Regole e gruppi di regole DRS di Web Application Firewall
Web application firewall di Azure in Frontdoor di Azure protegge le applicazioni Web da vulnerabilità e exploit comuni. I set di regole gestiti da Azure consentono di distribuire in modo semplice la protezione da un set comune di minacce alla sicurezza. Poiché Azure gestisce questi set di regole, le regole vengono aggiornate in base alle esigenze per proteggersi dalle nuove firme di attacco.
Il set di regole predefinito include anche le regole della raccolta di Intelligence sulle minacce Microsoft scritte in collaborazione con il team di Intelligence Microsoft per fornire una maggiore copertura, patch per vulnerabilità specifiche e una migliore riduzione dei falsi positivi.
Set di regole predefiniti
Il servizio di ripristino di emergenza gestito da Azure include regole per le categorie di minacce seguenti:
- Scripting intersito
- Attacchi Java
- Inclusione di file locali
- Attacchi PHP injection
- Attacchi di tipo Remote Command Execution
- Inclusione di file remoti
- Fissazione sessione
- Protezione dagli attacchi SQL injection
- Aggressori protocollo
Il numero di versione del ripristino di emergenza aumenta quando vengono aggiunte nuove firme di attacco al set di regole.
DrS è abilitato per impostazione predefinita in modalità rilevamento nei criteri WAF. È possibile disabilitare o abilitare singole regole all'interno del servizio ripristino di emergenza per soddisfare i requisiti dell'applicazione. È anche possibile impostare azioni specifiche per ogni regola. Le azioni disponibili sono Consenti, Blocca, Log e Reindirizzamento.
In alcuni casi potrebbe essere necessario omettere determinati attributi di richiesta da una valutazione web application firewall (WAF). Un esempio comune è rappresentato dai token inseriti in Active Directory che vengono usati per l'autenticazione. È possibile configurare un elenco di esclusione per una regola gestita, un gruppo di regole o l'intero set di regole. Per altre informazioni, vedere Web application firewall di Azure in elenchi di esclusione di Frontdoor di Azure.
Per impostazione predefinita, drS versioni 2.0 e successive usano l'assegnazione dei punteggi anomalie quando una richiesta corrisponde a una regola. Le versioni di DRS precedenti alla 2.0 bloccano le richieste che attivano le regole. Inoltre, le regole personalizzate possono essere configurate nello stesso criterio WAF se si vuole ignorare una delle regole preconfigurate nel servizio ripristino di emergenza.
Le regole personalizzate vengono sempre applicate prima che vengano valutate le regole nel servizio di ripristino di emergenza. Se una richiesta corrisponde a una regola personalizzata, viene applicata l'azione della regola corrispondente. La richiesta viene bloccata o passata al back-end. Non vengono elaborate altre regole personalizzate o le regole nel servizio ripristino di emergenza. È anche possibile rimuovere il ripristino di emergenza dai criteri WAF.
Regole di raccolta di Intelligence sulle minacce Microsoft
Le regole di Microsoft Threat Intelligence Collection sono scritte in collaborazione con il team di Microsoft Threat Intelligence per fornire una maggiore copertura, patch per vulnerabilità specifiche e una migliore riduzione dei falsi positivi.
Per impostazione predefinita, le regole della raccolta di Intelligence sulle minacce di Microsoft sostituiscono alcune delle regole predefinite del servizio di ripristino di emergenza, causandone la disabilitazioni. Ad esempio, l'ID regola 942440, la sequenza di commenti SQL rilevata, è stata disabilitata e sostituita dalla regola raccolta di intelligence sulle minacce Microsoft 99031002. La regola sostituita riduce il rischio di rilevamenti falsi positivi da richieste legittime.
Assegnazione di punteggi anomalie
Quando si usa DRS 2.0 o versione successiva, il WAF usa l'assegnazione dei punteggi anomalie. Il traffico che corrisponde a qualsiasi regola non viene bloccato immediatamente, anche quando waf è in modalità di prevenzione. I set di regole OWASP definiscono invece una gravità per ogni regola: Critico, Errore, Avviso o Avviso. La gravità influisce su un valore numerico per la richiesta, denominato punteggio anomalie. Se una richiesta accumula un punteggio di anomalia pari o superiore a 5, il WAF esegue un'azione sulla richiesta.
Gravità della regola | Valore che ha contribuito al punteggio di anomalia |
---|---|
Critico | 5 |
Error | 4 |
Avviso | 3 |
Preavviso | 2 |
Quando si configura waf, è possibile decidere come il WAF gestisce le richieste che superano la soglia di punteggio anomalie di 5. Le tre opzioni di azione punteggio anomalie sono Blocca, Log o Reindirizzamento. L'azione punteggio anomalie selezionata al momento della configurazione viene applicata a tutte le richieste che superano la soglia del punteggio anomalie.
Ad esempio, se il punteggio di anomalia è 5 o superiore in una richiesta e WAF è in modalità prevenzione con l'azione punteggio anomalie impostata su Blocca, la richiesta viene bloccata. Se il punteggio di anomalia è 5 o maggiore per una richiesta e WAF è in modalità rilevamento, la richiesta viene registrata ma non bloccata.
Una singola corrispondenza di regola critica è sufficiente per waf per bloccare una richiesta in modalità prevenzione con l'azione punteggio anomalie impostata su Blocca perché il punteggio complessivo delle anomalie è 5. Tuttavia, una regola di avviso aumenta solo il punteggio di anomalia di 3, che non è sufficiente da solo per bloccare il traffico. Quando viene attivata una regola di anomalie, nei log viene visualizzata un'azione "corrispondente". Se il punteggio di anomalia è 5 o superiore, viene attivata una regola separata con l'azione di punteggio anomalie configurata per il set di regole. L'azione di punteggio anomalie predefinita è Blocca, che genera una voce di log con l'azione blocked
.
Quando WAF usa una versione precedente del set di regole predefinito (prima di DRS 2.0), il WAF viene eseguito in modalità tradizionale. Il traffico che corrisponde a qualsiasi regola viene considerato indipendentemente da qualsiasi altra regola corrispondente. In modalità tradizionale non si ha visibilità sul set completo di regole corrispondenti a una richiesta specifica.
La versione del servizio di ripristino di emergenza usata determina anche quali tipi di contenuto sono supportati per l'ispezione del corpo della richiesta. Per altre informazioni, vedere Quali tipi di contenuto supporta WAF? nelle domande frequenti.
DRS 2.1
Le regole drs 2.1 offrono una protezione migliore rispetto alle versioni precedenti del servizio di ripristino di emergenza. Include altre regole sviluppate dal team di Microsoft Threat Intelligence e gli aggiornamenti alle firme per ridurre i falsi positivi. Supporta anche trasformazioni oltre la semplice decodifica url.
DRS 2.1 include 17 gruppi di regole, come illustrato nella tabella seguente. Ogni gruppo contiene più regole ed è possibile personalizzare il comportamento per singole regole, gruppi di regole o un intero set di regole. Per altre informazioni, vedere Ottimizzazione di Web Application Firewall (WAF) per Frontdoor di Azure.
Nota
DRS 2.1 è disponibile solo in Frontdoor di Azure Premium.
Gruppo di regole | ruleGroupName | Descrizione |
---|---|---|
Generali | Generali | Gruppo generale |
APPLICAZIONE DEL METODO | APPLICAZIONE METODO | Metodi di blocco (PUT, PATCH) |
APPLICAZIONE DEL PROTOCOLLO | APPLICAZIONE PROTOCOLLO | Protezione da problemi di protocollo e codifica |
PROTOCOL-ATTACK | ATTACCO PROTOCOLLO | Protezione contro l'inserimento di intestazioni, il contrabbando di richieste e la suddivisione delle risposte |
APPLICATION-ATTACK-LFI | LFI | Protezione da attacchi a file e percorsi |
APPLICATION-ATTACK-RFI | RFI | Protezione da attacchi RFI (Remote File Inclusion) |
APPLICATION-ATTACK-RCE | RCE | Proteggere di nuovo gli attacchi di esecuzione del codice remoto |
APPLICATION-ATTACK-PHP | PHP | Proteggere da attacchi PHP injection |
APPLICATION-ATTACK-NodeJS | NODEJS | Proteggere da attacchi NODE JS |
APPLICATION-ATTACK-XSS | XSS | Protezione da attacchi di scripting tra siti |
APPLICATION-ATTACK-SQLI | SQLI | Protezione da attacchi SQL injection |
APPLICATION-ATTACK-SESSION-FIXATION | FIX | Protezione da attacchi di correzione della sessione |
APPLICATION-ATTACK-SESSION-JAVA | JAVA | Proteggere dagli attacchi JAVA |
MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Proteggere da attacchi web shell |
MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | Proteggere dagli attacchi AppSec |
MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | Protezione da attacchi SQLI |
MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Proteggere da attacchi CVE |
Regole disabilitate
Le regole seguenti sono disabilitate per impostazione predefinita per DRS 2.1.
ID regola | Gruppo di regole | Descrizione | Dettagli |
---|---|---|---|
942110 | SQLI | Attacco SQL Injection: test di inserimento comuni rilevati | Sostituito dalla regola MSTIC 99031001 |
942150 | SQLI | Attacco SQL injection | Sostituito dalla regola MSTIC 99031003 |
942260 | SQLI | Rileva tentativi di ignorare l'autenticazione SQL di base (2/3) | Sostituito dalla regola MSTIC 99031004 |
942430 | SQLI | Rilevamento anomalie caratteri SQL con restrizioni (args): n. di caratteri speciali in eccesso (12) | Troppi falsi positivi |
942440 | SQLI | Sequenza di commenti SQL rilevata | Sostituito dalla regola MSTIC 99031002 |
99005006 | MS-ThreatIntel-WebShells | Tentativo di interazione di Spring4Shell | Abilitare la regola per evitare la vulnerabilità di SpringShell |
99001014 | MS-ThreatIntel-CVEs | Tentativo di iniezione di routing-espressione Spring Cloud CVE-2022-22963 | Abilitare la regola per evitare la vulnerabilità di SpringShell |
99001015 | MS-ThreatIntel-WebShells | Tentativo di sfruttamento di oggetti della classe Spring Framework unsafe CVE-2022-22965 | Abilitare la regola per evitare la vulnerabilità di SpringShell |
99001016 | MS-ThreatIntel-WebShells | Tentativo di inserimento dell'attuatore Spring Cloud Gateway CVE-2022-22947 | Abilitare la regola per evitare la vulnerabilità di SpringShell |
99001017 | MS-ThreatIntel-CVEs | Tentativo di caricamento del file Apache Struts CVE-2023-50164. | Abilitare la regola per evitare la vulnerabilità di Apache Struts |
DRS 2.0
Le regole drs 2.0 offrono una protezione migliore rispetto alle versioni precedenti del servizio di ripristino di emergenza. DrS 2.0 supporta anche trasformazioni oltre la semplice decodifica url.
DrS 2.0 include 17 gruppi di regole, come illustrato nella tabella seguente. Ogni gruppo contiene più regole. È possibile disabilitare singole regole e interi gruppi di regole.
Nota
DRS 2.0 è disponibile solo in Frontdoor di Azure Premium.
Gruppo di regole | ruleGroupName | Descrizione |
---|---|---|
Generali | Generali | Gruppo generale |
APPLICAZIONE DEL METODO | APPLICAZIONE METODO | Metodi di blocco (PUT, PATCH) |
APPLICAZIONE DEL PROTOCOLLO | APPLICAZIONE PROTOCOLLO | Protezione da problemi di protocollo e codifica |
PROTOCOL-ATTACK | ATTACCO PROTOCOLLO | Protezione contro l'inserimento di intestazioni, il contrabbando di richieste e la suddivisione delle risposte |
APPLICATION-ATTACK-LFI | LFI | Protezione da attacchi a file e percorsi |
APPLICATION-ATTACK-RFI | RFI | Protezione da attacchi RFI (Remote File Inclusion) |
APPLICATION-ATTACK-RCE | RCE | Proteggere di nuovo gli attacchi di esecuzione del codice remoto |
APPLICATION-ATTACK-PHP | PHP | Proteggere da attacchi PHP injection |
APPLICATION-ATTACK-NodeJS | NODEJS | Proteggere da attacchi NODE JS |
APPLICATION-ATTACK-XSS | XSS | Protezione da attacchi di scripting tra siti |
APPLICATION-ATTACK-SQLI | SQLI | Protezione da attacchi SQL injection |
APPLICATION-ATTACK-SESSION-FIXATION | FIX | Protezione da attacchi di correzione della sessione |
APPLICATION-ATTACK-SESSION-JAVA | JAVA | Proteggere dagli attacchi JAVA |
MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Proteggere da attacchi web shell |
MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | Proteggere dagli attacchi AppSec |
MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | Protezione da attacchi SQLI |
MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Proteggere da attacchi CVE |
DRS 1.1
Gruppo di regole | ruleGroupName | Descrizione |
---|---|---|
PROTOCOL-ATTACK | ATTACCO PROTOCOLLO | Protezione contro l'inserimento di intestazioni, il contrabbando di richieste e la suddivisione delle risposte |
APPLICATION-ATTACK-LFI | LFI | Protezione da attacchi a file e percorsi |
APPLICATION-ATTACK-RFI | RFI | Protezione dagli attacchi di inclusione di file remoti |
APPLICATION-ATTACK-RCE | RCE | Protezione dall'esecuzione di comandi remoti |
APPLICATION-ATTACK-PHP | PHP | Proteggere da attacchi PHP injection |
APPLICATION-ATTACK-XSS | XSS | Protezione da attacchi di scripting tra siti |
APPLICATION-ATTACK-SQLI | SQLI | Protezione da attacchi SQL injection |
APPLICATION-ATTACK-SESSION-FIXATION | FIX | Protezione da attacchi di correzione della sessione |
APPLICATION-ATTACK-SESSION-JAVA | JAVA | Proteggere dagli attacchi JAVA |
MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Proteggere da attacchi web shell |
MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | Proteggere dagli attacchi AppSec |
MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | Protezione da attacchi SQLI |
MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Proteggere da attacchi CVE |
DRS 1.0
Gruppo di regole | ruleGroupName | Descrizione |
---|---|---|
PROTOCOL-ATTACK | ATTACCO PROTOCOLLO | Protezione contro l'inserimento di intestazioni, il contrabbando di richieste e la suddivisione delle risposte |
APPLICATION-ATTACK-LFI | LFI | Protezione da attacchi a file e percorsi |
APPLICATION-ATTACK-RFI | RFI | Protezione dagli attacchi di inclusione di file remoti |
APPLICATION-ATTACK-RCE | RCE | Protezione dall'esecuzione di comandi remoti |
APPLICATION-ATTACK-PHP | PHP | Proteggere da attacchi PHP injection |
APPLICATION-ATTACK-XSS | XSS | Protezione da attacchi di scripting tra siti |
APPLICATION-ATTACK-SQLI | SQLI | Protezione da attacchi SQL injection |
APPLICATION-ATTACK-SESSION-FIXATION | FIX | Protezione da attacchi di correzione della sessione |
APPLICATION-ATTACK-SESSION-JAVA | JAVA | Proteggere dagli attacchi JAVA |
MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Proteggere da attacchi web shell |
MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Proteggere da attacchi CVE |
Bot Manager 1.0
Il set di regole di Bot Manager 1.0 offre protezione dai bot dannosi e dal rilevamento di bot validi. Le regole forniscono un controllo granulare sui bot rilevati da WAF tramite la categorizzazione del traffico del bot come bot buono, non valido o sconosciuto.
Gruppo di regole | Descrizione |
---|---|
BadBots | Protezione da bot non valido |
GoodBots | Identificare bot validi |
UnknownBots | Identificare i bot sconosciuti |
Bot Manager 1.1
Il set di regole di Bot Manager 1.1 è un miglioramento del set di regole di Bot Manager 1.0. Offre una protezione avanzata contro i bot dannosi e aumenta il corretto rilevamento dei bot.
Gruppo di regole | Descrizione |
---|---|
BadBots | Protezione da bot non valido |
GoodBots | Identificare bot validi |
UnknownBots | Identificare i bot sconosciuti |
Quando si usa Web Application Firewall di Azure in Frontdoor di Azure, sono disponibili i gruppi di regole e le regole seguenti.
2.1 set di regole
Generali
ID regola | Descrizione |
---|---|
200002 | Impossibile analizzare il corpo della richiesta |
200003 | Il corpo della richiesta multipart non è riuscito a convalida rigorosa |
Imposizione del metodo
ID regola | Descrizione |
---|---|
911100 | Il metodo non è consentito dai criteri |
Applicazione protocollo
ID regola | Descrizione |
---|---|
920100 | Riga di richiesta HTTP non valida. |
920120 | Tentativo di bypass multipart/form-data. |
920121 | Tentativo di bypass multipart/form-data. |
920160 | L'intestazione HTTP Content-Length non è numerica. |
920170 | Richiesta GET o HEAD con contenuto del corpo |
920171 | Richiesta GET o HEAD con codifica di trasferimento. |
920180 | Richiesta POST senza intestazione Content-Length |
920181 | Le intestazioni Content-Length e Transfer-Encoding presentano 99001003. |
920190 | Intervallo: valore last byte non valido. |
920200 | Intervallo: troppi campi (6 o più). |
920201 | Intervallo: troppi campi per la richiesta pdf (35 o più). |
920210 | Trovati dati intestazione di connessione multipli/in conflitto |
920220 | Tentativo di attacco di abuso di codifica URL. |
920230 | È stata rilevata la codifica di più URL. |
920240 | Tentativo di attacco di abuso di codifica URL. |
920260 | Tentativo di attacco di uso improprio a larghezza intera/metà Unicode. |
920270 | Carattere non valido nella richiesta (carattere Null). |
920271 | Carattere non valido nella richiesta (caratteri non stampabili). |
920280 | Richiesta mancante di un'intestazione host. |
920290 | Intestazione host vuota. |
920300 | Richiesta mancante di un'intestazione Accept. |
920310 | Request ha un'intestazione Accept vuota. |
920311 | Request ha un'intestazione Accept vuota. |
920320 | Intestazione agente utente mancante. |
920330 | Intestazione agente utente vuota. |
920340 | Richiedi contenuto, ma intestazione Content-Type mancante. |
920341 | La richiesta contenente contenuto richiede l'intestazione Content-Type. |
920350 | L'intestazione host è un indirizzo IP numerico. |
920420 | Il tipo di contenuto della richiesta non è consentito dai criteri. |
920430 | La versione del protocollo HTTP non è consentita dai criteri. |
920440 | L'estensione del file URL è limitata dai criteri. |
920450 | L'intestazione HTTP è limitata dai criteri. |
920470 | Intestazione Content-Type non valida. |
920480 | Il set di caratteri del tipo di contenuto della richiesta non è consentito dai criteri. |
920500 | Tentare di accedere a un file di backup o di lavoro. |
Attacco al protocollo
ID regola | Descrizione |
---|---|
921110 | Attacco di tipo HTTP Request Smuggling |
921120 | Attacco di tipo HTTP Response Splitting |
921130 | Attacco di tipo HTTP Response Splitting |
921140 | Attacco di tipo HTTP Header Injection tramite intestazioni |
921150 | Attacco di tipo HTTP Header Injection tramite payload (rilevato CR/LF) |
921151 | Attacco di tipo HTTP Header Injection tramite payload (rilevato CR/LF) |
921160 | Attacco di tipo HTTP Header Injection tramite payload (rilevati CR/LF e nome intestazione) |
921190 | Suddivisione HTTP (CR/LF nel nome file della richiesta rilevato) |
921200 | Attacco LDAP injection |
LFI: inclusione di file locali
ID regola | Descrizione |
---|---|
930100 | Attacco di tipo Path Traversal (/../) |
930110 | Attacco di tipo Path Traversal (/../) |
930120 | Tentativo di accesso a file del sistema operativo |
930130 | Tentativo di accesso a file con restrizioni |
RFI: inclusione di file remoti
ID regola | Descrizione |
---|---|
931100 | Possibile attacco di inclusione file remota (RFI): parametro URL tramite indirizzo IP |
931110 | Possibile attacco RFI (Remote File Inclusion): nome del parametro vulnerabile RFI comune usato con payload w/URL |
931120 | Possibile attacco RFI (Remote File Inclusion): payload URL usato con carattere punto interrogativo finale (?) |
931130 | Possibile attacco REMOTE File Inclusion (RFI): riferimento/collegamento al dominio esterno |
RCE: esecuzione di comandi remoti
ID regola | Descrizione |
---|---|
932100 | Esecuzione di comandi remoti: inserimento di comandi Unix |
932105 | Esecuzione di comandi remoti: inserimento di comandi Unix |
932110 | Esecuzione di comandi remoti: inserimento di comandi di Windows |
932115 | Esecuzione di comandi remoti: inserimento di comandi di Windows |
932120 | Esecuzione di comandi remoti: comando di Windows PowerShell trovato |
932130 | Esecuzione di comandi remoti: vulnerabilità di espressione shell Unix o confluence (CVE-2022-26134) trovata |
932140 | Esecuzione di comandi remoti: Comando FOR/IF di Windows trovato |
932150 | Esecuzione di comandi remoti: esecuzione di comandi Unix diretti |
932160 | Esecuzione di comandi remoti: codice della shell Unix trovato |
932170 | Esecuzione di comandi remoti: Shellshock (CVE-2014-6271) |
932171 | Esecuzione di comandi remoti: Shellshock (CVE-2014-6271) |
932180 | Tentativo di caricamento file con restrizioni |
Attacchi PHP
ID regola | Descrizione |
---|---|
933100 | Attacco PHP Injection: tag di apertura/chiusura trovato |
933110 | Attacco PHP injection: caricamento di file di script PHP trovato |
933120 | Attacco PHP injection: direttiva di configurazione trovata |
933130 | Attacco PHP injection: variabili trovate |
933140 | Attacco PHP Injection: Flusso di I/O trovato |
933150 | Attacco PHP injection: trovato il nome della funzione PHP ad alto rischio |
933151 | Attacco PHP injection: nome della funzione PHP a rischio medio trovato |
933160 | Attacco PHP injection: chiamata di funzione PHP ad alto rischio trovata |
933170 | Attacco PHP Injection: inserimento di oggetti serializzati |
933180 | Attacco PHP injection: chiamata di funzione variabile trovata |
933200 | Attacco PHP Injection: è stato rilevato lo schema wrapper |
933210 | Attacco PHP injection: chiamata di funzione variabile trovata |
Attacchi JS del nodo
ID regola | Descrizione |
---|---|
934100 | Node.js attacco injection |
XSS: scripting tra siti
ID regola | Descrizione |
---|---|
941100 | Rilevato attacco XSS tramite libinjection |
941101 | Rilevato attacco XSS tramite libinjection La regola rileva le richieste con un'intestazione Referer |
941110 | Filtro XSS - Categoria 1: Vettore tag script |
941120 | Filtro XSS - Categoria 2: Vettore del gestore eventi |
941130 | Filtro XSS - Categoria 3: Vettore di attributi |
941140 | Filtro XSS - Categoria 4: Vettore URI JavaScript |
941150 | Filtro XSS - Categoria 5: Attributi HTML non consentiti |
941160 | NoScript XSS InjectionChecker: inserimento HTML |
941170 | NoScript XSS InjectionChecker: Attribute Injection |
941180 | Parole chiave blocklist node-validator |
941190 | XSS con fogli di stile |
941200 | XSS con frame VML |
941210 | XSS con JavaScript offuscato |
941220 | XSS con script VB offuscato |
941230 | XSS con embed tag |
941240 | XSS con import o implementation attributo |
941250 | Filtri XSS di Internet Explorer - Rilevato attacco |
941260 | XSS con meta tag |
941270 | XSS con link href |
941280 | XSS con base tag |
941290 | XSS con applet tag |
941300 | XSS con object tag |
941310 | Filtro XSS di codifica US-ASCII non valido - Rilevato attacco |
941320 | Rilevato possibile attacco XSS: gestore tag HTML |
941330 | Filtri XSS di Internet Explorer - Rilevato attacco |
941340 | Filtri XSS di Internet Explorer - Rilevato attacco |
941350 | Codifica UTF-7 IE XSS - Rilevato attacco |
941360 | Rilevato offuscamento javaScript |
941370 | Trovata variabile globale JavaScript |
941380 | È stato rilevato l'inserimento di modelli sul lato client AngularJS |
SQLI: SQL injection
ID regola | Descrizione |
---|---|
942100 | Attacco SQL Injection rilevato tramite libinjection. |
942110 | Attacco SQL Injection: rilevato test di inserimento comuni. |
942120 | Attacco SQL Injection: rilevato operatore SQL. |
942140 | Attacco SQL Injection: sono stati rilevati nomi di database comuni. |
942150 | Attacco SQL injection |
942160 | Rileva i test SQLI non vedenti usando sleep() o benchmark(). |
942170 | Rileva il benchmark SQL e i tentativi di inserimento in sospensione, incluse le query condizionali. |
942180 | Rileva i tentativi di bypass dell'autenticazione SQL di base 1/3. |
942190 | Rileva l'esecuzione del codice MSSQL e i tentativi di raccolta delle informazioni. |
942200 | Rileva le iniezioni di commento/spaziatura offuscate di MySQL e la terminazione backtick. |
942210 | Rileva tentativi di inserimento SQL concatenati 1/2. |
942220 | Alla ricerca di attacchi di overflow integer, questi vengono presi da skipfish, ad eccezione di 3.0.007385072007e-308 è l'arresto anomalo del "numero magico". |
942230 | Rileva i tentativi di inserimento condizionale di SQL. |
942240 | Rileva l'opzione del set di caratteri MySQL e i tentativi di MSSQL DoS. |
942250 | Rileva le iniezioni MATCH AGAINST, MERGE ed EXECUTE IMMEDIATE. |
942260 | Rileva i tentativi di bypass dell'autenticazione SQL di base 2/3. |
942270 | Ricerca di sql injection di base. Stringa di attacco comune per MySQL, Oracle e altri. |
942280 | Rileva postgres pg_sleep injection, attende gli attacchi di ritardo e i tentativi di arresto del database. |
942290 | Trova i tentativi di inserimento SQL di MongoDB di base. |
942300 | Rileva commenti, condizioni e ch(a)r injection di MySQL. |
942310 | Rileva tentativi di inserimento SQL concatenati 2/2. |
942320 | Rileva le stored procedure/inserimenti di funzioni di MySQL e PostgreSQL. |
942330 | Rileva i probe sql injection classici 1/2. |
942340 | Rileva i tentativi di bypass dell'autenticazione SQL di base 3/3. |
942350 | Rileva l'inserimento della funzione definita dall'utente mySQL e altri tentativi di manipolazione di dati/struttura. |
942360 | Rileva tentativi di sql injection e SQLLFI di base concatenati. |
942361 | Rileva l'inserimento SQL di base in base alla modifica o all'unione delle parole chiave. |
942370 | Rileva i probe sql injection classici 2/2. |
942380 | Attacco SQL injection |
942390 | Attacco SQL injection |
942400 | Attacco SQL injection |
942410 | Attacco SQL injection |
942430 | Rilevamento anomalie dei caratteri SQL con restrizioni (arg): numero di caratteri speciali superati (12). |
942440 | Rilevata sequenza commenti SQL |
942450 | Codifica esadecimale SQL identificata. |
942460 | Avviso di rilevamento anomalie meta-carattere- Caratteri non ripetitivi di parole. |
942470 | Attacco SQL injection |
942480 | Attacco SQL injection |
942500 | Rilevato commento in linea di MySQL. |
942510 | Tentativo di bypass SQLi tramite segni di graduazione o backtick rilevati. |
Fissazione sessione
ID regola | Descrizione |
---|---|
943100 | Possibile attacco di correzione della sessione: impostazione dei valori dei cookie in HTML |
943110 | Possibile attacco di correzione della sessione: nome del parametro SessionID con referrer esterno al dominio |
943120 | Possibile attacco di correzione della sessione: nome del parametro SessionID senza referrer |
Attacchi Java
ID regola | Descrizione |
---|---|
944100 | Esecuzione di comandi remoti: Apache Struts, Oracle WebLogic |
944110 | Rileva un'esecuzione potenziale del payload |
944120 | Possibile esecuzione del payload ed esecuzione di comandi remoti |
944130 | Classi Java sospette |
944200 | Sfruttamento della deserializzazione Di Java Apache Commons |
944210 | Possibile uso della serializzazione Java |
944240 | Esecuzione di comandi remoti: vulnerabilità di serializzazione Java e Log4j (CVE-2021-44228, CVE-2021-45046) |
944250 | Esecuzione di comandi remoti: rilevato metodo Java sospetto |
MS-ThreatIntel-WebShells
ID regola | Descrizione |
---|---|
99005002 | Tentativo di interazione di Web Shell (POST) |
99005003 | Tentativo di caricamento di Web Shell (POST) - CHOPPER PHP |
99005004 | Tentativo di caricamento di Web Shell (POST) - CHOPPER ASPX |
99005005 | Tentativo di interazione di Web Shell |
99005006 | Tentativo di interazione di Spring4Shell |
MS-ThreatIntel-AppSec
ID regola | Descrizione |
---|---|
99030001 | Evasione attraversamento percorso nelle intestazioni (/.. /./.. /) |
99030002 | Evasione attraversamento percorso nel corpo della richiesta (/.. /./.. /) |
MS-ThreatIntel-SQLI
ID regola | Descrizione |
---|---|
99031001 | Attacco SQL Injection: test di inserimento comuni rilevati |
99031002 | Sequenza di commenti SQL rilevata |
99031003 | Attacco SQL injection |
99031004 | Rileva tentativi di ignorare l'autenticazione SQL di base (2/3) |
MS-ThreatIntel-CVEs
ID regola | Descrizione |
---|---|
99001001 | Tentativo di utilizzo dell'API REST F5 tmui (CVE-2020-5902) con credenziali note |
99001002 | Tentativo di attraversamento della directory Citrix NSC_USER CVE-2019-19781 |
99001003 | Tentativo di sfruttamento di Atlassian Confluence Widget Connector CVE-2019-3396 |
99001004 | Tentativo di sfruttamento del modello personalizzato Pulse Secure CVE-2020-8243 |
99001005 | Tentativo di sfruttamento del convertitore di tipi di SharePoint CVE-2020-0932 |
99001006 | Tentativo di attraversamento della directory Pulse Connect CVE-2019-11510 |
99001007 | Tentativo di inclusione del file locale J-Web del sistema operativo Junos CVE-2020-1631 |
99001008 | Tentativo di attraversamento del percorso fortinet CVE-2018-13379 |
99001009 | Tentativo di attacchi apache ognl injection CVE-2017-5638 |
99001010 | Tentativo di attacchi apache ognl injection CVE-2017-12611 |
99001011 | Tentativo di attraversamento del percorso Oracle WebLogic CVE-2020-14882 |
99001012 | Tentativo di sfruttamento della deserializzazione non sicura di Telerik WebUI CVE-2019-18935 |
99001013 | Tentativo di deserializzazione XML non sicura di SharePoint CVE-2019-0604 |
99001014 | Tentativo di iniezione di routing-espressione Spring Cloud CVE-2022-22963 |
99001015 | Tentativo di sfruttamento di oggetti della classe Spring Framework unsafe CVE-2022-22965 |
99001016 | Tentativo di inserimento dell'attuatore Spring Cloud Gateway CVE-2022-22947 |
99001017 | Tentativo di caricamento di file Apache Struts CVE-2023-50164 |
Nota
Quando si esaminano i log di WAF, è possibile che venga visualizzato l'ID regola 949110. La descrizione della regola potrebbe includere il punteggio di anomalia in ingresso superato.
Questa regola indica che il punteggio totale delle anomalie per la richiesta ha superato il punteggio massimo consentito. Per altre informazioni, vedere Assegnazione dei punteggi delle anomalie.
Quando si ottimizzano i criteri WAF, è necessario esaminare le altre regole attivate dalla richiesta in modo da poter modificare la configurazione di WAF. Per altre informazioni, vedere Ottimizzazione di Web application firewall di Azure per Frontdoor di Azure.