Condividi tramite


Regole e gruppi di regole DRS di Web Application Firewall

Web application firewall di Azure in Frontdoor di Azure protegge le applicazioni Web da vulnerabilità e exploit comuni. I set di regole gestiti da Azure consentono di distribuire in modo semplice la protezione da un set comune di minacce alla sicurezza. Poiché Azure gestisce questi set di regole, le regole vengono aggiornate in base alle esigenze per proteggersi dalle nuove firme di attacco.

Il set di regole predefinito include anche le regole della raccolta di Intelligence sulle minacce Microsoft scritte in collaborazione con il team di Intelligence Microsoft per fornire una maggiore copertura, patch per vulnerabilità specifiche e una migliore riduzione dei falsi positivi.

Nota

Quando una versione del set di regole viene modificata in un criterio WAF, tutte le personalizzazioni esistenti apportate al set di regole verranno reimpostate sulle impostazioni predefinite per il nuovo set di regole. Vedere: Aggiornamento o modifica della versione del set di regole.

Set di regole predefinite

Il servizio di ripristino di emergenza gestito da Azure include regole per le categorie di minacce seguenti:

  • Scripting intersito
  • Attacchi Java
  • Inclusione di file locali
  • Attacchi PHP injection
  • Attacchi di tipo Remote Command Execution
  • Inclusione di file remoti
  • Fissazione sessione
  • Protezione dagli attacchi SQL injection
  • Aggressori protocollo

Il numero di versione del ripristino di emergenza aumenta quando vengono aggiunte nuove firme di attacco al set di regole.

DrS è abilitato per impostazione predefinita in modalità rilevamento nei criteri WAF. È possibile disabilitare o abilitare singole regole all'interno del servizio ripristino di emergenza per soddisfare i requisiti dell'applicazione. È anche possibile impostare azioni specifiche per ogni regola. Le azioni disponibili sono Consenti, Blocca, Log e Reindirizzamento.

In alcuni casi potrebbe essere necessario omettere determinati attributi di richiesta da una valutazione web application firewall (WAF). Un esempio comune è rappresentato dai token inseriti in Active Directory che vengono usati per l'autenticazione. È possibile configurare un elenco di esclusione per una regola gestita, un gruppo di regole o l'intero set di regole. Per altre informazioni, vedere Web application firewall di Azure in elenchi di esclusione di Frontdoor di Azure.

Per impostazione predefinita, drS versioni 2.0 e successive usano l'assegnazione dei punteggi anomalie quando una richiesta corrisponde a una regola. Le versioni di DRS precedenti alla 2.0 bloccano le richieste che attivano le regole. Inoltre, le regole personalizzate possono essere configurate nello stesso criterio WAF se si vuole ignorare una delle regole preconfigurate nel servizio ripristino di emergenza.

Le regole personalizzate vengono sempre applicate prima che vengano valutate le regole nel servizio di ripristino di emergenza. Se una richiesta corrisponde a una regola personalizzata, viene applicata l'azione della regola corrispondente. La richiesta viene bloccata o passata al back-end. Non vengono elaborate altre regole personalizzate o le regole nel servizio ripristino di emergenza. È anche possibile rimuovere il ripristino di emergenza dai criteri WAF.

Regole di Raccolta di Microsoft Threat Intelligence

regole di Raccolta di Microsoft Threat Intelligence sono scritte in collaborazione con il team di Microsoft Threat Intelligence per fornire una maggiore copertura, patch per vulnerabilità specifiche e una migliore riduzione dei falsi positivi.

Per impostazione predefinita, le regole della raccolta di Intelligence sulle minacce di Microsoft sostituiscono alcune delle regole predefinite del servizio di ripristino di emergenza, causandone la disabilitazioni. Ad esempio, l'ID regola 942440, la sequenza di commenti SQL rilevata, è stata disabilitata e sostituita dalla regola raccolta di intelligence sulle minacce Microsoft 99031002. La regola sostituita riduce il rischio di rilevamenti falsi positivi da richieste legittime.

Assegnazione di punteggi anomalie

Quando si usa DRS 2.0 o versione successiva, il WAF usa l'assegnazione dei punteggi anomalie. Il traffico che corrisponde a qualsiasi regola non viene bloccato immediatamente, anche quando WAF è in modalità prevenzione. I set di regole OWASP definiscono invece una gravità per ogni regola: Critico, Errore, Avviso o Avviso. La gravità influisce su un valore numerico per la richiesta, denominato punteggio anomalie. Se una richiesta accumula un punteggio di anomalia pari o superiore a 5, il WAF esegue un'azione sulla richiesta.

Gravità della regola Valore che ha contribuito al punteggio anomalie
Critico 5
Errore 4
Avviso 3
Preavviso 2

Quando si configura waf, è possibile decidere come il WAF gestisce le richieste che superano la soglia di punteggio anomalie di 5. Le tre opzioni di azione punteggio anomalie sono Blocca, Log o Reindirizzamento. L'azione punteggio anomalie selezionata al momento della configurazione viene applicata a tutte le richieste che superano la soglia del punteggio anomalie.

Ad esempio, se il punteggio di anomalia è 5 o superiore in una richiesta e WAF è in modalità prevenzione con l'azione punteggio anomalie impostata su Blocca, la richiesta viene bloccata. Se il punteggio di anomalia è 5 o maggiore per una richiesta e WAF è in modalità rilevamento, la richiesta viene registrata ma non bloccata.

Una singola corrispondenza di regola critica è sufficiente per waf per bloccare una richiesta in modalità prevenzione con l'azione punteggio anomalie impostata su Blocca perché il punteggio complessivo delle anomalie è 5. Tuttavia, una singola corrispondenza di regola di tipo Avviso si limita a incrementare di 3 il punteggio anomalie, che non è sufficiente per bloccare il traffico. Quando viene attivata una regola di anomalie, nei log viene visualizzata un'azione "corrispondente". Se il punteggio di anomalia è 5 o superiore, viene attivata una regola separata con l'azione di punteggio anomalie configurata per il set di regole. L'azione di punteggio anomalie predefinita è Blocca, che genera una voce di log con l'azione blocked.

Quando WAF usa una versione precedente del set di regole predefinito (prima di DRS 2.0), il WAF viene eseguito in modalità tradizionale. Il traffico che corrisponde a qualsiasi regola viene considerato indipendentemente da qualsiasi altra regola corrispondente. In modalità tradizionale non si ha visibilità sul set completo di regole corrispondenti a una richiesta specifica.

La versione del servizio di ripristino di emergenza usata determina anche quali tipi di contenuto sono supportati per l'ispezione del corpo della richiesta. Per altre informazioni, vedere Informazioni sui tipi di contenuto supportati da WAF nelle domande frequenti.

Livello di paranoia

Ogni regola viene assegnata in un livello paranoia specifico (PL). Le regole configurate in Paranoia Level 1 (PL1) sono meno aggressive e difficilmente mai attivano un falso positivo. Forniscono la sicurezza di base con una necessità minima di ottimizzazione. Le regole in PL2 rilevano più attacchi, ma è previsto che generino falsi positivi che devono essere affinati.

Per impostazione predefinita, tutte le versioni delle regole DRS sono preconfigurate nel livello di paranoia 2, incluse le regole assegnate sia in PL1 che in PL2. Se si vuole usare WAF esclusivamente con PL1, è possibile disabilitare qualsiasi o tutte le regole PL2 o modificarne l'azione in "log". PL3 e PL4 non sono attualmente supportati in Azure WAF.

Aggiornamento o modifica della versione del set di regole

Se si esegue l'aggiornamento o si assegna una nuova versione del set di regole e si vuole mantenere le sostituzioni ed esclusioni esistenti, è consigliabile usare PowerShell, l'interfaccia della riga di comando, l'API REST o un modello per apportare modifiche alla versione del set di regole. Una nuova versione di un set di regole può avere regole più recenti, gruppi di regole aggiuntivi e potrebbe avere aggiornamenti alle firme esistenti per applicare una maggiore sicurezza e ridurre i falsi positivi. È consigliabile convalidare le modifiche in un ambiente di test, ottimizzare, se necessario, e quindi distribuire in un ambiente di produzione.

Nota

Se si usa il portale di Azure per assegnare un nuovo set di regole gestite a un criterio WAF, tutte le personalizzazioni precedenti del set di regole gestite esistente, ad esempio lo stato della regola, le azioni delle regole e le esclusioni a livello di regola verranno reimpostate sulle impostazioni predefinite del nuovo set di regole gestite. Tuttavia, tutte le regole personalizzate o le impostazioni dei criteri rimarranno invariate durante la nuova assegnazione del set di regole. È necessario ridefinire le sostituzioni delle regole e convalidare le modifiche prima della distribuzione in un ambiente di produzione.

DRS 2.1

Le regole DRS 2.1 offrono una protezione migliore rispetto alle versioni precedenti di DRS. Include altre regole sviluppate dal team di Microsoft Threat Intelligence e gli aggiornamenti alle firme per ridurre i falsi positivi. Supporta anche trasformazioni oltre la semplice decodifica URL.

DRS 2.1 include 17 gruppi di regole, come illustrato nella tabella seguente. Ogni gruppo contiene più regole ed è possibile personalizzare il comportamento per singole regole, gruppi di regole o un intero set di regole. DRS 2.1 è previsto dal Open Web Application Security Project (OWASP) Core Rule Set (CRS) 3.3.2 e include regole di protezione proprietarie aggiuntive sviluppate dal team di Microsoft Threat Intelligence.

Per altre informazioni, vedere Ottimizzazione di Web Application Firewall (WAF) per Frontdoor di Azure.

Nota

DRS 2.1 è disponibile solo in Frontdoor di Azure Premium.

Gruppo di regole NomeGruppoDiRegole Descrizione
Generali Generali Gruppo generale
APPLICAZIONE DEL METODO APPLICAZIONE METODO Metodi di blocco (PUT, PATCH)
APPLICAZIONE DEL PROTOCOLLO APPLICAZIONE PROTOCOLLO Protezione da problemi di protocollo e codifica
ATTACCO DEL PROTOCOLLO ATTACCO PROTOCOLLO Protegge da header injection, request smuggling e response splitting
APPLICAZIONE-ATTACCO-LFI LFI Protezione da attacchi a file e percorsi
APPLICAZIONE-ATTACCO-RFI RFI Protezione da attacchi RFI (inclusione file remoti)
APPLICAZIONE-ATTACCO-RCE RCE Protezione da attacchi di esecuzione del codice remoto
APPLICAZIONE-ATTACCO-PHP PHP Protezione da attacchi PHP injection
APPLICAZIONE-ATTACCO-NodeJS NODO JS Protezione da attacchi Node JS
APPLICAZIONE-ATTACCO-XSS XSS Protezione da attacchi di scripting intersito
APPLICAZIONE-ATTACCO-SQLI SQLI Protezione da attacchi SQL injection
APPLICAZIONE-ATTACCO-SESSIONE-CORREZIONE CORREZIONE Protezione da attacchi di correzione della sessione
APPLICAZIONE-ATTACCO-SESSIONE-JAVA Java Protezione dagli attacchi JAVA
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Protezione da attacchi web shell
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec Protezione dagli attacchi AppSec
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI Protezione da attacchi SQLI
MS-ThreatIntel-CVE MS-ThreatIntel-CVEs Protezione da attacchi CVE

Regole disabilitate

Le regole seguenti sono disabilitate per impostazione predefinita per DRS 2.1.

ID regola Gruppo di regole Descrizione Dettagli
942110 SQLI Attacco SQL Injection: rilevati test di inserimento comune Sostituito dalla regola MSTIC 99031001
942150 SQLI Attacco SQL injection Sostituito dalla regola MSTIC 99031003
942260 SQLI Rileva tentativi di ignorare l'autenticazione SQL di base (2/3) Sostituito dalla regola MSTIC 99031004
942430 SQLI Rilevamento anomalie caratteri SQL con restrizioni (args): n. di caratteri speciali in eccesso (12) Troppi falsi positivi
942440 SQLI Rilevata sequenza commenti SQL Sostituito dalla regola MSTIC 99031002
99005006 MS-ThreatIntel-WebShells Tentativo di interazione di Spring4Shell Abilitare la regola per evitare la vulnerabilità di SpringShell
99001014 MS-ThreatIntel-CVEs Tentativo di inserimento di routing-espressione Spring Cloud CVE-2022-22963 Abilitare la regola per evitare la vulnerabilità di SpringShell
99001015 MS-ThreatIntel-WebShells Tentativo di sfruttamento di oggetti della classe Spring Framework unsafe CVE-2022-22965 Abilitare la regola per evitare la vulnerabilità di SpringShell
99001016 MS-ThreatIntel-WebShells Tentativo di inserimento dell'attuatore Spring Cloud Gateway CVE-2022-22947 Abilitare la regola per evitare la vulnerabilità di SpringShell
99001017 MS-ThreatIntel-CVEs Tentativo di sfruttamento del caricamento di file Apache Struts CVE-2023-50164 Abilitare la regola per evitare la vulnerabilità di Apache Struts

DRS 2.0

Le regole drs 2.0 offrono una protezione migliore rispetto alle versioni precedenti del servizio di ripristino di emergenza. DrS 2.0 supporta anche trasformazioni oltre la semplice decodifica url.

DrS 2.0 include 17 gruppi di regole, come illustrato nella tabella seguente. Ogni gruppo contiene più regole. È possibile disabilitare singole regole e interi gruppi di regole.

Nota

DRS 2.0 è disponibile solo in Frontdoor di Azure Premium.

Gruppo di regole NomeGruppoDiRegole Descrizione
Generali Generali Gruppo generale
APPLICAZIONE DEL METODO APPLICAZIONE METODO Metodi di blocco (PUT, PATCH)
APPLICAZIONE DEL PROTOCOLLO APPLICAZIONE PROTOCOLLO Protezione da problemi di protocollo e codifica
ATTACCO DEL PROTOCOLLO ATTACCO PROTOCOLLO Protegge da header injection, request smuggling e response splitting
APPLICAZIONE-ATTACCO-LFI LFI Protezione da attacchi a file e percorsi
APPLICAZIONE-ATTACCO-RFI RFI Protezione da attacchi RFI (inclusione file remoti)
APPLICAZIONE-ATTACCO-RCE RCE Protezione da attacchi di esecuzione del codice remoto
APPLICAZIONE-ATTACCO-PHP PHP Protezione da attacchi PHP injection
APPLICAZIONE-ATTACCO-NodeJS NODO JS Protezione da attacchi Node JS
APPLICAZIONE-ATTACCO-XSS XSS Protezione da attacchi di scripting intersito
APPLICAZIONE-ATTACCO-SQLI SQLI Protezione da attacchi SQL injection
APPLICAZIONE-ATTACCO-SESSIONE-CORREZIONE CORREZIONE Protezione da attacchi di correzione della sessione
APPLICAZIONE-ATTACCO-SESSIONE-JAVA Java Protezione dagli attacchi JAVA
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Protezione da attacchi web shell
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec Protezione dagli attacchi AppSec
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI Protezione da attacchi SQLI
MS-ThreatIntel-CVE MS-ThreatIntel-CVEs Protezione da attacchi CVE

DRS 1.1

Gruppo di regole NomeGruppoDiRegole Descrizione
ATTACCO DEL PROTOCOLLO ATTACCO PROTOCOLLO Protegge da header injection, request smuggling e response splitting
APPLICAZIONE-ATTACCO-LFI LFI Protezione da attacchi a file e percorsi
APPLICAZIONE-ATTACCO-RFI RFI Protezione dagli attacchi di inclusione di file remoti
APPLICAZIONE-ATTACCO-RCE RCE Protezione dall'esecuzione di comandi remoti
APPLICAZIONE-ATTACCO-PHP PHP Protezione da attacchi PHP injection
APPLICAZIONE-ATTACCO-XSS XSS Protezione da attacchi di scripting intersito
APPLICAZIONE-ATTACCO-SQLI SQLI Protezione da attacchi SQL injection
APPLICAZIONE-ATTACCO-SESSIONE-CORREZIONE CORREZIONE Protezione da attacchi di correzione della sessione
APPLICAZIONE-ATTACCO-SESSIONE-JAVA Java Protezione dagli attacchi JAVA
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Protezione da attacchi web shell
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec Protezione dagli attacchi AppSec
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI Protezione da attacchi SQLI
MS-ThreatIntel-CVE MS-ThreatIntel-CVEs Protezione da attacchi CVE

DRS 1.0

Gruppo di regole NomeGruppoDiRegole Descrizione
ATTACCO DEL PROTOCOLLO ATTACCO PROTOCOLLO Protegge da header injection, request smuggling e response splitting
APPLICAZIONE-ATTACCO-LFI LFI Protezione da attacchi a file e percorsi
APPLICAZIONE-ATTACCO-RFI RFI Protezione dagli attacchi di inclusione di file remoti
APPLICAZIONE-ATTACCO-RCE RCE Protezione dall'esecuzione di comandi remoti
APPLICAZIONE-ATTACCO-PHP PHP Protezione da attacchi PHP injection
APPLICAZIONE-ATTACCO-XSS XSS Protezione da attacchi di scripting intersito
APPLICAZIONE-ATTACCO-SQLI SQLI Protezione da attacchi SQL injection
APPLICAZIONE-ATTACCO-SESSIONE-CORREZIONE CORREZIONE Protezione da attacchi di correzione della sessione
APPLICAZIONE-ATTACCO-SESSIONE-JAVA Java Protezione dagli attacchi JAVA
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Protezione da attacchi web shell
MS-ThreatIntel-CVE MS-ThreatIntel-CVEs Protezione da attacchi CVE

Gestione bot 1.0

Il set di regole di Bot Manager 1.0 offre protezione dai bot dannosi e dal rilevamento di bot validi. Le regole forniscono un controllo granulare sui bot rilevati da WAF tramite la categorizzazione del traffico del bot come bot buono, non valido o sconosciuto.

Gruppo di regole Descrizione
BadBots Protezione da bot non validi
Buoni Bot Identificare bot validi
Bot sconosciuti Identificare bot sconosciuti

Gestore bot 1.1

Il set di regole di Bot Manager 1.1 è un miglioramento del set di regole di Bot Manager 1.0. Offre una protezione avanzata contro i bot dannosi e aumenta il corretto rilevamento dei bot.

Gruppo di regole Descrizione
BadBots Protezione da bot non validi
Buoni Bot Identificare bot validi
Bot sconosciuti Identificare bot sconosciuti

Quando si usa Web Application Firewall di Azure in Frontdoor di Azure, sono disponibili i gruppi di regole e le regole seguenti.

Set di regole 2.1

Generali

ID regola Gravità del punteggio di anomalia Livello di paranoia Descrizione
200002 Critico - 5 1 Impossibile analizzare il corpo della richiesta
200003 Critico - 5 1 Il corpo della richiesta multipart non ha superato la convalida rigorosa

Imposizione del metodo

ID regola Gravità del punteggio di anomalia Livello di paranoia Descrizione
911100 Critico - 5 1 Il metodo non è consentito dai criteri

Applicazione protocollo

ID regola Gravità del punteggio di anomalia Livello di paranoia Descrizione
920100 Avviso - 2 1 Riga della richiesta HTTP non valida
920120 Critico - 5 1 Tentativo di bypass multipart/form-data
920121 Critico - 5 2 Tentativo di bypass multipart/form-data
920160 Critico - 5 1 L'intestazione HTTP Content-Length non è numerica
920170 Critico - 5 1 Richiesta GET o HEAD con corpo della richiesta
920171 Critico - 5 1 Richiesta GET o HEAD con Transfer-Encoding
920180 Avviso - 2 1 Richiesta POST priva dell'intestazione Content-Length
920181 Avviso - 3 1 Le intestazioni Content-Length e Trasferimento-Codifica presentano 99001003
920190 Avviso - 3 1 Intervallo: Ultimo valore del byte non valido
920200 Avviso - 3 2 Intervallo: troppi campi (6 o più)
920201 Avviso - 3 2 Intervallo: troppi campi per richiesta PDF (35 o più)
920210 Avviso - 3 1 Trovati dati di intestazione di connessione multipli o in conflitto
920220 Avviso - 3 1 Tentativo di attacco con uso improprio codifica URL
920230 Avviso - 3 2 Rilevata codifica multipla URL
920240 Avviso - 3 1 Tentativo di attacco con uso improprio codifica URL
920260 Avviso - 3 1 Tentativo di attacco con uso improprio metà larghezza/larghezza intera Unicode
920270 Critico - 5 1 Carattere non valido nella richiesta (carattere null)
920271 Critico - 5 2 Carattere non valido nella richiesta (caratteri non stampabili)
920280 Avviso - 3 1 Richiesta senza intestazione host
920290 Avviso - 3 1 Intestazione host vuota
920300 Avviso - 2 2 Richiesta senza intestazione Accept
920310 Avviso - 2 1 Richiesta con intestazione Accept vuota
920311 Avviso - 2 1 Richiesta con intestazione Accept vuota
920320 Avviso - 2 2 Intestazione agente utente mancante
920330 Avviso - 2 1 Intestazione agente utente vuota
920340 Avviso - 2 1 Richiesta con contenuto ma senza intestazione Content-Type
920341 Critico - 5 2 La richiesta con contenuto richiede l'intestazione Content-Type
920350 Avviso - 3 1 Intestazione host costituita da un indirizzo IP numerico
920420 Critico - 5 1 La richiesta tipo di contenuto non è consentita dai criteri
920430 Critico - 5 1 La versione protocollo HTTP non consentita dai criteri
920440 Critico - 5 1 Estensione file URL limitata da criteri
920450 Critico - 5 1 Intestazione HTTP limitata da criteri
920470 Critico - 5 1 Intestazione Content-Type illegale
920480 Critico - 5 1 Il set di caratteri del tipo di contenuto della richiesta non è consentito dai criteri
920500 Critico - 5 1 Tentativo di accedere a un file di backup o di lavoro

Attacco al protocollo

ID regola Gravità del punteggio di anomalia Livello di paranoia Descrizione
921110 Critico - 5 1 Attacco di tipo HTTP Request Smuggling
921120 Critico - 5 1 Attacco di tipo HTTP Response Splitting
921130 Critico - 5 1 Attacco di tipo HTTP Response Splitting
921140 Critico - 5 1 Attacco di tipo HTTP Header Injection tramite intestazioni
921150 Critico - 5 1 Attacco di tipo HTTP Header Injection tramite payload (rilevato CR/LF)
921151 Critico - 5 2 Attacco di tipo HTTP Header Injection tramite payload (rilevato CR/LF)
921160 Critico - 5 1 Attacco di tipo HTTP Header Injection tramite payload (rilevati CR/LF e nome intestazione)
921190 Critico - 5 1 Separazione HTTP (CR/LF nel nome file della richiesta rilevato)
921200 Critico - 5 1 Attacco LDAP injection

LFI: inclusione di file locali

ID regola Gravità del punteggio di anomalia Livello di paranoia Descrizione
930100 Critico - 5 1 Attacco di tipo Path Traversal (/../)
930110 Critico - 5 1 Attacco di tipo Path Traversal (/../)
930120 Critico - 5 1 Tentativo di accesso a file del sistema operativo
930130 Critico - 5 1 Tentativo di accesso a file con restrizioni

RFI: inclusione di file remoti

ID regola Gravità del punteggio di anomalia Livello di paranoia Descrizione
931100 Critico - 5 1 Possibile attacco di inclusione file remota (RFI): parametro URL tramite indirizzo IP
931110 Critico - 5 1 Possibile attacco RFI (inclusione file remoti): nome del parametro vulnerabile RFI comune utilizzato con payload URL
931120 Critico - 5 1 Possibile attacco RFI (inclusione file remoti): payload URL usato con carattere di punto interrogativo (?) finale
931130 Critico - 5 2 Possibile attacco RFI (inclusione file remoti): collegamento/riferimento fuori dominio

RCE: esecuzione di comandi remoti

ID regola Gravità del punteggio di anomalia Livello di paranoia Descrizione
932100 Critico - 5 1 Esecuzione comandi in remoto: inserimento di comandi Unix
932105 Critico - 5 1 Esecuzione comandi in remoto: inserimento di comandi Unix
932110 Critico - 5 1 Esecuzione comandi in remoto: inserimento di comandi Windows
932115 Critico - 5 1 Esecuzione comandi in remoto: inserimento di comandi Windows
932120 Critico - 5 1 Esecuzione comandi in remoto: trovato comando di Windows PowerShell
932130 Critico - 5 1 Esecuzione comandi in remoto: Espressioni Shell Unix o vulnerabilità Confluence (CVE-2022-26134) Trovato
932140 Critico - 5 1 Esecuzione comandi in remoto: trovato comando FOR/IF di Windows
932150 Critico - 5 1 Esecuzione comandi in remoto: esecuzione di comandi Unix diretti
932160 Critico - 5 1 Esecuzione comandi in remoto: trovato codice Shell Unix
932170 Critico - 5 1 Esecuzione comandi in remoto: Shellshock (CVE-2014-6271)
932171 Critico - 5 1 Esecuzione comandi in remoto: Shellshock (CVE-2014-6271)
932180 Critico - 5 1 Tentativo di caricamento file con restrizioni

Attacchi PHP

ID regola Gravità del punteggio di anomalia Livello di paranoia Descrizione
933100 Critico - 5 1 Attacco PHP injection: trovato tag di apertura/chiusura
933110 Critico - 5 1 Attacco PHP injection: trovato caricamento file di script PHP
933120 Critico - 5 1 Attacco PHP injection: trovata direttiva di configurazione
933130 Critico - 5 1 Attacco PHP injection: trovate variabili
933140 Critico - 5 1 Attacco PHP injection: trovato flusso di I/O
933150 Critico - 5 1 Attacco PHP injection: trovato nome funzione PHP ad alto rischio
933151 Critico - 5 2 Attacco PHP injection: trovato nome funzione PHP a medio rischio
933160 Critico - 5 1 Attacco PHP injection: trovata chiamata di funzione PHP ad alto rischio
933170 Critico - 5 1 Attacco PHP injection: inserimento di oggetti serializzati
933180 Critico - 5 1 Attacco PHP injection: trovata chiamata di funzione variabile
933200 Critico - 5 1 Attacco PHP injection: rilevato schema wrapper
933210 Critico - 5 1 Attacco PHP injection: trovata chiamata di funzione variabile

Attacchi JS del nodo

ID regola Gravità del punteggio di anomalia Livello di paranoia Descrizione
934100 Critico - 5 1 Attacco injection Node.js

XSS: scripting tra siti

ID regola Gravità del punteggio di anomalia Livello di paranoia Descrizione
941100 Critico - 5 1 Rilevato attacco XSS tramite libinjection
941101 Critico - 5 2 Rilevato attacco XSS tramite libinjection
La regola rileva le richieste con un'intestazione Referer
941110 Critico - 5 1 Filtro XSS - Categoria 1: vettore tag script
941120 Critico - 5 1 Filtro XSS - Categoria 2: vettore del gestore eventi
941130 Critico - 5 1 Filtro XSS - Categoria 3: vettore attributi
941140 Critico - 5 1 Filtro XSS - Categoria 4: vettore URI Javascript
941150 Critico - 5 2 Filtro XSS - Categoria 5: attributi HTML non consentiti
941160 Critico - 5 1 NoScript XSS InjectionChecker: inserimento HTML
941170 Critico - 5 1 NoScript XSS InjectionChecker: inserimento attributo
941180 Critico - 5 1 Parole chiave in blocklist convalida nodi
941190 Critico - 5 1 XSS con fogli di stile
941200 Critico - 5 1 XSS con frame VML
941210 Critico - 5 1 XSS con JavaScript offuscato
941220 Critico - 5 1 XSS con script VB offuscato
941230 Critico - 5 1 XSS con embed tag
941240 Critico - 5 1 XSS con import o implementation attributo
941250 Critico - 5 1 Filtri XSS IE - rilevato attacco
941260 Critico - 5 1 XSS con meta tag
941270 Critico - 5 1 XSS con link href
941280 Critico - 5 1 XSS con base tag
941290 Critico - 5 1 XSS con applet tag
941300 Critico - 5 1 XSS con object tag
941310 Critico - 5 1 Filtro XSS di codifica US-ASCII non valido - Rilevato attacco
941320 Critico - 5 2 Rilevato possibile attacco XSS: gestore tag HTML
941330 Critico - 5 2 Filtri XSS IE - rilevato attacco
941340 Critico - 5 2 Filtri XSS IE - rilevato attacco
941350 Critico - 5 1 Codifica UTF-7 IE XSS - Rilevato attacco
941360 Critico - 5 1 Rilevato offuscamento javaScript
941370 Critico - 5 1 Trovata variabile globale JavaScript
941380 Critico - 5 2 È stato rilevato l'inserimento di modelli sul lato client AngularJS

SQLI: iniezione SQL (SQL injection)

ID regola Gravità del punteggio di anomalia Livello di paranoia Descrizione
942100 Critico - 5 1 Rilevato attacco SQL injection tramite libinjection
942110 Avviso - 3 2 Attacco SQL Injection: rilevati test di inserimento comune
942120 Critico - 5 2 Attacco SQL injection: rilevato operatore SQL
942140 Critico - 5 1 Attacco SQL injection: rilevati nomi DB comuni
942150 Critico - 5 2 Attacco SQL injection
942160 Critico - 5 1 Rileva test SQLI blindi tramite sleep() o benchmark()
942170 Critico - 5 1 Rilevamento tentativi di SQL injection con benchmark e sleep e query condizionali
942180 Critico - 5 2 Rileva tentativi di bypass dell'autenticazione SQL di base 1/3
942190 Critico - 5 1 Rileva l'esecuzione di codice MSSQL e tentativi di raccolta di informazioni
942200 Critico - 5 2 Rileva injection offuscati nello spazio/con commento MySQL e terminazioni con apice inverso
942210 Critico - 5 2 Rileva tentativi di inserimento SQL concatenati 1/2
942220 Critico - 5 1 Alla ricerca di attacchi di overflow integer, questi vengono presi da skipfish, ad eccezione di 3.0.00738585072007e-308 è l'arresto anomalo del "numero magico"
942230 Critico - 5 1 Rilevamento tentativi di SQL injection condizionale
942240 Critico - 5 1 Rileva il commutatore di set di caratteri di MySQL e i tentativi DoS di MSSQL
942250 Critico - 5 1 Rileva le iniezioni MATCH AGAINST, MERGE ed esegui subito.
942260 Critico - 5 2 Rileva tentativi di ignorare l'autenticazione SQL di base (2/3)
942270 Critico - 5 1 Ricerca di sql injection di base. Stringa di attacco comune per MySQL, Oracle e altri
942280 Critico - 5 1 Rileva l'iniezione di pg_sleep in PostgreSQL, gli attacchi di ritardo attraverso l'attesa e i tentativi di arresto del database.
942290 Critico - 5 1 Ricerca tentativi di SQL injection di base in MongoDB
942300 Critico - 5 2 Rileva inserimento ch(a)r, condizioni e commenti MySQL
942310 Critico - 5 2 Rileva tentativi di inserimento SQL concatenati 2/2
942320 Critico - 5 1 Rilevamento inserimenti di stored procedure/funzioni MySQL e PostgreSQL
942330 Critico - 5 2 Rileva sondaggi di SQL injection classici (1/2)
942340 Critico - 5 2 Rileva tentativi di ignorare l'autenticazione SQL di base (3/3)
942350 Critico - 5 1 Rilevamento di inserimento di funzioni definite dall'utente MySQL e altri tentativi di manipolazione dati/struttura
942360 Critico - 5 1 Rileva tentativi SQL/LFI e di SQL injection di base concatenati
942361 Critico - 5 2 Rileva l'inserimento SQL di base in base alla modifica o all'unione delle parole chiave
942370 Critico - 5 2 Rileva sondaggi di SQL injection classici (2/2)
942380 Critico - 5 2 Attacco SQL injection
942390 Critico - 5 2 Attacco SQL injection
942400 Critico - 5 2 Attacco SQL injection
942410 Critico - 5 2 Attacco SQL injection
942430 Avviso - 3 2 Rilevamento anomalie caratteri SQL con restrizioni (args): n. di caratteri speciali in eccesso (12)
942440 Critico - 5 2 Rilevata sequenza commenti SQL
942450 Critico - 5 2 Identificata codifica esadecimale SQL
942470 Critico - 5 2 Attacco SQL injection
942480 Critico - 5 2 Attacco SQL injection
942500 Critico - 5 1 Rilevato commento in linea di MySQL
942510 Critico - 5 2 Tentativo di bypass SQLi tramite segni di graduazione o backtick rilevati

Fissazione sessione

ID regola Gravità del punteggio di anomalia Livello di paranoia Descrizione
943100 Critico - 5 1 Possibile attacco di tipo correzione di sessione: impostazione valori cookie in HTML
943110 Critico - 5 1 Possibile attacco di tipo correzione di sessione: nome parametro SessionID con referrer fuori dominio
943120 Critico - 5 1 Possibile attacco di tipo correzione di sessione: nome parametro SessionID senza referrer

Attacchi Java

ID regola Gravità del punteggio di anomalia Livello di paranoia Descrizione
944100 Critico - 5 1 Esecuzione comandi in remoto: Apache Struts, Oracle WebLogic
944110 Critico - 5 1 Rileva un'esecuzione potenziale del payload
944120 Critico - 5 1 Possibile esecuzione del payload ed esecuzione comandi in remoto
944130 Critico - 5 1 Classi Java sospette
944200 Critico - 5 2 Sfruttamento della deserializzazione di Java Apache Commons
944210 Critico - 5 2 Possibile uso della serializzazione Java
944240 Critico - 5 2 Esecuzione comandi in remoto: vulnerabilità di serializzazione Java e Log4j (CVE-2021-44228, CVE-2021-45046)
944250 Critico - 5 2 Esecuzione comandi in remoto: rilevato metodo Java sospetto

MS-ThreatIntel-WebShells

ID regola Gravità del punteggio di anomalia Livello di paranoia Descrizione
99005002 Critico - 5 2 Tentativo di interazione di Web Shell (POST)
99005003 Critico - 5 2 Tentativo di caricamento di Web Shell (POST) - CHOPPER PHP
99005004 Critico - 5 2 Tentativo di caricamento di Web Shell (POST) - CHOPPER ASPX
99005005 Critico - 5 2 Tentativo di interazione di Web Shell
99005006 Critico - 5 2 Tentativo di interazione di Spring4Shell

MS-ThreatIntel-AppSec

ID regola Gravità del punteggio di anomalia Livello di paranoia Descrizione
99030001 Critico - 5 2 Evasione attraversamento percorso nelle intestazioni (/.././../)
99030002 Critico - 5 2 Evasione attraversamento percorso nel corpo della richiesta (/.././../)

MS-ThreatIntel-SQLI

ID regola Gravità del punteggio di anomalia Livello di paranoia Descrizione
99031001 Avviso - 3 2 Attacco SQL Injection: rilevati test di inserimento comune
99031002 Critico - 5 2 Rilevata sequenza commenti SQL
99031003 Critico - 5 2 Attacco SQL injection
99031004 Critico - 5 2 Rileva tentativi di ignorare l'autenticazione SQL di base (2/3)

MS-ThreatIntel-CVEs

ID regola Gravità del punteggio di anomalia Livello di paranoia Descrizione
99001001 Critico - 5 2 Tentativo di utilizzo dell'API REST F5 tmui (CVE-2020-5902) con credenziali note
99001002 Critico - 5 2 Tentativo di attraversamento della directory Citrix NSC_USER CVE-2019-19781
99001003 Critico - 5 2 Tentativo di sfruttamento di Atlassian Confluence Widget Connector CVE-2019-3396
99001004 Critico - 5 2 Tentativo di sfruttamento del modello personalizzato Pulse Secure CVE-2020-8243
99001005 Critico - 5 2 Tentativo di sfruttamento del convertitore di tipi di SharePoint CVE-2020-0932
99001006 Critico - 5 2 Tentativo di attraversamento della directory Pulse Connect CVE-2019-11510
99001007 Critico - 5 2 Tentativo di inclusione del file locale J-Web del sistema operativo Junos CVE-2020-1631
99001008 Critico - 5 2 Tentativo di attraversamento del percorso fortinet CVE-2018-13379
99001009 Critico - 5 2 Tentativo di attacchi apache ognl injection CVE-2017-5638
99001010 Critico - 5 2 Tentativo di attacchi apache ognl injection CVE-2017-12611
99001011 Critico - 5 2 Tentativo di attraversamento del percorso Oracle WebLogic CVE-2020-14882
99001012 Critico - 5 2 Tentativo di sfruttamento della deserializzazione non sicura di Telerik WebUI CVE-2019-18935
99001013 Critico - 5 2 Tentativo di deserializzazione XML non sicura di CVE-2019-0604
99001014 Critico - 5 2 Tentativo di inserimento di routing-espressione Spring Cloud CVE-2022-22963
99001015 Critico - 5 2 Tentativo di sfruttamento di oggetti della classe Spring Framework unsafe CVE-2022-22965
99001016 Critico - 5 2 Tentativo di inserimento dell'attuatore Spring Cloud Gateway CVE-2022-22947
99001017 Critico - 5 2 Tentativo di sfruttamento del caricamento di file Apache Struts CVE-2023-50164

Nota

Quando si esaminano i log di WAF, è possibile che venga visualizzato l'ID regola 949110. La descrizione della regola potrebbe includere punteggio anomalie in ingresso superato.

Questa regola indica che il punteggio anomalie complessivo per la richiesta ha superato il punteggio massimo consentito. Per maggiori informazioni, vedere Assegnazione dei punteggi delle anomalie.

Quando si ottimizzano i criteri WAF, è necessario esaminare le altre regole attivate dalla richiesta in modo da poter modificare la configurazione di WAF. Per altre informazioni, vedere Ottimizzazione di Web application firewall di Azure per Frontdoor di Azure.