Regole e gruppi di regole CRS di Web application firewall

  • Articolo
  • 37 minuti per la lettura

Il Web application firewall (WAF) di Gateway applicazione protegge le applicazioni Web da vulnerabilità ed exploit comuni. Questa operazione viene eseguita tramite regole definite in base alla regola di base OWASP imposta 3.2, 3.1, 3.0 o 2.2.9. Le regole possono essere disabilitate in base a una regola oppure è possibile impostare azioni specifiche in base a una singola regola. Questo articolo contiene le regole correnti e i set di regole offerti. Nell'occasione rara che un set di regole pubblicate deve essere aggiornato, verrà documentato qui.

Set di regole principali

Il gateway applicazione WAF viene preconfigurato con CRS 3.2 per impostazione predefinita, ma è possibile scegliere di usare qualsiasi altra versione di CRS supportata.

CRS 3.2 offre un nuovo motore e nuovi set di regole di difesa contro gli inserimenti Java, un set iniziale di controlli di caricamento dei file e meno falsi positivi rispetto alle versioni precedenti di CRS. È anche possibile personalizzare le regole in base alle proprie esigenze. Altre informazioni sul nuovo motore WAF di Azure.

Gestisce le regole

Il WAF protegge dalle vulnerabilità Web seguenti:

  • Attacchi sql-injection
  • Attacchi di tipo cross-site scripting (XSS)
  • Altri attacchi comuni, ad esempio l'inserimento dei comandi, il contrabbando di richieste HTTP, la suddivisione delle risposte HTTP e l'inclusione di file remoti
  • Violazioni del protocollo HTTP
  • Anomalie del protocollo HTTP, ad esempio l'agente utente host mancante e accettare le intestazioni
  • Bot, crawler e scanner
  • Configurazioni non configurate comuni dell'applicazione (ad esempio Apache e IIS)

CrS è abilitato per impostazione predefinita in modalità rilevamento nei criteri WAF. È possibile disabilitare o abilitare singole regole all'interno del set di regole di base per soddisfare i requisiti dell'applicazione. È anche possibile impostare azioni specifiche per regola. CrS supporta azioni blocca, log e punteggio anomalie. Il set di regole di Gestione bot supporta le azioni allow, block e log.

A volte potrebbe essere necessario omettere determinati attributi di richiesta da una valutazione WAF. Un esempio comune è rappresentato dai token inseriti in Active Directory che vengono usati per l'autenticazione. È possibile configurare le esclusioni da applicare quando vengono valutate regole WAF specifiche o per applicare a livello globale la valutazione di tutte le regole WAF. Le regole di esclusione si applicano all'intera applicazione Web. Per altre informazioni, vedere Web application firewall (WAF) con elenchi di esclusione gateway applicazione.

Per impostazione predefinita, CRS versione 3.2 e versioni successive sfruttano il punteggio anomalie quando una richiesta corrisponde a una regola, CRS 3.1 e di seguito blocca le richieste corrispondenti per impostazione predefinita. Inoltre, le regole personalizzate possono essere configurate nello stesso criterio WAF se si desidera ignorare una delle regole preconfigurato nel set di regole di base.

Le regole personalizzate vengono sempre applicate prima che vengano valutate le regole nel set di regole di base. Se una richiesta corrisponde a una regola personalizzata, viene applicata l'azione della regola corrispondente. La richiesta viene bloccata o passata al back-end. Non vengono elaborate altre regole personalizzate o le regole nel set di regole di base.

Assegnazione di punteggi anomalie

Quando si usa CRS, il WAF è configurato per usare l'assegnazione di punteggi anomali per impostazione predefinita. Il traffico che corrisponde a qualsiasi regola non viene immediatamente bloccato, anche quando il WAF è in modalità di prevenzione. Le regole OWASP definiscono invece una gravità per ogni regola: Critico, Errore, Avviso o Avviso. La gravità influisce su un valore numerico per la richiesta, denominato punteggio anomalie:

Gravità della regola Valore contribuito al punteggio di anomalie
Critico 5
Errore 4
Avviso 3
Notifica 2

Se il punteggio anomalie è 5 o maggiore e il WAF è in modalità prevenzione, la richiesta viene bloccata. Se il punteggio anomalie è 5 o superiore e il WAF è in modalità rilevamento, la richiesta viene registrata ma non bloccata.

Ad esempio, una singola corrispondenza di regola critica è sufficiente per il WAF per bloccare una richiesta in modalità prevenzione, perché il punteggio complessivo di anomalie è 5. Tuttavia, una regola di avviso aumenta solo il punteggio di anomalia per 3, che non è sufficiente per bloccare il traffico. Quando viene attivata una regola anomalie, viene visualizzata un'azione "Matched" nei log. Se il punteggio anomalie è 5 o superiore, esiste una regola separata attivata con un'azione "Bloccata" o "Rilevata" a seconda che i criteri WAF siano in modalità prevenzione o rilevamento. Per altre informazioni, vedere Modalità di assegnazione dei punteggi anomali.

OWASP CRS 3.2

CRS 3.2 include 14 gruppi di regole, come illustrato nella tabella seguente. Ogni gruppo contiene più regole, che possono essere disabilitate. Il set di regole è basato sulla versione di OWASP CRS 3.2.0.

Nota

CRS 3.2 è disponibile solo nello SKU di WAF_v2. Poiché CRS 3.2 viene eseguito nel nuovo motore WAF di Azure, non è possibile eseguire il downgrade a CRS 3.1 o versioni precedenti. Se è necessario eseguire il downgrade, contattare il supporto tecnico di Azure.

Gruppo di regole Descrizione
Generale Gruppo generale
KNOWN-CVES Guida per rilevare cv nuovi e noti
REQUEST-911-METHOD-ENFORCEMENT Metodi di blocco (PUT, PATCH)
REQUEST-913-SCANNER-DETECTION Protezione da scanner di porta e ambiente
REQUEST-920-PROTOCOL-ENFORCEMENT Protezione da problemi di protocollo e codifica
REQUEST-921-PROTOCOL-ATTACK Proteggere dall'inserimento delle intestazioni, dalla richiesta di contrabbando e dalla suddivisione delle risposte
REQUEST-930-APPLICATION-ATTACK-LFI Proteggere da attacchi di file e percorso
REQUEST-931-APPLICATION-ATTACK-RFI Proteggere dagli attacchi RFI (Remote File Inclusion)
REQUEST-932-APPLICATION-ATTACK-RCE Proteggere di nuovo gli attacchi di esecuzione del codice remoto
REQUEST-933-APPLICATION-ATTACK-PHP Proteggere dagli attacchi PHP-injection
REQUEST-941-APPLICATION-ATTACK-XSS Proteggere dagli attacchi di scripting tra siti
REQUEST-942-APPLICATION-ATTACK-SQLI Proteggere dagli attacchi sql-injection
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Proteggere dagli attacchi di correzione delle sessioni
REQUEST-944-APPLICATION-ATTACK-JAVA Proteggere dagli attacchi JAVA

OWASP CRS 3.1

CRS 3.1 include 14 gruppi di regole, come illustrato nella tabella seguente. Ogni gruppo contiene più regole, che possono essere disabilitate. Il set di regole è basato su OWASP CRS 3.1.1 versione.

Nota

CRS 3.1 è disponibile solo nello SKU WAF_v2.

Gruppo di regole Descrizione
Generale Gruppo generale
CVE NOTE Assistenza per rilevare cve nuove e note
REQUEST-911-METHOD-ENFORCEMENT Metodi di blocco (PUT, PATCH)
REQUEST-913-SCANNER-DETECTION Protezione da scanner di porte e ambienti
REQUEST-920-PROTOCOL-ENFORCEMENT Protezione da problemi di protocollo e codifica
REQUEST-921-PROTOCOL-ATTACK Protezione contro l'inserimento di intestazioni, il contrabbando di richieste e la suddivisione delle risposte
REQUEST-930-APPLICATION-ATTACK-LFI Protezione da attacchi a file e percorsi
REQUEST-931-APPLICATION-ATTACK-RFI Protezione da attacchi RFI (Remote File Inclusion)
REQUEST-932-APPLICATION-ATTACK-RCE Proteggere nuovamente gli attacchi di esecuzione del codice remoto
REQUEST-933-APPLICATION-ATTACK-PHP Proteggere dagli attacchi PHP-injection
REQUEST-941-APPLICATION-ATTACK-XSS Protezione da attacchi di scripting tra siti
REQUEST-942-APPLICATION-ATTACK-SQLI Protezione da attacchi SQL injection
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Protezione dagli attacchi di correzione delle sessioni
REQUEST-944-APPLICATION-ATTACK-SESSION-JAVA Proteggere dagli attacchi JAVA

OWASP CRS 3.0

CRS 3.0 include 13 gruppi di regole, come illustrato nella tabella seguente. Ogni gruppo contiene più regole, che possono essere disabilitate. Il set di regole è basato sulla versione di OWASP CRS 3.0.0.

Gruppo di regole Descrizione
Generale Gruppo generale
CVE NOTE Assistenza per rilevare cve nuove e note
REQUEST-911-METHOD-ENFORCEMENT Metodi di blocco (PUT, PATCH)
REQUEST-913-SCANNER-DETECTION Protezione da scanner di porte e ambienti
REQUEST-920-PROTOCOL-ENFORCEMENT Protezione da problemi di protocollo e codifica
REQUEST-921-PROTOCOL-ATTACK Protezione contro l'inserimento di intestazioni, il contrabbando di richieste e la suddivisione delle risposte
REQUEST-930-APPLICATION-ATTACK-LFI Protezione da attacchi a file e percorsi
REQUEST-931-APPLICATION-ATTACK-RFI Protezione da attacchi RFI (Remote File Inclusion)
REQUEST-932-APPLICATION-ATTACK-RCE Proteggere nuovamente gli attacchi di esecuzione del codice remoto
REQUEST-933-APPLICATION-ATTACK-PHP Proteggere dagli attacchi PHP-injection
REQUEST-941-APPLICATION-ATTACK-XSS Protezione da attacchi di scripting tra siti
REQUEST-942-APPLICATION-ATTACK-SQLI Protezione da attacchi SQL injection
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Protezione dagli attacchi di correzione delle sessioni

OWASP CRS 2.2.9

CRS 2.2.9 include 10 gruppi di regole, come illustrato nella tabella seguente. Ogni gruppo contiene più regole, che possono essere disabilitate.

Nota

CRS 2.2.9 non è più supportato per i nuovi criteri WAF. È consigliabile eseguire l'aggiornamento alla versione crs più recente.

Gruppo di regole Descrizione
crs_20_protocol_violations Proteggere da violazioni del protocollo (ad esempio caratteri non validi o GET con un corpo della richiesta)
crs_21_protocol_anomalies Protezione da informazioni di intestazione non corrette
crs_23_request_limits Protezione da argomenti o file che superano le limitazioni
crs_30_http_policy Protezione da metodi, intestazioni e tipi di file limitati
crs_35_bad_robots Protezione da crawler e scanner Web
crs_40_generic_attacks Protezione da attacchi generici (ad esempio correzione di sessione, inclusione di file remoti e inserimento php)
crs_41_sql_injection_attacks Protezione da attacchi SQL injection
crs_41_xss_attacks Protezione da attacchi di scripting tra siti
crs_42_tight_security Protezione da attacchi path-traversal
crs_45_trojans Proteggere contro i trojan backdoor

Regole del bot

È possibile abilitare un set di regole di protezione bot gestito per eseguire azioni personalizzate sulle richieste da tutte le categorie di bot.

Gruppo di regole Descrizione
BadBots Proteggere da bot non valido
GoodBots Identificare i bot validi
UnknownBots Identificare i bot sconosciuti

I gruppi di regole e le regole seguenti sono disponibili quando si usa Web application firewall in gateway applicazione.

3.2 set di regole

Generale

ID regola Descrizione
200002 Impossibile analizzare il corpo della richiesta.
200003 Convalida rigorosa del corpo della richiesta multipart.
200004 Possibile limite multiparte senza corrispondenza.

CVE NOTE

ID regola Descrizione
800100 Regola per rilevare e mitigare la vulnerabilità log4j CVE-2021-44228, CVE-2021-45046
800110 Tentativo di interazione di Spring4Shell
800111 Tentativo di iniezione di routing-espressione Spring Cloud - CVE-2022-22963
800112 Tentativo di sfruttamento di oggetti di classe unsafe di Spring Framework - CVE-2022-22965
800113 Tentativo di inserimento dell'attuatore Spring Cloud Gateway - CVE-2022-22947

REQUEST-911-METHOD-ENFORCEMENT

ID regola Descrizione
911100 Metodo non consentito da criteri

REQUEST-913-SCANNER-DETECTION

ID regola Descrizione
913100 Trovato agente utente associato ad analisi della sicurezza
913101 Trovato agente utente associato a client HTTP generico/di scripting
913102 Trovato agente utente associato a bot/agente di ricerca Web
913110 Trovata intestazione della richiesta associata ad analisi della sicurezza
913120 Trovato argomento/nome file della richiesta associato ad analisi della sicurezza

REQUEST-920-PROTOCOL-ENFORCEMENT

ID regola Descrizione
920100 Riga della richiesta HTTP non valida
920120 Tentativo di bypass multipart/form-data
920121 Tentativo di bypass multipart/form-data
920160 Intestazione HTTP Content-Length non numerica
920170 Richiesta GET o HEAD con contenuto del corpo
920171 Richiesta GET o HEAD con codifica di trasferimento.
920180 Richiesta POST senza intestazione Content-Length
920190 Intervallo: valore ultimo byte non valido.
920200 Intervallo: troppi campi (6 o più)
920201 Intervallo: troppi campi per la richiesta PDF (35 o più)
920202 Intervallo: troppi campi per la richiesta PDF (6 o più)
920210 Trovati dati intestazione di connessione multipli/in conflitto
920220 Tentativo di attacco con uso improprio codifica URL
920230 Rilevata codifica multipla URL
920240 Tentativo di attacco con uso improprio codifica URL
920250 Tentativo di attacco con uso improprio codifica UTF8
920260 Tentativo di attacco con uso improprio metà larghezza/larghezza intera Unicode
920270 Carattere non valido nella richiesta (carattere null)
920271 Carattere non valido nella richiesta (caratteri non stampabili)
920272 Carattere non valido nella richiesta (non compreso nei caratteri stampabili sotto ASCII 127)
920273 Carattere non valido nella richiesta (non compreso in set molto restrittivo)
920274 Carattere non valido nelle intestazioni della richiesta (non compreso in set con restrizioni elevate)
920280 Richiesta senza intestazione host
920290 Intestazione host vuota
920300 Richiesta senza intestazione Accept
920310 Richiesta con intestazione Accept vuota
920311 Richiesta con intestazione Accept vuota
920320 Intestazione agente utente mancante
920330 Intestazione agente utente vuota
920340 Richiesta contenente contenuto, ma intestazione Content-Type mancante
920341 La richiesta contenente contenuto richiede l'intestazione Content-Type
920350 Intestazione host costituita da un indirizzo IP numerico
920420 Tipo di contenuto della richiesta non consentito da criteri
920430 Versione protocollo HTTP non consentita da criteri
920440 Estensione file URL limitata da criteri
920450 L'intestazione HTTP è limitata dai criteri (%{MATCHED_VAR})
920460 Caratteri di escape anomali
920470 Intestazione Content-Type non valida
920480 Limitare il parametro charset all'interno dell'intestazione content-type

REQUEST-921-PROTOCOL-ATTACK

ID regola Descrizione
921110 Attacco di tipo HTTP Request Smuggling
921120 Attacco di tipo HTTP Response Splitting
921130 Attacco di tipo HTTP Response Splitting
921140 Attacco di tipo HTTP Header Injection tramite intestazioni
921150 Attacco di tipo HTTP Header Injection tramite payload (rilevato CR/LF)
921151 Attacco di tipo HTTP Header Injection tramite payload (rilevato CR/LF)
921160 Attacco di tipo HTTP Header Injection tramite payload (rilevati CR/LF e nome intestazione)
921170 Inquinamento dei parametri HTTP
921180 Inquinamento dei parametri HTTP (%{TX.1})

REQUEST-930-APPLICATION-ATTACK-LFI

ID regola Descrizione
930100 Attacco di tipo Path Traversal (/../)
930110 Attacco di tipo Path Traversal (/../)
930120 Tentativo di accesso a file del sistema operativo
930130 Tentativo di accesso a file con restrizioni

REQUEST-931-APPLICATION-ATTACK-RFI

ID regola Descrizione
931100 Possibile attacco di inclusione file remota (RFI): parametro URL tramite indirizzo IP
931110 Possibile attacco di inclusione file remota (RFI): nome di parametro vulnerabile RFI comune usato con payload w/URL
931120 Possibile attacco RFI (Remote File Inclusion): payload URL usato con carattere punto interrogativo finale (?)
931130 Possibile attacco RFI (Remote File Inclusion): Off-Domain riferimento/collegamento

REQUEST-932-APPLICATION-ATTACK-RCE

ID regola Descrizione
932100 Esecuzione del comando remoto: inserimento di comandi Unix
932105 Esecuzione del comando remoto: inserimento di comandi Unix
932106 Esecuzione del comando remoto: inserimento di comandi Unix
932110 Esecuzione di comandi remoti: inserimento di comandi di Windows
932115 Esecuzione di comandi remoti: inserimento di comandi di Windows
932120 Esecuzione del comando remoto: Windows PowerShell comando trovato
932130 Esecuzione di comandi remoti: vulnerabilità di espressione shell Unix o confluence (CVE-2022-26134) o Text4Shell (CVE-2022-42889) trovato
932140 Esecuzione di comandi remoti: Trovato il comando FOR/IF di Windows
932150 Esecuzione di comandi remoti: esecuzione del comando Unix diretto
932160 Esecuzione del comando remoto: codice della shell Unix trovato
932170 Esecuzione del comando remoto: Shellshock (CVE-2014-6271)
932171 Esecuzione del comando remoto: Shellshock (CVE-2014-6271)
932180 Tentativo di caricamento file con restrizioni
932190 Esecuzione del comando remoto: tentativo di bypass con caratteri jolly

REQUEST-933-APPLICATION-ATTACK-PHP

ID regola Descrizione
933100 Attacco PHP Injection: tag di apertura/chiusura trovato
933110 Attacco PHP Injection: caricamento del file di script PHP trovato
933111 Attacco PHP Injection: caricamento del file di script PHP trovato
933120 Attacco PHP Injection: Direttiva di configurazione trovata
933130 Attacco PHP Injection: variabili trovate
933131 Attacco PHP Injection: variabili trovate
933140 Attacco PHP Injection: Flusso di I/O trovato
933150 Attacco PHP Injection: High-Risk nome funzione PHP trovato
933151 Attacco PHP Injection: Medium-Risk nome funzione PHP trovato
933160 Attacco PHP Injection: High-Risk chiamata di funzione PHP trovata
933161 Attacco PHP Injection: Low-Value chiamata di funzione PHP trovata
933170 Attacco PHP Injection: Inserimento di oggetti serializzati
933180 Attacco PHP Injection: Chiamata alla funzione variabile trovata
933190 Attacco PHP Injection: tag di chiusura PHP trovato
933200 Attacco PHP Injection: schema wrapper rilevato
933210 Attacco PHP Injection: Chiamata alla funzione variabile trovata

REQUEST-941-APPLICATION-ATTACK-XSS

ID regola Descrizione
941100 Rilevato attacco XSS tramite libinjection
941101 Attacco XSS rilevato tramite libiniection.
Questa regola rileva le richieste con un'intestazione referer .
941110 Filtro XSS - Categoria 1: Vettore tag script
941120 Filtro XSS - Categoria 2: Vettore del gestore eventi
941130 Filtro XSS - Categoria 3: Vettore di attributi
941140 Filtro XSS - Categoria 4: Vettore URI JavaScript
941150 Filtro XSS - Categoria 5: Attributi HTML non consentiti
941160 NoScript XSS InjectionChecker: inserimento HTML
941170 NoScript XSS InjectionChecker: Attributo Injection
941180 Parole chiave in blacklist convalida nodi
941190 XSS Uso di fogli di stile
941200 XSS usando frame VML
941210 XSS usando JavaScript o Text4Shell offuscati (CVE-2022-42889)
941220 XSS usando script VB offuscati
941230 XSS usando il tag 'embed'
941240 XSS usando l'attributo 'import' o 'implementazione'
941250 Filtri XSS IE: rilevato attacco
941260 XSS usando il tag 'meta'
941270 XSS usando "link" href
941280 XSS usando il tag 'base'
941290 XSS usando il tag "applet"
941300 XSS usando il tag 'object'
941310 Filtro XSS per codifica US-ASCII in formato non valido: rilevato attacco
941320 Rilevato possibile attacco XSS: gestore tag HTML
941330 Filtri XSS IE: rilevato attacco
941340 Filtri XSS IE: rilevato attacco
941350 XSS IE con codifica UTF-7: rilevato attacco
941360 Rilevato l'offuscamento javaScript.

REQUEST-942-APPLICATION-ATTACK-SQLI

ID regola Descrizione
942100 Rilevato attacco SQL injection tramite libinjection
942110 Attacco SQL Injection: test di inserimento comuni rilevati
942120 Attacco SQL Injection: Operatore SQL rilevato
942130 Attacco SQL Injection: sql Tautologia rilevata.
942140 Attacco SQL Injection: nomi di database comuni rilevati
942150 Attacco SQL injection
942160 Rilevamento test di blind SQL injection con sleep() o benchmark()
942170 Rilevamento tentativi di SQL injection con benchmark e sleep e query condizionali
942180 Rileva i tentativi di bypass dell'autenticazione SQL di base 1/3
942190 Rileva l'esecuzione di codice MSSQL e tentativi di raccolta di informazioni
942200 Rileva injection offuscati nello spazio/con commento MySQL e terminazioni con apice inverso
942210 Rileva tentativi di inserimento sql concatenati 1/2
942220 Cercando attacchi di overflow integer, questi vengono presi da skipfish, ad eccezione di 3.0.00738585072007e-308 è l'arresto anomalo del "numero magico"
942230 Rilevamento tentativi di SQL injection condizionale
942240 Rileva l'opzione charset MySQL e i tentativi di MSSQL DoS
942250 Rileva MATCH AGAINST, MERGE e EXECUTE IMMEDIATE injections
942251 Rilevamento inserimenti HAVING
942260 Rileva tentativi di ignorare l'autenticazione SQL di base (2/3)
942270 Ricerca di SQL injection di base. Stringa di attacco comune per mysql, oracle e altri.
942280 Rileva postgres pg_sleep inserimento, attesa per attacchi di ritardo e tentativi di arresto del database
942290 Ricerca tentativi di SQL injection di base in MongoDB
942300 Rileva ch(a)r injection, condizioni e commenti MySQL
942310 Rileva tentativi di inserimento SQL concatenati 2/2
942320 Rilevamento inserimenti di stored procedure/funzioni MySQL e PostgreSQL
942330 Rileva sondaggi di SQL injection classici (1/2)
942340 Rileva tentativi di ignorare l'autenticazione SQL di base (3/3)
942350 Rilevamento di inserimento di funzioni definite dall'utente MySQL e altri tentativi di manipolazione dati/struttura
942360 Rileva tentativi SQL/LFI e di SQL injection di base concatenati
942361 Rileva l'inserimento SQL di base in base all'modifica o all'unione delle parole chiave
942370 Rileva sondaggi di SQL injection classici (2/2)
942380 Attacco SQL injection
942390 Attacco SQL injection
942400 Attacco SQL injection
942410 Attacco SQL injection
942420 Rilevamento anomalie carattere SQL con restrizioni (cookie): # di caratteri speciali superati (8)
942421 Rilevamento anomalie carattere SQL con restrizioni (cookie): # di caratteri speciali superati (3)
942430 Rilevamento anomalie caratteri SQL con restrizioni (args): n. di caratteri speciali in eccesso (12)
942431 Rilevamento anomalie di caratteri SQL con restrizioni (args): # di caratteri speciali superati (6)
942432 Rilevamento anomalie carattere SQL con restrizioni (args): # di caratteri speciali superati (2)
942440 Rilevata sequenza commenti SQL
942450 Identificata codifica esadecimale SQL
942460 Avviso di rilevamento anomalie metacaratteri: caratteri non alfanumerici ripetitivi
942470 Attacco SQL injection
942480 Attacco SQL injection
942490 Rileva i test di inserimento SQL classico 3/3
942500 Il commento in linea di MySQL è stato rilevato.

REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION

ID regola Descrizione
943100 Possibile attacco di correzione sessione: impostazione dei valori dei cookie in HTML
943110 Possibile attacco di correzione sessione: nome del parametro SessionID con Off-Domain referer
943120 Possibile attacco di correzione sessione: nome del parametro SessionID senza referer

REQUEST-944-APPLICATION-ATTACK-JAVA

ID regola Descrizione
944100 Esecuzione dei comandi remoti: Apache Struts, Oracle WebLogic
944110 Rileva l'esecuzione potenziale del payload
944120 Possibile esecuzione del payload e esecuzione di comandi remoti
944130 Classi Java sospette
944200 Sfruttamento della deserializzazione Di Java Apache Commons
944210 Possibile uso della serializzazione Java
944240 Esecuzione dei comandi remoti: serializzazione Java
944250 Esecuzione di comandi remoti: metodo Java sospetto rilevato
944300 Parola chiave sospetta con codifica Base64

Passaggi successivi