
913101 A szkripteléshez/általános HTTP-ügyfélhez társított felhasználóügynök található
913102 Webbejáróhoz/robothoz társított felhasználói ügynök

REQUEST-920-PROTOCOL-ENFORCEMENT

Szabályazonosító Leírás
920100 Érvénytelen HTTP-kérelemsor
920130 Nem sikerült elemezni a kérelem törzsét
920140 A többrészes kérelem törzse nem tudott szigorú ellenőrzést végrehajtani
920160 A Content-Length HTTP-fejléc nem numerikus
920170 A GET vagy HEAD kérés törzstartalommal
920180 POST-kérelem hiányzó tartalomhosszúságú fejléc
920190 Tartomány = Érvénytelen utolsó bájt érték
920210 Többszörös/ütköző kapcsolati fejléc adatok találhatók
920220 URL-kódolási visszaélések támadási kísérlete
920240 URL-kódolási visszaélések támadási kísérlete
920250 UTF8 kódolási visszaélés támadási kísérlet
920260 Unicode teljes/félszélességű visszaéléses támadási kísérlet
920270 Érvénytelen karakter a kérelemben (null karakter)
920280 Gazdagépfejléc hiányának kérése
920290 Üres gazdagépfejléc
920310 A kérelem üres elfogadási fejlécet kapott
920311 A kérelem üres elfogadási fejlécet kapott
920330 A felhasználói ügynök fejlécének kiürítése
920340 Tartalommal kapcsolatos kérés, de hiányzik a tartalomtípus fejléce
920350 A gazdagépfejléc egy numerikus IP-cím
920380 Túl sok argumentum a kérelemben
920360 Argumentumnév túl hosszú
920370 Argumentum értéke túl hosszú
920390 Az argumentumok teljes mérete túllépve
920400 A feltöltött fájl mérete túl nagy
920410 A feltöltött fájlok teljes mérete túl nagy
920420 A szabályzat nem engedélyezi a tartalomtípus kérését
920430 A SZABÁLYZAT nem engedélyezi a HTTP protokoll verzióját
920440 Az URL-fájlkiterjesztést szabályzat korlátozza
920450 A HTTP-fejlécet házirend korlátozza (%@{MATCHED_VAR})
920200 Tartomány = Túl sok mező (6 vagy több)
920201 Range = Túl sok mező pdf-kérelemhez (35 vagy több)
920230 Több URL-kódolás észlelhető
920300 Az elfogadási fejléc hiányzó kérése
920271 Érvénytelen karakter a kérelemben (nem nyomtatható karakterek)
920320 Hiányzó felhasználói ügynök fejléce
920272 Érvénytelen karakter a kérelemben (az ascii 127 alatti nyomtatható karakteren kívül)
920202 Range = Túl sok mező pdf-kérelemhez (6 vagy több)
920273 Érvénytelen karakter a kérelemben (a nagyon szigorú készleten kívül)
920274 Érvénytelen karakter a kérelemfejlécekben (a nagyon szigorú készleten kívül)
920460 Rendellenes feloldó karakterek

REQUEST-921-PROTOCOL-ATTACK

Szabályazonosító Leírás
921100 HTTP-kérések csempészeti támadása
921110 HTTP-kérések csempészeti támadása
921120 HTTP-válasz felosztási támadása
921130 HTTP-válasz felosztási támadása
921140 HTTP-fejlécinjektálási támadás fejléceken keresztül
921150 HTTP-fejlécinjektálási támadás hasznos adatokkal (CR/LF észlelve)
921160 HTTP-fejlécinjektálási támadás hasznos adatokon keresztül (CR/LF és fejlécnév észlelhető)
921151 HTTP-fejlécinjektálási támadás hasznos adatokkal (CR/LF észlelve)
921170 HTTP-paraméter szennyezése
921180 HTTP-paraméterszennyezés (%@{TX.1})

REQUEST-930-APPLICATION-ATTACK-LFI

Szabályazonosító Leírás
930100 Path Traversal Attack (/.. /)
930110 Path Traversal Attack (/.. /)
930120 Operációsrendszer-fájlelérési kísérlet
930130 Korlátozott fájlelérési kísérlet

KÉRELEM-931-ALKALMAZÁS-ATTACK-RFI

Szabályazonosító Leírás
931100 Lehetséges távoli fájlbefoglalási (RFI) támadás = URL-paraméter IP-címmel
931110 Lehetséges távoli fájlbefoglalási (RFI) támadás = Gyakori RFI sebezhető paraméternév használt w/URL hasznos adat
931120 Lehetséges távoli fájlbefoglalási (RFI) támadás = URL-hasznos adat használt w/záró kérdőjel karakter (?)
931130 Lehetséges távoli fájlbefoglalási (RFI) támadás = tartományon kívüli hivatkozás/hivatkozás

REQUEST-932-APPLICATION-ATTACK-RCE

Szabályazonosító Leírás
932120 Távoli parancsvégrehajtás = Windows PowerShell-parancs található
932130 Application Gateway WAF v2: Távoli parancsvégrehajtás: Unix Shell-kifejezés vagy Confluence Biztonsági Rés (CVE-2022-26134) vagy Text4Shell (CVE-2022-42889) azonosítva lett

Application Gateway WAF v1: Távoli parancsvégrehajtás: Unix Shell-kifejezés
932140 Távoli parancsvégrehajtás = Windows FOR/IF parancs található
932160 Távoli parancsvégrehajtás = Unix Shell-kód található
932170 Távoli parancsvégrehajtás = Shellshock (CVE-2014-6271)
932171 Távoli parancsvégrehajtás = Shellshock (CVE-2014-6271)

REQUEST-933-APPLICATION-ATTACK-PHP

Szabályazonosító Leírás
933100 PHP-injektálási támadás = Nyitó/záró címke található
933110 PHP-injektálási támadás = PHP-szkriptfájl feltöltése található
933120 PHP-injektálási támadás = Konfigurációs irányelv található
933130 PHP-injektálási támadás = Változók találhatók
933150 PHP-injektálási támadás = Magas kockázatú PHP-függvény neve található
933160 PHP-injektálási támadás = magas kockázatú PHP-függvényhívás található
933180 PHP-injektálási támadás = változófüggvény hívása
933151 PHP-injektálási támadás = Közepes kockázatú PHP-függvény neve található
933131 PHP-injektálási támadás = Változók találhatók
933161 PHP-injektálási támadás = alacsony értékű PHP-függvényhívás található
933111 PHP-injektálási támadás = PHP-szkriptfájl feltöltése található

REQUEST-941-APPLICATION-ATTACK-XSS

Szabályazonosító Leírás
941100 XSS-támadás észlelése libinjection használatával
941110 XSS-szűrő – 1. kategória = szkriptcímke-vektor
941130 XSS-szűrő – 3. kategória = attribútumvektor
941140 XSS-szűrő – 4. kategória = JavaScript URI-vektor
941150 XSS-szűrő – 5. kategória = Letiltott HTML-attribútumok
941180 Node-Validator blocklist kulcsszavak
941190 XSS stíluslapok használatával
941200 XSS VML-keretek használatával
941210 Obfuszkált JavaScript vagy Text4Shell használatával végzett XSS (CVE-2022-42889)
941220 XSS obfuscated VB Script használatával
941230 XSS beágyazás címkével
941240 XSS az "import" vagy a "implementálás" attribútum használatával
941260 XSS a "meta" címkével
941270 XSS a "link" href használatával
941280 XSS az "alap" címkével
941290 XSS az "applet" címkével
941300 XSS objektumcímke használatával
941310 US-ASCII hibás kódolású XSS-szűrő – Támadás észlelhető
941330 IE XSS-szűrők – Támadás észlelhető
941340 IE XSS-szűrők – Támadás észlelhető
941350 UTF-7 kódolási IE XSS – Támadás észlelhető
941320 Lehetséges XSS-támadás észlelhető – HTML-címkekezelő

REQUEST-942-APPLICATION-ATTACK-SQLI

Szabályazonosító Leírás
942100 Lib használatával észlelt SQL-injektálási támadás
942110 SQL-injektálási támadás: Gyakori injektálási tesztelés észlelhető
942130 SQL-injektálási támadás: Sql Tautology észlelve
942140 SQL-injektálási támadás = Gyakori ADATBÁZIS-nevek észlelhetők
942160 Vak SQLi-teszteket észlel sleep() vagy benchmark() használatával
942170 Észleli az SQL-teljesítménytesztet és az alvásinjektálási kísérleteket, beleértve a feltételes lekérdezéseket is
942190 MSSQL-kódvégrehajtási és információgyűjtési kísérleteket észlel
942200 Észleli a MySQL comment-/space-obfuscated injektálását és a backtick megszakítását
942230 Feltételes SQL-injektálási kísérleteket észlel
942260 Észleli az alapszintű SQL-hitelesítési megkerülési kísérleteket 2/3
942270 Alapszintű SQL-injektálást keres. Mysql Oracle és mások gyakori támadási sztringje
942290 Alapszintű MongoDB SQL-injektálási kísérletek keresése
942300 MySQL-megjegyzések, feltételek és ch(a)r injektálások észlelése
942310 Láncolt SQL-injektálási kísérleteket észlel 2/2
942320 Észleli a MySQL- és PostgreSQL-tárolt eljárásokat/függvényinjektálásokat
942330 A klasszikus SQL-injektálási próbaidőket észleli 1/2
942340 Alapszintű SQL-hitelesítési megkerülési kísérletek észlelése 3/3
942350 Észleli a MySQL UDF-injektálását és más adat-/struktúramanipulációs kísérleteket
942360 Az összefűzött alapszintű SQL-injektálási és SQLLFI-kísérleteket észleli
942370 A klasszikus SQL-injektálási 2/2-et észleli
942150 SQL-injektálási támadás
942410 SQL-injektálási támadás
942430 Korlátozott SQL-karakter anomáliadetektálása (args): a speciális karakterek száma túllépve (12)
942440 SQL-megjegyzésütemezés észlelhető
942450 Azonosított SQL Hex-kódolás
942251 A HAVING injekciókat észleli
942460 Metakarakterek anomáliadetektálási riasztása – Ismétlődő, nem word karakterek

REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION

Szabályazonosító Leírás
943100 Lehetséges munkamenet-javítási támadás = Cookie-értékek beállítása HTML-ben
943110 Lehetséges munkamenet-javítási támadás = SessionID paraméternév tartományon kívüli hivatkozóval
943120 Lehetséges munkamenet-javítási támadás = SessionID paraméter neve hivatkozó nélkül

Kapcsolódó tartalom