Share via


DRS-regelgroepen en -regels voor Web Application Firewall

Azure Web Application Firewall in Azure Front Door beschermt webtoepassingen tegen veelvoorkomende beveiligingsproblemen en aanvallen. Door Azure beheerde regelsets bieden een eenvoudige manier om beveiliging te implementeren op basis van een gemeenschappelijke set beveiligingsbedreigingen. Omdat Azure deze regelsets beheert, worden de regels zo nodig bijgewerkt om u te beschermen tegen nieuwe aanvalshandtekeningen.

De standaardregelset (DRS) bevat ook de regels voor het verzamelen van Microsoft Threat Intelligence die zijn geschreven in samenwerking met het Microsoft Intelligence-team om meer dekking te bieden, patches voor specifieke beveiligingsproblemen en betere fout-positieve reductie.

Notitie

Wanneer een versie van een regelset wordt gewijzigd in een WAF-beleid, worden bestaande aanpassingen die u in uw regelset hebt aangebracht, opnieuw ingesteld op de standaardwaarden voor de nieuwe regelset. Zie: De versie van de regelset bijwerken of wijzigen.

Standaardregelsets

De door Azure beheerde DRS bevat regels voor de volgende bedreigingscategorieën:

  • Script uitvoeren op meerdere sites
  • Java-aanvallen
  • Lokale bestandsopname
  • PHP-injectieaanvallen
  • Uitvoeren van opdrachten op afstand
  • Externe bestandsopname
  • Sessiefixatie
  • Beveiliging tegen SQL-injecties
  • Protocolaanvallers

Het versienummer van de DRS wordt verhoogd wanneer nieuwe aanvalshandtekeningen worden toegevoegd aan de regelset.

DRS is standaard ingeschakeld in de detectiemodus in uw WAF-beleid. U kunt afzonderlijke regels in de DRS uitschakelen of inschakelen om te voldoen aan uw toepassingsvereisten. U kunt ook specifieke acties per regel instellen. De beschikbare acties zijn Toestaan, Blokkeren, Registreren en Omleiden.

Soms moet u bepaalde aanvraagkenmerken weglaten uit een WAF-evaluatie (Web Application Firewall). Een bekend voorbeeld is door Active Directory ingevoegde tokens die worden gebruikt voor verificatie. U kunt een uitsluitingslijst configureren voor een beheerde regel, een regelgroep of de hele regelset. Zie De uitsluitingslijsten van Azure Web Application Firewall in Azure Front Door voor meer informatie.

DRS-versies 2.0 en hoger gebruiken standaard anomaliescores wanneer een aanvraag overeenkomt met een regel. DRS-versies ouder dan 2.0 blokkeren aanvragen die de regels activeren. Daarnaast kunnen aangepaste regels worden geconfigureerd in hetzelfde WAF-beleid als u een van de vooraf geconfigureerde regels in de DRS wilt omzeilen.

Aangepaste regels worden altijd toegepast voordat regels in de DRS worden geëvalueerd. Als een aanvraag overeenkomt met een aangepaste regel, wordt de bijbehorende regelactie toegepast. De aanvraag wordt geblokkeerd of doorgegeven aan de back-end. Er worden geen andere aangepaste regels of regels in de DRS verwerkt. U kunt de DRS ook verwijderen uit uw WAF-beleid.

Regels voor het verzamelen van bedreigingsinformatie van Microsoft

De regels voor het verzamelen van bedreigingsinformatie van Microsoft worden geschreven in samenwerking met het Microsoft Threat Intelligence-team om meer dekking te bieden, patches voor specifieke beveiligingsproblemen en betere fout-positieve reductie.

Standaard vervangen de regels voor het verzamelen van Bedreigingsinformatie van Microsoft enkele van de ingebouwde DRS-regels, waardoor ze worden uitgeschakeld. Regel-id 942440, SQL Comment Sequence Detected, is bijvoorbeeld uitgeschakeld en vervangen door de regel voor het verzamelen van bedreigingen van Microsoft 99031002. De vervangen regel vermindert het risico op fout-positieve detecties van legitieme aanvragen.

Anomaliescore

Wanneer u DRS 2.0 of hoger gebruikt, gebruikt uw WAF anomaliescore. Verkeer dat overeenkomt met een regel wordt niet onmiddellijk geblokkeerd, zelfs niet wanneer uw WAF zich in de preventiemodus bevindt. In plaats daarvan definiëren de OWASP-regelsets een ernst voor elke regel: Kritiek, Fout, Waarschuwing of Kennisgeving. De ernst is van invloed op een numerieke waarde voor de aanvraag, die de anomaliescore wordt genoemd. Als een aanvraag een anomaliescore van 5 of hoger verzamelt, neemt de WAF actie op de aanvraag.

Ernst van regel Waarde heeft bijgedragen aan anomaliescore
Kritiek 5
Error 4
Waarschuwing 3
Opmerking 2

Wanneer u uw WAF configureert, kunt u bepalen hoe de WAF aanvragen verwerkt die de drempelwaarde voor anomaliescore van 5 overschrijden. De drie actieopties voor anomaliescores zijn Blokkeren, Logboeken of Omleiding. De actie anomaliescore die u op het moment van de configuratie selecteert, wordt toegepast op alle aanvragen die de drempelwaarde voor anomaliescore overschrijden.

Als de anomaliescore bijvoorbeeld 5 of hoger is voor een aanvraag en de WAF zich in de preventiemodus bevindt met de actie anomaliescore ingesteld op Blokkeren, wordt de aanvraag geblokkeerd. Als de anomaliescore 5 of hoger is voor een aanvraag en de WAF zich in de detectiemodus bevindt, wordt de aanvraag geregistreerd, maar niet geblokkeerd.

Een enkele kritieke regelovereenkomst is voldoende om een aanvraag te blokkeren in de preventiemodus met de actie Anomaliescore ingesteld op Blokkeren omdat de algehele anomaliescore 5 is. Eén waarschuwingsregel komt echter alleen overeen met de anomaliescore met 3, wat niet voldoende is om het verkeer te blokkeren. Wanneer een anomalieregel wordt geactiveerd, wordt er een 'overeenkomende' actie weergegeven in de logboeken. Als de anomaliescore 5 of hoger is, wordt er een afzonderlijke regel geactiveerd met de actie anomaliescore die is geconfigureerd voor de regelset. De standaardactie anomaliescore is Blokkeren, wat resulteert in een logboekvermelding met de actie blocked.

Wanneer uw WAF gebruikmaakt van een oudere versie van de standaardregelset (vóór DRS 2.0), wordt uw WAF uitgevoerd in de traditionele modus. Verkeer dat overeenkomt met een regel wordt onafhankelijk van andere regelovereenkomsten beschouwd. In de traditionele modus hebt u geen inzicht in de volledige set regels die overeenkomen met een specifieke aanvraag.

De versie van de DRS die u gebruikt, bepaalt ook welke inhoudstypen worden ondersteund voor inspectie van de aanvraagbody. Zie Welke inhoudstypen worden door WAF ondersteund in de veelgestelde vragen voor meer informatie.

Versie van regelset bijwerken of wijzigen

Als u een upgrade uitvoert of een nieuwe versie van de regelset toewijst en bestaande regeloverschrijvingen en uitsluitingen wilt behouden, wordt u aangeraden PowerShell, CLI, REST API of sjablonen te gebruiken om wijzigingen in de regelsetversie aan te brengen. Een nieuwe versie van een regelset kan nieuwere regels, extra regelgroepen bevatten en kan updates hebben voor bestaande handtekeningen om betere beveiliging af te dwingen en fout-positieven te verminderen. Het wordt aanbevolen om wijzigingen in een testomgeving te valideren, indien nodig af te stemmen en vervolgens in een productieomgeving te implementeren.

Notitie

Als u Azure Portal gebruikt om een nieuwe beheerde regelset toe te wijzen aan een WAF-beleid, worden alle vorige aanpassingen van de bestaande beheerde regelset, zoals regelstatus, regelacties en uitsluitingen op regelniveau, opnieuw ingesteld op de standaardwaarden van de nieuwe beheerde regelset. Aangepaste regels of beleidsinstellingen blijven echter ongewijzigd tijdens de toewijzing van de nieuwe regelset. U moet regeloverschrijvingen opnieuw definiëren en wijzigingen valideren voordat u implementeert in een productieomgeving.

DRS 2.1

DRS 2.1-regels bieden betere beveiliging dan eerdere versies van de DRS. Het bevat andere regels die zijn ontwikkeld door het Microsoft Threat Intelligence-team en updates voor handtekeningen om fout-positieven te verminderen. Het biedt ook ondersteuning voor transformaties die verder gaan dan alleen URL-decodering.

DRS 2.1 bevat 17 regelgroepen, zoals wordt weergegeven in de volgende tabel. Elke groep bevat meerdere regels en u kunt het gedrag voor afzonderlijke regels, regelgroepen of een hele regelset aanpassen. DRS 2.1 is een basislijn voor het Open Web Application Security Project (OWASP) Core Rule Set (CRS) 3.3.2 en bevat aanvullende regels voor bedrijfseigen beveiliging die zijn ontwikkeld door het Microsoft Threat Intelligence-team.

Zie Web Application Firewall (WAF) afstemmen voor Azure Front Door voor meer informatie.

Notitie

DRS 2.1 is alleen beschikbaar in Azure Front Door Premium.

Regelgroep ruleGroupName Beschrijving
Algemeen Algemeen Algemene groep
METHODE AFDWINGEN METHOD-ENFORCEMENT Vergrendelingsmethoden (PUT, PATCH)
PROTOCOL AFDWINGEN PROTOCOL-ENFORCEMENT Beveiliging tegen protocol- en coderingsproblemen
PROTOCOL-AANVAL PROTOCOL-ATTACK Bescherming tegen koptekstinjectie, smokkel aanvragen en antwoordsplitsing
APPLICATION-ATTACK-LFI LFI Beveiligen tegen bestands- en padaanvallen
APPLICATION-ATTACK-RFI RFI Beveiligen tegen RFI-aanvallen (Remote File Inclusion)
APPLICATION-ATTACK-RCE RCE Opnieuw aanvallen op uitvoering van externe code beveiligen
APPLICATION-ATTACK-PHP PHP Bescherming tegen PHP-injectieaanvallen
APPLICATION-ATTACK-NodeJS NODEJS Beveiligen tegen knooppunt-JS-aanvallen
APPLICATION-ATTACK-XSS XSS Beveiligen tegen aanvallen met scripts op meerdere sites
APPLICATION-ATTACK-SQLI SQLI Bescherming tegen SQL-injectieaanvallen
APPLICATION-ATTACK-SESSION-FIXATION FIX Bescherming tegen sessiefixatieaanvallen
APPLICATION-ATTACK-SESSION-JAVA JAVA Beveiligen tegen JAVA-aanvallen
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Beveiligen tegen Web Shell-aanvallen
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec Beveiligen tegen AppSec-aanvallen
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI Bescherming tegen SQLI-aanvallen
MS-ThreatIntel-CVE's MS-ThreatIntel-CVE's Bescherming tegen CVE-aanvallen

Uitgeschakelde regels

De volgende regels zijn standaard uitgeschakeld voor DRS 2.1.

Regel-id Regelgroep Beschrijving DETAILS
942110 SQLI SQL-injectieaanval: Veelvoorkomende injectietests gedetecteerd Vervangen door MSTIC-regel 99031001
942150 SQLI SQL-injectieaanval Vervangen door MSTIC-regel 99031003
942260 SQLI Detecteert het omzeilen van eenvoudige SQL-verificatiepogingen 2/3 Vervangen door MSTIC-regel 99031004
942430 SQLI Beperkte anomaliedetectie van SQL-tekens (args): aantal speciale tekens overschreden (12) Te veel fout-positieven
942440 SQLI SQL-opmerkingenreeks gedetecteerd Vervangen door MSTIC-regel 99031002
99005006 MS-ThreatIntel-WebShells Spring4Shell-interactiepoging Regel inschakelen om beveiligingsproblemen met SpringShell te voorkomen
99001014 MS-ThreatIntel-CVE's Poging tot Spring Cloud-routing-expression injectie CVE-2022-22963 Regel inschakelen om beveiligingsproblemen met SpringShell te voorkomen
99001015 MS-ThreatIntel-WebShells Poging tot het misbruiken van onveilige Spring Framework-klasseobjecten CVE-2022-22965 Regel inschakelen om beveiligingsproblemen met SpringShell te voorkomen
99001016 MS-ThreatIntel-WebShells Poging tot Spring Cloud Gateway Actuator injectie CVE-2022-22947 Regel inschakelen om beveiligingsproblemen met SpringShell te voorkomen
99001017 MS-ThreatIntel-CVE's Poging tot uploaden van Apache Struts-bestand CVE-2023-50164. Regel inschakelen om beveiligingsproblemen met Apache Struts te voorkomen

DRS 2.0

DRS 2.0-regels bieden betere beveiliging dan eerdere versies van de DRS. DRS 2.0 biedt ook ondersteuning voor transformaties die verder gaan dan alleen URL-decodering.

DRS 2.0 bevat 17 regelgroepen, zoals wordt weergegeven in de volgende tabel. Elke groep bevat meerdere regels. U kunt afzonderlijke regels en hele regelgroepen uitschakelen.

Notitie

DRS 2.0 is alleen beschikbaar in Azure Front Door Premium.

Regelgroep ruleGroupName Beschrijving
Algemeen Algemeen Algemene groep
METHODE AFDWINGEN METHOD-ENFORCEMENT Vergrendelingsmethoden (PUT, PATCH)
PROTOCOL AFDWINGEN PROTOCOL-ENFORCEMENT Beveiliging tegen protocol- en coderingsproblemen
PROTOCOL-AANVAL PROTOCOL-ATTACK Bescherming tegen koptekstinjectie, smokkel aanvragen en antwoordsplitsing
APPLICATION-ATTACK-LFI LFI Beveiligen tegen bestands- en padaanvallen
APPLICATION-ATTACK-RFI RFI Beveiligen tegen RFI-aanvallen (Remote File Inclusion)
APPLICATION-ATTACK-RCE RCE Opnieuw aanvallen op uitvoering van externe code beveiligen
APPLICATION-ATTACK-PHP PHP Bescherming tegen PHP-injectieaanvallen
APPLICATION-ATTACK-NodeJS NODEJS Beveiligen tegen knooppunt-JS-aanvallen
APPLICATION-ATTACK-XSS XSS Beveiligen tegen aanvallen met scripts op meerdere sites
APPLICATION-ATTACK-SQLI SQLI Bescherming tegen SQL-injectieaanvallen
APPLICATION-ATTACK-SESSION-FIXATION FIX Bescherming tegen sessiefixatieaanvallen
APPLICATION-ATTACK-SESSION-JAVA JAVA Beveiligen tegen JAVA-aanvallen
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Beveiligen tegen Web Shell-aanvallen
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec Beveiligen tegen AppSec-aanvallen
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI Bescherming tegen SQLI-aanvallen
MS-ThreatIntel-CVE's MS-ThreatIntel-CVE's Bescherming tegen CVE-aanvallen

DRS 1.1

Regelgroep ruleGroupName Beschrijving
PROTOCOL-AANVAL PROTOCOL-ATTACK Bescherming tegen koptekstinjectie, smokkel aanvragen en antwoordsplitsing
APPLICATION-ATTACK-LFI LFI Beveiligen tegen bestands- en padaanvallen
APPLICATION-ATTACK-RFI RFI Beveiliging tegen aanvallen op externe bestandsopname
APPLICATION-ATTACK-RCE RCE Beveiliging tegen uitvoering van externe opdrachten
APPLICATION-ATTACK-PHP PHP Bescherming tegen PHP-injectieaanvallen
APPLICATION-ATTACK-XSS XSS Beveiligen tegen aanvallen met scripts op meerdere sites
APPLICATION-ATTACK-SQLI SQLI Bescherming tegen SQL-injectieaanvallen
APPLICATION-ATTACK-SESSION-FIXATION FIX Bescherming tegen sessiefixatieaanvallen
APPLICATION-ATTACK-SESSION-JAVA JAVA Beveiligen tegen JAVA-aanvallen
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Beveiligen tegen Web Shell-aanvallen
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec Beveiligen tegen AppSec-aanvallen
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI Bescherming tegen SQLI-aanvallen
MS-ThreatIntel-CVE's MS-ThreatIntel-CVE's Bescherming tegen CVE-aanvallen

DRS 1.0

Regelgroep ruleGroupName Beschrijving
PROTOCOL-AANVAL PROTOCOL-ATTACK Bescherming tegen koptekstinjectie, smokkel aanvragen en antwoordsplitsing
APPLICATION-ATTACK-LFI LFI Beveiligen tegen bestands- en padaanvallen
APPLICATION-ATTACK-RFI RFI Beveiliging tegen aanvallen op externe bestandsopname
APPLICATION-ATTACK-RCE RCE Beveiliging tegen uitvoering van externe opdrachten
APPLICATION-ATTACK-PHP PHP Bescherming tegen PHP-injectieaanvallen
APPLICATION-ATTACK-XSS XSS Beveiligen tegen aanvallen met scripts op meerdere sites
APPLICATION-ATTACK-SQLI SQLI Bescherming tegen SQL-injectieaanvallen
APPLICATION-ATTACK-SESSION-FIXATION FIX Bescherming tegen sessiefixatieaanvallen
APPLICATION-ATTACK-SESSION-JAVA JAVA Beveiligen tegen JAVA-aanvallen
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Beveiligen tegen Web Shell-aanvallen
MS-ThreatIntel-CVE's MS-ThreatIntel-CVE's Bescherming tegen CVE-aanvallen

Bot Manager 1.0

De regelset Bot Manager 1.0 biedt bescherming tegen schadelijke bots en detectie van goede bots. De regels bieden gedetailleerde controle over bots die door WAF worden gedetecteerd door botverkeer te categoriseren als goed, slecht of onbekend bots.

Regelgroep Beschrijving
BadBots Beschermen tegen slechte bots
GoodBots Goede bots identificeren
UnknownBots Onbekende bots identificeren

Bot Manager 1.1

De regelset Bot Manager 1.1 is een verbetering van bot manager 1.0-regelset. Het biedt verbeterde bescherming tegen schadelijke bots en verhoogt de detectie van goede bot.

Regelgroep Beschrijving
BadBots Beschermen tegen slechte bots
GoodBots Goede bots identificeren
UnknownBots Onbekende bots identificeren

De volgende regelgroepen en -regels zijn beschikbaar wanneer u Azure Web Application Firewall in Azure Front Door gebruikt.

2.1 regelsets

Algemeen

RuleId Beschrijving
200002 Kan aanvraagbody niet parseren
200003 Hoofdtekst van aanvraag met meerdere onderdelen is strikte validatie mislukt

Methode afdwingen

RuleId Beschrijving
911100 Methode is niet toegestaan door beleid

Protocolafdwinging

RuleId Beschrijving
920100 Ongeldige HTTP-aanvraagregel.
920120 Poging tot bypass van meerdere onderdelen/formuliergegevens.
920121 Poging tot bypass van meerdere onderdelen/formuliergegevens.
920160 HTTP-header met inhoudslengte is niet numeriek.
920170 GET- of HEAD-aanvraag met hoofdtekstinhoud.
920171 GET- of HEAD-aanvraag met overdrachtscodering.
920180 POST-aanvraag ontbreekt in de header Content-Length.
920181 Headers voor inhoudslengte en overdrachtscodering zijn aanwezig 99001003.
920190 Bereik: Ongeldige laatste bytewaarde.
920200 Bereik: Te veel velden (6 of meer).
920201 Bereik: Te veel velden voor pdf-aanvraag (35 of meer).
920210 Er zijn meerdere/conflicterende verbindingsheadergegevens gevonden.
920220 Aanvalspoging van URL-codering.
920230 Er zijn meerdere URL-codering gedetecteerd.
920240 Aanvalspoging van URL-codering.
920260 Aanvalspoging met Unicode volledige/halve breedte.
920270 Ongeldig teken in aanvraag (null-teken).
920271 Ongeldig teken in aanvraag (niet-afdrukbare tekens).
920280 Aanvraag ontbreekt een hostheader.
920290 Lege hostheader.
920300 Aanvraag ontbreekt een acceptheader.
920310 Aanvraag heeft een lege acceptheader.
920311 Aanvraag heeft een lege acceptheader.
920320 Header van gebruikersagent ontbreekt.
920330 Lege header van gebruikersagent.
920340 Aanvraag met inhoud, maar koptekst inhoud ontbreekt.
920341 Voor de aanvraag met inhoud is de header Content-Type vereist.
920350 Hostheader is een numeriek IP-adres.
920420 Het inhoudstype Aanvraag is niet toegestaan op basis van beleid.
920430 De versie van het HTTP-protocol is niet toegestaan door beleid.
920440 De URL-bestandsextensie wordt beperkt door beleid.
920450 HTTP-header wordt beperkt door beleid.
920470 Ongeldige header van het inhoudstype.
920480 Charset voor het inhoudstype aanvragen is niet toegestaan door beleid.
920500 Probeer toegang te krijgen tot een back-up- of werkbestand.

Protocolaanval

RuleId Beschrijving
921110 HTTP-aanvraagsmokkelaanval
921120 HTTP Response Splitting Attack
921130 HTTP Response Splitting Attack
921140 HTTP-headerinjectieaanval via headers
921150 HTTP-headerinjectieaanval via nettolading (CR/LF gedetecteerd)
921151 HTTP-headerinjectieaanval via nettolading (CR/LF gedetecteerd)
921160 HTTP Header Injection Attack via payload (CR/LF en header-name gedetecteerd)
921190 HTTP-splitsing (CR/LF in aanvraagbestand gedetecteerd)
921200 LDAP-injectieaanval

LFI: Lokale bestandsopname

RuleId Beschrijving
930100 Pad doorkruisingsaanval (/.. /)
930110 Pad doorkruisingsaanval (/.. /)
930120 Poging tot toegang tot besturingssysteembestand
930130 Poging tot beperkte bestandstoegang

RFI: Externe bestandsopname

RuleId Beschrijving
931100 Mogelijke RFI-aanval (Remote File Inclusion): URL-parameter met behulp van IP-adres
931110 Mogelijke RFI-aanval (Remote File Inclusion): Common RFI Vulnerable Parameter Name used w/URL Payload
931120 Mogelijke RFI-aanval (Remote File Inclusion): URL-nettolading gebruikt met vraagteken (?)
931130 Mogelijke RFI-aanval (Remote File Inclusion): Off-Domain Reference/Link

RCE: Uitvoering van externe opdracht

RuleId Beschrijving
932100 Uitvoering van externe opdracht: Unix-opdrachtinjectie
932105 Uitvoering van externe opdracht: Unix-opdrachtinjectie
932110 Uitvoering van externe opdracht: Windows-opdrachtinjectie
932115 Uitvoering van externe opdracht: Windows-opdrachtinjectie
932120 Uitvoering van externe opdracht: Windows PowerShell-opdracht gevonden
932130 Uitvoering van externe opdracht: Beveiligingsprobleem met Unix Shell Expression of Confluence (CVE-2022-26134) gevonden
932140 Uitvoering van externe opdracht: Windows FOR/IF-opdracht gevonden
932150 Uitvoering van externe opdracht: directe uitvoering van Unix-opdrachten
932160 Uitvoering van externe opdracht: Unix Shell-code gevonden
932170 Uitvoering van externe opdracht: Shellshock (CVE-2014-6271)
932171 Uitvoering van externe opdracht: Shellshock (CVE-2014-6271)
932180 Poging tot uploaden van beperkte bestanden

PHP-aanvallen

RuleId Beschrijving
933100 PHP-injectieaanval: openen/sluiten tag gevonden
933110 PHP-injectieaanval: UPLOAD van PHP-scriptbestand gevonden
933120 PHP-injectieaanval: configuratierichtlijn gevonden
933130 PHP-injectieaanval: variabelen gevonden
933140 PHP-injectieaanval: I/O Stream gevonden
933150 PHP-injectieaanval: naam van php-functie met hoog risico gevonden
933151 PHP-injectieaanval: naam van php-functie met gemiddeld risico gevonden
933160 PHP-injectieaanval: aanroep van de PHP-functie met een hoog risico gevonden
933170 PHP-injectieaanval: geserialiseerde objectinjectie
933180 PHP-injectieaanval: variabele functieaanroep gevonden
933200 PHP-injectieaanval: Wrapper-schema gedetecteerd
933210 PHP-injectieaanval: variabele functieaanroep gevonden

JS-aanvallen op knooppunten

RuleId Beschrijving
934100 Node.js injectieaanval

XSS: Scripting op meerdere sites

RuleId Beschrijving
941100 XSS-aanval gedetecteerd via libinjection
941101 XSS-aanval gedetecteerd via libinjection
Regel detecteert aanvragen met een Referer header
941110 XSS-filter - Categorie 1: Script Tag Vector
941120 XSS-filter - Categorie 2: Gebeurtenishandlervector
941130 XSS-filter - categorie 3: kenmerkvector
941140 XSS-filter - categorie 4: JavaScript-URI-vector
941150 XSS-filter - categorie 5: niet-toegestane HTML-kenmerken
941160 NoScript XSS InjectionChecker: HTML-injectie
941170 NoScript XSS InjectionChecker: kenmerkinjectie
941180 Trefwoorden voor knooppuntvalidatielijst
941190 XSS met opmaakmodellen
941200 XSS met VML-frames
941210 XSS met verborgen JavaScript
941220 XSS met verborgen VB-script
941230 XSS met behulp van embed tag
941240 XSS met behulp van import of implementation kenmerk
941250 IE XSS-filters - Aanval gedetecteerd
941260 XSS met behulp van meta tag
941270 XSS met href link
941280 XSS met behulp van base tag
941290 XSS met behulp van applet tag
941300 XSS met behulp van object tag
941310 US-ASCII Malformed Encoding XSS-filter - Aanval gedetecteerd
941320 Mogelijke XSS-aanval gedetecteerd - HTML-taghandler
941330 IE XSS-filters - Aanval gedetecteerd
941340 IE XSS-filters - Aanval gedetecteerd
941350 UTF-7 Encoding IE XSS - Aanval gedetecteerd
941360 JavaScript-verdoofing gedetecteerd
941370 Globale JavaScript-variabele gevonden
941380 Sjablooninjectie aan de clientzijde van AngularJS gedetecteerd

SQLI: SQL-injectie

RuleId Beschrijving
942100 SQL-injectieaanval gedetecteerd via libinjection.
942110 SQL-injectieaanval: veelvoorkomende injectietests gedetecteerd.
942120 SQL-injectieaanval: SQL-operator gedetecteerd.
942140 SQL-injectieaanval: veelvoorkomende DB-namen gedetecteerd.
942150 SQL-injectieaanval.
942160 Detecteert blinde SQLI-tests met behulp van sleep() of benchmark().
942170 Detecteert sql-benchmark- en slaapinjectiepogingen, inclusief voorwaardelijke query's.
942180 Detecteert het omzeilen van eenvoudige SQL-verificatiepogingen 1/3.
942190 Detecteert het uitvoeren van MSSQL-code en het verzamelen van gegevens.
942200 Detecteert MySQL comment-/space-obfuscated injecties en backtick beëindiging.
942210 Detecteert gekoppelde SQL-injectiepogingen 1/2.
942220 Op zoek naar overloopaanvallen voor gehele getallen, worden deze overgenomen van skipfish, behalve 3.0.0073850720072007e-308 is de "magic number" crash.
942230 Detecteert voorwaardelijke SQL-injectiepogingen.
942240 Detecteert de MySQL charset-switch en MSSQL DoS-pogingen.
942250 Detecteert MATCH AGAINST, MERGE en EXECUTE IMMEDIATE injecties.
942260 Detecteert het omzeilen van eenvoudige SQL-verificatiepogingen 2/3.
942270 Op zoek naar eenvoudige SQL-injectie. Algemene aanvalstekenreeks voor MySQL, Oracle en andere.
942280 Detecteert Postgres pg_sleep injectie, wacht op vertragingsaanvallen en pogingen tot het afsluiten van de database.
942290 Hiermee vindt u eenvoudige MongoDB SQL-injectiepogingen.
942300 Detecteert MySQL-opmerkingen, -voorwaarden en ch(a)r-injecties.
942310 Detecteert gekoppelde SQL-injectiepogingen 2/2.
942320 Detecteert opgeslagen procedure/functie-injecties van MySQL en PostgreSQL.
942330 Detecteert klassieke SQL-injectieprobings 1/2.
942340 Detecteert het omzeilen van eenvoudige SQL-verificatiepogingen 3/3.
942350 Detecteert MySQL UDF-injectie en andere pogingen om gegevens/structuur te manipuleren.
942360 Detecteert samengevoegde SQL-injectie en SQLLFI-pogingen.
942361 Detecteert eenvoudige SQL-injectie op basis van het wijzigen van trefwoorden of samenvoeging.
942370 Detecteert klassieke SQL-injectieprobings 2/2.
942380 SQL-injectieaanval.
942390 SQL-injectieaanval.
942400 SQL-injectieaanval.
942410 SQL-injectieaanval.
942430 Beperkte anomaliedetectie van SQL-tekens (args): aantal speciale tekens overschreden (12).
942440 SQL-opmerkingenreeks gedetecteerd.
942450 Geïdentificeerde SQL Hex-codering.
942460 Waarschuwing voor anomaliedetectie met metatekens- terugkerende niet-Word-tekens.
942470 SQL-injectieaanval.
942480 SQL-injectieaanval.
942500 MySQL-in-line opmerking gedetecteerd.
942510 SQLi bypasspoging door tikken of backticks gedetecteerd.

Sessiefixatie

RuleId Beschrijving
943100 Mogelijke sessiefixatieaanval: Cookiewaarden instellen in HTML
943110 Mogelijke sessiefixatie-aanval: Naam van sessie-ID-parameter met referrer van het externe domein
943120 Mogelijke sessiefixatie-aanval: Naam van sessie-id-parameter zonder verwijzing

Java-aanvallen

RuleId Beschrijving
944100 Uitvoering van externe opdrachten: Apache Struts, Oracle WebLogic
944110 Detecteert mogelijke uitvoering van nettoladingen
944120 Mogelijke uitvoering van nettolading en uitvoering van externe opdrachten
944130 Verdachte Java-klassen
944200 Exploitatie van Java deserialization Apache Commons
944210 Mogelijk gebruik van Java-serialisatie
944240 Uitvoering van externe opdracht: Java-serialisatie en Log4j-beveiligingsprobleem (CVE-2021-44228, CVE-2021-45046)
944250 Uitvoering van externe opdracht: Verdachte Java-methode gedetecteerd

MS-ThreatIntel-WebShells

RuleId Beschrijving
99005002 Web Shell Interaction Attempt (POST)
99005003 Uploadpoging van Web Shell (POST) - CHOPPER PHP
99005004 Uploadpoging van Web Shell (POST) - CHOPPER ASPX
99005005 Interactiepoging webshell
99005006 Spring4Shell-interactiepoging

MS-ThreatIntel-AppSec

RuleId Beschrijving
99030001 Pad Doorkruising in headers (/.. /./.. /)
99030002 Pad doorkruising in aanvraagtekst (/.). /./.. /)

MS-ThreatIntel-SQLI

RuleId Beschrijving
99031001 SQL-injectieaanval: Veelvoorkomende injectietests gedetecteerd
99031002 SQL-opmerkingenreeks gedetecteerd
99031003 SQL-injectieaanval
99031004 Detecteert het omzeilen van eenvoudige SQL-verificatiepogingen 2/3

MS-ThreatIntel-CVE's

RuleId Beschrijving
99001001 Poging tot F5 tmui (CVE-2020-5902) REST API-exploitatie met bekende referenties
99001002 Poging tot Citrix NSC_USER directory traversal CVE-2019-19781
99001003 Poging tot exploitatie van Atlassian Confluence Widget Connector CVE-2019-3396
99001004 Poging tot aangepaste pulse Secure-sjabloonuitbuiting CVE-2020-8243
99001005 Poging tot conversie van conversieprogramma van SharePoint-type CVE-2020-0932
99001006 Poging tot doorkruising van Pulse Connect-directory CVE-2019-11510
99001007 Poging om junos OS J-Web lokaal bestand in te nemen CVE-2020-1631
99001008 Poging tot fortinet-pad traversal CVE-2018-13379
99001009 Poging tot Apache struts ognl injectie CVE-2017-5638
99001010 Poging tot Apache struts ognl injectie CVE-2017-12611
99001011 Poging tot Oracle WebLogic-pad traversal CVE-2020-14882
99001012 Poging telerik WebUI onveilige deserialisatie-exploitatie CVE-2019-18935
99001013 Poging tot onveilige XML-deserialisatie van SharePoint-CVE-2019-0604
99001014 Poging tot Spring Cloud-routing-expression injectie CVE-2022-22963
99001015 Poging tot het misbruiken van onveilige Spring Framework-klasseobjecten CVE-2022-22965
99001016 Poging tot Spring Cloud Gateway Actuator injectie CVE-2022-22947
99001017 Poging tot uploaden van Apache Struts-bestand CVE-2023-50164

Notitie

Wanneer u de logboeken van uw WAF bekijkt, ziet u mogelijk regel-id 949110. De beschrijving van de regel kan inkomende anomaliescore zijn overschreden.

Deze regel geeft aan dat de totale anomaliescore voor de aanvraag de maximaal toegestane score heeft overschreden. Zie Anomaliescore voor meer informatie.

Wanneer u uw WAF-beleid afstemt, moet u de andere regels onderzoeken die zijn geactiveerd door de aanvraag, zodat u de configuratie van uw WAF kunt aanpassen. Zie Azure Web Application Firewall afstemmen voor Azure Front Door voor meer informatie.

Volgende stappen