DrS- en CRS-regelgroepen en -regels voor Web Application Firewall
Artikel
De door Azure beheerde regelsets in de Application Gateway Web Application Firewall (WAF) beschermen webtoepassingen actief tegen veelvoorkomende beveiligingsproblemen en aanvallen. Deze regelsets, beheerd door Azure, ontvangen zo nodig updates om nieuwe aanvalshandtekeningen te beschermen. De standaardregelset bevat ook de regels voor microsoft Threat Intelligence Collection. Het Microsoft Intelligence-team werkt samen aan het schrijven van deze regels, waardoor verbeterde dekking, specifieke patches voor beveiligingsproblemen en verbeterde fout-positieve reductie mogelijk zijn.
U kunt ook regels gebruiken die zijn gedefinieerd op basis van de OWASP-kernregelsets 3.2, 3.1, 3.0 of 2.2.9.
U kunt regels afzonderlijk uitschakelen of specifieke acties instellen voor elke regel. Dit artikel bevat de huidige regels en regelsets die beschikbaar zijn. Als voor een gepubliceerde regelset een update is vereist, wordt deze hier beschreven.
Notitie
Wanneer een versie van een regelset wordt gewijzigd in een WAF-beleid, worden bestaande aanpassingen die u in uw regelset hebt aangebracht, opnieuw ingesteld op de standaardwaarden voor de nieuwe regelset. Zie: De versie van de regelset bijwerken of wijzigen.
Standaardregelsets
De door Azure beheerde standaardregelset (DRS) bevat regels voor de volgende bedreigingscategorieën:
Script uitvoeren op meerdere sites
Java-aanvallen
Lokale bestandsopname
PHP-injectieaanvallen
Uitvoeren van opdrachten op afstand
Externe bestandsopname
Sessiefixatie
Beveiliging tegen SQL-injecties
Protocol-aanvallers Het versienummer van de DRS wordt verhoogd wanneer nieuwe aanvalshandtekeningen worden toegevoegd aan de regelset.
Regels voor het verzamelen van bedreigingsinformatie van Microsoft
De regels voor het verzamelen van bedreigingsinformatie van Microsoft worden geschreven in samenwerking met het Microsoft Threat Intelligence-team om meer dekking te bieden, patches voor specifieke beveiligingsproblemen en betere fout-positieve reductie.
Notitie
Gebruik de volgende richtlijnen om WAF af te stemmen terwijl u aan de slag gaat met 2.1 op Application Gateway WAF. Details van de regels worden hierna beschreven.
De regel ingeschakeld houden om te voorkomen dat SpringShell-beveiligingsproblemen worden voorkomen
99001016
MS-ThreatIntel-WebShells
Poging tot Spring Cloud Gateway Actuator injectie CVE-2022-22947
De regel ingeschakeld houden om te voorkomen dat SpringShell-beveiligingsproblemen worden voorkomen
99001017
MS-ThreatIntel-CVE's
Poging tot uploaden van Apache Struts-bestand CVE-2023-50164
Stel actie in op Blokkeren om te voorkomen dat Apache Struts-beveiligingsproblemen worden voorkomen. Anomaliescore wordt niet ondersteund voor deze regel.
Core Rule Sets
Application Gateway WAF is standaard vooraf geconfigureerd met CRS 3.2, maar u kunt ervoor kiezen om een andere ondersteunde CRS-versie te gebruiken.
CRS 3.2 biedt een nieuwe engine en nieuwe regelsets die bescherming bieden tegen Java-injecties, een eerste set controles voor het uploaden van bestanden en minder fout-positieven in vergelijking met eerdere versies van CRS. U kunt regels ook aanpassen aan uw behoeften. Meer informatie over de nieuwe Azure WAF-engine.
De WAF beschermt tegen de volgende webproblemen:
SQL-injectieaanvallen
Scriptaanvallen op meerdere sites
Andere veelvoorkomende aanvallen, zoals opdrachtinjectie, smokkelen van HTTP-aanvragen, splitsen van HTTP-antwoorden en opname van externe bestanden
Schendingen van HTTP-protocol
Afwijkingen in HET HTTP-protocol, zoals ontbrekende hostgebruikersagent en accepteren headers
Bots, crawlers en scanners
Veelvoorkomende onjuiste configuraties van toepassingen (bijvoorbeeld Apache en IIS)
Afstemming van beheerde regelsets
Zowel DRS als CRS zijn standaard ingeschakeld in de detectiemodus in uw WAF-beleid. U kunt afzonderlijke regels in de beheerde regelset uitschakelen of inschakelen om te voldoen aan uw toepassingsvereisten. U kunt ook specifieke acties per regel instellen. De DRS/CRS ondersteunt acties voor blok-, logboek- en anomaliescores. De Bot Manager-regelset ondersteunt de acties toestaan, blokkeren en registreren.
Soms moet u bepaalde aanvraagkenmerken weglaten uit een WAF-evaluatie. Een bekend voorbeeld is door Active Directory ingevoegde tokens die worden gebruikt voor verificatie. U kunt uitsluitingen zo configureren dat deze van toepassing zijn wanneer specifieke WAF-regels worden geëvalueerd of om globaal toe te passen op de evaluatie van alle WAF-regels. Uitsluitingsregels zijn van toepassing op uw hele webtoepassing. Zie Web Application Firewall (WAF) met application gateway-uitsluitingslijsten voor meer informatie.
DRS versie 2.1/CRS versie 3.2 en hoger maakt standaard gebruik van anomaliescores wanneer een aanvraag overeenkomt met een regel. CRS 3.1 en lager blokkeert standaard overeenkomende aanvragen. Daarnaast kunnen aangepaste regels worden geconfigureerd in hetzelfde WAF-beleid als u een van de vooraf geconfigureerde regels in de basisregelset wilt omzeilen.
Aangepaste regels worden altijd toegepast voordat regels in de basisregelset worden geëvalueerd. Als een aanvraag overeenkomt met een aangepaste regel, wordt de bijbehorende regelactie toegepast. De aanvraag wordt geblokkeerd of doorgegeven aan de back-end. Er worden geen andere aangepaste regels of regels in de basisregelset verwerkt.
Anomaliescore
Wanneer u CRS of DRS 2.1 en hoger gebruikt, is uw WAF standaard geconfigureerd voor het gebruik van anomaliescores. Verkeer dat overeenkomt met een regel wordt niet onmiddellijk geblokkeerd, zelfs niet wanneer uw WAF zich in de preventiemodus bevindt. In plaats daarvan definiëren de OWASP-regelsets een ernst voor elke regel: Kritiek, Fout, Waarschuwing of Kennisgeving. De ernst is van invloed op een numerieke waarde voor de aanvraag, die de anomaliescore wordt genoemd:
Ernst van regel
Waarde heeft bijgedragen aan anomaliescore
Kritiek
5
Error
4
Waarschuwing
3
Opmerking
2
Als de anomaliescore 5 of hoger is en de WAF zich in de preventiemodus bevindt, wordt de aanvraag geblokkeerd. Als de anomaliescore 5 of hoger is en de WAF zich in de detectiemodus bevindt, wordt de aanvraag geregistreerd, maar niet geblokkeerd.
Een enkele kritieke regelovereenkomst is bijvoorbeeld voldoende om een aanvraag te blokkeren in de preventiemodus, omdat de algehele anomaliescore 5 is. Eén waarschuwingsregel komt echter alleen overeen met de anomaliescore met 3, wat niet voldoende is om het verkeer te blokkeren. Wanneer een anomalieregel wordt geactiveerd, wordt de actie Overeenkomend weergegeven in de logboeken. Als de anomaliescore 5 of hoger is, is er een afzonderlijke regel geactiveerd met de actie Geblokkeerd of Gedetecteerd, afhankelijk van of het WAF-beleid zich in de preventie- of detectiemodus bevindt. Zie de modus Anomaliescore voor meer informatie.
Versie van regelset bijwerken of wijzigen
Als u een upgrade uitvoert of een nieuwe versie van de regelset toewijst en bestaande regeloverschrijvingen en uitsluitingen wilt behouden, wordt u aangeraden PowerShell, CLI, REST API of sjablonen te gebruiken om wijzigingen in de regelsetversie aan te brengen. Een nieuwe versie van een regelset kan nieuwere regels, extra regelgroepen bevatten en kan updates hebben voor bestaande handtekeningen om betere beveiliging af te dwingen en fout-positieven te verminderen. Het wordt aanbevolen om wijzigingen in een testomgeving te valideren, indien nodig af te stemmen en vervolgens in een productieomgeving te implementeren.
Notitie
Als u Azure Portal gebruikt om een nieuwe beheerde regelset toe te wijzen aan een WAF-beleid, worden alle vorige aanpassingen van de bestaande beheerde regelset, zoals regelstatus, regelacties en uitsluitingen op regelniveau, opnieuw ingesteld op de standaardwaarden van de nieuwe beheerde regelset. Aangepaste regels, beleidsinstellingen en globale uitsluitingen blijven echter ongewijzigd tijdens de toewijzing van de nieuwe regelset. U moet regeloverschrijvingen opnieuw definiëren en wijzigingen valideren voordat u implementeert in een productieomgeving.
DRS 2.1
DRS 2.1-regels bieden betere beveiliging dan eerdere versies van de DRS. Het bevat meer regels die zijn ontwikkeld door het Microsoft Threat Intelligence-team en updates voor handtekeningen om fout-positieven te verminderen. Het biedt ook ondersteuning voor transformaties die verder gaan dan alleen URL-decodering.
DRS 2.1 bevat 17 regelgroepen, zoals wordt weergegeven in de volgende tabel. Elke groep bevat meerdere regels en u kunt het gedrag voor afzonderlijke regels, regelgroepen of hele regelset aanpassen. DRS 2.1 is een basislijn voor het Open Web Application Security Project (OWASP) Core Rule Set (CRS) 3.3.2 en bevat aanvullende regels voor bedrijfseigen beveiliging die zijn ontwikkeld door het Microsoft Threat Intelligence-team.
CRS 3.2 bevat 14 regelgroepen, zoals wordt weergegeven in de volgende tabel. Elke groep bevat meerdere regels, die kunnen worden uitgeschakeld. De regelset is gebaseerd op versie OWASP CRS 3.2.0.
Notitie
CRS 3.2 is alleen beschikbaar op de WAF_v2 SKU. Omdat CRS 3.2 wordt uitgevoerd op de nieuwe Azure WAF-engine, kunt u geen downgrade uitvoeren naar CRS 3.1 of eerder. Neem contact op met de ondersteuning van Azure als u een downgrade wilt uitvoeren.
CRS 3.1 bevat 14 regelgroepen, zoals wordt weergegeven in de volgende tabel. Elke groep bevat meerdere regels, die kunnen worden uitgeschakeld. De regelset is gebaseerd op versie OWASP CRS 3.1.1.
CRS 3.0 bevat 13 regelgroepen, zoals wordt weergegeven in de volgende tabel. Elke groep bevat meerdere regels, die kunnen worden uitgeschakeld. De regelset is gebaseerd op versie OWASP CRS 3.0.0.
CRS 2.2.9 bevat 10 regelgroepen, zoals wordt weergegeven in de volgende tabel. Elke groep bevat meerdere regels, die kunnen worden uitgeschakeld.
Notitie
CRS 2.2.9 wordt niet meer ondersteund voor nieuwe WAF-beleidsregels. U wordt aangeraden een upgrade uit te voeren naar de nieuwste CRS 3.2/DRS 2.1 en hogere versies.
De regelset Bot Manager 1.0 biedt bescherming tegen schadelijke bots en detectie van goede bots. De regels bieden gedetailleerde controle over bots die door WAF worden gedetecteerd door botverkeer te categoriseren als goed, slecht of onbekend bots.
De regelset Bot Manager 1.1 is een verbetering van bot manager 1.0-regelset. Het biedt verbeterde bescherming tegen schadelijke bots en verhoogt de detectie van goede bot.
Detecteert het uitvoeren van MSSQL-code en het verzamelen van gegevens
942200
Detecteert MySQL comment-/space-obfuscated injecties en backtick-beëindiging
942210
Detecteert gekoppelde SQL-injectiepogingen 1/2
942220
Op zoek naar overloopaanvallen voor gehele getallen, deze worden overgenomen van skipfish, behalve 3.0.0073850720072007e-308 is de "magic number" crash
942230
Detecteert voorwaardelijke SQL-injectiepogingen
942240
Detecteert mySQL charset-switch en MSSQL DoS-pogingen
942250
Detecteert MATCH AGAINST, MERGE en EXECUTE IMMEDIATE injecties
942260
Detecteert het omzeilen van eenvoudige SQL-verificatiepogingen 2/3
942270
Op zoek naar eenvoudige SQL-injectie. Algemene aanvalsreeks voor mysql, oracle en andere.
942280
Detecteert Postgres pg_sleep injectie, wacht op vertragingen en pogingen om de database uit te sluiten
942290
Zoekt eenvoudige MongoDB SQL-injectiepogingen
942300
Detecteert MySQL-opmerkingen, -voorwaarden en ch(a)r-injecties
942310
Detecteert gekoppelde SQL-injectiepogingen 2/2
942320
Detecteert opgeslagen procedure/functie-injecties van MySQL en PostgreSQL
942330
Detecteert klassieke SQL-injectieprobings 1/2
942340
Detecteert het omzeilen van eenvoudige SQL-verificatiepogingen 3/3
942350
Detecteert MySQL UDF-injectie en andere pogingen tot manipulatie van gegevens/structuur
942360
Detecteert samengevoegde sql-injectie en SQLLFI-pogingen
942361
Detecteert eenvoudige SQL-injectie op basis van trefwoorden wijzigen of samenvoegen
942370
Detecteert klassieke SQL-injectieprobings 2/2
942380
SQL-injectieaanval
942390
SQL-injectieaanval
942400
SQL-injectieaanval
942410
SQL-injectieaanval
942430
Beperkte anomaliedetectie van SQL-tekens (args): aantal speciale tekens overschreden (12)
942440
SQL-opmerkingenreeks gedetecteerd
942450
Geïdentificeerde SQL Hex-codering
942460
Waarschuwing voor anomaliedetectie met metatekens - terugkerende niet-Word-tekens
942470
SQL-injectieaanval
942480
SQL-injectieaanval
942500
MySQL-in-line opmerking gedetecteerd.
942510
SQLi bypasspoging door tikken of backticks gedetecteerd.
SESSION-FIXATION
RuleId
Beschrijving
943100
Mogelijke sessiefixatieaanval: Cookiewaarden instellen in HTML
943110
Mogelijke sessiefixatie-aanval: Naam van sessie-ID-parameter met referrer van het externe domein
943120
Mogelijke sessiefixatie-aanval: Naam van sessie-id-parameter zonder verwijzing
JAVA-aanvallen
RuleId
Beschrijving
944100
Uitvoering van externe opdrachten: Apache Struts, Oracle WebLogic
944110
Detecteert mogelijke uitvoering van nettoladingen
944120
Mogelijke uitvoering van nettolading en uitvoering van externe opdrachten
944130
Verdachte Java-klassen
944200
Exploitatie van Java deserialization Apache Commons
944210
Mogelijk gebruik van Java-serialisatie
944240
Uitvoering van externe opdracht: Java-serialisatie en Log4j-beveiligingsprobleem (CVE-2021-44228, CVE-2021-45046)
944250
Uitvoering van externe opdracht: Verdachte Java-methode gedetecteerd
Poging tot Spring Cloud Gateway Actuator injectie CVE-2022-22947
99001017*
Poging tot uploaden van Apache Struts-bestand CVE-2023-50164
*De actie van deze regel is standaard ingesteld op logboekregistratie. Stel actie in op Blokkeren om te voorkomen dat Apache Struts-beveiligingsproblemen worden voorkomen. Anomaliescore wordt niet ondersteund voor deze regel.
Notitie
Wanneer u de logboeken van uw WAF bekijkt, ziet u mogelijk regel-id 949110. De beschrijving van de regel kan inkomende anomaliescore zijn overschreden.
Deze regel geeft aan dat de totale anomaliescore voor de aanvraag de maximaal toegestane score heeft overschreden. Zie Anomaliescore voor meer informatie.
3.2 regelsets
Algemeen
RuleId
Beschrijving
200002
Kan aanvraagbody niet parseren.
200003
Strikte validatie van aanvraaghoofdtekst met meerdere onderdelen.
200004
Mogelijke niet-overeenkomende grens van meerdere onderdelen.
Poging tot Spring Cloud-injectie met routeringsexpressie - CVE-2022-22963
800112
Poging tot misbruik van onveilige Spring Framework-klasseobjecten - CVE-2022-22965
800113
Poging tot injectie van Spring Cloud Gateway Actuator - CVE-2022-22947
800114*
Poging tot uploaden van Apache Struts-bestanden - CVE-2023-50164
*De actie van deze regel is standaard ingesteld op logboekregistratie. Stel actie in op Blokkeren om te voorkomen dat Apache Struts-beveiligingsproblemen worden voorkomen. Anomaliescore wordt niet ondersteund voor deze regel.
REQUEST-911-METHOD-ENFORCEMENT
RuleId
Beschrijving
911100
Methode is niet toegestaan door beleid
REQUEST-913-SCANNER-DETECTION
RuleId
Beschrijving
913100
Gebruiker-agent gevonden die is gekoppeld aan beveiligingsscanner
913101
Gebruiker-agent gevonden die is gekoppeld aan scripting/algemene HTTP-client
913102
Gebruiker-agent gevonden die is gekoppeld aan webcrawler/bot
913110
Aanvraagheader gevonden die is gekoppeld aan de beveiligingsscanner
913120
Bestandsnaam/argument van aanvraag gevonden dat is gekoppeld aan de beveiligingsscanner
REQUEST-920-PROTOCOL-ENFORCEMENT
RuleId
Beschrijving
920100
Ongeldige HTTP-aanvraagregel
920120
Poging tot bypass van meerdere onderdelen/formuliergegevens
920121
Poging tot bypass van meerdere onderdelen/formuliergegevens
920160
HTTP-header met inhoudslengte is niet numeriek.
920170
GET- of HEAD-aanvraag met hoofdtekstinhoud.
920171
GET- of HEAD-aanvraag met overdrachtscodering.
920180
POST-aanvraag ontbreekt in de header Content-Length.
920190
Bereik: Ongeldige laatste bytewaarde.
920200
Bereik: Te veel velden (6 of meer)
920201
Bereik: Te veel velden voor pdf-aanvraag (35 of meer)
920202
Bereik: Te veel velden voor pdf-aanvraag (6 of meer)
920210
Er zijn meerdere/conflicterende verbindingsheadergegevens gevonden.
920220
Aanvalspoging van URL-codering
920230
Meerdere URL-codering gedetecteerd
920240
Aanvalspoging van URL-codering
920250
UTF8-aanvalspoging
920260
Aanvalspoging met Unicode volledige/halve breedte
920270
Ongeldig teken in aanvraag (null-teken)
920271
Ongeldig teken in aanvraag (niet-afdrukbare tekens)
920272
Ongeldig teken in aanvraag (buiten afdrukbare tekens onder ascii 127)
920273
Ongeldig teken in aanvraag (buiten zeer strikte set)
920274
Ongeldig teken in aanvraagheaders (buiten zeer strikte set)
920280
Aanvraag ontbreekt een hostheader
920290
Lege hostheader
920300
Aanvraag voor het ontbreken van een acceptheader
920310
Aanvraag heeft een lege acceptheader
920311
Aanvraag heeft een lege acceptheader
920320
Header van gebruikersagent ontbreekt
920330
Lege header van gebruikersagent
920340
Aanvraag met inhoud, maar koptekst inhoud ontbreekt
920341
Voor een aanvraag met inhoud is inhoudstypeheader vereist
920350
Hostheader is een numeriek IP-adres
920420
Inhoudstype aanvragen is niet toegestaan op beleid
920430
Http-protocolversie is niet toegestaan door beleid
920440
Url-bestandsextensie wordt beperkt door beleid
920450
HTTP-header wordt beperkt door beleid (%{MATCHED_VAR})
920460
Abnormale escapetekens
920470
Ongeldige header van inhoudstype
920480
De parameter Charset beperken binnen de header van het inhoudstype
REQUEST-921-PROTOCOL-ATTACK
RuleId
Beschrijving
921110
HTTP-aanvraagsmokkelaanval
921120
HTTP Response Splitting Attack
921130
HTTP Response Splitting Attack
921140
HTTP-headerinjectieaanval via headers
921150
HTTP-headerinjectieaanval via nettolading (CR/LF gedetecteerd)
921151
HTTP-headerinjectieaanval via nettolading (CR/LF gedetecteerd)
921160
HTTP Header Injection Attack via payload (CR/LF en header-name gedetecteerd)
921170
HTTP-parametervervuiling
921180
HTTP-parametervervuiling (%{TX.1})
REQUEST-930-APPLICATION-ATTACK-LFI
RuleId
Beschrijving
930100
Pad doorkruisingsaanval (/.. /)
930110
Pad doorkruisingsaanval (/.. /)
930120
Poging tot toegang tot besturingssysteembestand
930130
Poging tot beperkte bestandstoegang
REQUEST-931-APPLICATION-ATTACK-RFI
RuleId
Beschrijving
931100
Mogelijke RFI-aanval (Remote File Inclusion): URL-parameter met behulp van IP-adres
931110
Mogelijke RFI-aanval (Remote File Inclusion): Common RFI Vulnerable Parameter Name used w/URL Payload
931120
Mogelijke RFI-aanval (Remote File Inclusion): URL-nettolading gebruikt met vraagteken (?)
Detecteert het uitvoeren van MSSQL-code en het verzamelen van gegevens
942200
Detecteert MySQL comment-/space-obfuscated injecties en backtick-beëindiging
942210
Detecteert gekoppelde SQL-injectiepogingen 1/2
942220
Op zoek naar overloopaanvallen voor gehele getallen, deze worden overgenomen van skipfish, behalve 3.0.0073850720072007e-308 is de "magic number" crash
942230
Detecteert voorwaardelijke SQL-injectiepogingen
942240
Detecteert mySQL charset-switch en MSSQL DoS-pogingen
942250
Detecteert MATCH AGAINST, MERGE en EXECUTE IMMEDIATE injecties
942251
Detecteert HAVING-injecties
942260
Detecteert het omzeilen van eenvoudige SQL-verificatiepogingen 2/3
942270
Op zoek naar eenvoudige SQL-injectie. Algemene aanvalsreeks voor mysql, oracle en andere.
942280
Detecteert Postgres pg_sleep injectie, wacht op vertragingen en pogingen om de database uit te sluiten
942290
Zoekt eenvoudige MongoDB SQL-injectiepogingen
942300
Detecteert MySQL-opmerkingen, -voorwaarden en ch(a)r-injecties
942310
Detecteert gekoppelde SQL-injectiepogingen 2/2
942320
Detecteert opgeslagen procedure/functie-injecties van MySQL en PostgreSQL
942330
Detecteert klassieke SQL-injectieprobings 1/2
942340
Detecteert het omzeilen van eenvoudige SQL-verificatiepogingen 3/3
942350
Detecteert MySQL UDF-injectie en andere pogingen tot manipulatie van gegevens/structuur
942360
Detecteert samengevoegde sql-injectie en SQLLFI-pogingen
942361
Detecteert eenvoudige SQL-injectie op basis van trefwoorden wijzigen of samenvoegen
942370
Detecteert klassieke SQL-injectieprobings 2/2
942380
SQL-injectieaanval
942390
SQL-injectieaanval
942400
SQL-injectieaanval
942410
SQL-injectieaanval
942420
Beperkte anomaliedetectie van SQL-tekens (cookies): aantal speciale tekens overschreden (8)
942421
Beperkte anomaliedetectie van SQL-tekens (cookies): aantal speciale tekens overschreden (3)
942430
Beperkte anomaliedetectie van SQL-tekens (args): aantal speciale tekens overschreden (12)
942431
Beperkte anomaliedetectie van SQL-tekens (args): aantal speciale tekens overschreden (6)
942432
Beperkte anomaliedetectie van SQL-tekens (args): aantal speciale tekens overschreden (2)
942440
SQL-opmerkingenreeks gedetecteerd.
942450
Geïdentificeerde SQL Hex-codering
942460
Waarschuwing voor anomaliedetectie met metatekens - terugkerende niet-Word-tekens
942470
SQL-injectieaanval
942480
SQL-injectieaanval
942490
Detecteert klassieke SQL-injectieprobings 3/3
942500
MySQL-in-line opmerking gedetecteerd.
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION
RuleId
Beschrijving
943100
Mogelijke sessiefixatieaanval: Cookiewaarden instellen in HTML
943110
Mogelijke sessiefixatie-aanval: Naam van sessie-ID-parameter met referer buiten domein
943120
Mogelijke sessiefixatie-aanval: Naam van sessie-id-parameter zonder verwijzing
REQUEST-944-APPLICATION-ATTACK-JAVA
RuleId
Beschrijving
944100
Uitvoering van externe opdrachten: Apache Struts, Oracle WebLogic
944110
Detecteert mogelijke uitvoering van nettoladingen
944120
Mogelijke uitvoering van nettolading en uitvoering van externe opdrachten
944130
Verdachte Java-klassen
944200
Exploitatie van Java deserialization Apache Commons
944210
Mogelijk gebruik van Java-serialisatie
944240
Uitvoering van externe opdracht: Java-serialisatie
944250
Uitvoering van externe opdracht: Verdachte Java-methode gedetecteerd
944300
Met Base64 gecodeerde tekenreeks komt overeen met verdacht trefwoord
3.1 regelsets
Algemeen
RuleId
Beschrijving
200004
Mogelijke niet-overeenkomende grens van meerdere onderdelen.
Poging tot Spring Cloud-injectie met routeringsexpressie - CVE-2022-22963
800112
Poging tot misbruik van onveilige Spring Framework-klasseobjecten - CVE-2022-22965
800113
Poging tot injectie van Spring Cloud Gateway Actuator - CVE-2022-22947
800114*
Poging tot uploaden van Apache Struts-bestanden - CVE-2023-50164
*Oudere WAF's met CRS 3.1 ondersteunen alleen de modus voor logboekregistratie voor deze regel. Als u de blokmodus wilt inschakelen, moet u een upgrade uitvoeren naar een nieuwere versie van de regelset.
REQUEST-911-METHOD-ENFORCEMENT
RuleId
Beschrijving
911100
Methode is niet toegestaan door beleid
REQUEST-913-SCANNER-DETECTION
RuleId
Beschrijving
913100
Gebruiker-agent gevonden die is gekoppeld aan beveiligingsscanner
913101
Gebruiker-agent gevonden die is gekoppeld aan scripting/algemene HTTP-client
913102
Gebruiker-agent gevonden die is gekoppeld aan webcrawler/bot
913110
Aanvraagheader gevonden die is gekoppeld aan de beveiligingsscanner
913120
Bestandsnaam/argument van aanvraag gevonden dat is gekoppeld aan de beveiligingsscanner
REQUEST-920-PROTOCOL-ENFORCEMENT
RuleId
Beschrijving
920100
Ongeldige HTTP-aanvraagregel
920120
Poging tot bypass van meerdere onderdelen/formuliergegevens
920121
Poging tot bypass van meerdere onderdelen/formuliergegevens
920130
Kan aanvraagbody niet parseren.
920140
Hoofdtekst van aanvraag met meerdere onderdelen is strikte validatie mislukt
920160
HTTP-header met inhoudslengte is niet numeriek.
920170
GET- of HEAD-aanvraag met hoofdtekstinhoud.
920171
GET- of HEAD-aanvraag met overdrachtscodering.
920180
POST-aanvraag ontbreekt in de header Content-Length.
920190
Bereik = Ongeldige laatste bytewaarde.
920200
Bereik = Te veel velden (6 of meer)
920201
Bereik = Te veel velden voor pdf-aanvraag (35 of meer)
920202
Bereik = Te veel velden voor pdf-aanvraag (6 of meer)
920210
Er zijn meerdere/conflicterende verbindingsheadergegevens gevonden.
920220
Aanvalspoging van URL-codering
920230
Meerdere URL-codering gedetecteerd
920240
Aanvalspoging van URL-codering
920250
UTF8-aanvalspoging
920260
Aanvalspoging met Unicode volledige/halve breedte
920270
Ongeldig teken in aanvraag (null-teken)
920271
Ongeldig teken in aanvraag (niet-afdrukbare tekens)
920272
Ongeldig teken in aanvraag (buiten afdrukbare tekens onder ascii 127)
920273
Ongeldig teken in aanvraag (buiten zeer strikte set)
920274
Ongeldig teken in aanvraagheaders (buiten zeer strikte set)
920280
Aanvraag ontbreekt een hostheader
920290
Lege hostheader
920300
Aanvraag voor het ontbreken van een acceptheader
920310
Aanvraag heeft een lege acceptheader
920311
Aanvraag heeft een lege acceptheader
920320
Header van gebruikersagent ontbreekt
920330
Lege header van gebruikersagent
920340
Aanvraag met inhoud, maar koptekst inhoud ontbreekt
920341
Voor een aanvraag met inhoud is inhoudstypeheader vereist
920350
Hostheader is een numeriek IP-adres
920420
Inhoudstype aanvragen is niet toegestaan op beleid
920430
Http-protocolversie is niet toegestaan door beleid
920440
Url-bestandsextensie wordt beperkt door beleid
920450
HTTP-header wordt beperkt door beleid (%@{MATCHED_VAR})
920460
Abnormale escapetekens
920470
Ongeldige header van inhoudstype
920480
De parameter Charset beperken binnen de header van het inhoudstype
REQUEST-921-PROTOCOL-ATTACK
RuleId
Beschrijving
921110
HTTP-aanvraagsmokkelaanval
921120
HTTP Response Splitting Attack
921130
HTTP Response Splitting Attack
921140
HTTP-headerinjectieaanval via headers
921150
HTTP-headerinjectieaanval via nettolading (CR/LF gedetecteerd)
921151
HTTP-headerinjectieaanval via nettolading (CR/LF gedetecteerd)
921160
HTTP Header Injection Attack via payload (CR/LF en header-name gedetecteerd)
921170
HTTP-parametervervuiling
921180
HTTP-parametervervuiling (%{TX.1})
REQUEST-930-APPLICATION-ATTACK-LFI
RuleId
Beschrijving
930100
Pad doorkruisingsaanval (/.. /)
930110
Pad doorkruisingsaanval (/.. /)
930120
Poging tot toegang tot besturingssysteembestand
930130
Poging tot beperkte bestandstoegang
REQUEST-931-APPLICATION-ATTACK-RFI
RuleId
Beschrijving
931100
Mogelijke RFI-aanval (Remote File Inclusion) = URL-parameter met behulp van IP-adres
931110
Mogelijke RFI-aanval (Remote File Inclusion) = Common RFI Vulnerable Parameter Name used w/URL Payload
