Aturan dan grup aturan Web Application Firewall DRS
Azure Web Application Firewall di Azure Front Door melindungi aplikasi web dari kerentanan dan eksploitasi umum. Seperangkat aturan yang dikelola Azure menyediakan cara mudah untuk menyebarkan perlindungan terhadap serangkaian ancaman keamanan umum. Karena Azure mengelola seperangkat aturan ini, aturan diperbarui sesuai kebutuhan untuk melindungi dari tanda tangan serangan baru.
Seperangkat Aturan Default (DRS) juga mencakup aturan Pengumpulan Inteligensi Ancaman Microsoft yang ditulis dalam kemitraan dengan tim Inteligensi Microsoft untuk memberikan peningkatan cakupan, patch untuk kerentanan tertentu, dan pengurangan positif palsu yang lebih baik.
Seperangkat aturan default
DRS yang dikelola Azure mencakup aturan terhadap kategori ancaman berikut:
- Skrip lintas situs
- Serangan Java
- Penyertaan file lokal
- Serangan injeksi PHP
- Eksekusi perintah jarak jauh
- Penyertaan file jarak jauh
- Fiksasi sesi
- Perlindungan injeksi SQL
- Penyerang protokol
Nomor versi tahapan DRS saat tanda tangan serangan baru telah ditambahkan ke seperangkat aturan.
DRS diaktifkan secara default dalam mode Deteksi dalam kebijakan WAF Anda. Anda dapat menonaktifkan atau mengaktifkan aturan individual dalam DRS untuk memenuhi persyaratan aplikasi Anda. Anda juga dapat menetapkan tindakan tertentu per aturan. Tindakan yang tersedia adalah Izinkan, Blokir, Log, dan Alihkan.
Terkadang Anda mungkin perlu menghilangkan atribut permintaan tertentu dari evaluasi firewall aplikasi web (WAF). Contoh umumnya adalah token yang dimasukkan Direktori Aktif yang digunakan untuk autentikasi. Anda dapat mengonfigurasi daftar pengecualian untuk aturan terkelola, grup aturan, atau seluruh seperangkat aturan. Untuk informasi selengkapnya, lihat Azure Web Application Firewall di daftar pengecualian Azure Front Door.
Secara default, DRS versi 2.0 ke atas menggunakan penilaian anomali saat permintaan cocok dengan aturan. Versi DRS yang lebih lama dari 2.0 memblokir permintaan yang memicu aturan. Selain itu, aturan kustom dapat dikonfigurasi dalam kebijakan WAF yang sama jika Anda ingin melewati salah satu aturan yang telah dikonfigurasi sebelumnya di DRS.
Aturan kustom selalu diterapkan sebelum aturan dalam DRS dievaluasi. Jika permintaan cocok dengan aturan kustom, tindakan aturan terkait diterapkan. Permintaan diblokir atau diteruskan ke ujung belakang. Tidak ada aturan kustom lain atau aturan dalam DRS yang diproses. Anda juga dapat menghapus DRS dari kebijakan WAF Anda.
Aturan Microsoft Threat Intelligence Collection
Aturan Microsoft Threat Intelligence Collection ditulis dalam kemitraan dengan tim Microsoft Threat Intelligence untuk memberikan peningkatan cakupan, patch untuk kerentanan tertentu, dan pengurangan positif palsu yang lebih baik.
Secara default, aturan Koleksi Inteligensi Ancaman Microsoft menggantikan beberapa aturan DRS bawaan, yang menyebabkan aturan tersebut dinonaktifkan. Misalnya, ID aturan 942440, Urutan Komentar SQL Terdeteksi, telah dinonaktifkan dan digantikan oleh aturan Pengumpulan Inteligensi Ancaman Microsoft 99031002. Aturan yang diganti mengurangi risiko deteksi positif palsu dari permintaan yang sah.
Penilaian anomali
Saat Anda menggunakan DRS 2.0 atau yang lebih baru, WAF Anda menggunakan penilaian anomali. Lalu lintas yang cocok dengan aturan apa pun tidak segera diblokir, bahkan ketika WAF Anda berada dalam mode pencegahan. Sebaliknya, seperangkat aturan OWASP menentukan tingkat keparahan untuk setiap aturan: Kritis, Kesalahan, Peringatan, atau Pemberitahuan. Tingkat keparahan memengaruhi nilai numerik untuk permintaan, yang disebut skor anomali. Jika permintaan mengakumulasi skor anomali 5 atau lebih besar, WAF mengambil tindakan atas permintaan.
| Keparahan aturan | Nilai berkontribusi pada skor anomali |
|---|---|
| Kritis | 5 |
| Kesalahan | 4 |
| Peringatan | 3 |
| Pemberitahuan | 2 |
Saat mengonfigurasi WAF, Anda dapat memutuskan bagaimana WAF menangani permintaan yang melebihi ambang skor anomali 5. Tiga opsi tindakan skor anomali adalah Blokir, Log, atau Alihkan. Tindakan skor anomali yang Anda pilih pada saat konfigurasi diterapkan ke semua permintaan yang melebihi ambang skor anomali.
Misalnya, jika skor anomali adalah 5 atau lebih besar berdasarkan permintaan, dan WAF berada dalam mode Pencegahan dengan tindakan skor anomali diatur ke Blokir, permintaan diblokir. Jika skor anomali adalah 5 atau lebih besar berdasarkan permintaan, dan WAF berada dalam mode Deteksi, permintaan dicatat tetapi tidak diblokir.
Satu kecocokan aturan Kritis sudah cukup bagi WAF untuk memblokir permintaan ketika dalam mode Pencegahan dengan tindakan skor anomali diatur ke Blokir karena skor anomali keseluruhan adalah 5. Namun, satu kecocokan aturan Peringatan hanya meningkatkan skor anomali sebesar 3, yang tidak cukup dengan sendirinya untuk memblokir lalu lintas. Saat aturan anomali dipicu, aturan tersebut menunjukkan tindakan "cocok" di log. Jika skor anomali adalah 5 atau lebih besar, ada aturan terpisah yang dipicu dengan tindakan skor anomali yang dikonfigurasi untuk seperangkat aturan. Tindakan skor anomali default adalah Blokir, yang menghasilkan entri log dengan tindakan blocked.
Saat WAF Anda menggunakan versi Lama Dari Seperangkat Aturan Default (sebelum DRS 2.0), WAF Anda berjalan dalam mode tradisional. Lalu lintas yang cocok dengan aturan apa pun dianggap independen dari kecocokan aturan lainnya. Dalam mode tradisional, Anda tidak memiliki visibilitas ke dalam serangkaian aturan lengkap yang cocok dengan permintaan tertentu.
Versi DRS yang Anda gunakan juga menentukan jenis konten mana yang didukung untuk pemeriksaan isi permintaan. Untuk informasi selengkapnya, lihat Jenis konten apa yang didukung WAF? di FAQ.
DRS 2.1
Aturan DRS 2.1 menawarkan perlindungan yang lebih baik daripada versi DRS sebelumnya. Ini termasuk aturan lain yang dikembangkan oleh tim Inteligensi Ancaman Microsoft dan pembaruan tanda tangan untuk mengurangi positif palsu. Ini juga mendukung transformasi selain pendekodean URL.
DRS 2.1 menyertakan 17 grup aturan, seperti yang diperlihatkan dalam tabel berikut. Setiap grup berisi beberapa aturan, dan Anda dapat menyesuaikan perilaku untuk aturan individual, grup aturan, atau seluruh seperangkat aturan. Untuk informasi selengkapnya, lihat Menyesuaikan Azure Web Application Firewall (WAF) untuk Azure Front Door.
Catatan
DRS 2.1 hanya tersedia di Azure Front Door Premium.
| Grup aturan | ID grup aturan terkelola | Deskripsi |
|---|---|---|
| Umum | Umum | Grup umum |
| METHOD-ENFORCEMENT | METHOD-ENFORCEMENT | Metode penguncian (PUT, PATCH) |
| PROTOCOL-ENFORCEMENT | PROTOCOL-ENFORCEMENT | Melindungi dari masalah protokol dan pengodean |
| PROTOCOL-ATTACK | PROTOCOL-ATTACK | Melindungi dari injeksi header, penyelundupan permintaan, dan pemisahan respons |
| APPLICATION-ATTACK-LFI | LFI | Melindungi dari serangan file dan jalur |
| APPLICATION-ATTACK-RFI | RFI | Melindungi dari serangan penyertaan file jarak jauh (RFI) |
| APPLICATION-ATTACK-RCE | RCE | Melindungi dari serangan eksekusi kode jarak jauh |
| APPLICATION-ATTACK-PHP | PHP | Melindungi dari serangan injeksi PHP |
| APPLICATION-ATTACK-NodeJS | NODEJS | Melindungi terhadap serangan Node JS |
| APPLICATION-ATTACK-XSS | XSS | Melindungi dari serangan scripting lintas situs |
| APPLICATION-ATTACK-SQLI | SQLI | Melindungi dari serangan injeksi SQL |
| APPLICATION-ATTACK-SESSION-FIXATION | PERBAIKI | Melindungi dari serangan fiksasi sesi |
| APPLICATION-ATTACK-SESSION-JAVA | JAVA | Melindungi dari serangan JAVA |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Melindungi terhadap serangan shell Web |
| MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | Melindungi terhadap serangan AppSec |
| MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | Melindungi terhadap serangan SQLI |
| MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Melindungi dari serangan CVE |
Aturan yang dinonaktifkan
Aturan berikut dinonaktifkan secara default untuk DRS 2.1.
| ID Aturan | Grup aturan | Deskripsi | Detail |
|---|---|---|---|
| 942110 | SQLI | Serangan Injeksi SQL: Pengujian Injeksi Umum Terdeteksi | Digantikan oleh aturan MSTIC 99031001 |
| 942150 | SQLI | Serangan Injeksi SQL | Digantikan oleh aturan MSTIC 99031003 |
| 942260 | SQLI | Mendeteksi upaya bypass autentikasi SQL dasar 2/3 | Digantikan oleh aturan MSTIC 99031004 |
| 942430 | SQLI | Deteksi Anomali Karakter SQL Terbatas (argumen): # karakter khusus terlampaui (12) | Terlalu banyak positif palsu |
| 942440 | SQLI | Urutan Komentar SQL Terdeteksi | Digantikan oleh aturan MSTIC 99031002 |
| 99005006 | MS-ThreatIntel-WebShells | Upaya Interaksi Spring4Shell | Mengaktifkan aturan untuk mencegah kerentanan SpringShell |
| 99001014 | MS-ThreatIntel-CVEs | Percobaan injeksi ekspresi perutean Spring Cloud CVE-2022-22963 | Mengaktifkan aturan untuk mencegah kerentanan SpringShell |
| 99001015 | MS-ThreatIntel-WebShells | Percobaan eksploitasi objek kelas Spring .NET Framework yang tidak aman CVE-2022-22965 | Mengaktifkan aturan untuk mencegah kerentanan SpringShell |
| 99001016 | MS-ThreatIntel-WebShells | Percobaan injeksi Spring Cloud Gateway Actuator CVE-2022-22947 | Mengaktifkan aturan untuk mencegah kerentanan SpringShell |
| 99001017 | MS-ThreatIntel-CVEs | Percobaan eksploitasi unggahan file Apache Struts CVE-2023-50164. | Mengaktifkan aturan untuk mencegah kerentanan Apache Struts |
DRS 2.0
Aturan DRS 2.0 menawarkan perlindungan yang lebih baik daripada versi DRS yang lebih lama. DRS 2.0 juga mendukung transformasi di luar hanya decoding URL.
DRS 2.0 mencakup 17 grup aturan, seperti yang diperlihatkan dalam tabel berikut ini. Setiap grup berisi beberapa aturan. Anda dapat menonaktifkan aturan individual dan seluruh grup aturan.
Catatan
DRS 2.0 hanya tersedia di Azure Front Door Premium.
| Grup aturan | ID grup aturan terkelola | Deskripsi |
|---|---|---|
| Umum | Umum | Grup umum |
| METHOD-ENFORCEMENT | METHOD-ENFORCEMENT | Metode penguncian (PUT, PATCH) |
| PROTOCOL-ENFORCEMENT | PROTOCOL-ENFORCEMENT | Melindungi dari masalah protokol dan pengodean |
| PROTOCOL-ATTACK | PROTOCOL-ATTACK | Melindungi dari injeksi header, penyelundupan permintaan, dan pemisahan respons |
| APPLICATION-ATTACK-LFI | LFI | Melindungi dari serangan file dan jalur |
| APPLICATION-ATTACK-RFI | RFI | Melindungi dari serangan penyertaan file jarak jauh (RFI) |
| APPLICATION-ATTACK-RCE | RCE | Melindungi dari serangan eksekusi kode jarak jauh |
| APPLICATION-ATTACK-PHP | PHP | Melindungi dari serangan injeksi PHP |
| APPLICATION-ATTACK-NodeJS | NODEJS | Melindungi terhadap serangan Node JS |
| APPLICATION-ATTACK-XSS | XSS | Melindungi dari serangan scripting lintas situs |
| APPLICATION-ATTACK-SQLI | SQLI | Melindungi dari serangan injeksi SQL |
| APPLICATION-ATTACK-SESSION-FIXATION | PERBAIKI | Melindungi dari serangan fiksasi sesi |
| APPLICATION-ATTACK-SESSION-JAVA | JAVA | Melindungi dari serangan JAVA |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Melindungi terhadap serangan shell Web |
| MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | Melindungi terhadap serangan AppSec |
| MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | Melindungi terhadap serangan SQLI |
| MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Melindungi dari serangan CVE |
DRS 1.1
| Grup aturan | ID grup aturan terkelola | Deskripsi |
|---|---|---|
| PROTOCOL-ATTACK | PROTOCOL-ATTACK | Melindungi dari injeksi header, penyelundupan permintaan, dan pemisahan respons |
| APPLICATION-ATTACK-LFI | LFI | Melindungi dari serangan file dan jalur |
| APPLICATION-ATTACK-RFI | RFI | Melindungi dari serangan penyertaan file jarak jauh |
| APPLICATION-ATTACK-RCE | RCE | Perlindungan terhadap eksekusi perintah jarak jauh |
| APPLICATION-ATTACK-PHP | PHP | Melindungi dari serangan injeksi PHP |
| APPLICATION-ATTACK-XSS | XSS | Melindungi dari serangan scripting lintas situs |
| APPLICATION-ATTACK-SQLI | SQLI | Melindungi dari serangan injeksi SQL |
| APPLICATION-ATTACK-SESSION-FIXATION | PERBAIKI | Melindungi dari serangan fiksasi sesi |
| APPLICATION-ATTACK-SESSION-JAVA | JAVA | Melindungi dari serangan JAVA |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Melindungi terhadap serangan shell Web |
| MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | Melindungi terhadap serangan AppSec |
| MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | Melindungi terhadap serangan SQLI |
| MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Melindungi dari serangan CVE |
DRS 1.0
| Grup aturan | ID grup aturan terkelola | Deskripsi |
|---|---|---|
| PROTOCOL-ATTACK | PROTOCOL-ATTACK | Melindungi dari injeksi header, penyelundupan permintaan, dan pemisahan respons |
| APPLICATION-ATTACK-LFI | LFI | Melindungi dari serangan file dan jalur |
| APPLICATION-ATTACK-RFI | RFI | Melindungi dari serangan penyertaan file jarak jauh |
| APPLICATION-ATTACK-RCE | RCE | Perlindungan terhadap eksekusi perintah jarak jauh |
| APPLICATION-ATTACK-PHP | PHP | Melindungi dari serangan injeksi PHP |
| APPLICATION-ATTACK-XSS | XSS | Melindungi dari serangan scripting lintas situs |
| APPLICATION-ATTACK-SQLI | SQLI | Melindungi dari serangan injeksi SQL |
| APPLICATION-ATTACK-SESSION-FIXATION | PERBAIKI | Melindungi dari serangan fiksasi sesi |
| APPLICATION-ATTACK-SESSION-JAVA | JAVA | Melindungi dari serangan JAVA |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Melindungi terhadap serangan shell Web |
| MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Melindungi dari serangan CVE |
Aturan bot
| Grup aturan | Deskripsi |
|---|---|
| BadBots | Melindungi dari bot yang buruk |
| GoodBots | Mengidentifikasi bot yang baik |
| UnknownBots | Mengidentifikasi bot yang tidak diketahui |
Grup aturan dan aturan berikut ini tersedia saat Anda menggunakan Azure Web Application Firewall di Azure Front Door.
2.1 seperangkat aturan
Umum
| RuleId | Deskripsi |
|---|---|
| 200002 | Gagal mengurai isi permintaan |
| 200003 | Isi permintaan multibagian gagal melewati validasi ketat |
Penerapan metode
| RuleId | Deskripsi |
|---|---|
| 911100 | Metode tidak diizinkan oleh kebijakan |
Penegakan protokol
| RuleId | Deskripsi |
|---|---|
| 920100 | Baris Permintaan HTTP tidak valid. |
| 920120 | Mencoba bypass multipart/form-data. |
| 920121 | Mencoba bypass multipart/form-data. |
| 920160 | Header HTTP Panjang Konten bukan numerik. |
| 920170 | Permintaan GET atau HEAD dengan Konten Isi. |
| 920171 | Permintaan GET atau HEAD dengan Pengodean Transfer. |
| 920180 | Permintaan POST tidak memiliki Header Content-Length. |
| 920181 | Header Content-Length dan Transfer-Encoding ada 99001003. |
| 920190 | Rentang: Nilai Byte Terakhir yang Tidak Valid. |
| 920200 | Rentang: Terlalu banyak bidang (6 atau lebih). |
| 920201 | Rentang: Terlalu banyak bidang untuk permintaan pdf (35 atau lebih). |
| 920210 | Ditemukan Data Header Koneksi yang Berlebih/Bertentangan. |
| 920220 | Upaya Serangan Penyalahgunaan Pengodean URL. |
| 920230 | Beberapa Pengodean URL Terdeteksi. |
| 920240 | Upaya Serangan Penyalahgunaan Pengodean URL. |
| 920260 | Upaya Serangan Penyalahgunaan Lebar Penuh/Setengah Unicode. |
| 920270 | Karakter tidak valid dalam permintaan (karakter null). |
| 920271 | Karakter tidak valid dalam permintaan (karakter yang tidak dapat dicetak). |
| 920280 | Permintaan Kehilangan Header Host. |
| 920290 | Header Host Kosong. |
| 920300 | Permintaan Kehilangan Header Terima. |
| 920310 | Permintaan Memiliki Header Terima Kosong. |
| 920311 | Permintaan Memiliki Header Terima Kosong. |
| 920320 | Header Agen Pengguna Hilang. |
| 920330 | Header Agen Pengguna Kosong. |
| 920340 | Permintaan Berisi Konten, tetapi header Tipe Konten hilang. |
| 920341 | Permintaan yang berisi konten memerlukan header Tipe Konten. |
| 920350 | Header host adalah alamat IP numerik. |
| 920420 | Jenis konten permintaan tidak diizinkan oleh kebijakan. |
| 920430 | Versi protokol HTTP tidak diizinkan oleh kebijakan. |
| 920440 | Ekstensi file URL dibatasi oleh kebijakan. |
| 920450 | Header HTTP dibatasi oleh kebijakan. |
| 920470 | Header Tipe Konten Ilegal. |
| 920480 | Charset jenis konten permintaan tidak diizinkan oleh kebijakan. |
| 920500 | Coba akses cadangan atau file yang berfungsi. |
Serangan protokol
| RuleId | Deskripsi |
|---|---|
| 921110 | Serangan Penyusupan Permintaan HTTP |
| 921120 | Serangan Pemisahan Respons HTTP |
| 921130 | Serangan Pemisahan Respons HTTP |
| 921140 | Serangan Injeksi Header HTTP melalui header |
| 921150 | Serangan Injeksi Header HTTP melalui payload (CR/LF terdeteksi) |
| 921151 | Serangan Injeksi Header HTTP melalui payload (CR/LF terdeteksi) |
| 921160 | HTTP Header Injection Attack melalui payload (CR/LF dan nama header terdeteksi) |
| 921190 | Pemisahan HTTP (CR/LF dalam nama file permintaan terdeteksi) |
| 921200 | Serangan injeksi LDAP |
LFI: Penyertaan file lokal
| RuleId | Deskripsi |
|---|---|
| 930100 | Serangan Traversal Jalur (/../) |
| 930110 | Serangan Traversal Jalur (/../) |
| 930120 | Upaya Akses File OS |
| 930130 | Upaya Akses File Terbatas |
RFI: Penyertaan file jarak jauh
| RuleId | Deskripsi |
|---|---|
| 931100 | Kemungkinan Serangan Penyertaan File Jarak Jauh (RFI): Parameter URL menggunakan alamat IP |
| 931110 | Kemungkinan Serangan Penyertaan File Jarak Jauh (RFI): Nama Parameter Rentan RFI Umum yang digunakan dengan Payload URL |
| 931120 | Kemungkinan Serangan Penyertaan File Jarak Jauh (RFI): Payload URL Digunakan dengan Karakter Tanda Tanya Penutup (?) |
| 931130 | Kemungkinan Serangan Penyertaan File Jarak Jauh (RFI): Referensi/Tautan di Luar Domain |
RCE: Eksekusi perintah jarak jauh
| RuleId | Deskripsi |
|---|---|
| 932100 | Eksekusi Perintah Jarak Jauh: Injeksi Perintah Unix |
| 932105 | Eksekusi Perintah Jarak Jauh: Injeksi Perintah Unix |
| 932110 | Eksekusi Perintah Jarak Jauh: Injeksi Perintah Windows |
| 932115 | Eksekusi Perintah Jarak Jauh: Injeksi Perintah Windows |
| 932120 | Eksekusi Perintah Jarak Jauh: Perintah PowerShell Windows Ditemukan |
| 932130 | Eksekusi Perintah Jarak Jauh: Ekspresi Shell Unix atau Kerentanan Confluence (CVE-2022-26134) Ditemukan |
| 932140 | Eksekusi Perintah Jarak Jauh: Perintah FOR/IF Windows Ditemukan |
| 932150 | Eksekusi Perintah Jarak Jauh: Eksekusi Perintah Unix Langsung |
| 932160 | Eksekusi Perintah Jarak Jauh: Kode Shell Unix Ditemukan |
| 932170 | Eksekusi Perintah Jarak Jauh: Shellshock (CVE-2014-6271) |
| 932171 | Eksekusi Perintah Jarak Jauh: Shellshock (CVE-2014-6271) |
| 932180 | Upaya Unggah File Terbatas |
Serangan PHP
| RuleId | Deskripsi |
|---|---|
| 933100 | Serangan Injeksi PHP: Tag Pembuka/Penutup Ditemukan |
| 933110 | Serangan Injeksi PHP: Unggahan File Skrip PHP Ditemukan |
| 933120 | Serangan Injeksi PHP: Direktif Konfigurasi Ditemukan |
| 933130 | Serangan Injeksi PHP: Variabel Ditemukan |
| 933140 | Serangan Injeksi PHP = Aliran I/O Ditemukan |
| 933150 | Serangan Injeksi PHP: Nama Fungsi PHP Berisiko Tinggi Ditemukan |
| 933151 | Serangan Injeksi PHP: Nama Fungsi PHP Berisiko Sedang Ditemukan |
| 933160 | Serangan Injeksi PHP: Panggilan Fungsi PHP Berisiko Tinggi Ditemukan |
| 933170 | Serangan Injeksi PHP: Injeksi Objek Berseri |
| 933180 | Serangan Injeksi PHP: Panggilan Fungsi Variabel Ditemukan |
| 933200 | Serangan Injeksi PHP: Skema pembungkus terdeteksi |
| 933210 | Serangan Injeksi PHP: Panggilan Fungsi Variabel Ditemukan |
Serangan Node JS
| RuleId | Deskripsi |
|---|---|
| 934100 | Serangan Injeksi Node.js |
XSS: Pembuatan skrip lintas situs
| RuleId | Deskripsi |
|---|---|
| 941100 | Serangan XSS Terdeteksi melalui libinjeksi |
| 941101 | Serangan XSS Terdeteksi melalui libinjeksi Aturan mendeteksi permintaan dengan Referer header |
| 941110 | Filter XSS - Kategori 1: Vektor Tag Skrip |
| 941120 | Filter XSS - Kategori 2: Vektor Penanganan Aktivitas |
| 941130 | Filter XSS - Kategori 3: Vektor Atribut |
| 941140 | Filter XSS - Kategori 4: Vektor URI Javascript |
| 941150 | Filter XSS - Kategori 5: Atribut HTML yang Tidak Diizinkan |
| 941160 | NoScript XSS InjectionChecker: Injeksi HTML |
| 941170 | NoScript XSS InjectionChecker: Injeksi Atribut |
| 941180 | Kata Kunci Daftar Blokir Validator Simpul |
| 941190 | XSS menggunakan lembar gaya |
| 941200 | XSS menggunakan bingkai VML |
| 941210 | XSS menggunakan JavaScript yang disamarkan |
| 941220 | XSS menggunakan skrip VB yang disamarkan |
| 941230 | XSS menggunakan embed tag |
| 941240 | XSS menggunakan import atau implementation atribut |
| 941250 | Filter XSS IE - Serangan Terdeteksi |
| 941260 | XSS menggunakan meta tag |
| 941270 | XSS menggunakan link href |
| 941280 | XSS menggunakan base tag |
| 941290 | XSS menggunakan applet tag |
| 941300 | XSS menggunakan object tag |
| 941310 | Filter XSS Pengodean Salah Bentuk AS-ASCII - Serangan Terdeteksi |
| 941320 | Kemungkinan Serangan XSS Terdeteksi - Penghandel Tag HTML |
| 941330 | Filter XSS IE - Serangan Terdeteksi |
| 941340 | Filter XSS IE - Serangan Terdeteksi |
| 941350 | UTF-7 Pengodean IE XSS - Serangan Terdeteksi |
| 941360 | Obfuscation JavaScript terdeteksi |
| 941370 | Variabel global JavaScript ditemukan |
| 941380 | Injeksi templat sisi klien AngularJS terdeteksi |
SQLI: Injeksi SQL
| RuleId | Deskripsi |
|---|---|
| 942100 | Serangan Injeksi SQL Terdeteksi melalui libinjection. |
| 942110 | Serangan Injeksi SQL: Pengujian Injeksi Umum Terdeteksi. |
| 942120 | Serangan Injeksi SQL: Operator SQL Terdeteksi. |
| 942140 | Serangan Injeksi SQL: Nama DB Umum Terdeteksi. |
| 942150 | Serangan Injeksi SQL. |
| 942160 | Mendeteksi tes SQLI buta menggunakan sleep() atau benchmark(). |
| 942170 | Mendeteksi tolok ukur SQL dan upaya injeksi tidur termasuk kueri bersyarat. |
| 942180 | Mendeteksi upaya bypass autentikasi SQL dasar 1/3. |
| 942190 | Mendeteksi eksekusi kode MSSQL dan upaya pengumpulan informasi. |
| 942200 | Mendeteksi injeksi komentar MySQL/space-obfuscated dan penghentian backtick. |
| 942210 | Mendeteksi upaya injeksi SQL berantai 1/2. |
| 942220 | Mencari serangan luapan bilangan bulat, ini diambil dari skipfish, kecuali 3.0.00738585072007e-308 adalah crash "angka ajaib". |
| 942230 | Mendeteksi upaya injeksi SQL bersyarat. |
| 942240 | Mendeteksi sakelar charset MySQL dan upaya MSSQL DoS. |
| 942250 | Mendeteksi injeksi MATCH AGAINST, MERGE, dan EXECUTE IMMEDIATE. |
| 942260 | Mendeteksi upaya bypass autentikasi SQL dasar 2/3. |
| 942270 | Mencari injeksi SQL dasar. String serangan umum untuk MySQL, Oracle, dan lainnya. |
| 942280 | Mendeteksi postgres pg_sleep injeksi, menunggu serangan penundaan, dan upaya penonaktifan database. |
| 942290 | Menemukan upaya injeksi MongoDB SQL dasar. |
| 942300 | Mendeteksi komentar MySQL, kondisi, dan injeksi ch(a)r. |
| 942310 | Mendeteksi upaya injeksi SQL berantai 2/2. |
| 942320 | Mendeteksi injeksi prosedur/fungsi tersimpan MySQL dan PostgreSQL. |
| 942330 | Mendeteksi pemeriksaan injeksi SQL klasik 1/2. |
| 942340 | Mendeteksi upaya bypass autentikasi SQL dasar 3/3. |
| 942350 | Mendeteksi injeksi UDF MySQL dan upaya manipulasi data/struktur lainnya. |
| 942360 | Mendeteksi injeksi SQL dasar yang digabungkan dan upaya SQLLFI. |
| 942361 | Mendeteksi injeksi SQL dasar berdasarkan perubahan kata kunci atau union. |
| 942370 | Mendeteksi pemeriksaan injeksi SQL klasik 2/2. |
| 942380 | Serangan Injeksi SQL. |
| 942390 | Serangan Injeksi SQL. |
| 942400 | Serangan Injeksi SQL. |
| 942410 | Serangan Injeksi SQL. |
| 942430 | Deteksi Anomali Karakter SQL Terbatas (arg): # karakter khusus terlampaui (12). |
| 942440 | Rangkaian Komentar SQL Terdeteksi. |
| 942450 | Pengodean SQL Hex Diidentifikasi. |
| 942460 | Pemberitahuan Deteksi Anomali Karakter Meta - Karakter Non-Kata Berulang. |
| 942470 | Serangan Injeksi SQL. |
| 942480 | Serangan Injeksi SQL. |
| 942500 | Komentar dalam baris MySQL terdeteksi. |
| 942510 | SQLi bypass mencoba dengan tick atau backtick terdeteksi. |
Fiksasi sesi
| RuleId | Deskripsi |
|---|---|
| 943100 | Kemungkinan Serangan Fiksasi Sesi: Mengatur Nilai Cookie dalam HTML |
| 943110 | Kemungkinan Serangan Fiksasi Sesi: Nama Parameter SessionID dengan Referen tanpa Domain |
| 943120 | Kemungkinan Serangan Fiksasi Sesi: Nama Parameter SessionID tanpa Referen |
Serangan Java
| RuleId | Deskripsi |
|---|---|
| 944100 | Eksekusi Perintah Jarak Jauh: Apache Struts, Oracle WebLogic |
| 944110 | Mendeteksi eksekusi payload potensial |
| 944120 | Kemungkinan eksekusi payload dan eksekusi perintah jarak jauh |
| 944130 | Kelas Java yang mencurigakan |
| 944200 | Eksploitasi deserialisasi Java Apache Commons |
| 944210 | Kemungkinan penggunaan serialisasi Java |
| 944240 | Eksekusi Perintah Jarak Jauh: Serialisasi Java dan kerentanan Log4j (CVE-2021-44228, CVE-2021-45046) |
| 944250 | Eksekusi Perintah Jarak Jauh: Metode Java yang mencurigakan terdeteksi |
MS-ThreatIntel-WebShells
| RuleId | Deskripsi |
|---|---|
| 99005002 | Upaya Interaksi Web Shell (POST) |
| 99005003 | Upaya Unggah Web Shell (POST) - CHOPPER PHP |
| 99005004 | Upaya Unggah Web Shell (POST) - CHOPPER ASPX |
| 99005005 | Upaya Interaksi Web Shell |
| 99005006 | Upaya Interaksi Spring4Shell |
MS-ThreatIntel-AppSec
| RuleId | Deskripsi |
|---|---|
| 99030001 | Evasi Traversal Jalur di Header (/.. /./.. /) |
| 99030002 | Evasi Traversal Jalur di Isi Permintaan (/.. /./.. /) |
MS-ThreatIntel-SQLI
| RuleId | Deskripsi |
|---|---|
| 99031001 | Serangan Injeksi SQL: Pengujian Injeksi Umum Terdeteksi |
| 99031002 | Urutan Komentar SQL Terdeteksi |
| 99031003 | Serangan Injeksi SQL |
| 99031004 | Mendeteksi upaya bypass autentikasi SQL dasar 2/3 |
MS-ThreatIntel-CVEs
| RuleId | Deskripsi |
|---|---|
| 99001001 | Percobaan eksploitasi REST API F5 tmui (CVE-2020-5902) dengan kredensial yang diketahui |
| 99001002 | Percobaan Citrix NSC_USER direktori traversal CVE-2019-19781 |
| 99001003 | Percobaan Eksploitasi Koneksi or Widget Atlassian Confluence CVE-2019-3396 |
| 99001004 | Percobaan eksploitasi templat kustom Pulse Secure CVE-2020-8243 |
| 99001005 | Percobaan eksploitasi pengonversi tipe SharePoint CVE-2020-0932 |
| 99001006 | Percobaan Pulse Koneksi direktori traversal CVE-2019-11510 |
| 99001007 | Upaya Junos OS J-Web penyertaan file lokal CVE-2020-1631 |
| 99001008 | Mencoba jalur Fortinet traversal CVE-2018-13379 |
| 99001009 | Mencoba Apache struts ognl injection CVE-2017-5638 |
| 99001010 | Mencoba Apache struts ognl injection CVE-2017-12611 |
| 99001011 | Mencoba Oracle WebLogic path traversal CVE-2020-14882 |
| 99001012 | Percobaan Eksploitasi deserialisasi Telerik WebUI yang tidak aman CVE-2019-18935 |
| 99001013 | Percobaan deserialisasi XML tidak aman SharePoint CVE-2019-0604 |
| 99001014 | Percobaan injeksi ekspresi perutean Spring Cloud CVE-2022-22963 |
| 99001015 | Percobaan eksploitasi objek kelas Spring .NET Framework yang tidak aman CVE-2022-22965 |
| 99001016 | Percobaan injeksi Spring Cloud Gateway Actuator CVE-2022-22947 |
| 99001017 | Percobaan eksploitasi unggahan file Apache Struts CVE-2023-50164 |
Catatan
Saat meninjau log WAF, Anda mungkin melihat ID aturan 949110. Deskripsi aturan mungkin mencakup Skor Anomali Masuk Terlampaui.
Aturan ini menunjukkan bahwa skor anomali total untuk permintaan melebihi skor maksimum yang diizinkan. Untuk informasi selengkapnya, lihat Penilaian anomali.
Saat Anda menyetel kebijakan WAF, Anda perlu menyelidiki aturan lain yang dipicu oleh permintaan sehingga Anda dapat menyesuaikan konfigurasi WAF Anda. Untuk informasi selengkapnya, lihat Menyetel Azure Web Application Firewall untuk Azure Front Door.