DRS-regelgroepen en -regels voor Web Application Firewall
Azure Web Application Firewall in Azure Front Door beschermt webtoepassingen tegen veelvoorkomende beveiligingsproblemen en aanvallen. Door Azure beheerde regelsets bieden een eenvoudige manier om beveiliging te implementeren op basis van een gemeenschappelijke set beveiligingsbedreigingen. Omdat Azure deze regelsets beheert, worden de regels zo nodig bijgewerkt om u te beschermen tegen nieuwe aanvalshandtekeningen.
De standaardregelset (DRS) bevat ook de regels voor het verzamelen van Microsoft Threat Intelligence die zijn geschreven in samenwerking met het Microsoft Intelligence-team om meer dekking te bieden, patches voor specifieke beveiligingsproblemen en betere fout-positieve reductie.
Notitie
Wanneer een versie van een regelset wordt gewijzigd in een WAF-beleid, worden bestaande aanpassingen die u in uw regelset hebt aangebracht, opnieuw ingesteld op de standaardwaarden voor de nieuwe regelset. Zie: De versie van de regelset bijwerken of wijzigen.
Standaardregelsets
De door Azure beheerde DRS bevat regels voor de volgende bedreigingscategorieën:
- Script uitvoeren op meerdere sites
- Java-aanvallen
- Lokale bestandsopname
- PHP-injectieaanvallen
- Uitvoeren van opdrachten op afstand
- Externe bestandsopname
- Sessiefixatie
- Beveiliging tegen SQL-injecties
- Protocolaanvallers
Het versienummer van de DRS wordt verhoogd wanneer nieuwe aanvalshandtekeningen worden toegevoegd aan de regelset.
DRS is standaard ingeschakeld in de detectiemodus in uw WAF-beleid. U kunt afzonderlijke regels in de DRS uitschakelen of inschakelen om te voldoen aan uw toepassingsvereisten. U kunt ook specifieke acties per regel instellen. De beschikbare acties zijn Toestaan, Blokkeren, Registreren en Omleiden.
Soms moet u bepaalde aanvraagkenmerken weglaten uit een WAF-evaluatie (Web Application Firewall). Een bekend voorbeeld is door Active Directory ingevoegde tokens die worden gebruikt voor verificatie. U kunt een uitsluitingslijst configureren voor een beheerde regel, een regelgroep of de hele regelset. Zie De uitsluitingslijsten van Azure Web Application Firewall in Azure Front Door voor meer informatie.
DRS-versies 2.0 en hoger gebruiken standaard anomaliescores wanneer een aanvraag overeenkomt met een regel. DRS-versies ouder dan 2.0 blokkeren aanvragen die de regels activeren. Daarnaast kunnen aangepaste regels worden geconfigureerd in hetzelfde WAF-beleid als u een van de vooraf geconfigureerde regels in de DRS wilt omzeilen.
Aangepaste regels worden altijd toegepast voordat regels in de DRS worden geëvalueerd. Als een aanvraag overeenkomt met een aangepaste regel, wordt de bijbehorende regelactie toegepast. De aanvraag wordt geblokkeerd of doorgegeven aan de back-end. Er worden geen andere aangepaste regels of regels in de DRS verwerkt. U kunt de DRS ook verwijderen uit uw WAF-beleid.
Regels voor het verzamelen van bedreigingsinformatie van Microsoft
De regels voor het verzamelen van bedreigingsinformatie van Microsoft worden geschreven in samenwerking met het Microsoft Threat Intelligence-team om meer dekking te bieden, patches voor specifieke beveiligingsproblemen en betere fout-positieve reductie.
Standaard vervangen de regels voor het verzamelen van Bedreigingsinformatie van Microsoft enkele van de ingebouwde DRS-regels, waardoor ze worden uitgeschakeld. Regel-id 942440, SQL Comment Sequence Detected, is bijvoorbeeld uitgeschakeld en vervangen door de regel voor het verzamelen van bedreigingen van Microsoft 99031002. De vervangen regel vermindert het risico op fout-positieve detecties van legitieme aanvragen.
Anomaliescore
Wanneer u DRS 2.0 of hoger gebruikt, gebruikt uw WAF anomaliescore. Verkeer dat overeenkomt met een regel wordt niet onmiddellijk geblokkeerd, zelfs niet wanneer uw WAF zich in de preventiemodus bevindt. In plaats daarvan definiëren de OWASP-regelsets een ernst voor elke regel: Kritiek, Fout, Waarschuwing of Kennisgeving. De ernst is van invloed op een numerieke waarde voor de aanvraag, die de anomaliescore wordt genoemd. Als een aanvraag een anomaliescore van 5 of hoger verzamelt, neemt de WAF actie op de aanvraag.
| Ernst van regel | Waarde heeft bijgedragen aan anomaliescore |
|---|---|
| Kritiek | 5 |
| Error | 4 |
| Waarschuwing | 3 |
| Opmerking | 2 |
Wanneer u uw WAF configureert, kunt u bepalen hoe de WAF aanvragen verwerkt die de drempelwaarde voor anomaliescore van 5 overschrijden. De drie actieopties voor anomaliescores zijn Blokkeren, Logboeken of Omleiding. De actie anomaliescore die u op het moment van de configuratie selecteert, wordt toegepast op alle aanvragen die de drempelwaarde voor anomaliescore overschrijden.
Als de anomaliescore bijvoorbeeld 5 of hoger is voor een aanvraag en de WAF zich in de preventiemodus bevindt met de actie anomaliescore ingesteld op Blokkeren, wordt de aanvraag geblokkeerd. Als de anomaliescore 5 of hoger is voor een aanvraag en de WAF zich in de detectiemodus bevindt, wordt de aanvraag geregistreerd, maar niet geblokkeerd.
Een enkele kritieke regelovereenkomst is voldoende om een aanvraag te blokkeren in de preventiemodus met de actie Anomaliescore ingesteld op Blokkeren omdat de algehele anomaliescore 5 is. Eén waarschuwingsregel komt echter alleen overeen met de anomaliescore met 3, wat niet voldoende is om het verkeer te blokkeren. Wanneer een anomalieregel wordt geactiveerd, wordt er een 'overeenkomende' actie weergegeven in de logboeken. Als de anomaliescore 5 of hoger is, wordt er een afzonderlijke regel geactiveerd met de actie anomaliescore die is geconfigureerd voor de regelset. De standaardactie anomaliescore is Blokkeren, wat resulteert in een logboekvermelding met de actie blocked.
Wanneer uw WAF gebruikmaakt van een oudere versie van de standaardregelset (vóór DRS 2.0), wordt uw WAF uitgevoerd in de traditionele modus. Verkeer dat overeenkomt met een regel wordt onafhankelijk van andere regelovereenkomsten beschouwd. In de traditionele modus hebt u geen inzicht in de volledige set regels die overeenkomen met een specifieke aanvraag.
De versie van de DRS die u gebruikt, bepaalt ook welke inhoudstypen worden ondersteund voor inspectie van de aanvraagbody. Zie Welke inhoudstypen worden door WAF ondersteund in de veelgestelde vragen voor meer informatie.
Versie van regelset bijwerken of wijzigen
Als u een upgrade uitvoert of een nieuwe versie van de regelset toewijst en bestaande regeloverschrijvingen en uitsluitingen wilt behouden, wordt u aangeraden PowerShell, CLI, REST API of sjablonen te gebruiken om wijzigingen in de regelsetversie aan te brengen. Een nieuwe versie van een regelset kan nieuwere regels, extra regelgroepen bevatten en kan updates hebben voor bestaande handtekeningen om betere beveiliging af te dwingen en fout-positieven te verminderen. Het wordt aanbevolen om wijzigingen in een testomgeving te valideren, indien nodig af te stemmen en vervolgens in een productieomgeving te implementeren.
Notitie
Als u Azure Portal gebruikt om een nieuwe beheerde regelset toe te wijzen aan een WAF-beleid, worden alle vorige aanpassingen van de bestaande beheerde regelset, zoals regelstatus, regelacties en uitsluitingen op regelniveau, opnieuw ingesteld op de standaardwaarden van de nieuwe beheerde regelset. Aangepaste regels of beleidsinstellingen blijven echter ongewijzigd tijdens de toewijzing van de nieuwe regelset. U moet regeloverschrijvingen opnieuw definiëren en wijzigingen valideren voordat u implementeert in een productieomgeving.
DRS 2.1
DRS 2.1-regels bieden betere beveiliging dan eerdere versies van de DRS. Het bevat andere regels die zijn ontwikkeld door het Microsoft Threat Intelligence-team en updates voor handtekeningen om fout-positieven te verminderen. Het biedt ook ondersteuning voor transformaties die verder gaan dan alleen URL-decodering.
DRS 2.1 bevat 17 regelgroepen, zoals wordt weergegeven in de volgende tabel. Elke groep bevat meerdere regels en u kunt het gedrag voor afzonderlijke regels, regelgroepen of een hele regelset aanpassen. DRS 2.1 is een basislijn voor het Open Web Application Security Project (OWASP) Core Rule Set (CRS) 3.3.2 en bevat aanvullende regels voor bedrijfseigen beveiliging die zijn ontwikkeld door het Microsoft Threat Intelligence-team.
Zie Web Application Firewall (WAF) afstemmen voor Azure Front Door voor meer informatie.
Notitie
DRS 2.1 is alleen beschikbaar in Azure Front Door Premium.
| Regelgroep | ruleGroupName | Beschrijving |
|---|---|---|
| Algemeen | Algemeen | Algemene groep |
| METHODE AFDWINGEN | METHOD-ENFORCEMENT | Vergrendelingsmethoden (PUT, PATCH) |
| PROTOCOL AFDWINGEN | PROTOCOL-ENFORCEMENT | Beveiliging tegen protocol- en coderingsproblemen |
| PROTOCOL-AANVAL | PROTOCOL-ATTACK | Bescherming tegen koptekstinjectie, smokkel aanvragen en antwoordsplitsing |
| APPLICATION-ATTACK-LFI | LFI | Beveiligen tegen bestands- en padaanvallen |
| APPLICATION-ATTACK-RFI | RFI | Beveiligen tegen RFI-aanvallen (Remote File Inclusion) |
| APPLICATION-ATTACK-RCE | RCE | Opnieuw aanvallen op uitvoering van externe code beveiligen |
| APPLICATION-ATTACK-PHP | PHP | Bescherming tegen PHP-injectieaanvallen |
| APPLICATION-ATTACK-NodeJS | NODEJS | Beveiligen tegen knooppunt-JS-aanvallen |
| APPLICATION-ATTACK-XSS | XSS | Beveiligen tegen aanvallen met scripts op meerdere sites |
| APPLICATION-ATTACK-SQLI | SQLI | Bescherming tegen SQL-injectieaanvallen |
| APPLICATION-ATTACK-SESSION-FIXATION | FIX | Bescherming tegen sessiefixatieaanvallen |
| APPLICATION-ATTACK-SESSION-JAVA | JAVA | Beveiligen tegen JAVA-aanvallen |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Beveiligen tegen Web Shell-aanvallen |
| MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | Beveiligen tegen AppSec-aanvallen |
| MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | Bescherming tegen SQLI-aanvallen |
| MS-ThreatIntel-CVE's | MS-ThreatIntel-CVE's | Bescherming tegen CVE-aanvallen |
Uitgeschakelde regels
De volgende regels zijn standaard uitgeschakeld voor DRS 2.1.
| Regel-id | Regelgroep | Beschrijving | DETAILS |
|---|---|---|---|
| 942110 | SQLI | SQL-injectieaanval: Veelvoorkomende injectietests gedetecteerd | Vervangen door MSTIC-regel 99031001 |
| 942150 | SQLI | SQL-injectieaanval | Vervangen door MSTIC-regel 99031003 |
| 942260 | SQLI | Detecteert het omzeilen van eenvoudige SQL-verificatiepogingen 2/3 | Vervangen door MSTIC-regel 99031004 |
| 942430 | SQLI | Beperkte anomaliedetectie van SQL-tekens (args): aantal speciale tekens overschreden (12) | Te veel fout-positieven |
| 942440 | SQLI | SQL-opmerkingenreeks gedetecteerd | Vervangen door MSTIC-regel 99031002 |
| 99005006 | MS-ThreatIntel-WebShells | Spring4Shell-interactiepoging | Regel inschakelen om beveiligingsproblemen met SpringShell te voorkomen |
| 99001014 | MS-ThreatIntel-CVE's | Poging tot Spring Cloud-routing-expression injectie CVE-2022-22963 | Regel inschakelen om beveiligingsproblemen met SpringShell te voorkomen |
| 99001015 | MS-ThreatIntel-WebShells | Poging tot het misbruiken van onveilige Spring Framework-klasseobjecten CVE-2022-22965 | Regel inschakelen om beveiligingsproblemen met SpringShell te voorkomen |
| 99001016 | MS-ThreatIntel-WebShells | Poging tot Spring Cloud Gateway Actuator injectie CVE-2022-22947 | Regel inschakelen om beveiligingsproblemen met SpringShell te voorkomen |
| 99001017 | MS-ThreatIntel-CVE's | Poging tot uploaden van Apache Struts-bestand CVE-2023-50164. | Regel inschakelen om beveiligingsproblemen met Apache Struts te voorkomen |
DRS 2.0
DRS 2.0-regels bieden betere beveiliging dan eerdere versies van de DRS. DRS 2.0 biedt ook ondersteuning voor transformaties die verder gaan dan alleen URL-decodering.
DRS 2.0 bevat 17 regelgroepen, zoals wordt weergegeven in de volgende tabel. Elke groep bevat meerdere regels. U kunt afzonderlijke regels en hele regelgroepen uitschakelen.
Notitie
DRS 2.0 is alleen beschikbaar in Azure Front Door Premium.
| Regelgroep | ruleGroupName | Beschrijving |
|---|---|---|
| Algemeen | Algemeen | Algemene groep |
| METHODE AFDWINGEN | METHOD-ENFORCEMENT | Vergrendelingsmethoden (PUT, PATCH) |
| PROTOCOL AFDWINGEN | PROTOCOL-ENFORCEMENT | Beveiliging tegen protocol- en coderingsproblemen |
| PROTOCOL-AANVAL | PROTOCOL-ATTACK | Bescherming tegen koptekstinjectie, smokkel aanvragen en antwoordsplitsing |
| APPLICATION-ATTACK-LFI | LFI | Beveiligen tegen bestands- en padaanvallen |
| APPLICATION-ATTACK-RFI | RFI | Beveiligen tegen RFI-aanvallen (Remote File Inclusion) |
| APPLICATION-ATTACK-RCE | RCE | Opnieuw aanvallen op uitvoering van externe code beveiligen |
| APPLICATION-ATTACK-PHP | PHP | Bescherming tegen PHP-injectieaanvallen |
| APPLICATION-ATTACK-NodeJS | NODEJS | Beveiligen tegen knooppunt-JS-aanvallen |
| APPLICATION-ATTACK-XSS | XSS | Beveiligen tegen aanvallen met scripts op meerdere sites |
| APPLICATION-ATTACK-SQLI | SQLI | Bescherming tegen SQL-injectieaanvallen |
| APPLICATION-ATTACK-SESSION-FIXATION | FIX | Bescherming tegen sessiefixatieaanvallen |
| APPLICATION-ATTACK-SESSION-JAVA | JAVA | Beveiligen tegen JAVA-aanvallen |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Beveiligen tegen Web Shell-aanvallen |
| MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | Beveiligen tegen AppSec-aanvallen |
| MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | Bescherming tegen SQLI-aanvallen |
| MS-ThreatIntel-CVE's | MS-ThreatIntel-CVE's | Bescherming tegen CVE-aanvallen |
DRS 1.1
| Regelgroep | ruleGroupName | Beschrijving |
|---|---|---|
| PROTOCOL-AANVAL | PROTOCOL-ATTACK | Bescherming tegen koptekstinjectie, smokkel aanvragen en antwoordsplitsing |
| APPLICATION-ATTACK-LFI | LFI | Beveiligen tegen bestands- en padaanvallen |
| APPLICATION-ATTACK-RFI | RFI | Beveiliging tegen aanvallen op externe bestandsopname |
| APPLICATION-ATTACK-RCE | RCE | Beveiliging tegen uitvoering van externe opdrachten |
| APPLICATION-ATTACK-PHP | PHP | Bescherming tegen PHP-injectieaanvallen |
| APPLICATION-ATTACK-XSS | XSS | Beveiligen tegen aanvallen met scripts op meerdere sites |
| APPLICATION-ATTACK-SQLI | SQLI | Bescherming tegen SQL-injectieaanvallen |
| APPLICATION-ATTACK-SESSION-FIXATION | FIX | Bescherming tegen sessiefixatieaanvallen |
| APPLICATION-ATTACK-SESSION-JAVA | JAVA | Beveiligen tegen JAVA-aanvallen |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Beveiligen tegen Web Shell-aanvallen |
| MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | Beveiligen tegen AppSec-aanvallen |
| MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | Bescherming tegen SQLI-aanvallen |
| MS-ThreatIntel-CVE's | MS-ThreatIntel-CVE's | Bescherming tegen CVE-aanvallen |
DRS 1.0
| Regelgroep | ruleGroupName | Beschrijving |
|---|---|---|
| PROTOCOL-AANVAL | PROTOCOL-ATTACK | Bescherming tegen koptekstinjectie, smokkel aanvragen en antwoordsplitsing |
| APPLICATION-ATTACK-LFI | LFI | Beveiligen tegen bestands- en padaanvallen |
| APPLICATION-ATTACK-RFI | RFI | Beveiliging tegen aanvallen op externe bestandsopname |
| APPLICATION-ATTACK-RCE | RCE | Beveiliging tegen uitvoering van externe opdrachten |
| APPLICATION-ATTACK-PHP | PHP | Bescherming tegen PHP-injectieaanvallen |
| APPLICATION-ATTACK-XSS | XSS | Beveiligen tegen aanvallen met scripts op meerdere sites |
| APPLICATION-ATTACK-SQLI | SQLI | Bescherming tegen SQL-injectieaanvallen |
| APPLICATION-ATTACK-SESSION-FIXATION | FIX | Bescherming tegen sessiefixatieaanvallen |
| APPLICATION-ATTACK-SESSION-JAVA | JAVA | Beveiligen tegen JAVA-aanvallen |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Beveiligen tegen Web Shell-aanvallen |
| MS-ThreatIntel-CVE's | MS-ThreatIntel-CVE's | Bescherming tegen CVE-aanvallen |
Bot Manager 1.0
De regelset Bot Manager 1.0 biedt bescherming tegen schadelijke bots en detectie van goede bots. De regels bieden gedetailleerde controle over bots die door WAF worden gedetecteerd door botverkeer te categoriseren als goed, slecht of onbekend bots.
| Regelgroep | Beschrijving |
|---|---|
| BadBots | Beschermen tegen slechte bots |
| GoodBots | Goede bots identificeren |
| UnknownBots | Onbekende bots identificeren |
Bot Manager 1.1
De regelset Bot Manager 1.1 is een verbetering van bot manager 1.0-regelset. Het biedt verbeterde bescherming tegen schadelijke bots en verhoogt de detectie van goede bot.
| Regelgroep | Beschrijving |
|---|---|
| BadBots | Beschermen tegen slechte bots |
| GoodBots | Goede bots identificeren |
| UnknownBots | Onbekende bots identificeren |
De volgende regelgroepen en -regels zijn beschikbaar wanneer u Azure Web Application Firewall in Azure Front Door gebruikt.
2.1 regelsets
Algemeen
| RuleId | Beschrijving |
|---|---|
| 200002 | Kan aanvraagbody niet parseren |
| 200003 | Hoofdtekst van aanvraag met meerdere onderdelen is strikte validatie mislukt |
Methode afdwingen
| RuleId | Beschrijving |
|---|---|
| 911100 | Methode is niet toegestaan door beleid |
Protocolafdwinging
| RuleId | Beschrijving |
|---|---|
| 920100 | Ongeldige HTTP-aanvraagregel. |
| 920120 | Poging tot bypass van meerdere onderdelen/formuliergegevens. |
| 920121 | Poging tot bypass van meerdere onderdelen/formuliergegevens. |
| 920160 | HTTP-header met inhoudslengte is niet numeriek. |
| 920170 | GET- of HEAD-aanvraag met hoofdtekstinhoud. |
| 920171 | GET- of HEAD-aanvraag met overdrachtscodering. |
| 920180 | POST-aanvraag ontbreekt in de header Content-Length. |
| 920181 | Headers voor inhoudslengte en overdrachtscodering zijn aanwezig 99001003. |
| 920190 | Bereik: Ongeldige laatste bytewaarde. |
| 920200 | Bereik: Te veel velden (6 of meer). |
| 920201 | Bereik: Te veel velden voor pdf-aanvraag (35 of meer). |
| 920210 | Er zijn meerdere/conflicterende verbindingsheadergegevens gevonden. |
| 920220 | Aanvalspoging van URL-codering. |
| 920230 | Er zijn meerdere URL-codering gedetecteerd. |
| 920240 | Aanvalspoging van URL-codering. |
| 920260 | Aanvalspoging met Unicode volledige/halve breedte. |
| 920270 | Ongeldig teken in aanvraag (null-teken). |
| 920271 | Ongeldig teken in aanvraag (niet-afdrukbare tekens). |
| 920280 | Aanvraag ontbreekt een hostheader. |
| 920290 | Lege hostheader. |
| 920300 | Aanvraag ontbreekt een acceptheader. |
| 920310 | Aanvraag heeft een lege acceptheader. |
| 920311 | Aanvraag heeft een lege acceptheader. |
| 920320 | Header van gebruikersagent ontbreekt. |
| 920330 | Lege header van gebruikersagent. |
| 920340 | Aanvraag met inhoud, maar koptekst inhoud ontbreekt. |
| 920341 | Voor de aanvraag met inhoud is de header Content-Type vereist. |
| 920350 | Hostheader is een numeriek IP-adres. |
| 920420 | Het inhoudstype Aanvraag is niet toegestaan op basis van beleid. |
| 920430 | De versie van het HTTP-protocol is niet toegestaan door beleid. |
| 920440 | De URL-bestandsextensie wordt beperkt door beleid. |
| 920450 | HTTP-header wordt beperkt door beleid. |
| 920470 | Ongeldige header van het inhoudstype. |
| 920480 | Charset voor het inhoudstype aanvragen is niet toegestaan door beleid. |
| 920500 | Probeer toegang te krijgen tot een back-up- of werkbestand. |
Protocolaanval
| RuleId | Beschrijving |
|---|---|
| 921110 | HTTP-aanvraagsmokkelaanval |
| 921120 | HTTP Response Splitting Attack |
| 921130 | HTTP Response Splitting Attack |
| 921140 | HTTP-headerinjectieaanval via headers |
| 921150 | HTTP-headerinjectieaanval via nettolading (CR/LF gedetecteerd) |
| 921151 | HTTP-headerinjectieaanval via nettolading (CR/LF gedetecteerd) |
| 921160 | HTTP Header Injection Attack via payload (CR/LF en header-name gedetecteerd) |
| 921190 | HTTP-splitsing (CR/LF in aanvraagbestand gedetecteerd) |
| 921200 | LDAP-injectieaanval |
LFI: Lokale bestandsopname
| RuleId | Beschrijving |
|---|---|
| 930100 | Pad doorkruisingsaanval (/.. /) |
| 930110 | Pad doorkruisingsaanval (/.. /) |
| 930120 | Poging tot toegang tot besturingssysteembestand |
| 930130 | Poging tot beperkte bestandstoegang |
RFI: Externe bestandsopname
| RuleId | Beschrijving |
|---|---|
| 931100 | Mogelijke RFI-aanval (Remote File Inclusion): URL-parameter met behulp van IP-adres |
| 931110 | Mogelijke RFI-aanval (Remote File Inclusion): Common RFI Vulnerable Parameter Name used w/URL Payload |
| 931120 | Mogelijke RFI-aanval (Remote File Inclusion): URL-nettolading gebruikt met vraagteken (?) |
| 931130 | Mogelijke RFI-aanval (Remote File Inclusion): Off-Domain Reference/Link |
RCE: Uitvoering van externe opdracht
| RuleId | Beschrijving |
|---|---|
| 932100 | Uitvoering van externe opdracht: Unix-opdrachtinjectie |
| 932105 | Uitvoering van externe opdracht: Unix-opdrachtinjectie |
| 932110 | Uitvoering van externe opdracht: Windows-opdrachtinjectie |
| 932115 | Uitvoering van externe opdracht: Windows-opdrachtinjectie |
| 932120 | Uitvoering van externe opdracht: Windows PowerShell-opdracht gevonden |
| 932130 | Uitvoering van externe opdracht: Beveiligingsprobleem met Unix Shell Expression of Confluence (CVE-2022-26134) gevonden |
| 932140 | Uitvoering van externe opdracht: Windows FOR/IF-opdracht gevonden |
| 932150 | Uitvoering van externe opdracht: directe uitvoering van Unix-opdrachten |
| 932160 | Uitvoering van externe opdracht: Unix Shell-code gevonden |
| 932170 | Uitvoering van externe opdracht: Shellshock (CVE-2014-6271) |
| 932171 | Uitvoering van externe opdracht: Shellshock (CVE-2014-6271) |
| 932180 | Poging tot uploaden van beperkte bestanden |
PHP-aanvallen
| RuleId | Beschrijving |
|---|---|
| 933100 | PHP-injectieaanval: openen/sluiten tag gevonden |
| 933110 | PHP-injectieaanval: UPLOAD van PHP-scriptbestand gevonden |
| 933120 | PHP-injectieaanval: configuratierichtlijn gevonden |
| 933130 | PHP-injectieaanval: variabelen gevonden |
| 933140 | PHP-injectieaanval: I/O Stream gevonden |
| 933150 | PHP-injectieaanval: naam van php-functie met hoog risico gevonden |
| 933151 | PHP-injectieaanval: naam van php-functie met gemiddeld risico gevonden |
| 933160 | PHP-injectieaanval: aanroep van de PHP-functie met een hoog risico gevonden |
| 933170 | PHP-injectieaanval: geserialiseerde objectinjectie |
| 933180 | PHP-injectieaanval: variabele functieaanroep gevonden |
| 933200 | PHP-injectieaanval: Wrapper-schema gedetecteerd |
| 933210 | PHP-injectieaanval: variabele functieaanroep gevonden |
JS-aanvallen op knooppunten
| RuleId | Beschrijving |
|---|---|
| 934100 | Node.js injectieaanval |
XSS: Scripting op meerdere sites
| RuleId | Beschrijving |
|---|---|
| 941100 | XSS-aanval gedetecteerd via libinjection |
| 941101 | XSS-aanval gedetecteerd via libinjection Regel detecteert aanvragen met een Referer header |
| 941110 | XSS-filter - Categorie 1: Script Tag Vector |
| 941120 | XSS-filter - Categorie 2: Gebeurtenishandlervector |
| 941130 | XSS-filter - categorie 3: kenmerkvector |
| 941140 | XSS-filter - categorie 4: JavaScript-URI-vector |
| 941150 | XSS-filter - categorie 5: niet-toegestane HTML-kenmerken |
| 941160 | NoScript XSS InjectionChecker: HTML-injectie |
| 941170 | NoScript XSS InjectionChecker: kenmerkinjectie |
| 941180 | Trefwoorden voor knooppuntvalidatielijst |
| 941190 | XSS met opmaakmodellen |
| 941200 | XSS met VML-frames |
| 941210 | XSS met verborgen JavaScript |
| 941220 | XSS met verborgen VB-script |
| 941230 | XSS met behulp van embed tag |
| 941240 | XSS met behulp van import of implementation kenmerk |
| 941250 | IE XSS-filters - Aanval gedetecteerd |
| 941260 | XSS met behulp van meta tag |
| 941270 | XSS met href link |
| 941280 | XSS met behulp van base tag |
| 941290 | XSS met behulp van applet tag |
| 941300 | XSS met behulp van object tag |
| 941310 | US-ASCII Malformed Encoding XSS-filter - Aanval gedetecteerd |
| 941320 | Mogelijke XSS-aanval gedetecteerd - HTML-taghandler |
| 941330 | IE XSS-filters - Aanval gedetecteerd |
| 941340 | IE XSS-filters - Aanval gedetecteerd |
| 941350 | UTF-7 Encoding IE XSS - Aanval gedetecteerd |
| 941360 | JavaScript-verdoofing gedetecteerd |
| 941370 | Globale JavaScript-variabele gevonden |
| 941380 | Sjablooninjectie aan de clientzijde van AngularJS gedetecteerd |
SQLI: SQL-injectie
| RuleId | Beschrijving |
|---|---|
| 942100 | SQL-injectieaanval gedetecteerd via libinjection. |
| 942110 | SQL-injectieaanval: veelvoorkomende injectietests gedetecteerd. |
| 942120 | SQL-injectieaanval: SQL-operator gedetecteerd. |
| 942140 | SQL-injectieaanval: veelvoorkomende DB-namen gedetecteerd. |
| 942150 | SQL-injectieaanval. |
| 942160 | Detecteert blinde SQLI-tests met behulp van sleep() of benchmark(). |
| 942170 | Detecteert sql-benchmark- en slaapinjectiepogingen, inclusief voorwaardelijke query's. |
| 942180 | Detecteert het omzeilen van eenvoudige SQL-verificatiepogingen 1/3. |
| 942190 | Detecteert het uitvoeren van MSSQL-code en het verzamelen van gegevens. |
| 942200 | Detecteert MySQL comment-/space-obfuscated injecties en backtick beëindiging. |
| 942210 | Detecteert gekoppelde SQL-injectiepogingen 1/2. |
| 942220 | Op zoek naar overloopaanvallen voor gehele getallen, worden deze overgenomen van skipfish, behalve 3.0.0073850720072007e-308 is de "magic number" crash. |
| 942230 | Detecteert voorwaardelijke SQL-injectiepogingen. |
| 942240 | Detecteert de MySQL charset-switch en MSSQL DoS-pogingen. |
| 942250 | Detecteert MATCH AGAINST, MERGE en EXECUTE IMMEDIATE injecties. |
| 942260 | Detecteert het omzeilen van eenvoudige SQL-verificatiepogingen 2/3. |
| 942270 | Op zoek naar eenvoudige SQL-injectie. Algemene aanvalstekenreeks voor MySQL, Oracle en andere. |
| 942280 | Detecteert Postgres pg_sleep injectie, wacht op vertragingsaanvallen en pogingen tot het afsluiten van de database. |
| 942290 | Hiermee vindt u eenvoudige MongoDB SQL-injectiepogingen. |
| 942300 | Detecteert MySQL-opmerkingen, -voorwaarden en ch(a)r-injecties. |
| 942310 | Detecteert gekoppelde SQL-injectiepogingen 2/2. |
| 942320 | Detecteert opgeslagen procedure/functie-injecties van MySQL en PostgreSQL. |
| 942330 | Detecteert klassieke SQL-injectieprobings 1/2. |
| 942340 | Detecteert het omzeilen van eenvoudige SQL-verificatiepogingen 3/3. |
| 942350 | Detecteert MySQL UDF-injectie en andere pogingen om gegevens/structuur te manipuleren. |
| 942360 | Detecteert samengevoegde SQL-injectie en SQLLFI-pogingen. |
| 942361 | Detecteert eenvoudige SQL-injectie op basis van het wijzigen van trefwoorden of samenvoeging. |
| 942370 | Detecteert klassieke SQL-injectieprobings 2/2. |
| 942380 | SQL-injectieaanval. |
| 942390 | SQL-injectieaanval. |
| 942400 | SQL-injectieaanval. |
| 942410 | SQL-injectieaanval. |
| 942430 | Beperkte anomaliedetectie van SQL-tekens (args): aantal speciale tekens overschreden (12). |
| 942440 | SQL-opmerkingenreeks gedetecteerd. |
| 942450 | Geïdentificeerde SQL Hex-codering. |
| 942460 | Waarschuwing voor anomaliedetectie met metatekens- terugkerende niet-Word-tekens. |
| 942470 | SQL-injectieaanval. |
| 942480 | SQL-injectieaanval. |
| 942500 | MySQL-in-line opmerking gedetecteerd. |
| 942510 | SQLi bypasspoging door tikken of backticks gedetecteerd. |
Sessiefixatie
| RuleId | Beschrijving |
|---|---|
| 943100 | Mogelijke sessiefixatieaanval: Cookiewaarden instellen in HTML |
| 943110 | Mogelijke sessiefixatie-aanval: Naam van sessie-ID-parameter met referrer van het externe domein |
| 943120 | Mogelijke sessiefixatie-aanval: Naam van sessie-id-parameter zonder verwijzing |
Java-aanvallen
| RuleId | Beschrijving |
|---|---|
| 944100 | Uitvoering van externe opdrachten: Apache Struts, Oracle WebLogic |
| 944110 | Detecteert mogelijke uitvoering van nettoladingen |
| 944120 | Mogelijke uitvoering van nettolading en uitvoering van externe opdrachten |
| 944130 | Verdachte Java-klassen |
| 944200 | Exploitatie van Java deserialization Apache Commons |
| 944210 | Mogelijk gebruik van Java-serialisatie |
| 944240 | Uitvoering van externe opdracht: Java-serialisatie en Log4j-beveiligingsprobleem (CVE-2021-44228, CVE-2021-45046) |
| 944250 | Uitvoering van externe opdracht: Verdachte Java-methode gedetecteerd |
MS-ThreatIntel-WebShells
| RuleId | Beschrijving |
|---|---|
| 99005002 | Web Shell Interaction Attempt (POST) |
| 99005003 | Uploadpoging van Web Shell (POST) - CHOPPER PHP |
| 99005004 | Uploadpoging van Web Shell (POST) - CHOPPER ASPX |
| 99005005 | Interactiepoging webshell |
| 99005006 | Spring4Shell-interactiepoging |
MS-ThreatIntel-AppSec
| RuleId | Beschrijving |
|---|---|
| 99030001 | Pad Doorkruising in headers (/.. /./.. /) |
| 99030002 | Pad doorkruising in aanvraagtekst (/.). /./.. /) |
MS-ThreatIntel-SQLI
| RuleId | Beschrijving |
|---|---|
| 99031001 | SQL-injectieaanval: Veelvoorkomende injectietests gedetecteerd |
| 99031002 | SQL-opmerkingenreeks gedetecteerd |
| 99031003 | SQL-injectieaanval |
| 99031004 | Detecteert het omzeilen van eenvoudige SQL-verificatiepogingen 2/3 |
MS-ThreatIntel-CVE's
| RuleId | Beschrijving |
|---|---|
| 99001001 | Poging tot F5 tmui (CVE-2020-5902) REST API-exploitatie met bekende referenties |
| 99001002 | Poging tot Citrix NSC_USER directory traversal CVE-2019-19781 |
| 99001003 | Poging tot exploitatie van Atlassian Confluence Widget Connector CVE-2019-3396 |
| 99001004 | Poging tot aangepaste pulse Secure-sjabloonuitbuiting CVE-2020-8243 |
| 99001005 | Poging tot conversie van conversieprogramma van SharePoint-type CVE-2020-0932 |
| 99001006 | Poging tot doorkruising van Pulse Connect-directory CVE-2019-11510 |
| 99001007 | Poging om junos OS J-Web lokaal bestand in te nemen CVE-2020-1631 |
| 99001008 | Poging tot fortinet-pad traversal CVE-2018-13379 |
| 99001009 | Poging tot Apache struts ognl injectie CVE-2017-5638 |
| 99001010 | Poging tot Apache struts ognl injectie CVE-2017-12611 |
| 99001011 | Poging tot Oracle WebLogic-pad traversal CVE-2020-14882 |
| 99001012 | Poging telerik WebUI onveilige deserialisatie-exploitatie CVE-2019-18935 |
| 99001013 | Poging tot onveilige XML-deserialisatie van SharePoint-CVE-2019-0604 |
| 99001014 | Poging tot Spring Cloud-routing-expression injectie CVE-2022-22963 |
| 99001015 | Poging tot het misbruiken van onveilige Spring Framework-klasseobjecten CVE-2022-22965 |
| 99001016 | Poging tot Spring Cloud Gateway Actuator injectie CVE-2022-22947 |
| 99001017 | Poging tot uploaden van Apache Struts-bestand CVE-2023-50164 |
Notitie
Wanneer u de logboeken van uw WAF bekijkt, ziet u mogelijk regel-id 949110. De beschrijving van de regel kan inkomende anomaliescore zijn overschreden.
Deze regel geeft aan dat de totale anomaliescore voor de aanvraag de maximaal toegestane score heeft overschreden. Zie Anomaliescore voor meer informatie.
Wanneer u uw WAF-beleid afstemt, moet u de andere regels onderzoeken die zijn geactiveerd door de aanvraag, zodat u de configuratie van uw WAF kunt aanpassen. Zie Azure Web Application Firewall afstemmen voor Azure Front Door voor meer informatie.