Olvasás angol nyelven

Megosztás a következőn keresztül:

Webalkalmazási tűzfal DRS- és CRS-szabálycsoportjai és szabályai

  • Cikk

Az Application Gateway webalkalmazási tűzfalának (WAF) Azure által felügyelt szabálykészletei aktívan védik a webalkalmazásokat a gyakori biztonsági résekkel és biztonsági résekkel szemben. Ezek az Azure által felügyelt szabálykészletek szükség szerint frissítéseket kapnak az új támadási aláírások elleni védelemhez. Az alapértelmezett szabálykészlet tartalmazza a Microsoft Threat Intelligence Collection szabályait is. A Microsoft Intelligence csapata együttműködik ezeknek a szabályoknak a megírásában, biztosítva a fokozott lefedettséget, a speciális sebezhetőségi javításokat és a jobb hamis pozitív csökkentést.

Az OWASP 3.2-, 3.1-, 3.0-s vagy 2.2.9-s alapvető szabálykészletei alapján definiált szabályokat is használhat.

A szabályokat külön-külön is letilthatja, vagy az egyes szabályokhoz meghatározott műveleteket állíthat be. Ez a cikk az aktuálisan elérhető szabályokat és szabálykészleteket sorolja fel. Ha egy közzétett szabálykészlet frissítésre van szükség, itt dokumentáljuk.

Megjegyzés

Ha egy szabálykészlet-verzió módosul egy WAF-házirendben, a szabálykészleten végrehajtott meglévő testreszabások az új szabálykészlet alapértelmezett beállításaira lesznek visszaállítva. Lásd: A szabálykészlet verziójának frissítése vagy módosítása.

Alapértelmezett szabálykészletek

Az Azure által felügyelt alapértelmezett szabálykészlet (DRS) a következő fenyegetéskategóriákra vonatkozó szabályokat tartalmaz:

  • Webhelyek közötti, szkriptalapú támadás
  • Java-támadások
  • Helyi fájlbefoglalás
  • PHP-injektálási támadások
  • Távoli parancsvégrehajtás
  • Távolifájl-beszúrás
  • Munkamenet-javítás
  • SQL-injektálás elleni védelem
  • Protokoll támadói A DRS-növekmények verziószáma, amikor új támadási aláírásokat adnak hozzá a szabálykészlethez.

Microsoft Threat Intelligence Collection-szabályok

A Microsoft Threat Intelligence Collection szabályai a Microsoft Threat Intelligence csapatával együttműködve vannak megírva, hogy nagyobb lefedettséget, adott biztonsági rések javítását és jobb hamis pozitív csökkentést biztosítsanak.

Megjegyzés

Az alábbi útmutatással hangolhatja a WAF-ot a 2.1-nek az Application Gateway WAF-en való használatbavétele során. A szabályok részleteit a következő szakaszban ismertetjük.

Szabályazonosító Szabálycsoport Leírás Részletek
942110 SQLI SQL-injektálási támadás: Gyakori injektálási tesztelés észlelhető MsTIC-szabály letiltása, lecserélése 99031001
942150 SQLI SQL-injektálási támadás MsTIC-szabály letiltása, lecserélése 99031003
942260 SQLI Észleli az alapszintű SQL-hitelesítési megkerülési kísérleteket 2/3 MsTIC-szabály letiltása, lecserélése 99031004
942430 SQLI Korlátozott SQL-karakter anomáliadetektálása (args): a speciális karakterek száma túllépve (12) Tiltsa le, túl sok hamis pozitív.
942440 SQLI SQL-megjegyzésütemezés észlelhető MsTIC-szabály letiltása, lecserélése 99031002
99005006 MS-ThreatIntel-WebShells Spring4Shell-interakciós kísérlet A Szabály engedélyezése a SpringShell biztonsági résének megelőzéséhez
99001014 MS-ThreatIntel-CVEs A Spring Cloud útválasztási kifejezésének CVE-2022-22963-as injektálása A Szabály engedélyezése a SpringShell biztonsági résének megelőzéséhez
99001015 MS-ThreatIntel-WebShells A Spring Framework nem biztonságos osztályobjektum-kihasználása CVE-2022-22965 A Szabály engedélyezése a SpringShell biztonsági résének megelőzéséhez
99001016 MS-ThreatIntel-WebShells A Spring Cloud Gateway Actuator injektálása CVE-2022-22947 A Szabály engedélyezése a SpringShell biztonsági résének megelőzéséhez
99001017 MS-ThreatIntel-CVEs Apache Struts-fájlfeltöltési kísérlet CVE-2023-50164 Állítsa be a Letiltás műveletet az Apache Struts biztonsági résének megelőzéséhez. A szabály anomáliadetektációja nem támogatott.

Alapvető szabálykészletek

Az Application Gateway WAF alapértelmezés szerint a CRS 3.2-es verziójával van előre konfigurálva, de bármely más támogatott CRS-verziót is használhat.

A CRS 3.2 új motort és új szabálykészleteket kínál a Java-injektálások ellen, a fájlfeltöltési ellenőrzések kezdeti készletét, és kevesebb hamis pozitív értéket kínál a CRS korábbi verzióihoz képest. A szabályokat igényeinek megfelelően testre is szabhatja. További információ az új Azure WAF-motorról.

Szabályok kezelése

A WAF a következő webes biztonsági résekkel szemben véd:

  • SQL-injektálási támadások
  • Helyek közötti szkriptelési támadások
  • Egyéb gyakori támadások, például parancsinjektálás, HTTP-kérések csempészése, HTTP-válasz felosztása és távoli fájlbefoglalás
  • HTTP-protokoll megsértései
  • HTTP-protokoll rendellenességei, például hiányzó gazdafelhasználói ügynök és fejlécek elfogadása
  • Robotprogramok, webbejárók és képolvasók
  • Gyakori alkalmazáskonfigurációk (például Apache és IIS)

Felügyelt szabálykészletek hangolása

A DRS és a CRS alapértelmezés szerint engedélyezve van észlelési módban a WAF-házirendekben. Az alkalmazás követelményeinek megfelelően letilthatja vagy engedélyezheti az egyes szabályokat a felügyelt szabálykészleten belül. Szabályonként meghatározott műveleteket is beállíthat. A DRS/CRS támogatja a blokk-, napló- és anomáliapontozási műveleteket. A Bot Manager-szabálykészlet támogatja az engedélyezési, blokk- és naplóműveleteket.

Előfordulhat, hogy bizonyos kérésattribútumokat ki kell hagynia egy WAF-értékelésből. Gyakori példa a hitelesítéshez használt Active Directory-beszúrt jogkivonatok. A kizárásokat úgy konfigurálhatja, hogy adott WAF-szabályok kiértékelésekor alkalmazhatók legyenek, vagy globálisan alkalmazzanak az összes WAF-szabály értékelésére. A kizárási szabályok a teljes webalkalmazásra vonatkoznak. További információ: Webalkalmazási tűzfal (WAF) az Application Gateway kizárási listáival.

Alapértelmezés szerint a DRS 2.1/CRS 3.2-es és újabb verziója anomáliademikrációt használ, ha egy kérelem megfelel egy szabálynak. A CRS 3.1 és az alábbi verzió alapértelmezés szerint blokkolja az egyező kéréseket. Emellett az egyéni szabályok ugyanabban a WAF-házirendben is konfigurálhatók, ha meg szeretné kerülni az alapszabálykészlet egyik előre konfigurált szabályát.

A rendszer mindig egyéni szabályokat alkalmaz az alapvető szabálykészlet szabályainak kiértékelése előtt. Ha egy kérelem egyezik egy egyéni szabálysal, a rendszer alkalmazza a megfelelő szabályműveletet. A kérés le van tiltva, vagy továbbítva van a háttérrendszernek. A rendszer nem dolgoz fel más egyéni szabályokat vagy az alapvető szabálykészletben lévő szabályokat.

Anomáliák pontozása

A CRS vagy a DRS 2.1 és újabb verziók használatakor a WAF alapértelmezés szerint anomália-pontozás használatára van konfigurálva. A szabálynak megfelelő forgalom nem lesz azonnal blokkolva, még akkor sem, ha a WAF megelőzési módban van. Ehelyett az OWASP-szabálykészletek minden szabályhoz definiálnak súlyosságot: Kritikus, Hiba, Figyelmeztetés vagy Figyelmeztetés. A súlyosság hatással van a kérelem numerikus értékére, amelyet anomáliának nevezünk:

Szabály súlyossága Az anomáliához hozzájárult érték
Kritikus 5
Hiba 4
Figyelmeztetés 3
Értesítés 2

Ha az anomália pontszáma 5 vagy nagyobb, és a WAF megelőzési módban van, a kérés le lesz tiltva. Ha az anomáliadetektálási pontszám 5 vagy nagyobb, és a WAF észlelési módban van, a rendszer naplózza a kérést, de nem tiltja le.

Például egyetlen kritikus szabályegyeztetés elegendő ahhoz, hogy a WAF letiltsa a kéréseket megelőzési módban, mivel az általános anomáliadetikus pontszám 5. Egy figyelmeztetési szabály egyezése azonban csak 3-tal növeli az anomáliapontot, ami önmagában nem elegendő a forgalom blokkolásához. A rendellenességi szabály aktiválásakor a naplókban egy "Egyeztetett" művelet jelenik meg. Ha az anomáliadetektálási pontszám 5 vagy annál nagyobb, egy külön szabály aktiválódik "Letiltva" vagy "Észlelt" művelettel attól függően, hogy a WAF-szabályzat megelőzési vagy észlelési módban van-e. További információ: Anomália pontozási mód.

A szabálykészlet verziójának frissítése vagy módosítása

Ha frissít vagy új szabálykészlet-verziót rendel hozzá, és meg szeretné őrizni a meglévő szabály felülbírálásokat és kizárásokat, javasoljuk, hogy a Szabálykészlet verziómódosításaihoz a PowerShellt, a parancssori felületet, a REST API-t vagy egy sablont használjon. A szabálykészletek új verziójában lehetnek újabb szabályok, további szabálycsoportok, és a meglévő aláírások frissítései is lehetnek a nagyobb biztonság és a hamis pozitív értékek csökkentése érdekében. Ajánlott ellenőrizni a tesztkörnyezet változásait, szükség esetén finomhangolni, majd éles környezetben üzembe helyezni.

Megjegyzés

Ha az Azure Portal használatával rendel hozzá egy új felügyelt szabálykészletet egy WAF-szabályzathoz, a meglévő felügyelt szabálykészlet összes korábbi testreszabása, például a szabályállapot, a szabályműveletek és a szabályszintű kizárások visszaállítódnak az új felügyelt szabálykészlet alapértelmezett beállításaira. Az egyéni szabályok, szabályzatbeállítások és globális kizárások azonban nem változnak az új szabálykészlet-hozzárendelés során. Éles környezetben való üzembe helyezés előtt újra kell definiálnia a szabály felülbírálásait és ellenőriznie kell a módosításokat.

DRS 2.1

A DRS 2.1-szabályok jobb védelmet nyújtanak, mint a DRS korábbi verziói. A Microsoft Threat Intelligence csapata által kifejlesztett további szabályokat és az aláírások frissítését tartalmazza a hamis pozitív értékek csökkentése érdekében. Emellett az URL-dekódoláson túl az átalakításokat is támogatja.

A DRS 2.1 17 szabálycsoportot tartalmaz az alábbi táblázatban látható módon. Minden csoport több szabályt tartalmaz, és testre szabhatja az egyes szabályok, szabálycsoportok vagy teljes szabálykészletek viselkedését. A DRS 2.1 az Open Web Application Security Project (OWASP) Core Rule Set (CRS) 3.3.2-hez készült, és a Microsoft Threat Intelligence csapata által kifejlesztett további védett védelmi szabályokat tartalmaz.

Szabálycsoport ruleGroupName Leírás
Általános Általános Általános csoport
METÓDUS-KÉNYSZERÍTÉS METÓDUS-KÉNYSZERÍTÉS Zárolási módszerek (PUT, PATCH)
PROTOKOLL-KÉNYSZERÍTÉS PROTOKOLL-KÉNYSZERÍTÉS Védelem protokoll- és kódolási problémák ellen
PROTOKOLL-TÁMADÁS PROTOKOLL-TÁMADÁS Védelem a fejlécinjektálás, a csempészet és a válasz felosztása ellen
APPLICATION-ATTACK-LFI LFI Védelem fájl- és elérésiút-támadások ellen
APPLICATION-ATTACK-RFI RFI Védelem a távoli fájlbefoglalási (RFI) támadások ellen
APPLICATION-ATTACK-RCE RCE A távoli kódvégrehajtási támadások ismételt védelme
APPLICATION-ATTACK-PHP PHP Védelem a PHP-injektálási támadások ellen
APPLICATION-ATTACK-NodeJS NODEJS Védelem a Node JS-támadások ellen
APPLICATION-ATTACK-XSS XSS Védelem a helyek közötti szkriptelési támadások ellen
APPLICATION-ATTACK-SQLI SQLI Védelem az SQL-injektálási támadások ellen
APPLICATION-ATTACK-SESSION-FIXATION FIX Védelem a munkamenet-rögzítési támadások ellen
APPLICATION-ATTACK-SESSION-JAVA JÁVA Védelem JAVA-támadások ellen
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Védelem a webes rendszerhéj-támadások ellen
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec Védelem az AppSec-támadások ellen
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI Védelem az SQLI-támadások ellen
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs Védelem a CVE-támadások ellen

OWASP CRS 3.2

A CRS 3.2 14 szabálycsoportot tartalmaz az alábbi táblázatban látható módon. Minden csoport több szabályt tartalmaz, amelyek letilthatók. A szabálykészlet az OWASP CRS 3.2.0-s verzióján alapul.

Megjegyzés

A CRS 3.2 csak a WAF_v2 termékváltozatban érhető el. Mivel a CRS 3.2 az új Azure WAF-motoron fut, nem válthat crS 3.1-es vagy korábbi verzióra. Ha vissza kell lépnie, lépjen kapcsolatba az Azure ügyfélszolgálatával.

Szabálycsoport neve Leírás
Általános Általános csoport
ISMERT CVES Segítség az új és ismert CVE-k észleléséhez
REQUEST-911-METHOD-ENFORCEMENT Zárolási módszerek (PUT, PATCH)
REQUEST-913-SCANNER-DETECTION Port- és környezetszkennerek elleni védelem
REQUEST-920-PROTOCOL-ENFORCEMENT Védelem protokoll- és kódolási problémák ellen
REQUEST-921-PROTOCOL-ATTACK Védelem a fejlécinjektálás, a csempészet és a válasz felosztása ellen
REQUEST-930-APPLICATION-ATTACK-LFI Védelem fájl- és elérésiút-támadások ellen
REQUEST-931-APPLICATION-ATTACK-RFI Védelem a távoli fájlbefoglalási (RFI) támadások ellen
REQUEST-932-APPLICATION-ATTACK-RCE A távoli kódvégrehajtási támadások ismételt védelme
REQUEST-933-APPLICATION-ATTACK-PHP Védelem a PHP-injektálási támadások ellen
REQUEST-941-APPLICATION-ATTACK-XSS Védelem a helyek közötti szkriptelési támadások ellen
REQUEST-942-APPLICATION-ATTACK-SQLI Védelem az SQL-injektálási támadások ellen
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Védelem a munkamenet-rögzítési támadások ellen
REQUEST-944-APPLICATION-ATTACK-JAVA Védelem JAVA-támadások ellen

OWASP CRS 3.1

A CRS 3.1 14 szabálycsoportot tartalmaz az alábbi táblázatban látható módon. Minden csoport több szabályt tartalmaz, amelyek letilthatók. A szabálykészlet az OWASP CRS 3.1.1-es verzióján alapul.

Megjegyzés

A CRS 3.1 csak a WAF_v2 termékváltozatban érhető el.

Szabálycsoport neve Leírás
Általános Általános csoport
ISMERT CVES Segítség az új és ismert CVE-k észleléséhez
REQUEST-911-METHOD-ENFORCEMENT Zárolási módszerek (PUT, PATCH)
REQUEST-913-SCANNER-DETECTION Port- és környezetszkennerek elleni védelem
REQUEST-920-PROTOCOL-ENFORCEMENT Védelem protokoll- és kódolási problémák ellen
REQUEST-921-PROTOCOL-ATTACK Védelem a fejlécinjektálás, a csempészet és a válasz felosztása ellen
REQUEST-930-APPLICATION-ATTACK-LFI Védelem fájl- és elérésiút-támadások ellen
REQUEST-931-APPLICATION-ATTACK-RFI Védelem a távoli fájlbefoglalási (RFI) támadások ellen
REQUEST-932-APPLICATION-ATTACK-RCE A távoli kódvégrehajtási támadások ismételt védelme
REQUEST-933-APPLICATION-ATTACK-PHP Védelem a PHP-injektálási támadások ellen
REQUEST-941-APPLICATION-ATTACK-XSS Védelem a helyek közötti szkriptelési támadások ellen
REQUEST-942-APPLICATION-ATTACK-SQLI Védelem az SQL-injektálási támadások ellen
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Védelem a munkamenet-rögzítési támadások ellen
REQUEST-944-APPLICATION-ATTACK-SESSION-JAVA Védelem JAVA-támadások ellen

OWASP CRS 3.0

A CRS 3.0 13 szabálycsoportot tartalmaz az alábbi táblázatban látható módon. Minden csoport több szabályt tartalmaz, amelyek letilthatók. A szabálykészlet az OWASP CRS 3.0.0-s verzióján alapul.

Megjegyzés

A CRS 3.0 és az alacsonyabb szabálykészlet-verziók már nem támogatottak az új WAF-szabályzatok esetében. Javasoljuk, hogy frissítsen a LEGÚJABB CRS 3.2/DRS 2.1 és újabb verziókra.

Szabálycsoport neve Leírás
Általános Általános csoport
ISMERT CVES Segítség az új és ismert CVE-k észleléséhez
REQUEST-911-METHOD-ENFORCEMENT Zárolási módszerek (PUT, PATCH)
REQUEST-913-SCANNER-DETECTION Port- és környezetszkennerek elleni védelem
REQUEST-920-PROTOCOL-ENFORCEMENT Védelem protokoll- és kódolási problémák ellen
REQUEST-921-PROTOCOL-ATTACK Védelem a fejlécinjektálás, a csempészet és a válasz felosztása ellen
REQUEST-930-APPLICATION-ATTACK-LFI Védelem fájl- és elérésiút-támadások ellen
REQUEST-931-APPLICATION-ATTACK-RFI Védelem a távoli fájlbefoglalási (RFI) támadások ellen
REQUEST-932-APPLICATION-ATTACK-RCE A távoli kódvégrehajtási támadások ismételt védelme
REQUEST-933-APPLICATION-ATTACK-PHP Védelem a PHP-injektálási támadások ellen
REQUEST-941-APPLICATION-ATTACK-XSS Védelem a helyek közötti szkriptelési támadások ellen
REQUEST-942-APPLICATION-ATTACK-SQLI Védelem az SQL-injektálási támadások ellen
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Védelem a munkamenet-rögzítési támadások ellen

OWASP CRS 2.2.9

A CRS 2.2.9 10 szabálycsoportot tartalmaz az alábbi táblázatban látható módon. Minden csoport több szabályt tartalmaz, amelyek letilthatók.

Megjegyzés

A CRS 2.2.9 már nem támogatott az új WAF-szabályzatok esetében. Javasoljuk, hogy frissítsen a LEGÚJABB CRS 3.2/DRS 2.1 és újabb verziókra.

Szabálycsoport neve Leírás
crs_20_protocol_violations Védelem protokollsértések ellen (például érvénytelen karakterek vagy GET kéréstörzs esetén)
crs_21_protocol_anomalies Védelem helytelen fejlécadatok ellen
crs_23_request_limits Védelem a korlátozásokat túllépő argumentumokkal vagy fájlokkal szemben
crs_30_http_policy Védelem korlátozott metódusok, fejlécek és fájltípusok ellen
crs_35_bad_robots Védelem webbejárók és képolvasók ellen
crs_40_generic_attacks Védelem általános támadások ellen (például munkamenet-javítás, távoli fájlbefoglalás és PHP-injektálás)
crs_41_sql_injection_attacks Védelem az SQL-injektálási támadások ellen
crs_41_xss_attacks Védelem a helyek közötti szkriptelési támadások ellen
crs_42_tight_security Védelem az útvonal-bejárási támadások ellen
crs_45_trojans Védelem a backdoor trójaiak ellen

Bot Manager 1.0

A Bot Manager 1.0 szabálykészlet védelmet nyújt a rosszindulatú robotok ellen, és észleli a jó robotokat. A szabályok részletes vezérlést biztosítanak a WAF által észlelt robotok felett a robotforgalom jó, rossz vagy ismeretlen robotként való kategorizálásával.

Szabálycsoport Leírás
BadBots Védelem a rossz robotok ellen
GoodBots A jó robotok azonosítása
UnknownBots Ismeretlen robotok azonosítása

Bot Manager 1.1

A Bot Manager 1.1 szabálykészlet a Bot Manager 1.0 szabálykészlet továbbfejlesztése. Továbbfejlesztett védelmet nyújt a rosszindulatú robotok ellen, és növeli a robotok megfelelő észlelését.

Szabálycsoport Leírás
BadBots Védelem a rossz robotok ellen
GoodBots A jó robotok azonosítása
UnknownBots Ismeretlen robotok azonosítása

Az alábbi szabálycsoportok és szabályok érhetők el az Application Gateway webalkalmazási tűzfalának használatakor.

2.1 szabálykészletek

Általános

Szabályazonosító Leírás
200002 Nem sikerült elemezni a kérelem törzsét.
200003 A többrészes kérelem törzse nem tudott szigorú ellenőrzést végrehajtani

METÓDUS KÉNYSZERÍTÉSE

Szabályazonosító Leírás
911100 A szabályzat nem engedélyezi a metódust

PROTOKOLL-KÉNYSZERÍTÉS

Szabályazonosító Leírás
920100 Érvénytelen HTTP-kérelemsor
920120 Többrészes/űrlapadat-megkerülési kísérlet
920121 Többrészes/űrlapadat-megkerülési kísérlet
920160 A Content-Length HTTP-fejléc nem numerikus.
920170 GET vagy HEAD kérés törzstartalommal.
920171 GET vagy HEAD kérés átvitelkódolással.
920180 POST-kérelem hiányzó tartalomhosszúságú fejléc.
920181 Tartalomhosszúságú és átviteli kódolású fejlécek 99001003
920190 Tartomány: Érvénytelen utolsó bájtérték.
920200 Tartomány: Túl sok mező (6 vagy több)
920201 Tartomány: Túl sok mező pdf-kérelemhez (35 vagy több)
920210 Több/ütköző kapcsolatfejléc-adat található.
920220 URL-kódolási visszaélések támadási kísérlete
920230 Több URL-kódolás észlelhető
920240 URL-kódolási visszaélések támadási kísérlete
920260 Unicode teljes/félszélességű visszaéléses támadási kísérlet
920270 Érvénytelen karakter a kérelemben (null karakter)
920271 Érvénytelen karakter a kérelemben (nem nyomtatható karakterek)
920280 Gazdagépfejléc hiányának kérése
920290 Üres gazdagépfejléc
920300 Az elfogadási fejléc hiányzó kérése
920310 A kérelem üres elfogadási fejlécet kapott
920311 A kérelem üres elfogadási fejlécet kapott
920320 Hiányzó felhasználói ügynök fejléce
920330 A felhasználói ügynök fejlécének kiürítése
920340 Tartalommal kapcsolatos kérés, de hiányzik a tartalomtípus fejléce
920341 A tartalmat tartalmazó kérelemhez tartalomtípus-fejléc szükséges
920350 A gazdagépfejléc egy numerikus IP-cím
920420 A szabályzat nem engedélyezi a tartalomtípus kérését
920430 A SZABÁLYZAT nem engedélyezi a HTTP protokoll verzióját
920440 Az URL-fájlkiterjesztést szabályzat korlátozza
920450 A HTTP-fejlécet szabályzat korlátozza
920470 Érvénytelen tartalomtípus fejléce
920480 A szabályzat nem engedélyezi a tartalomtípus-karakterkészlet kérését
920500 Biztonsági mentési vagy munkafájl elérése

PROTOKOLL-TÁMADÁS

Szabályazonosító Leírás
921110 HTTP-kérések csempészeti támadása
921120 HTTP-válasz felosztási támadása
921130 HTTP-válasz felosztási támadása
921140 HTTP-fejlécinjektálási támadás fejléceken keresztül
921150 HTTP-fejlécinjektálási támadás hasznos adatokkal (CR/LF észlelve)
921151 HTTP-fejlécinjektálási támadás hasznos adatokkal (CR/LF észlelve)
921160 HTTP-fejlécinjektálási támadás hasznos adatokon keresztül (CR/LF és fejlécnév észlelhető)
921190 HTTP-felosztás (CR/LF a kérelemfájlnév észlelésekor)
921200 LDAP-injektálási támadás

LFI – Helyi fájlbefoglalás

Szabályazonosító Leírás
930100 Path Traversal Attack (/.. /)
930110 Path Traversal Attack (/.. /)
930120 Operációsrendszer-fájlelérési kísérlet
930130 Korlátozott fájlelérési kísérlet

RFI – Távoli fájlbefoglalás

Szabályazonosító Leírás
931100 Lehetséges távoli fájlbefoglalási (RFI) támadás: URL-paraméter IP-címmel
931110 Lehetséges távoli fájlbefoglalási (RFI)-támadás: Gyakori RFI sebezhető paraméternév, amelyet w/URL hasznos adatként használnak
931120 Lehetséges távoli fájlbefoglalási (RFI) támadás: URL-hasznos adat használt w/záró kérdőjel karakter (?)
931130 Lehetséges távoli fájlbefoglalási (RFI-) támadás: tartományon kívüli hivatkozás/hivatkozás

RCE – Távoli parancsvégrehajtás

Szabályazonosító Leírás
932100 Távoli parancsvégrehajtás: Unix-parancsinjektálás
932105 Távoli parancsvégrehajtás: Unix-parancsinjektálás
932110 Távoli parancsvégrehajtás: Windows parancsinjektálás
932115 Távoli parancsvégrehajtás: Windows parancsinjektálás
932120 Távoli parancsvégrehajtás: Windows PowerShell-parancs található
932130 Távoli parancsvégrehajtás: Unix Shell-kifejezés vagy confluence biztonsági rés (CVE-2022-26134) található
932140 Távoli parancsvégrehajtás: Windows FOR/IF parancs található
932150 Távoli parancsvégrehajtás: Direct Unix-parancs végrehajtása
932160 Távoli parancsvégrehajtás: Unix Shell-kód található
932170 Távoli parancsvégrehajtás: Shellshock (CVE-2014-6271)
932171 Távoli parancsvégrehajtás: Shellshock (CVE-2014-6271)
932180 Korlátozott fájlfeltöltési kísérlet

PHP-támadások

Szabályazonosító Leírás
933100 PHP-injektálási támadás: Megnyíló/záró címke található
933110 PHP-injektálási támadás: PHP-szkriptfájl feltöltése található
933120 PHP-injektálási támadás: Konfigurációs irányelv található
933130 PHP-injektálási támadás: Változók találhatók
933140 PHP-injektálási támadás: I/O-stream található
933150 PHP-injektálási támadás: Magas kockázatú PHP-függvény neve található
933151 PHP-injektálási támadás: Közepes kockázatú PHP-függvény neve található
933160 PHP-injektálási támadás: Magas kockázatú PHP-függvényhívás található
933170 PHP-injektálási támadás: Szerializált objektuminjektálás
933180 PHP-injektálási támadás: Változó függvény hívása található
933200 PHP-injektálási támadás: Burkoló séma észlelhető
933210 PHP-injektálási támadás: Változó függvény hívása található

Node JS-támadások

Szabályazonosító Leírás
934100 Node.js injektálási támadás

XSS – Helyek közötti szkriptelés

Szabályazonosító Leírás
941100 XSS-támadás észlelése libinjection használatával
941101 Az XSS-támadás libinjection használatával észlelhető.
Ez a szabály egy Referer fejléccel rendelkező kéréseket észlel.
941110 XSS-szűrő – 1. kategória: Szkriptcímke-vektor
941120 XSS-szűrő – 2. kategória: Eseménykezelő vektor
941130 XSS-szűrő – 3. kategória: Attribútumvektor
941140 XSS-szűrő – 4. kategória: JavaScript URI-vektor
941150 XSS-szűrő – 5. kategória: Letiltott HTML-attribútumok
941160 NoScript XSS InjectionChecker: HTML-injektálás
941170 NoScript XSS InjectionChecker: Attribútuminjektálás
941180 Node-Validator blocklist kulcsszavak
941190 XSS Stíluslapok használata
941200 XSS VML-keretek használatával
941210 XSS obfuscated JavaScript használatával
941220 XSS obfuscated VB Script használatával
941230 XSS beágyazás címkével
941240 XSS az "import" vagy a "implementálás" attribútum használatával
941250 IE XSS-szűrők – Támadás észlelhető.
941260 XSS a "meta" címkével
941270 XSS a "link" href használatával
941280 XSS az "alap" címkével
941290 XSS az "applet" címkével
941300 XSS objektumcímke használatával
941310 US-ASCII hibás kódolású XSS-szűrő – Támadás észlelhető.
941320 Lehetséges XSS-támadás észlelhető – HTML-címkekezelő
941330 IE XSS-szűrők – Támadás észlelhető.
941340 IE XSS-szűrők – Támadás észlelhető.
941350 UTF-7 Kódolás IE XSS – Támadás észlelhető.
941360 JavaScript-obfuscation észlelhető.
941370 JavaScript globális változó található
941380 AngularJS ügyféloldali sabloninjektálás észlelhető

SQLI – SQL-injektálás

Szabályazonosító Leírás
942100 Lib használatával észlelt SQL-injektálási támadás
942110 SQL-injektálási támadás: Gyakori injektálási tesztelés észlelhető
942120 SQL-injektálási támadás: SQL-operátor észlelhető
942130 SQL-injektálási támadás: Sql Tautology észlelve.
942140 SQL-injektálási támadás: Gyakori adatbázisnevek észlelhetők
942150 SQL-injektálási támadás
942160 Vak SQLI-teszteket észlel alvó() vagy benchmark() használatával.
942170 Észleli az SQL-teljesítménytesztet és az alvásinjektálási kísérleteket, beleértve a feltételes lekérdezéseket is
942180 Alapszintű SQL-hitelesítési megkerülési kísérletek észlelése 1/3
942190 MSSQL-kódvégrehajtási és információgyűjtési kísérleteket észlel
942200 Észleli a MySQL comment-/space-obfuscated injektálását és a backtick megszakítását
942210 Láncolt SQL-injektálási kísérleteket észlel 1/2
942220 Egész szám túlcsordulási támadásokat keres, ezeket a skipfishből veszik, kivéve a 3.0.00738585072007e-308 a "magic number" összeomlást
942230 Feltételes SQL-injektálási kísérleteket észlel
942240 Észleli a MySQL-karakterkészlet-kapcsolót és az MSSQL DoS-kísérleteket
942250 A MATCH AGAINST, MERGE és EXECUTE IMMEDIATE injektálásokat észleli
942260 Észleli az alapszintű SQL-hitelesítési megkerülési kísérleteket 2/3
942270 Alapszintű SQL-injektálást keres. A mysql, oracle és mások gyakori támadási sztringje.
942280 Észleli a Postgres pg_sleep injektálását, a késleltetési támadásokat és az adatbázis-leállítási kísérleteket
942290 Alapszintű MongoDB SQL-injektálási kísérletek keresése
942300 MySQL-megjegyzések, feltételek és ch(a)r injektálások észlelése
942310 Láncolt SQL-injektálási kísérleteket észlel 2/2
942320 Észleli a MySQL- és PostgreSQL-tárolt eljárásokat/függvényinjektálásokat
942330 A klasszikus SQL-injektálási próbaidőket észleli 1/2
942340 Alapszintű SQL-hitelesítési megkerülési kísérletek észlelése 3/3
942350 Észleli a MySQL UDF-injektálását és más adat-/struktúramanipulációs kísérleteket
942360 Az összefűzött alapszintű SQL-injektálási és SQLLFI-kísérleteket észleli
942361 Alapszintű SQL-injektálás észlelése kulcsszó-módosítás vagy egyesítés alapján
942370 A klasszikus SQL-injektálási 2/2-et észleli
942380 SQL-injektálási támadás
942390 SQL-injektálási támadás
942400 SQL-injektálási támadás
942410 SQL-injektálási támadás
942430 Korlátozott SQL-karakter anomáliadetektálása (args): a speciális karakterek száma túllépve (12)
942440 SQL-megjegyzésütemezés észlelhető
942450 Azonosított SQL Hex-kódolás
942460 Metakarakterek anomáliadetektálási riasztása – Ismétlődő, nem word karakterek
942470 SQL-injektálási támadás
942480 SQL-injektálási támadás
942500 A mySQL-ben lévő megjegyzést észlelte.
942510 Az SQLi megkerülési kísérlete az észlelt kullancsok vagy backtickek által.

MUNKAMENET-JAVÍTÁS

Szabályazonosító Leírás
943100 Lehetséges munkamenet-javítási támadás: Cookie-értékek beállítása HTML-ben
943110 Lehetséges munkamenet-javítási támadás: SessionID paraméternév tartományon kívüli hivatkozóval
943120 Lehetséges munkamenet-javítási támadás: SessionID paraméter neve hivatkozó nélkül

JAVA-támadások

Szabályazonosító Leírás
944100 Távoli parancsvégrehajtás: Apache Struts, Oracle WebLogic
944110 Észleli a hasznos adatok lehetséges végrehajtását
944120 Lehetséges hasznos adatok végrehajtása és távoli parancsvégrehajtás
944130 Gyanús Java-osztályok
944200 A Java deszerializálási Apache Commons kiaknázása
944210 Java-szerializálás lehetséges használata
944240 Távoli parancsvégrehajtás: Java-szerializálás és Log4j biztonsági rés (CVE-2021-44228, CVE-2021-45046)
944250 Távoli parancsvégrehajtás: Gyanús Java-metódus észlelhető

MS-ThreatIntel-WebShells

Szabályazonosító Leírás
99005002 Webes rendszerhéj-interakciós kísérlet (POST)
99005003 Web Shell feltöltési kísérlet (POST) - CHOPPER PHP
99005004 Web Shell feltöltési kísérlet (POST) – CHOPPER ASPX
99005005 Webes rendszerhéj-interakciós kísérlet
99005006 Spring4Shell-interakciós kísérlet

MS-ThreatIntel-AppSec

Szabályazonosító Leírás
99030001 Path Traversal Evasion in Headers (/.. /./.. /)
99030002 Path Traversal Evasion in Request Body (/.. /./.. /)

MS-ThreatIntel-SQLI

Szabályazonosító Leírás
99031001 SQL-injektálási támadás: Gyakori injektálási tesztelés észlelhető
99031002 SQL-megjegyzésütemezés észlelhető.
99031003 SQL-injektálási támadás
99031004 Észleli az alapszintű SQL-hitelesítési megkerülési kísérleteket 2/3

MS-ThreatIntel-CVEs

Szabályazonosító Leírás
99001001 F5 tmui (CVE-2020-5902) REST API-kihasználás ismert hitelesítő adatokkal
99001002 Citrix-NSC_USER könyvtárbejárási kísérlet CVE-2019-19781
99001003 A CVE-2019-3396 atlassian confluence widget-összekötőjének kísérlete
99001004 A Pulse Secure egyéni sablon kihasználása CVE-2020-8243
99001005 SharePoint-típuskonverter-hasznosítási kísérlet CVE-2020-0932
99001006 Pulse Connect-könyvtár bejárása CVE-2019-11510
99001007 A Junos OS J-Web helyi fájlbefoglalási kísérlete CVE-2020-1631
99001008 Megkísérelt Fortinet-útvonal bejárása CVE-2018-13379
99001009 Apache struts ognl injektálás CVE-2017-5638
99001010 Apache struts ognl injekció CVE-2017-12611
99001011 Az Oracle WebLogic elérési útja CVE-2020-14882 bejárása
99001012 Kísérlet a Telerik WebUI nem biztonságos deszerializálási hasznosítására CVE-2019-18935
99001013 Kísérlet a SharePoint nem biztonságos XML-deszerializálására CVE-2019-0604
99001014 A Spring Cloud útválasztási kifejezésének CVE-2022-22963-as injektálása
99001015 A Spring Framework nem biztonságos osztályobjektum-kihasználása CVE-2022-22965
99001016 A Spring Cloud Gateway Actuator injektálása CVE-2022-22947
99001017* Apache Struts-fájlfeltöltési kísérlet CVE-2023-50164

* A szabály művelete alapértelmezés szerint naplózásra van beállítva. Állítsa be a Letiltás műveletet az Apache Struts biztonsági résének megelőzéséhez. A szabály anomáliadetektációja nem támogatott.

Megjegyzés

A WAF naplóinak áttekintésekor előfordulhat, hogy a szabályazonosító 949110. A szabály leírása tartalmazhat túllépett bejövő anomáliadetektációt.

Ez a szabály azt jelzi, hogy a kérelem összes rendellenességi pontszáma túllépte a maximális megengedett pontszámot. További információ: Anomália pontozása.

Következő lépések