I set di regole gestiti da Azure nel web application firewall (WAF) del gateway applicazione proteggono attivamente le applicazioni web da vulnerabilità e abusi in generale. Questi gruppi di regole, gestiti da Azure, ricevono gli aggiornamenti in base alle esigenze per proteggersi dalle nuove firme di attacco. Il gruppo di regole predefinito incorpora anche le regole di Raccolta di Microsoft Threat Intelligence. Il team di Microsoft Intelligence collabora nella scrittura di queste regole, assicurando una copertura avanzata, patch di vulnerabilità specifiche e una riduzione migliorata dei falsi positivi.
È anche possibile usare regole definite in base ai set di regole di base OWASP 3.2, 3.1, 3.0, o 2.2.9.
È possibile disabilitare le regole singolarmente o impostare azioni specifiche per ogni regola. Questo articolo elenca le attuali regole e set di regole disponibili. Se un set di regole pubblicato richiede un aggiornamento, verrà documentato qui.
Nota
Quando una versione del set di regole viene modificata in un criterio WAF, tutte le personalizzazioni esistenti apportate al set di regole verranno reimpostate sulle impostazioni predefinite per il nuovo set di regole. Vedere: Aggiornamento o modifica della versione del set di regole.
Set di regole predefinite
Il set di regole predefinito gestito da Azure (DRS) include regole per le categorie di minacce seguenti:
- Scripting intersito
- Attacchi Java
- Inclusione di file locali
- Attacchi PHP injection
- Attacchi di tipo Remote Command Execution
- Inclusione di file remoti
- Fissazione sessione
- Protezione dagli attacchi SQL injection
- Protocollo di attacco Il numero di versione del set di regole predefinito viene incrementato man mano che vengono aggiunte nuove firme di attacco al set di regole.
Regole di Raccolta di Microsoft Threat Intelligence
regole di Raccolta di Microsoft Threat Intelligence sono scritte in collaborazione con il team di Microsoft Threat Intelligence per fornire una maggiore copertura, patch per vulnerabilità specifiche e una migliore riduzione dei falsi positivi.
Nota
Usare il seguente materiale sussidiario per ottimizzare WAF durante l'introduzione alla versione 2.1 nel WAF del gateway applicazione. I dettagli delle regole sono descritti di seguito.
ID regola |
Gruppo di regole |
Descrizione |
Dettagli |
942110 |
SQLI |
Attacco SQL Injection: rilevati test di inserimento comune |
Disabilitare, sostituito dalla regola MSTIC 99031001 |
942150 |
SQLI |
Attacco SQL injection |
Disabilitare, sostituito dalla regola MSTIC 99031003 |
942260 |
SQLI |
Rileva tentativi di ignorare l'autenticazione SQL di base (2/3) |
Disabilitare, sostituito dalla regola MSTIC 99031004 |
942430 |
SQLI |
Rilevamento anomalie caratteri SQL con restrizioni (args): n. di caratteri speciali in eccesso (12) |
Disabilitare, troppi falsi positivi. |
942440 |
SQLI |
Rilevata sequenza commenti SQL |
Disabilitare, sostituito dalla regola MSTIC 99031002 |
99005006 |
MS-ThreatIntel-WebShells |
Tentativo di interazione di Spring4Shell |
Mantenere la regola abilitata per evitare la vulnerabilità di SpringShell |
99001014 |
MS-ThreatIntel-CVEs |
Tentativo di inserimento di routing-espressione Spring Cloud CVE-2022-22963 |
Mantenere la regola abilitata per evitare la vulnerabilità di SpringShell |
99001015 |
MS-ThreatIntel-WebShells |
Tentativo di sfruttamento di oggetti della classe Spring Framework unsafe CVE-2022-22965 |
Mantenere la regola abilitata per evitare la vulnerabilità di SpringShell |
99001016 |
MS-ThreatIntel-WebShells |
Tentativo di inserimento dell'attuatore Spring Cloud Gateway CVE-2022-22947 |
Mantenere la regola abilitata per evitare la vulnerabilità di SpringShell |
99001017 |
MS-ThreatIntel-CVEs |
Tentativo di sfruttamento del caricamento di file Apache Struts CVE-2023-50164 |
Impostare l'azione su Blocca per evitare la vulnerabilità di Apache Struts. Punteggio anomalie non supportato per questa regola. |
Set di regole principali
Il WAF del gateway applicazione è preconfigurato con CRS 3.2 per impostazione predefinita, ma è possibile scegliere di usare qualsiasi altra versione di CRS supportata.
CRS 3.2 offre un nuovo motore e nuovi set di regole per difendere contro gli inserimenti Java, un set iniziale di controlli di caricamento dei file e meno falsi positivi rispetto alle versioni precedenti di CRS. È anche possibile personalizzare le regole in base alle proprie esigenze. Altre informazioni sul nuovo motore WAF di Azure.
WAF protegge dalle vulnerabilità web seguenti:
- Attacchi SQL injection
- Attacchi di tipo cross-site scripting (XSS)
- Altri attacchi comuni, come command injection, HTTP request smuggling, HTTP response splitting e inclusione file remoti.
- Violazioni del protocollo HTTP
- Anomalie del protocollo HTTP, come la mancanza dell'host utente-agente e delle intestazioni accept
- Bot, crawler e scanner
- Rilevamento di errori di configurazione comuni dell'applicazione (ad esempio Apache e IIS)
Ottimizzazione dei set di regole gestite
Sia DRS che CRS sono abilitati per impostazione predefinita in modalità Rilevamento nei criteri WAF. È possibile disabilitare o abilitare singole regole nel set di regole gestito, al fine di soddisfare i requisiti dell'applicazione. È anche possibile impostare azioni specifiche per ogni regola. DRS/CRS supporta azioni di blocco, log e punteggio anomalie. Il set di regole di Bot Manager supporta le azioni consentire, bloccare e log.
Talvolta può essere necessario omettere determinati attributi delle richieste da una valutazione di WAF. Un esempio comune è rappresentato dai token inseriti in Active Directory che vengono usati per l'autenticazione. È possibile configurare le esclusioni da applicare quando vengono valutate regole WAF specifiche, oppure da applicare a globalmente quando vengono valutate tutte le regole WAF. Le regole di esclusione si applicano all'intera applicazione Web. Per maggiori informazioni, vedere Web Application Firewall (WAF) con gli elenchi di esclusione del gateway applicazione.
Per impostazione predefinita, la versione DRS 2.1/versione CRS 3.2 e successive usano i punteggi anomalie quando una richiesta corrisponde a una regola. CRS 3.1 e versioni successive bloccano le richieste di corrispondenza per impostazione predefinita. Inoltre, se si vuole ignorare una qualsiasi regola preconfigurata nel set di regole di base, è possibile configurare regole personalizzate nello stesso criterio di WAF.
Le regole personalizzate vengono sempre applicate prima della valutazione delle regole del set di regole di base. Se una richiesta corrisponde a una regola personalizzata, viene applicata l'azione della regola corrispondente. La richiesta viene bloccata o passata al back-end. Non vengono elaborate altre regole personalizzate né altre regole del set di regole di base.
Assegnazione di punteggi anomalie
Quando si usa CRS o DRS 2.1 e versioni successive, il WAF è configurato per l'uso dell'assegnazione di punteggi anomalie per impostazione predefinita. Il traffico che corrisponde a qualsiasi regola non viene bloccato immediatamente, anche quando WAF è in modalità prevenzione. I set di regole OWASP definiscono invece una gravità per ogni regola: Critico, Errore, Avviso o Informativa. Tale gravità determina un valore numerico per la richiesta, ossia il punteggio anomalie:
Gravità della regola |
Valore che ha contribuito al punteggio anomalie |
Critico |
5 |
Error |
4 |
Avviso |
3 |
Preavviso |
2 |
Se il punteggio anomalie è 5 o superiore e WAF è in modalità Prevenzione, la richiesta viene bloccata. Se il punteggio anomalie è 5 o superiore e WAF è in modalità Rilevamento, la richiesta viene registrata ma non bloccata.
Ad esempio, una singola corrispondenza di regola Critico è sufficiente perché WAF blocchi una richiesta in modalità Prevenzione, poiché il punteggio anomalie complessivo è 5. Tuttavia, una singola corrispondenza di regola di tipo Avviso si limita a incrementare di 3 il punteggio anomalie, che non è sufficiente per bloccare il traffico. Quando viene attivata una regola di anomalie, nei log viene visualizzata un'azione "Corrispondente". Se il punteggio anomalie è 5 o superiore, è presente una regola separata attivata con un'azione "Bloccata" o "Rilevata", a seconda che i criteri WAF siano in modalità Prevenzione o Rilevamento. Per maggiori informazioni, vedere Modalità punteggi anomalie.
Aggiornamento o modifica della versione del set di regole
Se si esegue l'aggiornamento o si assegna una nuova versione del set di regole e si vuole mantenere le sostituzioni ed esclusioni esistenti, è consigliabile usare PowerShell, l'interfaccia della riga di comando, l'API REST o un modello per apportare modifiche alla versione del set di regole. Una nuova versione di un set di regole può avere regole più recenti, gruppi di regole aggiuntivi e potrebbe avere aggiornamenti alle firme esistenti per applicare una maggiore sicurezza e ridurre i falsi positivi. È consigliabile convalidare le modifiche in un ambiente di test, ottimizzare, se necessario, e quindi distribuire in un ambiente di produzione.
Nota
Se si usa il portale di Azure per assegnare un nuovo set di regole gestite a un criterio WAF, tutte le personalizzazioni precedenti del set di regole gestite esistente, ad esempio lo stato della regola, le azioni delle regole e le esclusioni a livello di regola verranno reimpostate sulle impostazioni predefinite del nuovo set di regole gestite. Tuttavia, tutte le regole personalizzate, le impostazioni dei criteri e le esclusioni globali rimarranno invariate durante la nuova assegnazione del set di regole. Sarà necessario ridefinire le sostituzioni delle regole e convalidare le modifiche prima della distribuzione in un ambiente di produzione.
DRS 2.1
Le regole DRS 2.1 offrono una protezione migliore rispetto alle versioni precedenti di DRS. Include più regole sviluppate dal team di Microsoft Threat Intelligence e aggiornamenti alle firme per ridurre i falsi positivi. Supporta anche trasformazioni oltre la semplice decodifica URL.
DRS 2.1 include 17 gruppi di regole, come illustrato nella tabella seguente. Ogni gruppo contiene più regole ed è possibile personalizzare il comportamento per singole regole, gruppi di regole o intero set di regole. DRS 2.1 è previsto dal Open Web Application Security Project (OWASP) Core Rule Set (CRS) 3.3.2 e include regole di protezione proprietarie aggiuntive sviluppate dal team di Microsoft Threat Intelligence.
OWASP CRS 3.2
CRS 3.2 include 14 gruppi di regole, come illustrato nella tabella seguente. Ogni gruppo contiene più regole, che possono essere disabilitate. Il set di regole è basato sulla versione di OWASP CRS 3.2.0.
Nota
CRS 3.2 è disponibile solo nello SKU WAF_v2. Poiché CRS 3.2 viene eseguito nel nuovo motore WAF di Azure, non è possibile effettuare il downgrade a CRS 3.1 o versioni precedenti. Se è necessario effettuare il downgrade, contattare il supporto tecnico di Azure.
OWASP CRS 3.1
CRS 3.1 include 14 gruppi di regole, come illustrato nella tabella seguente. Ogni gruppo contiene più regole, che possono essere disabilitate. Il set di regole è basato sulla versione di OWASP CRS 3.1.1.
Nota
CRS 3.1 è disponibile solo nello SKU WAF_v2.
OWASP CRS 3.0
CRS 3.0 include 13 gruppi di regole, come illustrato nella tabella seguente. Ogni gruppo contiene più regole, che possono essere disabilitate. Il set di regole è basato sulla versione di OWASP CRS 3.0.0.
Nota
Crs 3.0 e versioni del set di regole inferiori non sono più supportati per i nuovi criteri WAF. È consigliabile eseguire l'aggiornamento alla versione più recente di CRS 3.2/DRS 2.1 e versioni successive.
OWASP CRS 2.2.9
CRS 2.2.9 include 10 gruppi di regole, come illustrato nella tabella seguente. Ogni gruppo contiene più regole, che possono essere disabilitate.
Nota
CRS 2.2.9 non è più supportato per i nuovi criteri WAF. È consigliabile eseguire l'aggiornamento alla versione più recente di CRS 3.2/DRS 2.1 e versioni successive.
Bot Manager 1.0
Il set di regole di Bot Manager 1.0 offre protezione dai bot dannosi e dal rilevamento di bot validi. Le regole forniscono un controllo granulare sui bot rilevati da WAF tramite la categorizzazione del traffico del bot come bot buono, non valido o sconosciuto.
Gruppo di regole |
Descrizione |
BadBots |
Protezione da bot non validi |
GoodBots |
Identificare bot validi |
UnknownBots |
Identificare bot sconosciuti |
Bot Manager 1.1
Il set di regole di Bot Manager 1.1 è un miglioramento del set di regole di Bot Manager 1.0. Offre una protezione avanzata contro i bot dannosi e aumenta il corretto rilevamento dei bot.
Gruppo di regole |
Descrizione |
BadBots |
Protezione da bot non validi |
GoodBots |
Identificare bot validi |
UnknownBots |
Identificare bot sconosciuti |
I gruppi di regole e le regole seguenti sono disponibili quando si usa Web Application Firewall nel gateway applicazione.
Set di regole 2.1
Generali
ID regola |
Descrizione |
200002 |
Impossibile analizzare corpo della richiesta |
200003 |
Il corpo della richiesta multipart non ha superato la convalida rigorosa |
IMPOSIZIONE DEL METODO
ID regola |
Descrizione |
911100 |
Il metodo non è consentito dai criteri |
APPLICAZIONE PROTOCOLLO
ID regola |
Descrizione |
920100 |
Riga della richiesta HTTP non valida |
920120 |
Tentativo di bypass multipart/form-data |
920121 |
Tentativo di bypass multipart/form-data |
920160 |
L'intestazione HTTP Content-Length non è numerica. |
920170 |
Richiesta GET o HEAD con contenuto del corpo |
920171 |
Richiesta OTTIENI o INTESTAZIONE con Trasferimento-Codifica. |
920180 |
Richiesta POST senza intestazione Content-Length |
920181 |
Le intestazioni Content-Length e Trasferimento-Codifica presentano 99001003 |
920190 |
Intervallo: valore ultimo byte non valido. |
920200 |
Intervallo: troppi campi (6 o più) |
920201 |
Intervallo: troppi campi per richiesta PDF (35 o più) |
920210 |
Trovati dati intestazione di connessione multipli/in conflitto |
920220 |
Tentativo di attacco con uso improprio codifica URL |
920230 |
Rilevata codifica multipla URL |
920240 |
Tentativo di attacco con uso improprio codifica URL |
920260 |
Tentativo di attacco con uso improprio metà larghezza/larghezza intera Unicode |
920270 |
Carattere non valido nella richiesta (carattere null) |
920271 |
Carattere non valido nella richiesta (caratteri non stampabili) |
920280 |
Richiesta senza intestazione host |
920290 |
Intestazione host vuota |
920300 |
Richiesta senza intestazione Accept |
920310 |
Richiesta con intestazione Accept vuota |
920311 |
Richiesta con intestazione Accept vuota |
920320 |
Intestazione agente utente mancante |
920330 |
Intestazione agente utente vuota |
920340 |
Richiesta con contenuto ma senza intestazione Content-Type |
920341 |
La richiesta con contenuto richiede l'intestazione Content-Type |
920350 |
Intestazione host costituita da un indirizzo IP numerico |
920420 |
La richiesta tipo di contenuto non è consentita dai criteri |
920430 |
La versione protocollo HTTP non consentita dai criteri |
920440 |
Estensione file URL limitata da criteri |
920450 |
Intestazione HTTP limitata da criteri |
920470 |
Intestazione Content-Type illegale |
920480 |
Il set di caratteri del tipo di contenuto della richiesta non è consentito dai criteri |
920500 |
Tentativo di accedere a un file di backup o di lavoro |
ATTACCO PROTOCOLLO
ID regola |
Descrizione |
921110 |
Attacco di tipo HTTP Request Smuggling |
921120 |
Attacco di tipo HTTP Response Splitting |
921130 |
Attacco di tipo HTTP Response Splitting |
921140 |
Attacco di tipo HTTP Header Injection tramite intestazioni |
921150 |
Attacco di tipo HTTP Header Injection tramite payload (rilevato CR/LF) |
921151 |
Attacco di tipo HTTP Header Injection tramite payload (rilevato CR/LF) |
921160 |
Attacco di tipo HTTP Header Injection tramite payload (rilevati CR/LF e nome intestazione) |
921190 |
Separazione HTTP (CR/LF nel nome file della richiesta rilevato) |
921200 |
Attacco LDAP injection |
LFI - Inclusione di file locali
ID regola |
Descrizione |
930100 |
Attacco di tipo Path Traversal (/../) |
930110 |
Attacco di tipo Path Traversal (/../) |
930120 |
Tentativo di accesso a file del sistema operativo |
930130 |
Tentativo di accesso a file con restrizioni |
RFI: Inclusione di file remoti
ID regola |
Descrizione |
931100 |
Possibile attacco RFI (inclusione file remoti): parametro URL con indirizzo IP |
931110 |
Possibile attacco RFI (inclusione file remoti): nome del parametro vulnerabile RFI comune utilizzato con payload URL |
931120 |
Possibile attacco RFI (inclusione file remoti): payload URL usato con carattere di punto interrogativo (?) finale |
931130 |
Possibile attacco RFI (inclusione file remoti): collegamento/riferimento fuori dominio |
RCE - Esecuzione comandi in remoto
ID regola |
Descrizione |
932100 |
Esecuzione comandi in remoto: inserimento di comandi Unix |
932105 |
Esecuzione comandi in remoto: inserimento di comandi Unix |
932110 |
Esecuzione comandi in remoto: inserimento di comandi Windows |
932115 |
Esecuzione comandi in remoto: inserimento di comandi Windows |
932120 |
Esecuzione comandi in remoto: trovato comando di Windows PowerShell |
932130 |
Esecuzione comandi in remoto: Espressioni Shell Unix o vulnerabilità Confluence (CVE-2022-26134) Trovato |
932140 |
Esecuzione comandi in remoto: trovato comando FOR/IF di Windows |
932150 |
Esecuzione comandi in remoto: esecuzione di comandi Unix diretti |
932160 |
Esecuzione comandi in remoto: trovato codice Shell Unix |
932170 |
Esecuzione comandi in remoto: Shellshock (CVE-2014-6271) |
932171 |
Esecuzione comandi in remoto: Shellshock (CVE-2014-6271) |
932180 |
Tentativo di caricamento file con restrizioni |
Attacchi PHP
ID regola |
Descrizione |
933100 |
Attacco PHP injection: trovato tag di apertura/chiusura |
933110 |
Attacco PHP injection: trovato caricamento file di script PHP |
933120 |
Attacco PHP injection: trovata direttiva di configurazione |
933130 |
Attacco PHP injection: trovate variabili |
933140 |
Attacco PHP injection: trovato flusso di I/O |
933150 |
Attacco PHP injection: trovato nome funzione PHP ad alto rischio |
933151 |
Attacco PHP injection: trovato nome funzione PHP a medio rischio |
933160 |
Attacco PHP injection: trovata chiamata di funzione PHP ad alto rischio |
933170 |
Attacco PHP injection: inserimento di oggetti serializzati |
933180 |
Attacco PHP injection: trovata chiamata di funzione variabile |
933200 |
Attacco PHP injection: rilevato schema wrapper |
933210 |
Attacco PHP injection: trovata chiamata di funzione variabile |
Attacchi Node JS
ID regola |
Descrizione |
934100 |
Attacco injection Node.js |
XSS - Scripting intersito
ID regola |
Descrizione |
941100 |
Rilevato attacco XSS tramite libinjection |
941101 |
Rilevato attacco XSS tramite libinjection. Questa regola rileva le richieste con un'intestazione Referer. |
941110 |
Filtro XSS - Categoria 1: vettore tag script |
941120 |
Filtro XSS - Categoria 2: vettore del gestore eventi |
941130 |
Filtro XSS - Categoria 3: vettore attributi |
941140 |
Filtro XSS - Categoria 4: vettore URI Javascript |
941150 |
Filtro XSS - Categoria 5: attributi HTML non consentiti |
941160 |
NoScript XSS InjectionChecker: inserimento HTML |
941170 |
NoScript XSS InjectionChecker: inserimento attributo |
941180 |
Parole chiave in blocklist convalida nodi |
941190 |
XSS con fogli di stile |
941200 |
XSS con frame VML |
941210 |
XSS con JavaScript offuscato |
941220 |
XSS con script VB offuscato |
941230 |
XSS con tag 'incorpora' |
941240 |
XSS con l'attributo 'importa' o 'implementazione' |
941250 |
Filtri XSS IE: rilevato attacco |
941260 |
XSS con tag 'meta' |
941270 |
XSS con href 'link' |
941280 |
XSS con tag 'base' |
941290 |
XSS con tag 'applet' |
941300 |
XSS con tag 'oggetto' |
941310 |
Filtro XSS per codifica US-ASCII in formato non valido: rilevato attacco |
941320 |
Rilevato possibile attacco XSS: gestore tag HTML |
941330 |
Filtri XSS IE: rilevato attacco |
941340 |
Filtri XSS IE: rilevato attacco |
941350 |
XSS IE con codifica UTF-7: rilevato attacco |
941360 |
È stata rilevato l'offuscamento javaScript. |
941370 |
Trovata variabile globale JavaScript |
941380 |
È stato rilevato l'inserimento di modelli sul lato client AngularJS |
SQLI - SQL Injection
ID regola |
Descrizione |
942100 |
Rilevato attacco SQL injection tramite libinjection |
942110 |
Attacco SQL Injection: rilevati test di inserimento comune |
942120 |
Attacco SQL injection: rilevato operatore SQL |
942130 |
Attacco SQL injection: rilevata tautologia SQL. |
942140 |
Attacco SQL injection: rilevati nomi DB comuni |
942150 |
Attacco SQL injection |
942160 |
Rilevamento test di blind SQL injection con sleep() o benchmark() |
942170 |
Rilevamento tentativi di SQL injection con benchmark e sleep e query condizionali |
942180 |
Rileva tentativi di bypass dell'autenticazione SQL di base 1/3 |
942190 |
Rileva l'esecuzione di codice MSSQL e tentativi di raccolta di informazioni |
942200 |
Rileva injection offuscati nello spazio/con commento MySQL e terminazioni con apice inverso |
942210 |
Rileva tentativi di inserimento SQL concatenati 1/2 |
942220 |
Alla ricerca di attacchi di overflow integer, questi vengono presi da skipfish, ad eccezione di 3.0.00738585072007e-308 è l'arresto anomalo del "numero magico" |
942230 |
Rilevamento tentativi di SQL injection condizionale |
942240 |
Rileva il commutatore di set di caratteri di MySQL e i tentativi DoS di MSSQL |
942250 |
Rileva gli inserimenti MATCH AGAINST, MERGE ed EXECUTE IMMEDIATE |
942260 |
Rileva tentativi di ignorare l'autenticazione SQL di base (2/3) |
942270 |
Ricerca di SQL injection di base. Stringa di attacco comune per MySQL, Oracle e altri. |
942280 |
Rileva inserimento postgres pg_sleep, attacchi di ritardo waitfor e tentativi di arresto del database |
942290 |
Ricerca tentativi di SQL injection di base in MongoDB |
942300 |
Rileva inserimento ch(a)r, condizioni e commenti MySQL |
942310 |
Rileva tentativi di inserimento SQL concatenati 2/2 |
942320 |
Rilevamento inserimenti di stored procedure/funzioni MySQL e PostgreSQL |
942330 |
Rileva sondaggi di SQL injection classici (1/2) |
942340 |
Rileva tentativi di ignorare l'autenticazione SQL di base (3/3) |
942350 |
Rilevamento di inserimento di funzioni definite dall'utente MySQL e altri tentativi di manipolazione dati/struttura |
942360 |
Rileva tentativi SQL/LFI e di SQL injection di base concatenati |
942361 |
Rileva l'inserimento SQL di base in base alla modifica o all'unione delle parole chiave |
942370 |
Rileva sondaggi di SQL injection classici (2/2) |
942380 |
Attacco SQL injection |
942390 |
Attacco SQL injection |
942400 |
Attacco SQL injection |
942410 |
Attacco SQL injection |
942430 |
Rilevamento anomalie caratteri SQL con restrizioni (args): n. di caratteri speciali in eccesso (12) |
942440 |
Rilevata sequenza commenti SQL |
942450 |
Identificata codifica esadecimale SQL |
942460 |
Avviso di rilevamento anomalie metacaratteri: caratteri non alfanumerici ripetitivi |
942470 |
Attacco SQL injection |
942480 |
Attacco SQL injection |
942500 |
Rilevato commento in linea di MySQL. |
942510 |
Rilevato un tentativo di bypass di SQLi tramite tick o backtick. |
FISSAZIONE SESSIONE
ID regola |
Descrizione |
943100 |
Possibile attacco di tipo correzione di sessione: impostazione valori cookie in HTML |
943110 |
Possibile attacco di tipo correzione di sessione: nome parametro SessionID con referrer fuori dominio |
943120 |
Possibile attacco di tipo correzione di sessione: nome parametro SessionID senza referrer |
Attacchi Java
ID regola |
Descrizione |
944100 |
Esecuzione comandi in remoto: Apache Struts, Oracle WebLogic |
944110 |
Rileva un'esecuzione potenziale del payload |
944120 |
Possibile esecuzione del payload ed esecuzione comandi in remoto |
944130 |
Classi Java sospette |
944200 |
Sfruttamento della deserializzazione di Java Apache Commons |
944210 |
Possibile uso della serializzazione Java |
944240 |
Esecuzione comandi in remoto: vulnerabilità di serializzazione Java e Log4j (CVE-2021-44228, CVE-2021-45046) |
944250 |
Esecuzione comandi in remoto: rilevato metodo Java sospetto |
MS-ThreatIntel-WebShells
ID regola |
Descrizione |
99005002 |
Tentativo di interazione di Web Shell (POST) |
99005003 |
Tentativo di caricamento di Web Shell (POST) - CHOPPER PHP |
99005004 |
Tentativo di caricamento di Web Shell (POST) - CHOPPER ASPX |
99005005 |
Tentativo di interazione di Web Shell |
99005006 |
Tentativo di interazione di Spring4Shell |
MS-ThreatIntel-AppSec
ID regola |
Descrizione |
99030001 |
Evasione attraversamento percorso nelle intestazioni (/.././../) |
99030002 |
Evasione attraversamento percorso nel corpo della richiesta (/.././../) |
MS-ThreatIntel-SQLI
ID regola |
Descrizione |
99031001 |
Attacco SQL Injection: rilevati test di inserimento comune |
99031002 |
Rilevata sequenza commenti SQL |
99031003 |
Attacco SQL injection |
99031004 |
Rileva tentativi di ignorare l'autenticazione SQL di base (2/3) |
MS-ThreatIntel-CVEs
ID regola |
Descrizione |
99001001 |
Tentativo di sfruttamento dell'API REST di F5 tmui (CVE-2020-5902) con credenziali conosciute |
99001002 |
Tentativo di attraversamento della directory Citrix NSC_USER CVE-2019-19781 |
99001003 |
Tentativo di sfruttamento di Atlassian Confluence Widget Connector CVE-2019-3396 |
99001004 |
Tentativo di sfruttamento del modello personalizzato Pulse Secure CVE-2020-8243 |
99001005 |
Tentativo di sfruttamento del convertitore di tipi di SharePoint CVE-2020-0932 |
99001006 |
Tentativo di attraversamento della directory Pulse Connect CVE-2019-11510 |
99001007 |
Tentativo di inclusione del file locale J-Web del sistema operativo Junos CVE-2020-1631 |
99001008 |
Tentativo di attraversamento del percorso fortinet CVE-2018-13379 |
99001009 |
Tentativo di attacchi apache ognl injection CVE-2017-5638 |
99001010 |
Tentativo di attacchi apache ognl injection CVE-2017-12611 |
99001011 |
Tentativo di attraversamento del percorso Oracle WebLogic CVE-2020-14882 |
99001012 |
Tentativo di sfruttamento della deserializzazione non sicura di Telerik WebUI CVE-2019-18935 |
99001013 |
Tentativo di deserializzazione XML non sicura di CVE-2019-0604 |
99001014 |
Tentativo di inserimento di routing-espressione Spring Cloud CVE-2022-22963 |
99001015 |
Tentativo di sfruttamento di oggetti della classe Spring Framework unsafe CVE-2022-22965 |
99001016 |
Tentativo di inserimento dell'attuatore Spring Cloud Gateway CVE-2022-22947 |
99001017* |
Tentativo di sfruttamento del caricamento di file Apache Struts CVE-2023-50164 |
*
L'azione di questa regola è impostata su log per impostazione predefinita. Impostare l'azione su Blocca per evitare la vulnerabilità di Apache Struts. Punteggio anomalie non supportato per questa regola.
Nota
Quando si esaminano i log di WAF, è possibile che venga visualizzato l'ID regola 949110. La descrizione della regola potrebbe includere punteggio anomalie in ingresso superato.
Questa regola indica che il punteggio anomalie complessivo per la richiesta ha superato il punteggio massimo consentito. Per maggiori informazioni, vedere Assegnazione dei punteggi delle anomalie.
Set di regole 3.2
Generali
ID regola |
Descrizione |
200002 |
Impossibile analizzare corpo della richiesta |
200003 |
Convalida rigorosa del corpo della richiesta multipart. |
200004 |
Possibile limite multiparte senza corrispondenza. |
CVE NOTE
ID regola |
Descrizione |
800100 |
Regola per rilevare e mitigare la vulnerabilità log4j CVE-2021-44228, CVE-2021-45046 |
800110 |
Tentativo di interazione di Spring4Shell |
800111 |
Tentativo di inserimento di routing-espressione Spring Cloud - CVE-2022-22963 |
800112 |
Tentativo di sfruttamento di oggetti della classe unsafe di Spring Framework - CVE-2022-22965 |
800113 |
Tentativo di inserimento dell'attuatore Spring Cloud Gateway - CVE-2022-22947 |
800114* |
Tentativo di sfruttamento del caricamento di file Apache Struts - CVE-2023-50164 |
*
L'azione di questa regola è impostata su log per impostazione predefinita. Impostare l'azione su Blocca per evitare la vulnerabilità di Apache Struts. Punteggio anomalie non supportato per questa regola.
REQUEST-911-METHOD-ENFORCEMENT
ID regola |
Descrizione |
911100 |
Il metodo non è consentito dai criteri |
REQUEST-913-SCANNER-DETECTION
ID regola |
Descrizione |
913100 |
Trovato agente utente associato ad analisi della sicurezza |
913101 |
Trovato agente utente associato a client HTTP generico/di scripting |
913102 |
Trovato agente utente associato a bot/agente di ricerca Web |
913110 |
Trovata intestazione della richiesta associata ad analisi della sicurezza |
913120 |
Trovato argomento/nome file della richiesta associato ad analisi della sicurezza |
REQUEST-920-PROTOCOL-ENFORCEMENT
ID regola |
Descrizione |
920100 |
Riga della richiesta HTTP non valida |
920120 |
Tentativo di bypass multipart/form-data |
920121 |
Tentativo di bypass multipart/form-data |
920160 |
L'intestazione HTTP Content-Length non è numerica. |
920170 |
Richiesta GET o HEAD con contenuto del corpo |
920171 |
Richiesta OTTIENI o INTESTAZIONE con Trasferimento-Codifica. |
920180 |
Richiesta POST senza intestazione Content-Length |
920190 |
Intervallo: valore ultimo byte non valido. |
920200 |
Intervallo: troppi campi (6 o più) |
920201 |
Intervallo: troppi campi per richiesta PDF (35 o più) |
920202 |
Intervallo: troppi campi per richiesta PDF (6 o più) |
920210 |
Trovati dati intestazione di connessione multipli/in conflitto |
920220 |
Tentativo di attacco con uso improprio codifica URL |
920230 |
Rilevata codifica multipla URL |
920240 |
Tentativo di attacco con uso improprio codifica URL |
920250 |
Tentativo di attacco con uso improprio codifica UTF8 |
920260 |
Tentativo di attacco con uso improprio metà larghezza/larghezza intera Unicode |
920270 |
Carattere non valido nella richiesta (carattere null) |
920271 |
Carattere non valido nella richiesta (caratteri non stampabili) |
920272 |
Carattere non valido nella richiesta (non compreso nei caratteri stampabili sotto ASCII 127) |
920273 |
Carattere non valido nella richiesta (non compreso in set molto restrittivo) |
920274 |
Carattere non valido nelle intestazioni della richiesta (non compreso in set con restrizioni elevate) |
920280 |
Richiesta senza intestazione host |
920290 |
Intestazione host vuota |
920300 |
Richiesta senza intestazione Accept |
920310 |
Richiesta con intestazione Accept vuota |
920311 |
Richiesta con intestazione Accept vuota |
920320 |
Intestazione agente utente mancante |
920330 |
Intestazione agente utente vuota |
920340 |
Richiesta con contenuto ma senza intestazione Content-Type |
920341 |
La richiesta con contenuto richiede l'intestazione Content-Type |
920350 |
Intestazione host costituita da un indirizzo IP numerico |
920420 |
La richiesta tipo di contenuto non è consentita dai criteri |
920430 |
La versione protocollo HTTP non consentita dai criteri |
920440 |
Estensione file URL limitata da criteri |
920450 |
Intestazione HTTP limitata da criteri (%{MATCHED_VAR}) |
920460 |
Caratteri di escape anomali |
920470 |
Intestazione Content-Type illegale |
920480 |
Limitare il parametro set di caratteri all'interno dell'intestazione content-type |
REQUEST-921-PROTOCOL-ATTACK
ID regola |
Descrizione |
921110 |
Attacco di tipo HTTP Request Smuggling |
921120 |
Attacco di tipo HTTP Response Splitting |
921130 |
Attacco di tipo HTTP Response Splitting |
921140 |
Attacco di tipo HTTP Header Injection tramite intestazioni |
921150 |
Attacco di tipo HTTP Header Injection tramite payload (rilevato CR/LF) |
921151 |
Attacco di tipo HTTP Header Injection tramite payload (rilevato CR/LF) |
921160 |
Attacco di tipo HTTP Header Injection tramite payload (rilevati CR/LF e nome intestazione) |
921170 |
Inquinamento dei parametri HTTP |
921180 |
Inquinamento dei parametri HTTP (%{TX.1}) |
REQUEST-930-APPLICATION-ATTACK-LFI
ID regola |
Descrizione |
930100 |
Attacco di tipo Path Traversal (/../) |
930110 |
Attacco di tipo Path Traversal (/../) |
930120 |
Tentativo di accesso a file del sistema operativo |
930130 |
Tentativo di accesso a file con restrizioni |
REQUEST-931-APPLICATION-ATTACK-RFI
ID regola |
Descrizione |
931100 |
Possibile attacco RFI (inclusione file remoti): parametro URL con indirizzo IP |
931110 |
Possibile attacco RFI (inclusione file remoti): nome del parametro vulnerabile RFI comune utilizzato con payload URL |
931120 |
Possibile attacco RFI (inclusione file remoti): payload URL usato con carattere di punto interrogativo (?) finale |
931130 |
Possibile attacco RFI (inclusione file remoti): collegamento/riferimento fuori dominio |
REQUEST-932-APPLICATION-ATTACK-RCE
ID regola |
Descrizione |
932100 |
Esecuzione comandi in remoto: inserimento di comandi Unix |
932105 |
Esecuzione comandi in remoto: inserimento di comandi Unix |
932106 |
Esecuzione comandi in remoto: inserimento di comandi Unix |
932110 |
Esecuzione comandi in remoto: inserimento di comandi Windows |
932115 |
Esecuzione comandi in remoto: inserimento di comandi Windows |
932120 |
Esecuzione comandi in remoto: trovato comando di Windows PowerShell |
932130 |
Esecuzione comandi in remoto: Espressioni Shell Unix o vulnerabilità Confluence (CVE-2022-26134) o Text4Shell (CVE-2022-42889) Trovato |
932140 |
Esecuzione comandi in remoto: trovato comando FOR/IF di Windows |
932150 |
Esecuzione comandi in remoto: esecuzione di comandi Unix diretti |
932160 |
Esecuzione comandi in remoto: trovato codice Shell Unix |
932170 |
Esecuzione comandi in remoto: Shellshock (CVE-2014-6271) |
932171 |
Esecuzione comandi in remoto: Shellshock (CVE-2014-6271) |
932180 |
Tentativo di caricamento file con restrizioni |
932190 |
Esecuzione comandi in remoto: tentativo di tecnica di bypass della wildcard |
REQUEST-933-APPLICATION-ATTACK-PHP
ID regola |
Descrizione |
933100 |
Attacco PHP injection: trovato tag di apertura/chiusura |
933110 |
Attacco PHP injection: trovato caricamento file di script PHP |
933111 |
Attacco PHP injection: trovato caricamento file di script PHP |
933120 |
Attacco PHP injection: trovata direttiva di configurazione |
933130 |
Attacco PHP injection: trovate variabili |
933131 |
Attacco PHP injection: trovate variabili |
933140 |
Attacco PHP injection: trovato flusso di I/O |
933150 |
Attacco PHP injection: trovato nome funzione PHP ad alto rischio |
933151 |
Attacco PHP injection: trovato nome funzione PHP a medio rischio |
933160 |
Attacco PHP injection: trovata chiamata di funzione PHP ad alto rischio |
933161 |
Attacco PHP injection: trovata chiamata di funzione PHP con valore basso |
933170 |
Attacco PHP injection: inserimento di oggetti serializzati |
933180 |
Attacco PHP injection: trovata chiamata di funzione variabile |
933190 |
Attacco PHP injection: trovato tag di chiusura PHP |
933200 |
Attacco PHP injection: rilevato schema wrapper |
933210 |
Attacco PHP injection: trovata chiamata di funzione variabile |
REQUEST-941-APPLICATION-ATTACK-XSS
ID regola |
Descrizione |
941100 |
Rilevato attacco XSS tramite libinjection |
941101 |
Rilevato attacco XSS tramite libinjection. Questa regola rileva le richieste con un'intestazione Referer. |
941110 |
Filtro XSS - Categoria 1: vettore tag script |
941120 |
Filtro XSS - Categoria 2: vettore del gestore eventi |
941130 |
Filtro XSS - Categoria 3: vettore attributi |
941140 |
Filtro XSS - Categoria 4: vettore URI Javascript |
941150 |
Filtro XSS - Categoria 5: attributi HTML non consentiti |
941160 |
NoScript XSS InjectionChecker: inserimento HTML |
941170 |
NoScript XSS InjectionChecker: inserimento attributo |
941180 |
Parole chiave in blacklist convalida nodi |
941190 |
XSS con fogli di stile |
941200 |
XSS con frame VML |
941210 |
XSS con JavaScript o Text4Shell offuscato (CVE-2022-42889) |
941220 |
XSS con script VB offuscato |
941230 |
XSS con tag 'incorpora' |
941240 |
XSS con l'attributo 'importa' o 'implementazione' |
941250 |
Filtri XSS IE: rilevato attacco |
941260 |
XSS con tag 'meta' |
941270 |
XSS con href 'link' |
941280 |
XSS con tag 'base' |
941290 |
XSS con tag 'applet' |
941300 |
XSS con tag 'oggetto' |
941310 |
Filtro XSS per codifica US-ASCII in formato non valido: rilevato attacco |
941320 |
Rilevato possibile attacco XSS: gestore tag HTML |
941330 |
Filtri XSS IE: rilevato attacco |
941340 |
Filtri XSS IE: rilevato attacco |
941350 |
XSS IE con codifica UTF-7: rilevato attacco |
941360 |
È stata rilevato l'offuscamento javaScript. |
REQUEST-942-APPLICATION-ATTACK-SQLI
ID regola |
Descrizione |
942100 |
Rilevato attacco SQL injection tramite libinjection |
942110 |
Attacco SQL Injection: rilevati test di inserimento comune |
942120 |
Attacco SQL injection: rilevato operatore SQL |
942130 |
Attacco SQL injection: rilevata tautologia SQL. |
942140 |
Attacco SQL injection: rilevati nomi DB comuni |
942150 |
Attacco SQL injection |
942160 |
Rilevamento test di blind SQL injection con sleep() o benchmark() |
942170 |
Rilevamento tentativi di SQL injection con benchmark e sleep e query condizionali |
942180 |
Rileva tentativi di bypass dell'autenticazione SQL di base 1/3 |
942190 |
Rileva l'esecuzione di codice MSSQL e tentativi di raccolta di informazioni |
942200 |
Rileva injection offuscati nello spazio/con commento MySQL e terminazioni con apice inverso |
942210 |
Rileva tentativi di inserimento SQL concatenati 1/2 |
942220 |
Alla ricerca di attacchi di overflow integer, questi vengono presi da skipfish, ad eccezione di 3.0.00738585072007e-308 è l'arresto anomalo del "numero magico" |
942230 |
Rilevamento tentativi di SQL injection condizionale |
942240 |
Rileva il commutatore di set di caratteri di MySQL e i tentativi DoS di MSSQL |
942250 |
Rileva gli inserimenti MATCH AGAINST, MERGE ed EXECUTE IMMEDIATE |
942251 |
Rilevamento inserimenti HAVING |
942260 |
Rileva tentativi di ignorare l'autenticazione SQL di base (2/3) |
942270 |
Ricerca di SQL injection di base. Stringa di attacco comune per MySQL, Oracle e altri. |
942280 |
Rileva inserimento postgres pg_sleep, attacchi di ritardo waitfor e tentativi di arresto del database |
942290 |
Ricerca tentativi di SQL injection di base in MongoDB |
942300 |
Rileva ch(a)r injection, condizioni e commenti MySQL |
942310 |
Rileva tentativi di inserimento SQL concatenati 2/2 |
942320 |
Rilevamento inserimenti di stored procedure/funzioni MySQL e PostgreSQL |
942330 |
Rileva sondaggi di SQL injection classici (1/2) |
942340 |
Rileva tentativi di ignorare l'autenticazione SQL di base (3/3) |
942350 |
Rilevamento di inserimento di funzioni definite dall'utente MySQL e altri tentativi di manipolazione dati/struttura |
942360 |
Rileva tentativi SQL/LFI e di SQL injection di base concatenati |
942361 |
Rileva l'inserimento SQL di base in base alla modifica o all'unione delle parole chiave |
942370 |
Rileva sondaggi di SQL injection classici (2/2) |
942380 |
Attacco SQL injection |
942390 |
Attacco SQL injection |
942400 |
Attacco SQL injection |
942410 |
Attacco SQL injection |
942420 |
Rilevamento anomalie caratteri SQL con restrizioni (cookies): n. di caratteri speciali in eccesso (8) |
942421 |
Rilevamento anomalie caratteri SQL con restrizioni (cookies): n. di caratteri speciali in eccesso (3) |
942430 |
Rilevamento anomalie caratteri SQL con restrizioni (args): n. di caratteri speciali in eccesso (12) |
942431 |
Rilevamento anomalie caratteri SQL con restrizioni (args): n. di caratteri speciali in eccesso (6) |
942432 |
Rilevamento anomalie caratteri SQL con restrizioni (args): n. di caratteri speciali in eccesso (2) |
942440 |
Rilevata sequenza commenti SQL |
942450 |
Identificata codifica esadecimale SQL |
942460 |
Avviso di rilevamento anomalie metacaratteri: caratteri non alfanumerici ripetitivi |
942470 |
Attacco SQL injection |
942480 |
Attacco SQL injection |
942490 |
Rileva sondaggi di SQL injection classici (3/3) |
942500 |
Rilevato commento in linea di MySQL. |
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION
ID regola |
Descrizione |
943100 |
Possibile attacco di tipo correzione di sessione: impostazione valori cookie in HTML |
943110 |
Possibile attacco di tipo correzione di sessione: nome parametro SessionID con referrer fuori dominio |
943120 |
Possibile attacco di tipo correzione di sessione: nome parametro SessionID senza referrer |
REQUEST-944-APPLICATION-ATTACK-JAVA
ID regola |
Descrizione |
944100 |
Esecuzione comandi in remoto: Apache Struts, Oracle WebLogic |
944110 |
Rileva un'esecuzione potenziale del payload |
944120 |
Possibile esecuzione del payload ed esecuzione comandi in remoto |
944130 |
Classi Java sospette |
944200 |
Sfruttamento della deserializzazione di Java Apache Commons |
944210 |
Possibile uso della serializzazione Java |
944240 |
Esecuzione comandi in remoto: serializzazione Java |
944250 |
Esecuzione comandi in remoto: rilevato metodo Java sospetto |
944300 |
Stringa con codifica Base64 corrispondente alla parola chiave sospetta |
Set di regole 3.1
Generali
ID regola |
Descrizione |
200004 |
Possibile limite multiparte senza corrispondenza. |
CVE NOTE
ID regola |
Descrizione |
800100 |
Regola per rilevare e mitigare la vulnerabilità log4j CVE-2021-44228, CVE-2021-45046 |
800110 |
Tentativo di interazione di Spring4Shell |
800111 |
Tentativo di inserimento di routing-espressione Spring Cloud - CVE-2022-22963 |
800112 |
Tentativo di sfruttamento di oggetti della classe unsafe di Spring Framework - CVE-2022-22965 |
800113 |
Tentativo di inserimento dell'attuatore Spring Cloud Gateway - CVE-2022-22947 |
800114* |
Tentativo di sfruttamento del caricamento di file Apache Struts - CVE-2023-50164 |
*
I WAF più vecchi che eseguono CRS 3.1 supportano solo la modalità di registrazione per questa regola. Per abilitare la modalità di blocco, è necessario eseguire l'aggiornamento a una versione più recente del set di regole.
REQUEST-911-METHOD-ENFORCEMENT
ID regola |
Descrizione |
911100 |
Il metodo non è consentito dai criteri |
REQUEST-913-SCANNER-DETECTION
ID regola |
Descrizione |
913100 |
Trovato agente utente associato ad analisi della sicurezza |
913101 |
Trovato agente utente associato a client HTTP generico/di scripting |
913102 |
Trovato agente utente associato a bot/agente di ricerca Web |
913110 |
Trovata intestazione della richiesta associata ad analisi della sicurezza |
913120 |
Trovato argomento/nome file della richiesta associato ad analisi della sicurezza |
REQUEST-920-PROTOCOL-ENFORCEMENT
ID regola |
Descrizione |
920100 |
Riga della richiesta HTTP non valida |
920120 |
Tentativo di bypass multipart/form-data |
920121 |
Tentativo di bypass multipart/form-data |
920130 |
Impossibile analizzare corpo della richiesta |
920140 |
Il corpo della richiesta multipart non ha superato la convalida rigorosa |
920160 |
L'intestazione HTTP Content-Length non è numerica. |
920170 |
Richiesta GET o HEAD con contenuto del corpo |
920171 |
Richiesta OTTIENI o INTESTAZIONE con Trasferimento-Codifica. |
920180 |
Richiesta POST senza intestazione Content-Length |
920190 |
Intervallo: valore ultimo byte non valido |
920200 |
Intervallo: troppi campi (6 o più) |
920201 |
Intervallo: troppi campi per richiesta PDF (35 o più) |
920202 |
Intervallo: troppi campi per richiesta PDF (6 o più) |
920210 |
Trovati dati intestazione di connessione multipli/in conflitto |
920220 |
Tentativo di attacco con uso improprio codifica URL |
920230 |
Rilevata codifica multipla URL |
920240 |
Tentativo di attacco con uso improprio codifica URL |
920250 |
Tentativo di attacco con uso improprio codifica UTF8 |
920260 |
Tentativo di attacco con uso improprio metà larghezza/larghezza intera Unicode |
920270 |
Carattere non valido nella richiesta (carattere null) |
920271 |
Carattere non valido nella richiesta (caratteri non stampabili) |
920272 |
Carattere non valido nella richiesta (non compreso nei caratteri stampabili sotto ASCII 127) |
920273 |
Carattere non valido nella richiesta (non compreso in set molto restrittivo) |
920274 |
Carattere non valido nelle intestazioni della richiesta (non compreso in set con restrizioni elevate) |
920280 |
Richiesta senza intestazione host |
920290 |
Intestazione host vuota |
920300 |
Richiesta senza intestazione Accept |
920310 |
Richiesta con intestazione Accept vuota |
920311 |
Richiesta con intestazione Accept vuota |
920320 |
Intestazione agente utente mancante |
920330 |
Intestazione agente utente vuota |
920340 |
Richiesta con contenuto ma senza intestazione Content-Type |
920341 |
La richiesta con contenuto richiede l'intestazione Content-Type |
920350 |
Intestazione host costituita da un indirizzo IP numerico |
920420 |
La richiesta tipo di contenuto non è consentita dai criteri |
920430 |
La versione protocollo HTTP non consentita dai criteri |
920440 |
Estensione file URL limitata da criteri |
920450 |
Intestazione HTTP limitata da criteri (%@{MATCHED_VAR}) |
920460 |
Caratteri di escape anomali |
920470 |
Intestazione Content-Type illegale |
920480 |
Limitare il parametro set di caratteri all'interno dell'intestazione content-type |
REQUEST-921-PROTOCOL-ATTACK
ID regola |
Descrizione |
921110 |
Attacco di tipo HTTP Request Smuggling |
921120 |
Attacco di tipo HTTP Response Splitting |
921130 |
Attacco di tipo HTTP Response Splitting |
921140 |
Attacco di tipo HTTP Header Injection tramite intestazioni |
921150 |
Attacco di tipo HTTP Header Injection tramite payload (rilevato CR/LF) |
921151 |
Attacco di tipo HTTP Header Injection tramite payload (rilevato CR/LF) |
921160 |
Attacco di tipo HTTP Header Injection tramite payload (rilevati CR/LF e nome intestazione) |
921170 |
Inquinamento dei parametri HTTP |
921180 |
Inquinamento dei parametri HTTP (%{TX.1}) |
REQUEST-930-APPLICATION-ATTACK-LFI
ID regola |
Descrizione |
930100 |
Attacco di tipo Path Traversal (/../) |
930110 |
Attacco di tipo Path Traversal (/../) |
930120 |
Tentativo di accesso a file del sistema operativo |
930130 |
Tentativo di accesso a file con restrizioni |
REQUEST-931-APPLICATION-ATTACK-RFI
ID regola |
Descrizione |
931100 |
Possibile attacco di tipo Remote File Inclusion (RFI): parametro URL con indirizzo IP |
931110 |
Possibile attacco di tipo Remote File Inclusion (RFI): nome parametro vulnerabile a RFI comune usato con payload URL |
931120 |
Possibile attacco di tipo Remote File Inclusion (RFI): payload URL usato con carattere punto interrogativo (?) finale |
931130 |
Possibile attacco di tipo Remote File Inclusion (RFI): collegamento/riferimento fuori dominio |
REQUEST-932-APPLICATION-ATTACK-RCE
ID regola |
Descrizione |
932100 |
Esecuzione comandi in remoto: inserimento di comandi Unix |
932105 |
Esecuzione comandi in remoto: inserimento di comandi Unix |
932106 |
Esecuzione comandi in remoto: inserimento di comandi Unix |
932110 |
Esecuzione comandi in remoto: inserimento di comandi Windows |
932115 |
Esecuzione comandi in remoto: inserimento di comandi Windows |
932120 |
Esecuzione comandi in remoto: trovato comando di Windows PowerShell |
932130 |
Esecuzione comandi in remoto: Espressioni Shell Unix o vulnerabilità Confluence (CVE-2022-26134) o Text4Shell (CVE-2022-42889) Trovato |
932140 |
Esecuzione comandi in remoto: trovato comando FOR/IF di Windows |
932150 |
Esecuzione comandi in remoto: esecuzione di comandi Unix diretti |
932160 |
Esecuzione comandi in remoto: trovato codice shell Unix |
932170 |
Esecuzione comandi in remoto: Shellshock (CVE-2014-6271) |
932171 |
Esecuzione comandi in remoto: Shellshock (CVE-2014-6271) |
932180 |
Tentativo di caricamento file con restrizioni |
932190 |
Esecuzione comandi in remoto: tentativo di tecnica di bypass della wildcard |
REQUEST-933-APPLICATION-ATTACK-PHP
ID regola |
Descrizione |
933100 |
Attacco PHP injection: trovato tag di apertura/chiusura |
933110 |
Attacco PHP injection: trovato caricamento file script PHP |
933111 |
Attacco PHP injection: trovato caricamento file di script PHP |
933120 |
Attacco PHP injection: trovata direttiva di configurazione |
933130 |
Attacco PHP injection: trovate variabili |
933131 |
Attacco PHP injection: trovate variabili |
933140 |
Attacco PHP injection: trovato flusso di I/O |
933150 |
Attacco PHP injection: trovato nome funzione PHP ad alto rischio |
933151 |
Attacco PHP injection: trovato nome funzione PHP a medio rischio |
933160 |
Attacco PHP injection: trovata chiamata di funzione PHP ad alto rischio |
933161 |
Attacco PHP injection: trovata chiamata di funzione PHP con valore basso |
933170 |
Attacco PHP injection: inserimento di oggetti serializzati |
933180 |
Attacco PHP injection: trovata chiamata di funzione variabile |
933190 |
Attacco PHP injection: trovato tag di chiusura PHP |
REQUEST-941-APPLICATION-ATTACK-XSS
ID regola |
Descrizione |
941100 |
Rilevato attacco XSS tramite libinjection |
941101 |
Rilevato attacco XSS tramite libinjection. Questa regola rileva le richieste con un'intestazione Referer. |
941110 |
Filtro XSS, categoria 1: vettore tag script |
941130 |
Filtro XSS, categoria 3: vettore attributi |
941140 |
Filtro XSS - Categoria 4= vettore URI Javascript |
941150 |
Filtro XSS, categoria 5: attributi HTML non consentiti |
941160 |
NoScript XSS InjectionChecker: inserimento HTML |
941170 |
NoScript XSS InjectionChecker: inserimento attributo |
941180 |
Parole chiave in blocklist convalida nodi |
941190 |
XSS con fogli di stile |
941200 |
XSS con frame VML |
941210 |
XSS con JavaScript o Text4Shell offuscato (CVE-2022-42889) |
941220 |
XSS con script VB offuscato |
941230 |
XSS con tag 'incorpora' |
941240 |
XSS con l'attributo 'importa' o 'implementazione' |
941250 |
Filtri XSS IE - rilevato attacco |
941260 |
XSS con tag 'meta' |
941270 |
XSS con href 'link' |
941280 |
XSS con tag 'base' |
941290 |
XSS con tag 'applet' |
941300 |
XSS con tag 'oggetto' |
941310 |
Filtro XSS per codifica US-ASCII in formato non valido: rilevato attacco |
941320 |
Rilevato possibile attacco XSS: gestore tag HTML |
941330 |
Filtri XSS IE: rilevato attacco |
941340 |
Filtri XSS IE: rilevato attacco |
941350 |
XSS IE con codifica UTF-7: rilevato attacco |
REQUEST-942-APPLICATION-ATTACK-SQLI
ID regola |
Descrizione |
942100 |
Rilevato attacco SQL injection tramite libinjection |
942110 |
Attacco SQL Injection: rilevati test di inserimento comune |
942120 |
Attacco SQL injection: rilevato operatore SQL |
942130 |
Attacco SQL injection: rilevata tautologia SQL. |
942140 |
Attacco SQL injection: rilevati nomi DB comuni |
942150 |
Attacco SQL injection |
942160 |
Rilevamento test di blind SQL injection con sleep() o benchmark() |
942170 |
Rilevamento tentativi di SQL injection con benchmark e sleep e query condizionali |
942180 |
Rileva tentativi di bypass dell'autenticazione SQL di base 1/3 |
942190 |
Rileva l'esecuzione di codice MSSQL e tentativi di raccolta di informazioni |
942200 |
Rileva injection offuscati nello spazio/con commento MySQL e terminazioni con apice inverso |
942210 |
Rileva tentativi di inserimento SQL concatenati 1/2 |
942220 |
Alla ricerca di attacchi di overflow integer, questi vengono presi da skipfish, ad eccezione di 3.0.00738585072 |
942230 |
Rilevamento tentativi di SQL injection condizionale |
942240 |
Rileva il commutatore di set di caratteri di MySQL e i tentativi DoS di MSSQL |
942250 |
Rileva gli inserimenti MATCH AGAINST, MERGE ed EXECUTE IMMEDIATE |
942251 |
Rilevamento inserimenti HAVING |
942260 |
Rileva tentativi di ignorare l'autenticazione SQL di base (2/3) |
942270 |
Ricerca di SQL injection di base. Stringa di attacco comune per MySQL, Oracle e altri |
942280 |
Rileva inserimento postgres pg_sleep, attacchi di ritardo waitfor e tentativi di arresto del database |
942290 |
Ricerca tentativi di SQL injection di base in MongoDB |
942300 |
Rileva ch(a)r injection, condizioni e commenti MySQL |
942310 |
Rileva tentativi di inserimento SQL concatenati 2/2 |
942320 |
Rilevamento inserimenti di stored procedure/funzioni MySQL e PostgreSQL |
942330 |
Rileva sondaggi di SQL injection classici (1/2) |
942340 |
Rileva tentativi di ignorare l'autenticazione SQL di base (3/3) |
942350 |
Rilevamento di inserimento di funzioni definite dall'utente MySQL e altri tentativi di manipolazione dati/struttura |
942360 |
Rileva tentativi SQL/LFI e di SQL injection di base concatenati |
942361 |
Rileva l'inserimento SQL di base in base alla modifica o all'unione delle parole chiave |
942370 |
Rileva sondaggi di SQL injection classici (2/2) |
942380 |
Attacco SQL injection |
942390 |
Attacco SQL injection |
942400 |
Attacco SQL injection |
942410 |
Attacco SQL injection |
942420 |
Rilevamento anomalie caratteri SQL con restrizioni (cookies): n. di caratteri speciali in eccesso (8) |
942421 |
Rilevamento anomalie caratteri SQL con restrizioni (cookies): n. di caratteri speciali in eccesso (3) |
942430 |
Rilevamento anomalie caratteri SQL con restrizioni (args): n. di caratteri speciali in eccesso (12) |
942431 |
Rilevamento anomalie caratteri SQL con restrizioni (args): n. di caratteri speciali in eccesso (6) |
942432 |
Rilevamento anomalie caratteri SQL con restrizioni (args): n. di caratteri speciali in eccesso (2) |
942440 |
Rilevata sequenza commenti SQL |
942450 |
Identificata codifica esadecimale SQL |
942460 |
Avviso di rilevamento anomalie metacaratteri: caratteri non alfanumerici ripetitivi |
942470 |
Attacco SQL injection |
942480 |
Attacco SQL injection |
942490 |
Rileva sondaggi di SQL injection classici (3/3) |
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION
ID regola |
Descrizione |
943100 |
Possibile attacco di tipo Session Fixation: impostazione valori cookie in HTML |
943110 |
Possibile attacco di tipo Session Fixation: nome parametro SessionID con referrer fuori dominio |
943120 |
Possibile attacco di tipo Session Fixation: nome parametro SessionID senza referrer |
REQUEST-944-APPLICATION-ATTACK-SESSION-JAVA
ID regola |
Descrizione |
944120 |
Possibile esecuzione del payload ed esecuzione comandi in remoto |
944130 |
Classi Java sospette |
944200 |
Sfruttamento della deserializzazione di Java Apache Commons |
Set di regole 3.0
Generali
ID regola |
Descrizione |
200004 |
Possibile limite multiparte senza corrispondenza. |
CVE NOTE
ID regola |
Descrizione |
800100 |
Regola per rilevare e mitigare la vulnerabilità log4j CVE-2021-44228, CVE-2021-45046 |
800110 |
Tentativo di interazione di Spring4Shell |
800111 |
Tentativo di inserimento di routing-espressione Spring Cloud - CVE-2022-22963 |
800112 |
Tentativo di sfruttamento di oggetti della classe unsafe di Spring Framework - CVE-2022-22965 |
800113 |
Tentativo di inserimento dell'attuatore Spring Cloud Gateway - CVE-2022-22947 |
REQUEST-911-METHOD-ENFORCEMENT
ID regola |
Descrizione |
911100 |
Il metodo non è consentito dai criteri |
REQUEST-913-SCANNER-DETECTION
ID regola |
Descrizione |
913100 |
Trovato agente utente associato ad analisi della sicurezza |
913110 |
Trovata intestazione della richiesta associata ad analisi della sicurezza |
913120 |
Trovato argomento/nome file della richiesta associato ad analisi della sicurezza |
913101 |
Trovato agente utente associato a client HTTP generico/di scripting |
913102 |
Trovato agente utente associato a bot/agente di ricerca Web |
REQUEST-920-PROTOCOL-ENFORCEMENT
ID regola |
Descrizione |
920100 |
Riga della richiesta HTTP non valida |
920130 |
Impossibile analizzare corpo della richiesta |
920140 |
Il corpo della richiesta multipart non ha superato la convalida rigorosa |
920160 |
L'intestazione HTTP Content-Length non è numerica. |
920170 |
Richiesta GET o HEAD con contenuto del corpo |
920180 |
Richiesta POST senza intestazione Content-Length |
920190 |
Intervallo: valore ultimo byte non valido |
920210 |
Trovati dati intestazione di connessione multipli/in conflitto |
920220 |
Tentativo di attacco con uso improprio codifica URL |
920240 |
Tentativo di attacco con uso improprio codifica URL |
920250 |
Tentativo di attacco con uso improprio codifica UTF8 |
920260 |
Tentativo di attacco con uso improprio metà larghezza/larghezza intera Unicode |
920270 |
Carattere non valido nella richiesta (carattere null) |
920280 |
Richiesta senza intestazione host |
920290 |
Intestazione host vuota |
920310 |
Richiesta con intestazione Accept vuota |
920311 |
Richiesta con intestazione Accept vuota |
920330 |
Intestazione agente utente vuota |
920340 |
Richiesta con contenuto ma senza intestazione Content-Type |
920350 |
Intestazione host costituita da un indirizzo IP numerico |
920380 |
Troppi argomenti nella richiesta |
920360 |
Nome argomento troppo lungo |
920370 |
Valore argomento troppo lungo |
920390 |
Superate dimensioni totali argomenti |
920400 |
Dimensione file caricato troppo grande |
920410 |
Dimensione totale dei file caricati troppo grande |
920420 |
La richiesta tipo di contenuto non è consentita dai criteri |
920430 |
La versione protocollo HTTP non consentita dai criteri |
920440 |
Estensione file URL limitata da criteri |
920450 |
Intestazione HTTP limitata da criteri (%@{MATCHED_VAR}) |
920200 |
Intervallo: troppi campi (6 o più) |
920201 |
Intervallo: troppi campi per richiesta PDF (35 o più) |
920230 |
Rilevata codifica multipla URL |
920300 |
Richiesta senza intestazione Accept |
920271 |
Carattere non valido nella richiesta (caratteri non stampabili) |
920320 |
Intestazione agente utente mancante |
920272 |
Carattere non valido nella richiesta (non compreso nei caratteri stampabili sotto ASCII 127) |
920202 |
Intervallo: troppi campi per richiesta PDF (6 o più) |
920273 |
Carattere non valido nella richiesta (non compreso in set molto restrittivo) |
920274 |
Carattere non valido nelle intestazioni della richiesta (non compreso in set con restrizioni elevate) |
920460 |
Caratteri di escape anomali |
REQUEST-921-PROTOCOL-ATTACK
ID regola |
Descrizione |
921100 |
Attacco di tipo HTTP Request Smuggling |
921110 |
Attacco di tipo HTTP Request Smuggling |
921120 |
Attacco di tipo HTTP Response Splitting |
921130 |
Attacco di tipo HTTP Response Splitting |
921140 |
Attacco di tipo HTTP Header Injection tramite intestazioni |
921150 |
Attacco di tipo HTTP Header Injection tramite payload (rilevato CR/LF) |
921160 |
Attacco di tipo HTTP Header Injection tramite payload (rilevati CR/LF e nome intestazione) |
921151 |
Attacco di tipo HTTP Header Injection tramite payload (rilevato CR/LF) |
921170 |
Inquinamento dei parametri HTTP |
921180 |
Accesso non autorizzato a parametri HTTP (%@{TX.1}) |
REQUEST-930-APPLICATION-ATTACK-LFI
ID regola |
Descrizione |
930100 |
Attacco di tipo Path Traversal (/../) |
930110 |
Attacco di tipo Path Traversal (/../) |
930120 |
Tentativo di accesso a file del sistema operativo |
930130 |
Tentativo di accesso a file con restrizioni |
REQUEST-931-APPLICATION-ATTACK-RFI
ID regola |
Descrizione |
931100 |
Possibile attacco di tipo Remote File Inclusion (RFI): parametro URL con indirizzo IP |
931110 |
Possibile attacco di tipo Remote File Inclusion (RFI): nome parametro vulnerabile a RFI comune usato con payload URL |
931120 |
Possibile attacco di tipo Remote File Inclusion (RFI): payload URL usato con carattere punto interrogativo (?) finale |
931130 |
Possibile attacco di tipo Remote File Inclusion (RFI): collegamento/riferimento fuori dominio |
REQUEST-932-APPLICATION-ATTACK-RCE
ID regola |
Descrizione |
932120 |
Esecuzione comandi in remoto: trovato comando di Windows PowerShell |
932130 |
WAF v2 del gateway applicazione: esecuzione comandi in remoto: Espressioni Shell Unix o vulnerabilità Confluence (CVE-2022-26134) o Text4Shell (CVE-2022-42889) Trovato
WAF v1 del gateway applicazione: esecuzione comandi in remoto: Espressioni Shell Unix |
932140 |
Esecuzione comandi in remoto: trovato comando FOR/IF di Windows |
932160 |
Esecuzione comandi in remoto: trovato codice shell Unix |
932170 |
Esecuzione comandi in remoto: Shellshock (CVE-2014-6271) |
932171 |
Esecuzione comandi in remoto: Shellshock (CVE-2014-6271) |
REQUEST-933-APPLICATION-ATTACK-PHP
ID regola |
Descrizione |
933100 |
Attacco PHP injection: trovato tag di apertura/chiusura |
933110 |
Attacco PHP injection: trovato caricamento file script PHP |
933120 |
Attacco PHP injection: trovata direttiva di configurazione |
933130 |
Attacco PHP injection: trovate variabili |
933150 |
Attacco PHP injection: trovato nome funzione PHP ad alto rischio |
933160 |
Attacco PHP injection: trovata chiamata di funzione PHP ad alto rischio |
933180 |
Attacco PHP injection: trovata chiamata di funzione variabile |
933151 |
Attacco PHP injection: trovato nome funzione PHP a medio rischio |
933131 |
Attacco PHP injection: trovate variabili |
933161 |
Attacco PHP injection: trovata chiamata di funzione PHP con valore basso |
933111 |
Attacco PHP injection: trovato caricamento file script PHP |
REQUEST-941-APPLICATION-ATTACK-XSS
ID regola |
Descrizione |
941100 |
Rilevato attacco XSS tramite libinjection |
941110 |
Filtro XSS, categoria 1: vettore tag script |
941130 |
Filtro XSS, categoria 3: vettore attributi |
941140 |
Filtro XSS - Categoria 4= vettore URI Javascript |
941150 |
Filtro XSS, categoria 5: attributi HTML non consentiti |
941180 |
Parole chiave in blocklist convalida nodi |
941190 |
XSS con fogli di stile |
941200 |
XSS con frame VML |
941210 |
XSS con JavaScript o Text4Shell offuscato (CVE-2022-42889) |
941220 |
XSS con script VB offuscato |
941230 |
XSS con tag 'incorpora' |
941240 |
XSS con l'attributo 'importa' o 'implementazione' |
941260 |
XSS con tag 'meta' |
941270 |
XSS con href 'link' |
941280 |
XSS con tag 'base' |
941290 |
XSS con tag 'applet' |
941300 |
XSS con tag 'oggetto' |
941310 |
Filtro XSS per codifica US-ASCII in formato non valido: rilevato attacco |
941330 |
Filtri XSS IE: rilevato attacco |
941340 |
Filtri XSS IE: rilevato attacco |
941350 |
XSS IE con codifica UTF-7: rilevato attacco |
941320 |
Rilevato possibile attacco XSS: gestore tag HTML |
REQUEST-942-APPLICATION-ATTACK-SQLI
ID regola |
Descrizione |
942100 |
Rilevato attacco SQL injection tramite libinjection |
942110 |
Attacco SQL Injection: rilevati test di inserimento comune |
942130 |
Attacco SQL injection: rilevata tautologia SQL. |
942140 |
Attacco SQL injection: rilevati nomi DB comuni |
942160 |
Rilevamento test di blind SQL injection con sleep() o benchmark() |
942170 |
Rilevamento tentativi di SQL injection con benchmark e sleep e query condizionali |
942190 |
Rileva l'esecuzione di codice MSSQL e tentativi di raccolta di informazioni |
942200 |
Rileva injection offuscati nello spazio/con commento MySQL e terminazioni con apice inverso |
942230 |
Rilevamento tentativi di SQL injection condizionale |
942260 |
Rileva tentativi di ignorare l'autenticazione SQL di base (2/3) |
942270 |
Ricerca di SQL injection di base. Stringa di attacco comune per MySQL, Oracle e altri |
942290 |
Ricerca tentativi di SQL injection di base in MongoDB |
942300 |
Rileva ch(a)r injection, condizioni e commenti MySQL |
942310 |
Rileva tentativi di inserimento SQL concatenati 2/2 |
942320 |
Rilevamento inserimenti di stored procedure/funzioni MySQL e PostgreSQL |
942330 |
Rileva sondaggi di SQL injection classici (1/2) |
942340 |
Rileva tentativi di ignorare l'autenticazione SQL di base (3/3) |
942350 |
Rilevamento di inserimento di funzioni definite dall'utente MySQL e altri tentativi di manipolazione dati/struttura |
942360 |
Rileva tentativi SQL/LFI e di SQL injection di base concatenati |
942370 |
Rileva sondaggi di SQL injection classici (2/2) |
942150 |
Attacco SQL injection |
942410 |
Attacco SQL injection |
942430 |
Rilevamento anomalie caratteri SQL con restrizioni (args): n. di caratteri speciali in eccesso (12) |
942440 |
Rilevata sequenza commenti SQL |
942450 |
Identificata codifica esadecimale SQL |
942251 |
Rilevamento inserimenti HAVING |
942460 |
Avviso di rilevamento anomalie metacaratteri: caratteri non alfanumerici ripetitivi |
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION
ID regola |
Descrizione |
943100 |
Possibile attacco di tipo Session Fixation: impostazione valori cookie in HTML |
943110 |
Possibile attacco di tipo Session Fixation: nome parametro SessionID con referrer fuori dominio |
943120 |
Possibile attacco di tipo Session Fixation: nome parametro SessionID senza referrer |
Set di regole 2.2.9
crs_20_protocol_violations
ID regola |
Descrizione |
960911 |
Riga della richiesta HTTP non valida |
981227 |
Errore Apache: URI non valido nella richiesta |
960912 |
Impossibile analizzare corpo della richiesta |
960914 |
Il corpo della richiesta multipart non ha superato la convalida rigorosa |
960915 |
Il parser multiparte ha rilevato un possibile limite senza corrispondenza |
960016 |
L'intestazione HTTP Content-Length non è numerica. |
960011 |
Richiesta GET o HEAD con contenuto del corpo |
960012 |
Richiesta POST senza intestazione Content-Length |
960902 |
Uso non valido codifica identità |
960022 |
Intestazione Expect non consentita per HTTP 1.0 |
960020 |
L'intestazione Pragma richiede l'intestazione Cache-Control per le richieste HTTP/1.1 |
958291 |
Intervallo: campo esistente che inizia con 0 |
958230 |
Intervallo: valore ultimo byte non valido |
958295 |
Trovati dati intestazione di connessione multipli/in conflitto |
950107 |
Tentativo di attacco con uso improprio codifica URL |
950109 |
Rilevata codifica multipla URL |
950108 |
Tentativo di attacco con uso improprio codifica URL |
950801 |
Tentativo di attacco con uso improprio codifica UTF8 |
950116 |
Tentativo di attacco con uso improprio metà larghezza/larghezza intera Unicode |
960901 |
Carattere non valido nella richiesta |
960018 |
Carattere non valido nella richiesta |
crs_21_protocol_anomalies
ID regola |
Descrizione |
960008 |
Richiesta senza intestazione host |
960007 |
Intestazione host vuota |
960015 |
Richiesta senza intestazione Accept |
960021 |
Richiesta con intestazione Accept vuota |
960009 |
Richiesta senza intestazione agente utente |
960006 |
Intestazione agente utente vuota |
960904 |
Richiesta con contenuto ma senza intestazione Content-Type |
960017 |
Intestazione host costituita da un indirizzo IP numerico |
crs_23_request_limits
ID regola |
Descrizione |
960209 |
Nome argomento troppo lungo |
960208 |
Valore argomento troppo lungo |
960335 |
Troppi argomenti nella richiesta |
960341 |
Superate dimensioni totali argomenti |
960342 |
Dimensione file caricato troppo grande |
960343 |
Dimensione totale dei file caricati troppo grande |
crs_30_http_policy
ID regola |
Descrizione |
960032 |
Il metodo non è consentito dai criteri |
960010 |
La richiesta tipo di contenuto non è consentita dai criteri |
960034 |
La versione protocollo HTTP non consentita dai criteri |
960035 |
Estensione file URL limitata da criteri |
960038 |
Intestazione HTTP limitata da criteri |
crs_35_bad_robots
ID regola |
Descrizione |
990002 |
La richiesta indica che è stata eseguita l'analisi della sicurezza sul sito |
990901 |
La richiesta indica che è stata eseguita l'analisi della sicurezza sul sito |
990902 |
La richiesta indica che è stata eseguita l'analisi della sicurezza sul sito |
990012 |
Agente di ricerca siti Web non autorizzato |
crs_40_generic_attacks
ID regola |
Descrizione |
960024 |
Avviso di rilevamento anomalie metacaratteri: caratteri non alfanumerici ripetitivi |
950008 |
Inserimento di tag ColdFusion non documentati |
950010 |
Attacco LDAP injection |
950011 |
Attacco SSI injection |
950018 |
Rilevato URL Universal PDF XSS |
950019 |
Attacco e-mail injection |
950012 |
Attacco di tipo HTTP Request Smuggling |
950910 |
Attacco di tipo HTTP Response Splitting |
950911 |
Attacco di tipo HTTP Response Splitting |
950117 |
Attacco di tipo Remote File Inclusion |
950118 |
Attacco di tipo Remote File Inclusion |
950119 |
Attacco di tipo Remote File Inclusion |
950120 |
Possibile attacco di tipo Remote File Inclusion (RFI): collegamento/riferimento fuori dominio |
981133 |
Regola 981133 |
981134 |
Regola 981134 |
950009 |
Attacco di tipo Session Fixation |
950003 |
Session Fixation |
950000 |
Session Fixation |
950005 |
Tentativo di accesso a file remoto |
950002 |
Accesso a comandi di sistema |
950006 |
Inserimento di comandi di sistema |
959151 |
Attacco PHP injection |
958976 |
Attacco PHP injection |
958977 |
Attacco PHP injection |
crs_41_sql_injection_attacks
ID regola |
Descrizione |
981231 |
Rilevata sequenza commenti SQL |
981260 |
Identificata codifica esadecimale SQL |
981320 |
Attacco SQL injection: rilevati nomi DB comuni |
981300 |
Regola 981300 |
981301 |
Regola 981301 |
981302 |
Regola 981302 |
981303 |
Regola 981303 |
981304 |
Regola 981304 |
981305 |
Regola 981305 |
981306 |
Regola 981306 |
981307 |
Regola 981307 |
981308 |
Regola 981308 |
981309 |
Regola 981309 |
981310 |
Regola 981310 |
981311 |
Regola 981311 |
981312 |
Regola 981312 |
981313 |
Regola 981313 |
981314 |
Regola 981314 |
981315 |
Regola 981315 |
981316 |
Regola 981316 |
981317 |
Avviso di rilevamento anomalie in istruzione SQL SELECT |
950007 |
Attacco blind SQL injection |
950001 |
Attacco SQL injection |
950908 |
Attacco SQL injection |
959073 |
Attacco SQL injection |
981272 |
Rilevamento test di blind SQL injection con sleep() o benchmark() |
981250 |
Rilevamento tentativi di SQL injection con benchmark e sleep e query condizionali |
981241 |
Rilevamento tentativi di SQL injection condizionale |
981276 |
Ricerca di SQL injection di base. Stringa di attacco comune per MySQL, Oracle e altri |
981270 |
Ricerca tentativi di SQL injection di base in MongoDB |
981253 |
Rilevamento inserimenti di stored procedure/funzioni MySQL e PostgreSQL |
981251 |
Rilevamento di inserimento di funzioni definite dall'utente MySQL e altri tentativi di manipolazione dati/struttura |
crs_41_xss_attacks
ID regola |
Descrizione |
973336 |
Filtro XSS, categoria 1: vettore tag script |
973338 |
Filtro XSS - Categoria 3= vettore URI Javascript |
981136 |
Regola 981136 |
981018 |
Regola 981018 |
958016 |
Attacco di tipo cross-site scripting (XSS) |
958414 |
Attacco di tipo cross-site scripting (XSS) |
958032 |
Attacco di tipo cross-site scripting (XSS) |
958026 |
Attacco di tipo cross-site scripting (XSS) |
958027 |
Attacco di tipo cross-site scripting (XSS) |
958054 |
Attacco di tipo cross-site scripting (XSS) |
958418 |
Attacco di tipo cross-site scripting (XSS) |
958034 |
Attacco di tipo cross-site scripting (XSS) |
958019 |
Attacco di tipo cross-site scripting (XSS) |
958013 |
Attacco di tipo cross-site scripting (XSS) |
958408 |
Attacco di tipo cross-site scripting (XSS) |
958012 |
Attacco di tipo cross-site scripting (XSS) |
958423 |
Attacco di tipo cross-site scripting (XSS) |
958002 |
Attacco di tipo cross-site scripting (XSS) |
958017 |
Attacco di tipo cross-site scripting (XSS) |
958007 |
Attacco di tipo cross-site scripting (XSS) |
958047 |
Attacco di tipo cross-site scripting (XSS) |
958410 |
Attacco di tipo cross-site scripting (XSS) |
958415 |
Attacco di tipo cross-site scripting (XSS) |
958022 |
Attacco di tipo cross-site scripting (XSS) |
958405 |
Attacco di tipo cross-site scripting (XSS) |
958419 |
Attacco di tipo cross-site scripting (XSS) |
958028 |
Attacco di tipo cross-site scripting (XSS) |
958057 |
Attacco di tipo cross-site scripting (XSS) |
958031 |
Attacco di tipo cross-site scripting (XSS) |
958006 |
Attacco di tipo cross-site scripting (XSS) |
958033 |
Attacco di tipo cross-site scripting (XSS) |
958038 |
Attacco di tipo cross-site scripting (XSS) |
958409 |
Attacco di tipo cross-site scripting (XSS) |
958001 |
Attacco di tipo cross-site scripting (XSS) |
958005 |
Attacco di tipo cross-site scripting (XSS) |
958404 |
Attacco di tipo cross-site scripting (XSS) |
958023 |
Attacco di tipo cross-site scripting (XSS) |
958010 |
Attacco di tipo cross-site scripting (XSS) |
958411 |
Attacco di tipo cross-site scripting (XSS) |
958422 |
Attacco di tipo cross-site scripting (XSS) |
958036 |
Attacco di tipo cross-site scripting (XSS) |
958000 |
Attacco di tipo cross-site scripting (XSS) |
958018 |
Attacco di tipo cross-site scripting (XSS) |
958406 |
Attacco di tipo cross-site scripting (XSS) |
958040 |
Attacco di tipo cross-site scripting (XSS) |
958052 |
Attacco di tipo cross-site scripting (XSS) |
958037 |
Attacco di tipo cross-site scripting (XSS) |
958049 |
Attacco di tipo cross-site scripting (XSS) |
958030 |
Attacco di tipo cross-site scripting (XSS) |
958041 |
Attacco di tipo cross-site scripting (XSS) |
958416 |
Attacco di tipo cross-site scripting (XSS) |
958024 |
Attacco di tipo cross-site scripting (XSS) |
958059 |
Attacco di tipo cross-site scripting (XSS) |
958417 |
Attacco di tipo cross-site scripting (XSS) |
958020 |
Attacco di tipo cross-site scripting (XSS) |
958045 |
Attacco di tipo cross-site scripting (XSS) |
958004 |
Attacco di tipo cross-site scripting (XSS) |
958421 |
Attacco di tipo cross-site scripting (XSS) |
958009 |
Attacco di tipo cross-site scripting (XSS) |
958025 |
Attacco di tipo cross-site scripting (XSS) |
958413 |
Attacco di tipo cross-site scripting (XSS) |
958051 |
Attacco di tipo cross-site scripting (XSS) |
958420 |
Attacco di tipo cross-site scripting (XSS) |
958407 |
Attacco di tipo cross-site scripting (XSS) |
958056 |
Attacco di tipo cross-site scripting (XSS) |
958011 |
Attacco di tipo cross-site scripting (XSS) |
958412 |
Attacco di tipo cross-site scripting (XSS) |
958008 |
Attacco di tipo cross-site scripting (XSS) |
958046 |
Attacco di tipo cross-site scripting (XSS) |
958039 |
Attacco di tipo cross-site scripting (XSS) |
958003 |
Attacco di tipo cross-site scripting (XSS) |
973300 |
Rilevato possibile attacco XSS: gestore tag HTML |
973301 |
Rilevato attacco XSS |
973302 |
Rilevato attacco XSS |
973303 |
Rilevato attacco XSS |
973304 |
Rilevato attacco XSS |
973305 |
Rilevato attacco XSS |
973306 |
Rilevato attacco XSS |
973307 |
Rilevato attacco XSS |
973308 |
Rilevato attacco XSS |
973309 |
Rilevato attacco XSS |
973311 |
Rilevato attacco XSS |
973313 |
Rilevato attacco XSS |
973314 |
Rilevato attacco XSS |
973331 |
Filtri XSS IE: rilevato attacco |
973315 |
Filtri XSS IE: rilevato attacco |
973330 |
Filtri XSS IE: rilevato attacco |
973327 |
Filtri XSS IE: rilevato attacco |
973326 |
Filtri XSS IE: rilevato attacco |
973346 |
Filtri XSS IE: rilevato attacco |
973345 |
Filtri XSS IE: rilevato attacco |
973324 |
Filtri XSS IE: rilevato attacco |
973323 |
Filtri XSS IE: rilevato attacco |
973348 |
Filtri XSS IE: rilevato attacco |
973321 |
Filtri XSS IE: rilevato attacco |
973320 |
Filtri XSS IE: rilevato attacco |
973318 |
Filtri XSS IE: rilevato attacco |
973317 |
Filtri XSS IE: rilevato attacco |
973329 |
Filtri XSS IE: rilevato attacco |
973328 |
Filtri XSS IE: rilevato attacco |
crs_42_tight_security
ID regola |
Descrizione |
950103 |
Attacco di tipo Path Traversal |
crs_45_trojans
ID regola |
Descrizione |
950110 |
Accesso backdoor |
950921 |
Accesso backdoor |
950922 |
Accesso backdoor |
1.0 set di regole
Bot non corretti
ID regola |
Descrizione |
Bot100100 |
Bot dannosi rilevati dall'intelligence sulle minacce |
Bot100200 |
Bot dannosi che ne hanno falsificato l'identità |
Bot100100 analizza sia gli indirizzi IP client che gli indirizzi IP nell'intestazione X-Forwarded-For
.
Bot non dannosi
ID regola |
Descrizione |
Bot200100 |
Crawler del motore di ricerca |
Bot200200 |
Crawler del motore di ricerca non verificati |
Bot di tipo sconosciuto
ID regola |
Descrizione |
Bot300100 |
Identità non specificata |
Bot300200 |
Strumenti e framework per la ricerca per indicizzazione web e gli attacchi |
Bot300300 |
SDK e client HTTP per utilizzo generico |
Bot300400 |
Agenti di servizio |
Bot300500 |
Servizi di monitoraggio integrità del sito |
Bot300600 |
L'intelligence per le minacce ha rilevato bot sconosciuti |
Bot300700 |
Altri bot |
Bot300600 analizza sia gli indirizzi IP client che gli indirizzi IP nell'intestazione X-Forwarded-For
.
1.1 set di regole
Bot non corretti
ID regola |
Descrizione |
Bot100100 |
Bot dannosi rilevati dall'intelligence sulle minacce |
Bot100200 |
Bot dannosi che ne hanno falsificato l'identità |
Bot100300 |
Bot ad alto rischio rilevati dall'intelligence sulle minacce |
Bot100100 analizza sia gli indirizzi IP client che gli indirizzi IP nell'intestazione X-Forwarded-For
.
Bot non dannosi
ID regola |
Descrizione |
Bot200100 |
Crawler del motore di ricerca |
Bot200200 |
Bot vari verificati |
Bot200300 |
Bot di controllo dei collegamenti verificati |
Bot200400 |
Bot di social media verificati |
Bot200500 |
Recupero contenuto verificato |
Bot200600 |
Recuperatori di feed verificati |
Bot200700 |
Bot di pubblicità verificati |
Bot di tipo sconosciuto
ID regola |
Descrizione |
Bot300100 |
Identità non specificata |
Bot300200 |
Strumenti e framework per la ricerca per indicizzazione web e gli attacchi |
Bot300300 |
SDK e client HTTP per utilizzo generico |
Bot300400 |
Agenti di servizio |
Bot300500 |
Servizi di monitoraggio integrità del sito |
Bot300600 |
Bot sconosciuti rilevati dall'intelligence per le minacce. Questa regola include anche gli indirizzi IP corrispondenti alla rete Tor. |
Bot300700 |
Altri bot |
Bot300600 analizza sia gli indirizzi IP client che gli indirizzi IP nell'intestazione X-Forwarded-For
.
Passaggi successivi