Condividi tramite

DRS di Web Application Firewall e i gruppi di regole e regole CRS

  • Articolo

Il set di regole predefinito gestito da Azure (DRS) nel web application firewall (WAF) del gateway applicazione protegge attivamente le applicazioni Web da vulnerabilità e exploit comuni. Questi gruppi di regole, gestiti da Azure, ricevono gli aggiornamenti in base alle esigenze per proteggersi dalle nuove firme di attacco. Il gruppo di regole predefinito incorpora anche le regole di Raccolta di Microsoft Threat Intelligence. Il team di Microsoft Intelligence collabora nella scrittura di queste regole, assicurando una copertura avanzata, patch di vulnerabilità specifiche e una riduzione migliorata dei falsi positivi.

È anche possibile usare regole definite in base al set di regole di base OWASP 3.2 (CRS 3.2).

È possibile disabilitare le regole singolarmente o impostare azioni specifiche per ogni regola. Questo articolo elenca le attuali regole e set di regole disponibili. Se un set di regole pubblicato richiede un aggiornamento, verrà documentato qui.

Nota

Quando si modifica una versione del set di regole in un criterio WAF, le personalizzazioni esistenti apportate al set di regole verranno reimpostate sulle impostazioni predefinite per il nuovo set di regole. Vedere: Aggiornamento o modifica della versione del set di regole.

Set di regole predefinito 2.1

Il set di regole predefinito (DRS) 2.1 è previsto dal set di regole di base OWASP (Open Web Application Security Project) 3.3.2 e include regole di protezione proprietarie aggiuntive sviluppate dal team di Microsoft Threat Intelligence e gli aggiornamenti alle firme per ridurre i falsi positivi. Supporta anche trasformazioni oltre la semplice decodifica URL.

DRS 2.1 offre un nuovo motore e nuovi set di regole in difesa contro gli attacchi Java injection, un set iniziale di controlli di caricamento dei file e meno falsi positivi rispetto alle versioni CRS. È anche possibile personalizzare le regole in base alle proprie esigenze. Altre informazioni sul nuovo motore WAF di Azure.

DRS 2.1 include 17 gruppi di regole, come illustrato nella tabella seguente. Ogni gruppo contiene più regole ed è possibile personalizzare il comportamento per singole regole, gruppi di regole o intero set di regole.

Tipo di minaccia Nome gruppo di regole
Generali Generali
Metodi di blocco (PUT, PATCH) APPLICAZIONE DEL METODO
Problemi di protocollo e codifica APPLICAZIONE DEL PROTOCOLLO
Inserimento di intestazioni, contrabbando di richieste e suddivisione delle risposte ATTACCO DEL PROTOCOLLO
Attacchi a file e percorsi LFI
Attacchi RFI (Remote File Inclusion) RFI
Attacchi di esecuzione di codice remoto RCE
Gli attacchi di PHP-injection PHP
Attacchi JS del nodo NodeJS
Attacchi di tipo cross-site scripting (XSS) XSS
Attacchi SQL injection SQLI
Attacchi di fissazione della sessione SESSION-FIXATION
Attacchi JAVA SESSION-JAVA
Attacchi web shell (MS) MS-ThreatIntel-WebShells
Attacchi AppSec (MS) MS-ThreatIntel-AppSec
Attacchi di tipo SQL injection (MS) MS-ThreatIntel-SQLI
Attacchi CVE (MS) MS-ThreatIntel-CVEs

Linee guida per la messa a punto di DRS 2.1

Segui le indicazioni seguenti per ottimizzare il WAF mentre inizi a usare DRS 2.1 nel WAF del gateway applicativo.

ID regola Gruppo di regole Descrizione Raccomandazione
942110 SQLI Attacco SQL Injection: rilevati test di inserimento comune Disabilitare la regola 942110, sostituita dalla regola MSTIC 99031001
942150 SQLI Attacco SQL injection Disabilitare la regola 942150, sostituita dalla regola MSTIC 99031003
942260 SQLI Rileva tentativi di ignorare l'autenticazione SQL di base (2/3) Disabilitare la regola 942260, sostituita dalla regola MSTIC 99031004
942430 SQLI Rilevamento anomalie caratteri SQL con restrizioni (args): n. di caratteri speciali in eccesso (12) Disabilitare la regola 942430, attiva troppi falsi positivi
942440 SQLI Rilevata sequenza commenti SQL Disabilitare la regola 942440, sostituita dalla regola MSTIC 99031002
99005006 MS-ThreatIntel-WebShells Tentativo di interazione di Spring4Shell Mantenere la regola abilitata per evitare la vulnerabilità di SpringShell
99001014 MS-ThreatIntel-CVEs Tentativo di inserimento di routing-espressione Spring Cloud CVE-2022-22963 Mantenere la regola abilitata per evitare la vulnerabilità di SpringShell
99001015 MS-ThreatIntel-WebShells Tentativo di sfruttamento di oggetti della classe Spring Framework unsafe CVE-2022-22965 Mantenere la regola abilitata per evitare la vulnerabilità di SpringShell
99001016 MS-ThreatIntel-WebShells Tentativo di inserimento dell'attuatore Spring Cloud Gateway CVE-2022-22947 Mantenere la regola abilitata per evitare la vulnerabilità di SpringShell
99001017 MS-ThreatIntel-CVEs Tentativo di sfruttamento del caricamento di file Apache Struts CVE-2023-50164 Impostare l'azione su Blocca per evitare la vulnerabilità di Apache Struts. Il punteggio delle anomalie non è supportato per questa regola

Set di regole di base 3.2

Il set di regole gestite consigliato è il set di regole predefinito 2.1, previsto dal set di regole core OWASP (Open Web Application Security Project) 3.3.2 e include regole di protezione proprietarie aggiuntive sviluppate dal team di Microsoft Threat Intelligence e gli aggiornamenti alle firme per ridurre i falsi positivi. In alternativa a DRS 2.1, è possibile usare CRS 3.2 basato sulla versione di OWASP CRS 3.2.0.

CRS 3.2 include 14 gruppi di regole, come illustrato nella tabella seguente. Ogni gruppo contiene più regole, che possono essere disabilitate.

Nota

CRS 3.2 è disponibile solo nello SKU WAF_v2. Poiché CRS 3.2 viene eseguito nel nuovo motore WAF di Azure, non è possibile effettuare il downgrade a CRS 3.1 o versioni precedenti. Se è necessario effettuare il downgrade, contattare il supporto tecnico di Azure.

Nome del gruppo di regole Tipo di minaccia
Generali Generali
CVE nuove e note CVE NOTE
Metodi di blocco (PUT, PATCH) REQUEST-911-METHOD-ENFORCEMENT
Scanner di porte e ambienti REQUEST-913-SCANNER-DETECTION
Problemi di protocollo e codifica REQUEST-920-PROTOCOL-ENFORCEMENT
Inserimento di intestazioni, contrabbando di richieste e suddivisione delle risposte REQUEST-921-PROTOCOL-ATTACK
Attacchi a file e percorsi REQUEST-930-APPLICATION-ATTACK-LFI
Attacchi RFI (Remote File Inclusion) REQUEST-931-APPLICATION-ATTACK-RFI
Attacchi di esecuzione di codice remoto REQUEST-932-APPLICATION-ATTACK-RCE
Attacchi di injection PHP REQUEST-933-APPLICATION-ATTACK-PHP
Attacchi di tipo cross-site scripting (XSS) REQUEST-941-APPLICATION-ATTACK-XSS
Attacchi SQL injection REQUEST-942-APPLICATION-ATTACK-SQLI
Attacchi di fissazione della sessione REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION
Attacchi JAVA RICHIESTA-944-APPLICAZIONE-ATTACCO-PHP

Ottimizzazione dei set di regole gestite

Sia DRS che CRS sono abilitati per impostazione predefinita in modalità Rilevamento nei criteri WAF. È possibile disabilitare o abilitare singole regole nel set di regole gestito, al fine di soddisfare i requisiti dell'applicazione. È anche possibile impostare azioni specifiche per ogni regola. DRS/CRS supporta azioni di blocco, log e punteggio anomalie. Il set di regole di Bot Manager supporta le azioni allow, block e log.

Talvolta può essere necessario omettere determinati attributi delle richieste da una valutazione di WAF. Un esempio comune è rappresentato dai token inseriti in Active Directory che vengono usati per l'autenticazione. È possibile configurare le esclusioni da applicare quando vengono valutate regole WAF specifiche, oppure da applicare a globalmente quando vengono valutate tutte le regole WAF. Le regole di esclusione si applicano all'intera applicazione Web. Per maggiori informazioni, vedere Web Application Firewall (WAF) con gli elenchi di esclusione del gateway applicazione.

Per impostazione predefinita, la versione DRS 2.1/versione CRS 3.2 e successive usano i punteggi anomalie quando una richiesta corrisponde a una regola. CRS 3.1 e versioni successive bloccano le richieste di corrispondenza per impostazione predefinita. Inoltre, se si vuole ignorare una qualsiasi regola preconfigurata nel set di regole di base, è possibile configurare regole personalizzate nello stesso criterio di WAF.

Le regole personalizzate vengono sempre applicate prima della valutazione delle regole del set di regole di base. Se una richiesta corrisponde a una regola personalizzata, viene applicata l'azione della regola corrispondente. La richiesta viene bloccata o passata al back-end. Non vengono elaborate altre regole personalizzate né altre regole del set di regole di base.

Assegnazione di punteggi anomalie

Quando si usa CRS o DRS 2.1 e versioni successive, il WAF è configurato per l'uso dell'assegnazione di punteggi anomalie per impostazione predefinita. Il traffico che corrisponde a qualsiasi regola non viene bloccato immediatamente, anche quando WAF è in modalità prevenzione. I set di regole OWASP definiscono invece una gravità per ogni regola: Critico, Errore, Avviso o Informativa. Tale gravità determina un valore numerico per la richiesta, ossia il punteggio anomalie:

Gravità della regola Valore che ha contribuito al punteggio anomalie
Critico 5
Errore 4
Avviso 3
Preavviso 2

Se il punteggio anomalie è 5 o superiore e WAF è in modalità Prevenzione, la richiesta viene bloccata. Se il punteggio anomalie è 5 o superiore e WAF è in modalità Rilevamento, la richiesta viene registrata ma non bloccata.

Ad esempio, una singola corrispondenza di regola Critico è sufficiente perché WAF blocchi una richiesta in modalità Prevenzione, poiché il punteggio anomalie complessivo è 5. Tuttavia, una singola corrispondenza di regola di tipo Avviso si limita a incrementare di 3 il punteggio anomalie, che non è sufficiente per bloccare il traffico. Quando viene attivata una regola di anomalie, nei log viene visualizzata un'azione "Corrispondente". Se il punteggio di anomalia è 5 o superiore, è presente una regola separata attivata con un'azione "Bloccata" o "Rilevata" a seconda che i criteri WAF siano in modalità di prevenzione o rilevamento. Per maggiori informazioni, vedere Modalità punteggi anomalie.

Livello di paranoia

Ogni regola è assegnata in uno specifico livello paranoia (PL). Le regole configurate in Paranoia Level 1 (PL1) sono meno aggressive e difficilmente mai attivano un falso positivo. Forniscono la sicurezza di base con una necessità minima di ottimizzazione. Le regole in PL2 rilevano più attacchi, ma dovrebbero attivare falsi positivi che devono essere ottimizzati.

Per impostazione predefinita, le versioni delle regole DRS 2.1 e CRS 3.2 sono preconfigurate in Livello di Paranoia 2, incluse le regole assegnate sia in Livello di Paranoia 1 che in Livello di Paranoia 2. Se si vuole usare WAF esclusivamente con PL1, è possibile disabilitare qualsiasi o tutte le regole PL2 o modificarne l'azione in "log". PL3 e PL4 non sono attualmente supportati in Azure WAF.

Nota

Il set di regole CRS 3.2 include regole in PL3 e PL4, ma queste regole sono sempre inattive e non possono essere abilitate, indipendentemente dallo stato o dall'azione configurati.

Aggiornamento o modifica della versione del set di regole

Se si esegue l'aggiornamento o si assegna una nuova versione del set di regole e si vuole mantenere le sostituzioni ed esclusioni esistenti, è consigliabile usare PowerShell, l'interfaccia della riga di comando, l'API REST o un modello per apportare modifiche alla versione del set di regole. Una nuova versione di un set di regole può avere regole più recenti, gruppi di regole aggiuntivi e potrebbe avere aggiornamenti alle firme esistenti per applicare una maggiore sicurezza e ridurre i falsi positivi. È consigliabile convalidare le modifiche in un ambiente di test, ottimizzare, se necessario, e quindi distribuire in un ambiente di produzione.

Nota

Se si usa il portale di Azure per assegnare un nuovo set di regole gestite a un criterio WAF, tutte le personalizzazioni precedenti del set di regole gestite esistente, ad esempio lo stato della regola, le azioni delle regole e le esclusioni a livello di regola verranno reimpostate sulle impostazioni predefinite del nuovo set di regole gestite. Tuttavia, tutte le regole personalizzate, le impostazioni dei criteri e le esclusioni globali rimarranno invariate durante la nuova assegnazione del set di regole. È necessario ridefinire le sostituzioni delle regole e convalidare le modifiche prima della distribuzione in un ambiente di produzione.

OWASP CRS 3.1

CRS 3.1 include 14 gruppi di regole, come illustrato nella tabella seguente. Ogni gruppo contiene più regole, che possono essere disabilitate. Il set di regole è basato sulla versione di OWASP CRS 3.1.1.

Nota

CRS 3.1 è disponibile solo nello SKU WAF_v2.

Nome del gruppo di regole Descrizione
Generali Gruppo generale
CVE NOTE Aiutare a rilevare CVE nuove e note
REQUEST-911-METHOD-ENFORCEMENT Metodi di blocco (PUT, PATCH)
REQUEST-913-SCANNER-DETECTION Protezione da scanner di porte e ambienti
RICHIESTA-920-APPLICAZIONE-PROTOCOLLO Protezione da problemi di protocollo e codifica
REQUEST-921-PROTOCOL-ATTACK Protegge da header injection, request smuggling e response splitting
REQUEST-930-APPLICATION-ATTACK-LFI Protezione da attacchi a file e percorsi
REQUEST-931-APPLICATION-ATTACK-RFI Protezione da attacchi RFI (inclusione file remoti)
REQUEST-932-APPLICATION-ATTACK-RCE Protezione da attacchi di esecuzione del codice remoto
REQUEST-933-APPLICATION-ATTACK-PHP Protezione da attacchi PHP injection
REQUEST-941-APPLICATION-ATTACK-XSS Protezione da attacchi di scripting intersito
REQUEST-942-APPLICATION-ATTACK-SQLI Protezione da attacchi SQL injection
REQUEST-943-ATTACCO-ALL'APPLICAZIONE-FISSAZIONE-DELLA-SESSIONE Protezione da attacchi di correzione della sessione
RICHIESTA-944-APPLICAZIONE-ATTACCO-SESSIONE-CORREZIONE Protezione dagli attacchi JAVA

Bot Manager 1.0

Il set di regole di Bot Manager 1.0 offre protezione dai bot dannosi e dal rilevamento di bot validi. Le regole forniscono un controllo granulare sui bot rilevati da WAF tramite la categorizzazione del traffico del bot come bot buono, non valido o sconosciuto.

Gruppo di regole Descrizione
BadBots Protezione da bot non validi
GoodBots Identificare bot validi
UnknownBots Identificare bot sconosciuti

Bot Manager 1.1

Il set di regole di Bot Manager 1.1 è un miglioramento del set di regole di Bot Manager 1.0. Offre una protezione avanzata contro i bot dannosi e aumenta il corretto rilevamento dei bot.

Gruppo di regole Descrizione
BadBots Protezione da bot non validi
GoodBots Identificare bot validi
UnknownBots Identificare bot sconosciuti

I gruppi di regole e le regole seguenti sono disponibili quando si usa Web Application Firewall nel gateway applicazione.

Set di regole 2.1

Generali

ID regola Gravità del punteggio di anomalie Il livello di paranoia Descrizione
200002 Critico - 5 PL1 Impossibile analizzare il corpo della richiesta
200003 Critico - 5 PL1 Il corpo della richiesta multipart non ha superato la convalida rigorosa

IMPOSIZIONE DEL METODO

ID regola Gravità del punteggio dell'anomalia Il livello di paranoia Descrizione
911100 Critico - 5 PL1 Il metodo non è consentito dai criteri

APPLICAZIONE PROTOCOLLO

ID regola Gravità del punteggio di anomalia Livello di paranoia Descrizione
920100 Avviso - 2 PL1 Riga della richiesta HTTP non valida
920120 Critico - 5 PL1 Tentativo di bypass multipart/form-data
920121 Critico - 5 PL2 Tentativo di bypass multipart/form-data
920160 Critico - 5 PL1 L'intestazione HTTP Content-Length non è numerica
920170 Critico - 5 PL1 Richiesta GET o HEAD con contenuto nel corpo
920171 Critico - 5 PL1 Richiesta GET o HEAD con Transfer-Encoding
920180 Avviso - 2 PL1 La richiesta POST è priva dell'intestazione Content-Length
920181 Avviso - 3 PL1 Le intestazioni Content-Length e Trasferimento-Codifica presentano 99001003
920190 Avviso - 3 PL1 Intervallo: Ultimo valore del byte non valido
920200 Avviso - 3 PL2 Intervallo: troppi campi (6 o più)
920201 Avviso - 3 PL2 Intervallo: troppi campi per richiesta PDF (35 o più)
920210 Critico - 5 PL1 Trovati dati di intestazione di connessione multipli/in conflitto
920220 Avviso - 3 PL1 Tentativo di attacco con uso improprio codifica URL
920230 Avviso - 3 PL2 Rilevata codifica multipla URL
920240 Avviso - 3 PL1 Tentativo di attacco con uso improprio codifica URL
920260 Avviso - 3 PL1 Tentativo di attacco con uso improprio metà larghezza/larghezza intera Unicode
920270 Errore - 4 PL1 Carattere non valido nella richiesta (carattere null)
920271 Critico - 5 PL2 Carattere non valido nella richiesta (caratteri non stampabili)
920280 Avviso - 3 PL1 Richiesta senza intestazione host
920290 Avviso - 3 PL1 Intestazione host vuota
920300 Avviso - 2 PL2 Richiesta senza intestazione Accept
920310 Avviso - 2 PL1 Richiesta con intestazione Accept vuota
920311 Avviso - 2 PL1 Richiesta con intestazione Accept vuota
920320 Avviso - 2 PL2 Intestazione agente utente mancante
920330 Avviso - 2 PL1 Intestazione agente utente vuota
920340 Avviso - 2 PL1 Richiesta con contenuto ma senza intestazione Content-Type
920341 Critico - 5 PL1 La richiesta con contenuto richiede l'intestazione Content-Type
920350 Avviso - 3 PL1 Intestazione host costituita da un indirizzo IP numerico
920420 Critico - 5 PL1 La richiesta tipo di contenuto non è consentita dai criteri
920430 Critico - 5 PL1 La versione protocollo HTTP non consentita dai criteri
920440 Critico - 5 PL1 Estensione file URL limitata da criteri
920450 Critico - 5 PL1 Intestazione HTTP limitata da criteri
920470 Critico - 5 PL1 Intestazione Content-Type illegale
920480 Critico - 5 PL1 Il set di caratteri del tipo di contenuto della richiesta non è consentito dai criteri
920500 Critico - 5 PL1 Tentativo di accedere a un file di backup o di lavoro

ATTACCO PROTOCOLLO

ID regola Gravità del punteggio di anomalie Livello paranoia Descrizione
921110 Critico - 5 PL1 Attacco di tipo HTTP Request Smuggling
921120 Critico - 5 PL1 Attacco di tipo HTTP Response Splitting
921130 Critico - 5 PL1 Attacco di tipo HTTP Response Splitting
921140 Critico - 5 PL1 Attacco di tipo HTTP Header Injection tramite intestazioni
921150 Critico - 5 PL1 Attacco di tipo HTTP Header Injection tramite payload (rilevato CR/LF)
921151 Critico - 5 PL2 Attacco di tipo HTTP Header Injection tramite payload (rilevato CR/LF)
921160 Critico - 5 PL1 Attacco di tipo HTTP Header Injection tramite payload (rilevati CR/LF e nome intestazione)
921190 Critico - 5 PL1 Separazione HTTP (CR/LF nel nome file della richiesta rilevato)
921200 Critico - 5 PL1 Attacco LDAP injection

LFI - Inclusione di file locali

ID regola Gravità del punteggio di anomalie Livello paranoia Descrizione
930100 Critico - 5 PL1 Attacco di tipo Path Traversal (/../)
930110 Critico - 5 PL1 Attacco di tipo Path Traversal (/../)
930120 Critico - 5 PL1 Tentativo di accesso a file del sistema operativo
930130 Critico - 5 PL1 Tentativo di accesso a file con restrizioni

RFI: Inclusione di file remoti

ID regola Gravità del punteggio di anomalia Livello paranoia Descrizione
931100 Critico - 5 PL1 Possibile attacco RFI (inclusione file remoti): parametro URL con indirizzo IP
931110 Critico - 5 PL1 Possibile attacco RFI (inclusione file remoti): nome del parametro vulnerabile RFI comune utilizzato con payload URL
931120 Critico - 5 PL1 Possibile attacco RFI (inclusione file remoti): payload URL usato con carattere di punto interrogativo (?) finale
931130 Critico - 5 PL1 Possibile attacco RFI (inclusione file remoti): collegamento/riferimento fuori dominio

RCE - Esecuzione comandi in remoto

ID regola Gravità del punteggio di anomalie Livello di paranoia Descrizione
932100 Critico - 5 PL1 Esecuzione comandi in remoto: inserimento di comandi Unix
932105 Critico - 5 PL1 Esecuzione comandi in remoto: inserimento di comandi Unix
932110 Critico - 5 PL1 Esecuzione comandi in remoto: inserimento di comandi Windows
932115 Critico - 5 PL1 Esecuzione comandi in remoto: inserimento di comandi Windows
932120 Critico - 5 PL1 Esecuzione comandi in remoto: trovato comando di Windows PowerShell
932130 Critico - 5 PL1 Esecuzione comandi in remoto: Espressioni Shell Unix o vulnerabilità Confluence (CVE-2022-26134) Trovato
932140 Critico - 5 PL1 Esecuzione comandi in remoto: trovato comando FOR/IF di Windows
932150 Critico - 5 PL1 Esecuzione comandi in remoto: esecuzione di comandi Unix diretti
932160 Critico - 5 PL1 Esecuzione comandi in remoto: trovato codice Shell Unix
932170 Critico - 5 PL1 Esecuzione comandi in remoto: Shellshock (CVE-2014-6271)
932171 Critico - 5 PL1 Esecuzione comandi in remoto: Shellshock (CVE-2014-6271)
932180 Critico - 5 PL1 Tentativo di caricamento file con restrizioni

Attacchi PHP

ID regola Gravità del punteggio delle anomalie Livello di paranoia Descrizione
933100 Critico - 5 PL1 Attacco PHP injection: trovato tag di apertura/chiusura
933110 Critico - 5 PL1 Attacco PHP injection: trovato caricamento file di script PHP
933120 Critico - 5 PL1 Attacco PHP injection: trovata direttiva di configurazione
933130 Critico - 5 PL1 Attacco PHP injection: trovate variabili
933140 Critico - 5 PL1 Attacco PHP injection: trovato flusso di I/O
933150 Critico - 5 PL1 Attacco PHP injection: trovato nome funzione PHP ad alto rischio
933151 Critico - 5 PL2 Attacco PHP injection: trovato nome funzione PHP a medio rischio
933160 Critico - 5 PL1 Attacco PHP injection: trovata chiamata di funzione PHP ad alto rischio
933170 Critico - 5 PL1 Attacco PHP injection: inserimento di oggetti serializzati
933180 Critico - 5 PL1 Attacco PHP injection: trovata chiamata di funzione variabile
933200 Critico - 5 PL1 Attacco PHP injection: rilevato schema wrapper
933210 Critico - 5 PL1 Attacco PHP injection: trovata chiamata di funzione variabile

Attacchi Node JS

ID regola Gravità del punteggio di anomalia Livello paranoia Descrizione
934100 Critico - 5 PL1 Attacco injection Node.js

XSS - Scripting intersito

ID regola Gravità del punteggio di anomalia Livello di paranoia Descrizione
941100 Critico - 5 PL1 Rilevato attacco XSS tramite libinjection
941101 Critico - 5 PL2 Rilevato attacco XSS tramite libinjection.
Questa regola rileva le richieste con un'intestazione referer
941110 Critico - 5 PL1 Filtro XSS - Categoria 1: vettore tag script
941120 Critico - 5 PL1 Filtro XSS - Categoria 2: vettore del gestore eventi
941130 Critico - 5 PL1 Filtro XSS - Categoria 3: vettore attributi
941140 Critico - 5 PL1 Filtro XSS - Categoria 4: vettore URI Javascript
941150 Critico - 5 PL2 Filtro XSS - Categoria 5: attributi HTML non consentiti
941160 Critico - 5 PL1 NoScript XSS InjectionChecker: inserimento HTML
941170 Critico - 5 PL1 NoScript XSS InjectionChecker: inserimento attributo
941180 Critico - 5 PL1 Parole chiave in blocklist convalida nodi
941190 Critico - 5 PL1 XSS con fogli di stile
941200 Critico - 5 PL1 XSS con frame VML
941210 Critico - 5 PL1 XSS con JavaScript offuscato
941220 Critico - 5 PL1 XSS con script VB offuscato
941230 Critico - 5 PL1 XSS con tag 'incorpora'
941240 Critico - 5 PL1 XSS con l'attributo 'importa' o 'implementazione'
941250 Critico - 5 PL1 Filtri XSS IE - rilevato attacco
941260 Critico - 5 PL1 XSS con tag 'meta'
941270 Critico - 5 PL1 XSS con href 'link'
941280 Critico - 5 PL1 XSS con tag 'base'
941290 Critico - 5 PL1 XSS con tag 'applet'
941300 Critico - 5 PL1 XSS con tag 'oggetto'
941310 Critico - 5 PL1 Filtro XSS di codifica US-ASCII non valido - Rilevato attacco
941320 Critico - 5 PL2 Rilevato possibile attacco XSS: gestore tag HTML
941330 Critico - 5 PL2 Filtri XSS IE - rilevato attacco
941340 Critico - 5 PL2 Filtri XSS IE - rilevato attacco
941350 Critico - 5 PL1 Codifica UTF-7 IE XSS - Rilevato attacco
941360 Critico - 5 PL1 Rilevato offuscamento javaScript
941370 Critico - 5 PL1 Trovata variabile globale JavaScript
941380 Critico - 5 PL2 È stato rilevato l'inserimento di modelli sul lato client AngularJS

SQLI - SQL Injection

ID regola Gravità del punteggio di anomalia Livello paranoia Descrizione
942100 Critico - 5 PL1 Rilevato attacco SQL injection tramite libinjection
942110 Avviso - 3 PL2 Attacco SQL Injection: rilevati test di inserimento comune
942120 Critico - 5 PL2 Attacco SQL injection: rilevato operatore SQL
942130 Critico - 5 PL2 Attacco SQL Injection: rilevata tautologia SQL
942140 Critico - 5 PL1 Attacco SQL injection: rilevati nomi DB comuni
942150 Critico - 5 PL2 Attacco SQL injection
942160 Critico - 5 PL1 Identifica i test di SQL injection cieco usando sleep() o benchmark()
942170 Critico - 5 PL1 Rilevamento tentativi di SQL injection con benchmark e sleep e query condizionali
942180 Critico - 5 PL2 Rileva tentativi di bypass dell'autenticazione SQL di base 1/3
942190 Critico - 5 PL1 Rileva l'esecuzione di codice MSSQL e tentativi di raccolta di informazioni
942200 Critico - 5 PL2 Rileva injection offuscati nello spazio/con commento MySQL e terminazioni con apice inverso
942210 Critico - 5 PL2 Rileva tentativi di inserimento SQL concatenati 1/2
942220 Critico - 5 PL1 Alla ricerca di attacchi di overflow integer, questi vengono presi da skipfish, ad eccezione di 3.0.00738585072007e-308 è l'arresto anomalo del "numero magico"
942230 Critico - 5 PL1 Rilevamento tentativi di SQL injection condizionale
942240 Critico - 5 PL1 Rileva il commutatore di set di caratteri di MySQL e i tentativi DoS di MSSQL
942250 Critico - 5 PL1 Rileva gli inserimenti MATCH AGAINST, MERGE ed EXECUTE IMMEDIATE
942260 Critico - 5 PL2 Rileva tentativi di ignorare l'autenticazione SQL di base (2/3)
942270 Critico - 5 PL1 Ricerca di SQL injection di base. Stringa di attacco comune per mysql, oracle e altri
942280 Critico - 5 PL1 Rileva inserimento postgres pg_sleep, attacchi di ritardo waitfor e tentativi di arresto del database
942290 Critico - 5 PL1 Ricerca tentativi di SQL injection di base in MongoDB
942300 Critico - 5 PL2 Rileva inserimento ch(a)r, condizioni e commenti MySQL
942310 Critico - 5 PL2 Rileva tentativi di inserimento SQL concatenati 2/2
942320 Critico - 5 PL1 Rilevamento inserimenti di stored procedure/funzioni MySQL e PostgreSQL
942330 Critico - 5 PL2 Rileva sondaggi di SQL injection classici (1/2)
942340 Critico - 5 PL2 Rileva tentativi di ignorare l'autenticazione SQL di base (3/3)
942350 Critico - 5 PL1 Rilevamento di inserimento di funzioni definite dall'utente MySQL e altri tentativi di manipolazione dati/struttura
942360 Critico - 5 PL1 Rileva tentativi SQL/LFI e di SQL injection di base concatenati
942361 Critico - 5 PL2 Rileva l'inserimento SQL di base in base alla modifica o all'unione delle parole chiave
942370 Critico - 5 PL2 Rileva sondaggi di SQL injection classici (2/2)
942380 Critico - 5 PL2 Attacco SQL injection
942390 Critico - 5 PL2 Attacco SQL injection
942400 Critico - 5 PL2 Attacco SQL injection
942410 Critico - 5 PL2 Attacco SQL injection
942430 Avviso - 3 PL2 Rilevamento anomalie caratteri SQL con restrizioni (args): n. di caratteri speciali in eccesso (12)
942440 Critico - 5 PL2 Rilevata sequenza commenti SQL
942450 Critico - 5 PL2 Identificata codifica esadecimale SQL
942470 Critico - 5 PL2 Attacco SQL injection
942480 Critico - 5 PL2 Attacco SQL injection
942500 Critico - 5 PL1 Rilevato commento in linea di MySQL
942510 Critico - 5 PL2 Tentativo di bypass SQLi tramite segni di graduazione o backtick rilevati

FISSAZIONE SESSIONE

ID regola Gravità del punteggio di anomalie Il livello di paranoia Descrizione
943100 Critico - 5 PL1 Possibile attacco di tipo correzione di sessione: impostazione valori cookie in HTML
943110 Critico - 5 PL1 Possibile attacco di tipo correzione di sessione: nome parametro SessionID con referrer fuori dominio
943120 Critico - 5 PL1 Possibile attacco di tipo correzione di sessione: nome parametro SessionID senza referrer

Attacchi Java

ID regola La gravità del punteggio delle anomalie Livello di paranoia Descrizione
944100 Critico - 5 PL1 Esecuzione comandi in remoto: Apache Struts, Oracle WebLogic
944110 Critico - 5 PL1 Rileva un'esecuzione potenziale del payload
944120 Critico - 5 PL1 Possibile esecuzione del payload ed esecuzione comandi in remoto
944130 Critico - 5 PL1 Classi Java sospette
944200 Critico - 5 PL2 Sfruttamento della deserializzazione di Java Apache Commons
944210 Critico - 5 PL2 Possibile uso della serializzazione Java
944240 Critico - 5 PL2 Esecuzione comandi in remoto: vulnerabilità di serializzazione Java e Log4j (CVE-2021-44228, CVE-2021-45046)
944250 Critico - 5 PL2 Esecuzione comandi in remoto: rilevato metodo Java sospetto

MS-ThreatIntel-WebShells

ID regola Gravità del punteggio delle anomalie Livello della paranoia Descrizione
99005002 Critico - 5 PL2 Tentativo di interazione di Web Shell (POST)
99005003 Critico - 5 PL2 Tentativo di caricamento di Web Shell (POST) - CHOPPER PHP
99005004 Critico - 5 PL2 Tentativo di caricamento di Web Shell (POST) - CHOPPER ASPX
99005005 Critico - 5 PL2 Tentativo di interazione di Web Shell
99005006 Critico - 5 PL2 Tentativo di interazione di Spring4Shell

MS-ThreatIntel-AppSec

ID regola Gravità del punteggio di anomalie Il livello di paranoia Descrizione
99030001 Critico - 5 PL2 Evasione attraversamento percorso nelle intestazioni (/.././../)
99030002 Critico - 5 PL2 Evasione attraversamento percorso nel corpo della richiesta (/.././../)

MS-ThreatIntel-SQLI

ID regola Gravità del punteggio anomalia Livello della paranoia Descrizione
99031001 Avviso - 3 PL2 Attacco SQL Injection: rilevati test di inserimento comune
99031002 Critico - 5 PL2 Rilevata sequenza commenti SQL
99031003 Critico - 5 PL2 Attacco SQL injection
99031004 Critico - 5 PL2 Rileva tentativi di ignorare l'autenticazione SQL di base (2/3)

MS-ThreatIntel-CVEs

ID regola Gravità del punteggio di anomalie Livello Paranoia Descrizione
99001001 Critico - 5 PL2 Tentativo di sfruttamento dell'API REST di F5 tmui (CVE-2020-5902) con credenziali conosciute
99001002 Critico - 5 PL2 Tentativo di attraversamento della directory Citrix NSC_USER CVE-2019-19781
99001003 Critico - 5 PL2 Tentativo di sfruttamento di Atlassian Confluence Widget Connector CVE-2019-3396
99001004 Critico - 5 PL2 Tentativo di sfruttamento del modello personalizzato Pulse Secure CVE-2020-8243
99001005 Critico - 5 PL2 Tentativo di sfruttamento del convertitore di tipi di SharePoint CVE-2020-0932
99001006 Critico - 5 PL2 Tentativo di attraversamento della directory Pulse Connect CVE-2019-11510
99001007 Critico - 5 PL2 Tentativo di inclusione del file locale J-Web del sistema operativo Junos CVE-2020-1631
99001008 Critico - 5 PL2 Tentativo di attraversamento del percorso fortinet CVE-2018-13379
99001009 Critico - 5 PL2 Tentativo di attacchi apache ognl injection CVE-2017-5638
99001010 Critico - 5 PL2 Tentativo di attacchi apache ognl injection CVE-2017-12611
99001011 Critico - 5 PL2 Tentativo di attraversamento del percorso Oracle WebLogic CVE-2020-14882
99001012 Critico - 5 PL2 Tentativo di sfruttamento della deserializzazione non sicura di Telerik WebUI CVE-2019-18935
99001013 Critico - 5 PL2 Tentativo di deserializzazione XML non sicura di CVE-2019-0604
99001014 Critico - 5 PL2 Tentativo di inserimento di routing-espressione Spring Cloud CVE-2022-22963
99001015 Critico - 5 PL2 Tentativo di sfruttamento di oggetti della classe Spring Framework unsafe CVE-2022-22965
99001016 Critico - 5 PL2 Tentativo di inserimento dell'attuatore Spring Cloud Gateway CVE-2022-22947
99001017* Non disponibile Non disponibile Tentativo di sfruttamento del caricamento di file Apache Struts CVE-2023-50164

* L'azione di questa regola è impostata su log per impostazione predefinita. Impostare l'azione su Blocca per evitare la vulnerabilità di Apache Struts. Punteggio anomalie non supportato per questa regola.

Nota

Quando si esaminano i log di WAF, è possibile che venga visualizzato l'ID regola 949110. La descrizione della regola potrebbe includere punteggio anomalie in ingresso superato.

Questa regola indica che il punteggio anomalie complessivo per la richiesta ha superato il punteggio massimo consentito. Per maggiori informazioni, vedere Assegnazione dei punteggi delle anomalie.

I seguenti set di regole - gruppi e regole CRS 3.0 e CRS 2.2.9 non sono più supportati nel Web Application Firewall di Azure sul Gateway di applicazione. È consigliabile eseguire l'aggiornamento a DRS 2.1 / CRS 3.2

Set di regole 3.0

Generali

ID regola Descrizione
200004 Possibile limite multipart non corrispondente

CVE NOTE

ID regola Descrizione
800100 Regola per rilevare e mitigare la vulnerabilità log4j CVE-2021-44228, CVE-2021-45046
800110 Tentativo di interazione di Spring4Shell
800111 Tentativo di inserimento di routing-espressione Spring Cloud - CVE-2022-22963
800112 Tentativo di sfruttamento di oggetti della classe unsafe di Spring Framework - CVE-2022-22965
800113 Tentativo di inserimento dell'attuatore Spring Cloud Gateway - CVE-2022-22947

RICHIESTA-911-METHOD-ENFORCEMENT

ID regola Descrizione
911100 Il metodo non è consentito dai criteri

RICHIESTA-913-SCANNER-DETECTION

ID regola Descrizione
913100 Trovato agente utente associato ad analisi della sicurezza
913110 Trovata intestazione della richiesta associata ad analisi della sicurezza
913120 Trovato argomento/nome file della richiesta associato ad analisi della sicurezza
913101 Trovato agente utente associato a client HTTP generico/di scripting
913102 Trovato agente utente associato a bot/agente di ricerca Web

RICHIESTA-920-PROTOCOL-ENFORCEMENT

ID regola Descrizione
920100 Riga della richiesta HTTP non valida
920130 Impossibile analizzare il corpo della richiesta
920140 Il corpo della richiesta multipart non ha superato la convalida rigorosa
920160 L'intestazione HTTP Content-Length non è numerica
920170 Richiesta GET o HEAD con contenuto del payload
920180 Richiesta POST priva dell'intestazione Content-Length
920190 Intervallo = Valore dell'ultimo byte non valido
920210 Trovati dati di intestazione di connessione multipli/in conflitto
920220 Tentativo di attacco con uso improprio codifica URL
920240 Tentativo di attacco con uso improprio codifica URL
920250 Tentativo di attacco con uso improprio codifica UTF8
920260 Tentativo di attacco con uso improprio metà larghezza/larghezza intera Unicode
920270 Carattere non valido nella richiesta (carattere null)
920280 Richiesta senza intestazione host
920290 Intestazione host vuota
920310 Richiesta con intestazione Accept vuota
920311 Richiesta con intestazione Accept vuota
920330 Intestazione agente utente vuota
920340 Richiesta con contenuto ma senza intestazione Content-Type
920350 Intestazione host costituita da un indirizzo IP numerico
920380 Troppi argomenti nella richiesta
920360 Nome argomento troppo lungo
920370 Valore argomento troppo lungo
920390 Superate dimensioni totali argomenti
920400 Dimensione file caricato troppo grande
920410 Dimensione totale dei file caricati troppo grande
920420 La richiesta tipo di contenuto non è consentita dai criteri
920430 La versione protocollo HTTP non consentita dai criteri
920440 Estensione file URL limitata da criteri
920450 Intestazione HTTP limitata da criteri (%@{MATCHED_VAR})
920200 Intervallo: troppi campi (6 o più)
920201 Intervallo: troppi campi per richiesta PDF (35 o più)
920230 Rilevata codifica multipla URL
920300 Richiesta senza intestazione Accept
920271 Carattere non valido nella richiesta (caratteri non stampabili)
920320 Intestazione agente utente mancante
920272 Carattere non valido nella richiesta (non compreso nei caratteri stampabili sotto ASCII 127)
920202 Intervallo: troppi campi per richiesta PDF (6 o più)
920273 Carattere non valido nella richiesta (non compreso in set molto restrittivo)
920274 Carattere non valido nelle intestazioni della richiesta (non compreso in set con restrizioni elevate)
920460 Caratteri di escape anomali

RICHIESTA-921-PROTOCOL-ATTACK

ID regola Descrizione
921100 Attacco di tipo HTTP Request Smuggling
921110 Attacco di tipo HTTP Request Smuggling
921120 Attacco di tipo HTTP Response Splitting
921130 Attacco di tipo HTTP Response Splitting
921140 Attacco di tipo HTTP Header Injection tramite intestazioni
921150 Attacco di tipo HTTP Header Injection tramite payload (rilevato CR/LF)
921160 Attacco di tipo HTTP Header Injection tramite payload (rilevati CR/LF e nome intestazione)
921151 Attacco di tipo HTTP Header Injection tramite payload (rilevato CR/LF)
921170 Inquinamento dei parametri HTTP
921180 Accesso non autorizzato a parametri HTTP (%@{TX.1})

RICHIESTA-930-APPLICAZIONE-ATTACK-LFI

ID regola Descrizione
930100 Attacco di tipo Path Traversal (/../)
930110 Attacco di tipo Path Traversal (/../)
930120 Tentativo di accesso a file del sistema operativo
930130 Tentativo di accesso a file con restrizioni

RICHIESTA-931-APPLICAZIONE-ATTACK-RFI

ID regola Descrizione
931100 Possibile attacco di tipo Remote File Inclusion (RFI): parametro URL con indirizzo IP
931110 Possibile attacco di tipo Remote File Inclusion (RFI): nome parametro vulnerabile a RFI comune usato con payload URL
931120 Possibile attacco di tipo Remote File Inclusion (RFI): payload URL usato con carattere punto interrogativo (?) finale
931130 Possibile attacco di tipo Remote File Inclusion (RFI): collegamento/riferimento fuori dominio

RICHIESTA-932-APPLICAZIONE-ATTACK-RCE

ID regola Descrizione
932120 Esecuzione comandi in remoto: trovato comando di Windows PowerShell
932130 WAF v2 del gateway applicazione: esecuzione comandi in remoto: Espressioni Shell Unix o vulnerabilità Confluence (CVE-2022-26134) o Text4Shell (CVE-2022-42889) Trovato

WAF v1 del gateway applicazione: esecuzione comandi in remoto: Espressioni Shell Unix
932140 Esecuzione comandi in remoto: trovato comando FOR/IF di Windows
932160 Esecuzione comandi in remoto: trovato codice shell Unix
932170 Esecuzione comandi in remoto: Shellshock (CVE-2014-6271)
932171 Esecuzione comandi in remoto: Shellshock (CVE-2014-6271)

RICHIESTA-933-APPLICAZIONE-ATTACK-PHP

ID regola Descrizione
933100 Attacco PHP injection: trovato tag di apertura/chiusura
933110 Attacco PHP injection: trovato caricamento file script PHP
933120 Attacco PHP injection: trovata direttiva di configurazione
933130 Attacco PHP injection: trovate variabili
933150 Attacco PHP injection: trovato nome funzione PHP ad alto rischio
933160 Attacco PHP injection: trovata chiamata di funzione PHP ad alto rischio
933180 Attacco PHP injection: trovata chiamata di funzione variabile
933151 Attacco PHP injection: trovato nome funzione PHP a medio rischio
933131 Attacco PHP injection: trovate variabili
933161 Attacco PHP injection: trovata chiamata di funzione PHP con valore basso
933111 Attacco PHP injection: trovato caricamento file script PHP

RICHIESTA-941-APPLICAZIONE-ATTACK-XSS

ID regola Descrizione
941100 Rilevato attacco XSS tramite libinjection
941110 Filtro XSS, categoria 1: vettore tag script
941130 Filtro XSS, categoria 3: vettore attributi
941140 Filtro XSS - Categoria 4= vettore URI Javascript
941150 Filtro XSS, categoria 5: attributi HTML non consentiti
941180 Parole chiave in blocklist convalida nodi
941190 XSS con fogli di stile
941200 XSS con frame VML
941210 XSS con JavaScript o Text4Shell offuscato (CVE-2022-42889)
941220 XSS con script VB offuscato
941230 XSS con tag 'incorpora'
941240 XSS con l'attributo 'importa' o 'implementazione'
941260 XSS con tag 'meta'
941270 XSS con href 'link'
941280 XSS con tag 'base'
941290 XSS con tag 'applet'
941300 XSS con tag 'oggetto'
941310 Filtro XSS di codifica US-ASCII non valido - Rilevato attacco
941330 Filtri XSS IE - rilevato attacco
941340 Filtri XSS IE - rilevato attacco
941350 Codifica UTF-7 IE XSS - Rilevato attacco
941320 Rilevato possibile attacco XSS: gestore tag HTML

RICHIESTA-942-APPLICAZIONE-ATTACK-SQLI

ID regola Descrizione
942100 Rilevato attacco SQL injection tramite libinjection
942110 Attacco SQL Injection: rilevati test di inserimento comune
942130 Attacco SQL Injection: rilevamento di una tautologia SQL
942140 Attacco SQL injection: rilevati nomi DB comuni
942160 Rileva i test di attacco SQLi ciechi usando sleep() o benchmark()
942170 Rilevamento tentativi di SQL injection con benchmark e sleep e query condizionali
942190 Rileva l'esecuzione di codice MSSQL e tentativi di raccolta di informazioni
942200 Rileva injection offuscati nello spazio/con commento MySQL e terminazioni con apice inverso
942230 Rilevamento tentativi di SQL injection condizionale
942260 Rileva tentativi di ignorare l'autenticazione SQL di base (2/3)
942270 Ricerca di SQL injection di base. Stringa di attacco comune per MySQL, Oracle e altri
942290 Ricerca tentativi di SQL injection di base in MongoDB
942300 Rileva ch(a)r injection, condizioni e commenti MySQL
942310 Rileva tentativi di inserimento SQL concatenati 2/2
942320 Rilevamento inserimenti di stored procedure/funzioni MySQL e PostgreSQL
942330 Rileva sondaggi di SQL injection classici (1/2)
942340 Rileva tentativi di ignorare l'autenticazione SQL di base (3/3)
942350 Rilevamento di inserimento di funzioni definite dall'utente MySQL e altri tentativi di manipolazione dati/struttura
942360 Rileva tentativi SQL/LFI e di SQL injection di base concatenati
942370 Rileva sondaggi di SQL injection classici (2/2)
942150 Attacco SQL injection
942410 Attacco SQL injection
942430 Rilevamento anomalie caratteri SQL con restrizioni (args): n. di caratteri speciali in eccesso (12)
942440 Rilevata sequenza commenti SQL
942450 Identificata codifica esadecimale SQL
942251 Rilevamento inserimenti HAVING
942460 Avviso di rilevamento anomalie metacaratteri: caratteri non alfanumerici ripetitivi

RICHIESTA-943-ATTACCO-APPLICAZIONE-SESSION-FIXATION

ID regola Descrizione
943100 Possibile attacco di tipo Session Fixation: impostazione valori cookie in HTML
943110 Possibile attacco di tipo Session Fixation: nome parametro SessionID con referrer fuori dominio
943120 Possibile attacco di tipo Session Fixation: nome parametro SessionID senza referrer

Contenuti correlati