Bagikan melalui

Grup dan aturan aturan Web Application Firewall DRS dan CRS

  • Artikel

Seperangkat aturan yang dikelola Azure di firewall aplikasi web Application Gateway (WAF) secara aktif melindungi aplikasi web dari kerentanan dan eksploitasi umum. Seperangkat aturan ini, dikelola oleh Azure, menerima pembaruan seperlunya untuk melindungi dari tanda tangan serangan baru. Seperangkat aturan default juga menggabungkan aturan Koleksi Inteligensi Ancaman Microsoft. Tim Microsoft Intelligence berkolaborasi dalam menulis aturan ini, memastikan cakupan yang ditingkatkan, patch kerentanan tertentu, dan peningkatan pengurangan positif palsu.

Anda juga memiliki opsi untuk menggunakan aturan yang ditentukan berdasarkan seperangkat aturan inti OWASP 3.2, 3.1, 3.0, atau 2.2.9.

Anda dapat menonaktifkan aturan satu per satu, atau mengatur tindakan tertentu untuk setiap aturan. Artikel ini mencantumkan aturan dan seperangkat aturan saat ini yang tersedia. Jika seperangkat aturan yang diterbitkan memerlukan pembaruan, kami akan mendokumenkannya di sini.

Catatan

Saat versi ruleset diubah dalam Kebijakan WAF, penyesuaian yang ada yang Anda buat ke set aturan Anda akan diatur ulang ke default untuk set aturan baru. Lihat: Memutakhirkan atau mengubah versi ruleset.

Seperangkat aturan default

Seperangkat Aturan Default (DRS) yang dikelola Azure menyertakan aturan terhadap kategori ancaman berikut ini:

  • Skrip lintas situs
  • Serangan Java
  • Penyertaan file lokal
  • Serangan injeksi PHP
  • Eksekusi perintah jarak jauh
  • Penyertaan file jarak jauh
  • Fiksasi sesi
  • Perlindungan injeksi SQL
  • Penyerang protokol Nomor versi kenaikan DRS saat tanda tangan serangan baru ditambahkan ke seperangkat aturan.

Aturan Microsoft Threat Intelligence Collection

Aturan Microsoft Threat Intelligence Collection ditulis dalam kemitraan dengan tim Microsoft Threat Intelligence untuk memberikan peningkatan cakupan, patch untuk kerentanan tertentu, dan pengurangan positif palsu yang lebih baik.

Catatan

Silakan gunakan panduan berikut untuk menyetel WAF saat Anda mulai menggunakan 2.1 di Application Gateway WAF. Detail aturan dijelaskan berikutnya.

ID Aturan Grup Aturan Deskripsi Detail
942110 SQLI Serangan Injeksi SQL: Pengujian Injeksi Umum Terdeteksi Nonaktifkan, Digantikan oleh aturan MSTIC 99031001
942150 SQLI Serangan Injeksi SQL Nonaktifkan, Digantikan oleh aturan MSTIC 99031003
942260 SQLI Mendeteksi upaya bypass autentikasi SQL dasar 2/3 Nonaktifkan, Digantikan oleh aturan MSTIC 99031004
942430 SQLI Deteksi Anomali Karakter SQL Terbatas (argumen): # karakter khusus terlampaui (12) Nonaktifkan, Terlalu banyak positif palsu.
942440 SQLI Urutan Komentar SQL Terdeteksi Nonaktifkan, Digantikan oleh aturan MSTIC 99031002
99005006 MS-ThreatIntel-WebShells Upaya Interaksi Spring4Shell Jaga agar aturan tetap diaktifkan untuk mencegah kerentanan SpringShell
99001014 MS-ThreatIntel-CVEs Percobaan injeksi ekspresi perutean Spring Cloud CVE-2022-22963 Jaga agar aturan tetap diaktifkan untuk mencegah kerentanan SpringShell
99001015 MS-ThreatIntel-WebShells Percobaan eksploitasi objek kelas Spring .NET Framework yang tidak aman CVE-2022-22965 Jaga agar aturan tetap diaktifkan untuk mencegah kerentanan SpringShell
99001016 MS-ThreatIntel-WebShells Percobaan injeksi Spring Cloud Gateway Actuator CVE-2022-22947 Jaga agar aturan tetap diaktifkan untuk mencegah kerentanan SpringShell
99001017 MS-ThreatIntel-CVEs Percobaan eksploitasi unggahan file Apache Struts CVE-2023-50164 Atur tindakan ke Blokir untuk mencegah kerentanan Apache Struts. Skor Anomali tidak didukung untuk aturan ini.

Kumpulan aturan inti

Application Gateway WAF telah dikonfigurasi sebelumnya dengan CRS 3.2 secara default, tetapi Anda dapat memilih untuk menggunakan versi CRS lain yang didukung.

CRS 3.2 menawarkan mesin baru dan seperangkat aturan baru yang dipertahankan terhadap injeksi Java, serangkaian pemeriksaan pengunggahan file awal, dan lebih sedikit positif palsu dibandingkan dengan versi CRS sebelumnya. Anda juga dapat mengustomisasi aturan yang sesuai dengan kebutuhan Anda. Pelajari mesin Azure WAF baru lebih lanjut.

Mengelola aturan

WAF melindungi terhadap kerentanan web berikut:

  • Serangan injeksi SQL
  • Serangan scripting lintas situs
  • Serangan umum lainnya, seperti injeksi perintah, penyelundupan permintaan HTTP, pemisahan respons HTTP, dan inklusi file jarak jauh
  • Pelanggaran protokol HTTP
  • Anomali protokol HTTP, seperti tidak adanya agen pengguna host dan header accept
  • Bot, crawler, dan pemindai
  • Kesalahan konfigurasi aplikasi umum (misalnya, Apache dan IIS)

Penyetelan seperangkat aturan Terkelola

DRS dan CRS diaktifkan secara default dalam mode Deteksi dalam kebijakan WAF Anda. Anda dapat menonaktifkan atau mengaktifkan aturan individual dalam Seperangkat Aturan Terkelola untuk memenuhi persyaratan aplikasi Anda. Anda juga dapat menetapkan tindakan tertentu per aturan. DRS/CRS mendukung tindakan blok, log, dan skor anomali. Kumpulan aturan Bot Manager mendukung tindakan izinkan, blokir, dan log.

Terkadang Anda mungkin perlu menghilangkan atribut permintaan tertentu dari evaluasi WAF. Contoh umumnya adalah token yang dimasukkan Direktori Aktif yang digunakan untuk autentikasi. Anda dapat mengonfigurasi pengecualian untuk diterapkan saat aturan WAF tertentu dievaluasi, atau diterapkan secara global ke evaluasi semua aturan WAF. Aturan pengecualian berlaku untuk seluruh aplikasi web Anda. Untuk informasi selengkapnya, lihat Web Application Firewall (WAF) dengan daftar pengecualian Application Gateway.

Secara default, DRS versi 2.1 / CRS versi 3.2 ke atas menggunakan penilaian anomali saat permintaan cocok dengan aturan. CRS 3.1 ke bawah memblokir permintaan yang cocok secara default. Selain itu, aturan kustom dapat dikonfigurasi dalam kebijakan WAF yang sama jika Anda ingin melewati salah satu aturan yang telah dikonfigurasi sebelumnya di Kumpulan Aturan Inti.

Aturan kustom selalu diterapkan sebelum aturan dalam Seperangkat Aturan Inti dievaluasi. Jika permintaan cocok dengan aturan kustom, tindakan aturan terkait diterapkan. Permintaan diblokir atau diteruskan ke ujung belakang. Tidak ada aturan kustom lain atau aturan dalam Seperangkat Aturan Inti yang diproses.

Penilaian anomali

Saat Anda menggunakan CRS atau DRS 2.1 dan yang lebih baru, WAF Anda dikonfigurasi untuk menggunakan penilaian anomali secara default. Lalu lintas yang cocok dengan aturan apa pun tidak segera diblokir, bahkan ketika WAF Anda berada dalam mode pencegahan. Sebaliknya, seperangkat aturan OWASP menentukan tingkat keparahan untuk setiap aturan: Kritis, Kesalahan, Peringatan, atau Pemberitahuan. Tingkat keparahan mempengaruhi nilai numerik untuk permintaan, yang disebut skor anomali:

Keparahan aturan Nilai berkontribusi pada skor anomali
Kritis 5
Kesalahan 4
Peringatan 3
Pemberitahuan 2

Jika skor anomali adalah 5 atau lebih besar, dan WAF berada dalam mode Pencegahan, permintaan diblokir. Jika skor anomali adalah 5 atau lebih besar, dan WAF dalam mode Deteksi, permintaan dicatat tetapi tidak diblokir.

Misalnya, satu kecocokan aturan Kritis sudah cukup bagi WAF untuk memblokir permintaan ketika dalam mode Pencegahan, karena skor anomali keseluruhan adalah 5. Namun, satu kecocokan aturan Peringatan hanya meningkatkan skor anomali sebesar 3, yang tidak cukup dengan sendirinya untuk memblokir lalu lintas. Saat aturan anomali dipicu, aturan tersebut menunjukkan tindakan "Cocok" di log. Jika skor anomali adalah 5 atau lebih besar, ada aturan terpisah yang dipicu dengan tindakan "Diblokir" atau "Terdeteksi" tergantung pada apakah kebijakan WAF berada dalam mode Pencegahan atau Deteksi. Untuk informasi selengkapnya, silakan lihat mode Penilaian Anomali.

Memutakhirkan atau mengubah versi ruleset

Jika Anda meningkatkan, atau menetapkan versi ruleset baru, dan ingin mempertahankan penimpaan dan pengecualian aturan yang ada, disarankan untuk menggunakan PowerShell, CLI, REST API, atau templat untuk membuat perubahan versi ruleset. Versi baru dari set aturan dapat memiliki aturan yang lebih baru, grup aturan tambahan, dan mungkin memiliki pembaruan pada tanda tangan yang ada untuk memberlakukan keamanan yang lebih baik dan mengurangi positif palsu. Disarankan untuk memvalidasi perubahan di lingkungan pengujian, menyempurnakan jika perlu, lalu menyebarkan di lingkungan produksi.

Catatan

Jika Anda menggunakan portal Azure untuk menetapkan aturan terkelola baru ke kebijakan WAF, semua kustomisasi sebelumnya dari sekumpulan aturan terkelola yang ada seperti status aturan, tindakan aturan, dan pengecualian tingkat aturan akan diatur ulang ke default kumpulan aturan terkelola baru. Namun, aturan kustom, pengaturan kebijakan, dan pengecualian global apa pun akan tetap tidak terpengaruh selama penetapan set aturan baru. Anda harus mendefinisikan ulang penimpaan aturan dan memvalidasi perubahan sebelum menyebarkan di lingkungan produksi.

DRS 2.1

Aturan DRS 2.1 menawarkan perlindungan yang lebih baik daripada versi DRS sebelumnya. Ini termasuk lebih banyak aturan yang dikembangkan oleh tim Inteligensi Ancaman Microsoft dan pembaruan tanda tangan untuk mengurangi positif palsu. Ini juga mendukung transformasi selain pendekodean URL.

DRS 2.1 menyertakan 17 grup aturan, seperti yang diperlihatkan dalam tabel berikut. Setiap grup berisi beberapa aturan, dan Anda dapat menyesuaikan perilaku untuk aturan individual, grup aturan, atau seluruh seperangkat aturan. DRS 2.1 digarisbawahi dari Open Web Application Security Project (OWASP) Core Rule Set (CRS) 3.3.2 dan mencakup aturan perlindungan kepemilikan tambahan yang dikembangkan oleh tim Inteligensi Ancaman Microsoft.

Grup aturan ruleGroupName Deskripsi
Umum Umum Grup umum
METHOD-ENFORCEMENT METHOD-ENFORCEMENT Metode penguncian (PUT, PATCH)
PROTOCOL-ENFORCEMENT PROTOCOL-ENFORCEMENT Melindungi dari masalah protokol dan pengodean
PROTOCOL-ATTACK PROTOCOL-ATTACK Melindungi dari injeksi header, penyelundupan permintaan, dan pemisahan respons
APPLICATION-ATTACK-LFI LFI Melindungi dari serangan file dan jalur
APPLICATION-ATTACK-RFI RFI Melindungi dari serangan penyertaan file jarak jauh (RFI)
APPLICATION-ATTACK-RCE RCE Melindungi dari serangan eksekusi kode jarak jauh
APPLICATION-ATTACK-PHP PHP Melindungi dari serangan injeksi PHP
APPLICATION-ATTACK-NodeJS NODEJS Melindungi terhadap serangan Node JS
APPLICATION-ATTACK-XSS XSS Melindungi dari serangan scripting lintas situs
APPLICATION-ATTACK-SQLI SQLI Melindungi dari serangan injeksi SQL
APPLICATION-ATTACK-SESSION-FIXATION PERBAIKI Melindungi dari serangan fiksasi sesi
APPLICATION-ATTACK-SESSION-JAVA JAVA Melindungi dari serangan JAVA
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Melindungi terhadap serangan shell Web
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec Melindungi terhadap serangan AppSec
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI Melindungi terhadap serangan SQLI
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs Melindungi dari serangan CVE

OWASP CRS 3.2

CRS 3.2 menyertakan 14 grup aturan, seperti yang ditunjukkan dalam tabel berikut. Setiap grup berisi beberapa aturan, yang dapat dinonaktifkan. Set aturan didasarkan pada versi OWASP CRS 3.2.0.

Catatan

CRS 3.2 hanya tersedia di SKU WAF_v2. Karena CRS 3.2 berjalan pada mesin Azure WAF baru, Anda tidak dapat menurunkan tingkat ke CRS 3.1 atau versi yang lebih lama. Jika Anda perlu menurunkan tingkat, hubungi Dukungan Azure.

Nama grup aturan Deskripsi
Umum Grup umum
KNOWN-CVES Membantu mendeteksi CVE baru dan yang dikenal
REQUEST-911-METHOD-ENFORCEMENT Metode penguncian (PUT, PATCH)
REQUEST-913-SCANNER-DETECTION Melindungi dari pemindai port dan lingkungan
REQUEST-920-PROTOCOL-ENFORCEMENT Melindungi dari masalah protokol dan pengodean
REQUEST-921-PROTOCOL-ATTACK Melindungi dari injeksi header, penyelundupan permintaan, dan pemisahan respons
REQUEST-930-APPLICATION-ATTACK-LFI Melindungi dari serangan file dan jalur
REQUEST-931-APPLICATION-ATTACK-RFI Melindungi dari serangan penyertaan file jarak jauh (RFI)
REQUEST-932-APPLICATION-ATTACK-RCE Melindungi dari serangan eksekusi kode jarak jauh
REQUEST-933-APPLICATION-ATTACK-PHP Melindungi dari serangan injeksi PHP
REQUEST-941-APPLICATION-ATTACK-XSS Melindungi dari serangan scripting lintas situs
REQUEST-942-APPLICATION-ATTACK-SQLI Melindungi dari serangan injeksi SQL
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Melindungi dari serangan fiksasi sesi
REQUEST-944-APPLICATION-ATTACK-JAVA Melindungi dari serangan JAVA

OWASP CRS 3.1

CRS 3.1 menyertakan 14 grup aturan, seperti yang ditunjukkan dalam tabel berikut. Setiap grup berisi beberapa aturan, yang dapat dinonaktifkan. Set aturan didasarkan pada versi OWASP CRS 3.1.1.

Catatan

CRS 3.1 hanya tersedia di SKU WAF_v2.

Nama grup aturan Deskripsi
Umum Grup umum
KNOWN-CVES Membantu mendeteksi CVE baru dan yang dikenal
REQUEST-911-METHOD-ENFORCEMENT Metode penguncian (PUT, PATCH)
REQUEST-913-SCANNER-DETECTION Melindungi dari pemindai port dan lingkungan
REQUEST-920-PROTOCOL-ENFORCEMENT Melindungi dari masalah protokol dan pengodean
REQUEST-921-PROTOCOL-ATTACK Melindungi dari injeksi header, penyelundupan permintaan, dan pemisahan respons
REQUEST-930-APPLICATION-ATTACK-LFI Melindungi dari serangan file dan jalur
REQUEST-931-APPLICATION-ATTACK-RFI Melindungi dari serangan penyertaan file jarak jauh (RFI)
REQUEST-932-APPLICATION-ATTACK-RCE Melindungi dari serangan eksekusi kode jarak jauh
REQUEST-933-APPLICATION-ATTACK-PHP Melindungi dari serangan injeksi PHP
REQUEST-941-APPLICATION-ATTACK-XSS Melindungi dari serangan scripting lintas situs
REQUEST-942-APPLICATION-ATTACK-SQLI Melindungi dari serangan injeksi SQL
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Melindungi dari serangan fiksasi sesi
REQUEST-944-APPLICATION-ATTACK-SESSION-JAVA Melindungi dari serangan JAVA

OWASP CRS 3.0

CRS 3.0 menyertakan13 grup aturan, seperti yang ditunjukkan dalam tabel berikut. Setiap grup berisi beberapa aturan, yang dapat dinonaktifkan. Set aturan didasarkan pada versi OWASP CRS 3.0.0.

Nama grup aturan Deskripsi
Umum Grup umum
KNOWN-CVES Membantu mendeteksi CVE baru dan yang dikenal
REQUEST-911-METHOD-ENFORCEMENT Metode penguncian (PUT, PATCH)
REQUEST-913-SCANNER-DETECTION Melindungi dari pemindai port dan lingkungan
REQUEST-920-PROTOCOL-ENFORCEMENT Melindungi dari masalah protokol dan pengodean
REQUEST-921-PROTOCOL-ATTACK Melindungi dari injeksi header, penyelundupan permintaan, dan pemisahan respons
REQUEST-930-APPLICATION-ATTACK-LFI Melindungi dari serangan file dan jalur
REQUEST-931-APPLICATION-ATTACK-RFI Melindungi dari serangan penyertaan file jarak jauh (RFI)
REQUEST-932-APPLICATION-ATTACK-RCE Melindungi dari serangan eksekusi kode jarak jauh
REQUEST-933-APPLICATION-ATTACK-PHP Melindungi dari serangan injeksi PHP
REQUEST-941-APPLICATION-ATTACK-XSS Melindungi dari serangan scripting lintas situs
REQUEST-942-APPLICATION-ATTACK-SQLI Melindungi dari serangan injeksi SQL
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Melindungi dari serangan fiksasi sesi

OWASP CRS 2.2.9

CRS 2.2.9 mencakup 10 grup aturan, seperti yang diperlihatkan dalam tabel berikut ini. Setiap grup berisi beberapa aturan, yang dapat dinonaktifkan.

Catatan

CRS 2.2.9 tidak lagi didukung untuk kebijakan WAF baru. Sebaiknya Tingkatkan ke CRS 3.2/DRS 2.1 terbaru dan versi yang lebih besar.

Nama grup aturan Deskripsi
crs_20_protocol_violations Melindungi dari pelanggaran protokol (seperti karakter yang tidak valid atau GET dengan badan permintaan)
crs_21_protocol_anomalies Melindungi dari informasi header yang salah
crs_23_request_limits Melindungi dari argumen atau file yang melebihi batasan
crs_30_http_policy Melindungi dari metode, header, dan jenis file yang dibatasi
crs_35_bad_robots Melindungi dari perayap dan pemindai web
crs_40_generic_attacks Melindungi dari serangan umum (seperti fiksasi sesi, penyertaan file jarak jauh, dan injeksi PHP)
crs_41_sql_injection_attacks Melindungi dari serangan injeksi SQL
crs_41_xss_attacks Melindungi dari serangan scripting lintas situs
crs_42_tight_security Melindungi dari serangan traversal jalur
crs_45_trojans Melindungi dari trojan backdoor

Manajer Bot 1.0

Seperangkat aturan Bot Manager 1.0 memberikan perlindungan terhadap bot berbahaya dan deteksi bot yang baik. Aturan ini memberikan kontrol terperinci atas bot yang terdeteksi oleh WAF dengan mengategorikan lalu lintas bot sebagai bot Baik, Buruk, atau Tidak Diketahui.

Grup aturan Deskripsi
BadBots Melindungi dari bot yang buruk
GoodBots Mengidentifikasi bot yang baik
UnknownBots Mengidentifikasi bot yang tidak diketahui

Manajer Bot 1.1

Seperangkat aturan Bot Manager 1.1 adalah penyempurnaan untuk kumpulan aturan Bot Manager 1.0. Ini memberikan perlindungan yang ditingkatkan terhadap bot berbahaya, dan meningkatkan deteksi bot yang baik.

Grup aturan Deskripsi
BadBots Melindungi dari bot yang buruk
GoodBots Mengidentifikasi bot yang baik
UnknownBots Mengidentifikasi bot yang tidak diketahui

Aturan dan grup aturan berikut ini tersedia saat Azure Web Application Firewall digunakan di Azure Application Gateway.

2.1 seperangkat aturan

Umum

RuleId Deskripsi
200002 Gagal mengurai isi permintaan.
200003 Isi permintaan multibagian gagal melewati validasi ketat

METHOD ENFORCEMENT

RuleId Deskripsi
911100 Metode tidak diizinkan oleh kebijakan

PROTOCOL-ENFORCEMENT

RuleId Deskripsi
920100 Baris Permintaan HTTP Tidak Valid
920120 Percobaan bypass multibagian/data formulir
920121 Percobaan bypass multibagian/data formulir
920160 Header HTTP Panjang Konten bukan numerik.
920170 Permintaan GET atau HEAD dengan Konten Isi.
920171 Permintaan GET atau HEAD dengan Pengodean Transfer.
920180 Permintaan POST tidak memiliki Header Content-Length.
920181 Header Content-Length dan Transfer-Encoding ada 99001003
920190 Rentang: Nilai Byte Terakhir yang Tidak Valid.
920200 Rentang: Terlalu banyak bidang (6 atau lebih)
920201 Rentang: Terlalu banyak bidang untuk permintaan pdf (35 atau lebih)
920210 Ditemukan Data Header Koneksi yang Berlebih/Bertentangan.
920220 Upaya Serangan Penyalahgunaan Pengodean URL
920230 Beberapa pengkodean URL Terdeteksi
920240 Upaya Serangan Penyalahgunaan Pengodean URL
920260 Upaya Serangan Penyalahgunaan Utuh/Lebar Setengah Unicode
920270 Karakter tidak valid dalam permintaan (karakter null)
920271 Karakter tidak valid dalam permintaan (karakter tidak dapat dicetak)
920280 Permintaan Tidak Memiliki Host Header
920290 Header Host Kosong
920300 Permintaan Tidak Memiliki Header Accept
920310 Permintaan Memiliki Header Accept yang Kosong
920311 Permintaan Memiliki Header Accept yang Kosong
920320 Header Agen Pengguna Hilang
920330 Header Agen Pengguna Kosong
920340 Permintaan yang Berisi Konten, tetapi Tidak Memiliki header Konten-Jenis
920341 Permintaan Berisi Konten yang memerlukan header Content-Type
920350 Header host berupa alamat IP numerik
920420 Tipe konten permintaan tidak diizinkan oleh kebijakan
920430 Versi protokol HTTP tidak diizinkan oleh kebijakan
920440 Ekstensi file URL dibatasi oleh kebijakan
920450 Header HTTP dibatasi oleh kebijakan
920470 Header Content-Type Ilegal
920480 Permintaan tipe konten charset tidak diizinkan oleh kebijakan
920500 Mencoba mengakses cadangan atau file yang berfungsi

PROTOCOL-ATTACK

RuleId Deskripsi
921110 Serangan Penyusupan Permintaan HTTP
921120 Serangan Pemisahan Respons HTTP
921130 Serangan Pemisahan Respons HTTP
921140 Serangan Injeksi Header HTTP melalui header
921150 Serangan Injeksi Header HTTP melalui payload (CR/LF terdeteksi)
921151 Serangan Injeksi Header HTTP melalui payload (CR/LF terdeteksi)
921160 HTTP Header Injection Attack melalui payload (CR/LF dan nama header terdeteksi)
921190 Pemisahan HTTP (CR/LF dalam nama file permintaan terdeteksi)
921200 Serangan injeksi LDAP

LFI - Penyertaan File Lokal

RuleId Deskripsi
930100 Serangan Traversal Jalur (/../)
930110 Serangan Traversal Jalur (/../)
930120 Upaya Akses File OS
930130 Upaya Akses File Terbatas

RFI - Penyertaan File Jarak Jauh

RuleId Deskripsi
931100 Kemungkinan Serangan Penyertaan File Jarak Jauh (RFI): Parameter URL yang menggunakan Alamat IP
931110 Kemungkinan Serangan Penyertaan File Jarak Jauh (RFI): Nama Parameter Rentan RFI Umum yang digunakan dengan Payload URL
931120 Kemungkinan Serangan Penyertaan File Jarak Jauh (RFI): Payload URL Digunakan dengan Karakter Tanda Tanya Penutup (?)
931130 Kemungkinan Serangan Penyertaan File Jarak Jauh (RFI): Referensi/Tautan di Luar Domain

RCE - Eksekusi Perintah Jarak Jauh

RuleId Deskripsi
932100 Eksekusi Perintah Jarak Jauh: Injeksi Perintah Unix
932105 Eksekusi Perintah Jarak Jauh: Injeksi Perintah Unix
932110 Eksekusi Perintah Jarak Jauh: Injeksi Perintah Windows
932115 Eksekusi Perintah Jarak Jauh: Injeksi Perintah Windows
932120 Eksekusi Perintah Jarak Jauh: Perintah PowerShell Windows Ditemukan
932130 Eksekusi Perintah Jarak Jauh: Ekspresi Shell Unix atau Kerentanan Confluence (CVE-2022-26134) Ditemukan
932140 Eksekusi Perintah Jarak Jauh: Perintah FOR/IF Windows Ditemukan
932150 Eksekusi Perintah Jarak Jauh: Eksekusi Perintah Unix Langsung
932160 Eksekusi Perintah Jarak Jauh: Kode Shell Unix Ditemukan
932170 Eksekusi Perintah Jarak Jauh: Shellshock (CVE-2014-6271)
932171 Eksekusi Perintah Jarak Jauh: Shellshock (CVE-2014-6271)
932180 Upaya Unggah File Terbatas

Serangan PHP

RuleId Deskripsi
933100 Serangan Injeksi PHP: Tag Pembuka/Penutup Ditemukan
933110 Serangan Injeksi PHP: Unggahan File Skrip PHP Ditemukan
933120 Serangan Injeksi PHP: Direktif Konfigurasi Ditemukan
933130 Serangan Injeksi PHP: Variabel Ditemukan
933140 Serangan Injeksi PHP = Aliran I/O Ditemukan
933150 Serangan Injeksi PHP: Nama Fungsi PHP Berisiko Tinggi Ditemukan
933151 Serangan Injeksi PHP: Nama Fungsi PHP Berisiko Sedang Ditemukan
933160 Serangan Injeksi PHP: Panggilan Fungsi PHP Berisiko Tinggi Ditemukan
933170 Serangan Injeksi PHP: Injeksi Objek Berseri
933180 Serangan Injeksi PHP: Panggilan Fungsi Variabel Ditemukan
933200 Serangan Injeksi PHP: Skema pembungkus terdeteksi
933210 Serangan Injeksi PHP: Panggilan Fungsi Variabel Ditemukan

Serangan Node JS

RuleId Deskripsi
934100 Serangan Injeksi Node.js

XSS - Scripting Lintas Situs

RuleId Deskripsi
941100 Serangan XSS Terdeteksi melalui libinjeksi
941101 Serangan XSS Terdeteksi melalui libinjection.
Aturan ini mendeteksi permintaan dengan header Referen.
941110 Filter XSS - Kategori 1: Vektor Tag Skrip
941120 Filter XSS - Kategori 2: Vektor Penanganan Aktivitas
941130 Filter XSS - Kategori 3: Vektor Atribut
941140 Filter XSS - Kategori 4: Vektor URI Javascript
941150 Filter XSS - Kategori 5: Atribut HTML yang Tidak Diizinkan
941160 NoScript XSS InjectionChecker: Injeksi HTML
941170 NoScript XSS InjectionChecker: Injeksi Atribut
941180 Kata Kunci Daftar Blokir Validator Simpul
941190 XSS Menggunakan lembar gaya
941200 XSS menggunakan bingkai VML
941210 XSS menggunakan JavaScript yang disamarkan
941220 XSS menggunakan skrip VB yang disamarkan
941230 XSS menggunakan tag 'embed'
941240 XSS menggunakan atribut 'import' atau 'implementation'
941250 Filter XSS IE - Serangan Terdeteksi.
941260 XSS menggunakan tag 'meta'
941270 XSS menggunakan href 'link'
941280 XSS menggunakan tag 'base'
941290 XSS menggunakan tag 'applet'
941300 XSS menggunakan tag 'object'
941310 Kesalahan Format Pengodean Filter XSS US-ASCII - Serangan Terdeteksi.
941320 Kemungkinan Serangan XSS Terdeteksi - Penghandel Tag HTML
941330 Filter XSS IE - Serangan Terdeteksi.
941340 Filter XSS IE - Serangan Terdeteksi.
941350 XSS IE Pengodean UTF-7 - Serangan Terdeteksi.
941360 Penyamaran JavaScript terdeteksi.
941370 Variabel global JavaScript ditemukan
941380 Injeksi templat sisi klien AngularJS terdeteksi

SQLI - Injeksi SQL

RuleId Deskripsi
942100 Serangan Injeksi SQL Terdeteksi melalui libinjection
942110 Serangan Injeksi SQL: Pengujian Injeksi Umum Terdeteksi
942120 Serangan Injeksi SQL: Operator SQL Terdeteksi
942130 Serangan Injeksi SQL: Tautologi SQL Terdeteksi.
942140 Serangan Injeksi SQL: Nama DB Umum Terdeteksi
942150 Serangan Injeksi SQL
942160 Mendeteksi tes sqli tak terlihat menggunakan sleep() atau benchmark().
942170 Mendeteksi upaya injeksi benchmark dan sleep SQL termasuk kueri bersyarat
942180 Mendeteksi upaya bypass autentikasi SQL dasar 1/3
942190 Mendeteksi eksekusi kode MSSQL dan upaya pengumpulan informasi
942200 Mendeteksi injeksi komentar-/berspasi-disamarkan MySQL dan penghentian kutip tunggal terbalik
942210 Mendeteksi upaya injeksi SQL berantai 1/2
942220 Mencari serangan luapan bilangan bulat, berikut diambil dari skipfish, kecuali 3.0.00738585072007e-308 adalah crash "angka ajaib"
942230 Mendeteksi upaya injeksi SQL bersyarat
942240 Mendeteksi pengalih tataan karakter MySQL dan upaya DoS MSSQL
942250 Mendeteksi injeksi MATCH AGAINST, MERGE, dan EXECUTE IMMEDIATE
942260 Mendeteksi upaya bypass autentikasi SQL dasar 2/3
942270 Mencari injeksi sql dasar. String serangan umum untuk mysql, oracle, dan lainnya.
942280 Mendeteksi injeksi Postgres pg_sleep, serangan penundaan waitfor, dan upaya pematian database
942290 Menemukan upaya injeksi SQL MongoDB dasar
942300 Mendeteksi komentar, kondisi, dan injeksi ch(a)r MySQL
942310 Mendeteksi upaya injeksi SQL berantai 2/2
942320 Mendeteksi injeksi prosedur/fungsi tersimpan MySQL dan PostgreSQL
942330 Mendeteksi pemeriksaan injeksi SQL klasik 1/2
942340 Mendeteksi upaya bypass autentikasi SQL dasar 3/3
942350 Mendeteksi injeksi UDF MySQL dan upaya manipulasi data/struktur lainnya
942360 Mendeteksi injeksi SQL dasar dan upaya SQLLFI
942361 Mendeteksi injeksi SQL dasar berdasarkan perubahan atau penggabungan kata kunci
942370 Mendeteksi pemeriksaan injeksi SQL klasik 2/2
942380 Serangan Injeksi SQL
942390 Serangan Injeksi SQL
942400 Serangan Injeksi SQL
942410 Serangan Injeksi SQL
942430 Deteksi Anomali Karakter SQL Terbatas (argumen): # karakter khusus terlampaui (12)
942440 Urutan Komentar SQL Terdeteksi
942450 Pengodean Hex SQL Diidentifikasi
942460 Pemberitahuan Deteksi Anomali Meta-Karakter - Karakter Non-Kata Berulang
942470 Serangan Injeksi SQL
942480 Serangan Injeksi SQL
942500 Komentar dalam baris MySQL terdeteksi.
942510 SQLi bypass mencoba dengan tick atau backtick terdeteksi.

FIKSASI SESI

RuleId Deskripsi
943100 Kemungkinan Serangan Fiksasi Sesi: Mengatur Nilai Cookie dalam HTML
943110 Kemungkinan Serangan Fiksasi Sesi: Nama Parameter SessionID dengan Referen tanpa Domain
943120 Kemungkinan Serangan Fiksasi Sesi: Nama Parameter SessionID tanpa Referen

Serangan JAVA

RuleId Deskripsi
944100 Eksekusi Perintah Jarak Jauh: Apache Struts, Oracle WebLogic
944110 Mendeteksi eksekusi payload potensial
944120 Kemungkinan eksekusi payload dan eksekusi perintah jarak jauh
944130 Kelas Java yang mencurigakan
944200 Eksploitasi deserialisasi Java Apache Commons
944210 Kemungkinan penggunaan serialisasi Java
944240 Eksekusi Perintah Jarak Jauh: Serialisasi Java dan kerentanan Log4j (CVE-2021-44228, CVE-2021-45046)
944250 Eksekusi Perintah Jarak Jauh: Metode Java yang mencurigakan terdeteksi

MS-ThreatIntel-WebShells

RuleId Deskripsi
99005002 Upaya Interaksi Web Shell (POST)
99005003 Upaya Unggah Web Shell (POST) - CHOPPER PHP
99005004 Upaya Unggah Web Shell (POST) - CHOPPER ASPX
99005005 Upaya Interaksi Web Shell
99005006 Upaya Interaksi Spring4Shell

MS-ThreatIntel-AppSec

RuleId Deskripsi
99030001 Evasi Traversal Jalur di Header (/.. /./.. /)
99030002 Evasi Traversal Jalur di Isi Permintaan (/.. /./.. /)

MS-ThreatIntel-SQLI

RuleId Deskripsi
99031001 Serangan Injeksi SQL: Pengujian Injeksi Umum Terdeteksi
99031002 Rangkaian Komentar SQL Terdeteksi.
99031003 Serangan Injeksi SQL
99031004 Mendeteksi upaya bypass autentikasi SQL dasar 2/3

MS-ThreatIntel-CVEs

RuleId Deskripsi
99001001 Percobaan F5 tmui (CVE-2020-5902) Eksploitasi Rest API dengan kredensial yang diketahui
99001002 Percobaan Citrix NSC_USER direktori traversal CVE-2019-19781
99001003 Percobaan eksploitasi Konektor Widget Atlassian Confluence CVE-2019-3396
99001004 Percobaan eksploitasi templat kustom Pulse Secure CVE-2020-8243
99001005 Percobaan eksploitasi pengonversi tipe SharePoint CVE-2020-0932
99001006 Percobaan traversal direktori Pulse Connect CVE-2019-11510
99001007 Upaya Junos OS J-Web penyertaan file lokal CVE-2020-1631
99001008 Mencoba jalur Fortinet traversal CVE-2018-13379
99001009 Mencoba Apache struts ognl injection CVE-2017-5638
99001010 Mencoba Apache struts ognl injection CVE-2017-12611
99001011 Mencoba Oracle WebLogic path traversal CVE-2020-14882
99001012 Percobaan Eksploitasi deserialisasi Telerik WebUI yang tidak aman CVE-2019-18935
99001013 Percobaan deserialisasi XML tidak aman SharePoint CVE-2019-0604
99001014 Percobaan injeksi ekspresi perutean Spring Cloud CVE-2022-22963
99001015 Percobaan eksploitasi objek kelas Spring .NET Framework yang tidak aman CVE-2022-22965
99001016 Percobaan injeksi Spring Cloud Gateway Actuator CVE-2022-22947
99001017* Percobaan eksploitasi unggahan file Apache Struts CVE-2023-50164

*Tindakan aturan ini diatur ke log secara default. Atur tindakan ke Blokir untuk mencegah kerentanan Apache Struts. Skor Anomali tidak didukung untuk aturan ini.

Catatan

Saat meninjau log WAF, Anda mungkin melihat ID aturan 949110. Deskripsi aturan mungkin mencakup Skor Anomali Masuk Terlampaui.

Aturan ini menunjukkan bahwa skor anomali total untuk permintaan melebihi skor maksimum yang diizinkan. Untuk informasi selengkapnya, lihat Penilaian anomali.

Langkah berikutnya