CRS-regelgroepen en -regels voor Web Application Firewall

  • Artikel

Application Gateway WAF (Web Application Firewall) beschermt webtoepassingen tegen veelvoorkomende beveiligingsproblemen en aanvallen. Dit gebeurt via regels die zijn gedefinieerd op basis van de OWASP-basisregelsets 3.2, 3.1, 3.0 of 2.2.9. Regels kunnen per regel worden uitgeschakeld of u kunt specifieke acties per afzonderlijke regel instellen. Dit artikel bevat de huidige regels en regelsets die worden aangeboden. In de zeldzame gevallen dat een gepubliceerde regelset moet worden bijgewerkt, wordt deze hier beschreven.

Core Rule Sets

De Application Gateway WAF wordt standaard vooraf geconfigureerd met CRS 3.2, maar u kunt ervoor kiezen om een andere ondersteunde CRS-versie te gebruiken.

CRS 3.2 biedt een nieuwe engine en nieuwe regelsets die bescherming bieden tegen Java-injecties, een eerste set controles voor het uploaden van bestanden en minder fout-positieven in vergelijking met eerdere versies van CRS. U kunt regels ook aanpassen aan uw behoeften. Meer informatie over de nieuwe Azure WAF-engine.

Regels beheren

De WAF beschermt tegen de volgende beveiligingsproblemen op het web:

  • SQL-injectieaanvallen
  • Aanvallen met scripts op meerdere sites
  • Andere veelvoorkomende aanvallen, zoals opdrachtinjectie, smokkel van HTTP-aanvragen, het splitsen van HTTP-antwoorden en opname van externe bestanden
  • Schendingen van HTTP-protocol
  • HTTP-protocolafwijkingen, zoals ontbrekende hostgebruikersagent en acceptatieheaders
  • Bots, crawlers en scanners
  • Veelvoorkomende onjuiste configuraties van toepassingen (bijvoorbeeld Apache en IIS)

CRS is standaard ingeschakeld in de detectiemodus in uw WAF-beleid. U kunt afzonderlijke regels in de basisregelset uitschakelen of inschakelen om te voldoen aan de vereisten van uw toepassing. U kunt ook specifieke acties per regel instellen. Het CRS ondersteunt acties voor blok-, logboek- en anomaliescores. De Bot Manager-regelset ondersteunt de acties toestaan, blokkeren en logboeken.

Soms moet u mogelijk bepaalde aanvraagkenmerken weglaten uit een WAF-evaluatie. Een bekend voorbeeld is door Active Directory ingevoegde tokens die worden gebruikt voor verificatie. U kunt uitsluitingen configureren om toe te passen wanneer specifieke WAF-regels worden geëvalueerd, of om globaal toe te passen op de evaluatie van alle WAF-regels. Uitsluitingsregels zijn van toepassing op uw hele webtoepassing. Zie Web Application Firewall (WAF) met Application Gateway uitsluitingslijsten voor meer informatie.

CRS versie 3.2 en hoger maakt standaard gebruik van anomaliescores wanneer een aanvraag overeenkomt met een regel. CRS 3.1 en lager blokkeren standaard overeenkomende aanvragen. Bovendien kunnen aangepaste regels worden geconfigureerd in hetzelfde WAF-beleid als u een van de vooraf geconfigureerde regels in de basisregelset wilt omzeilen.

Aangepaste regels worden altijd toegepast voordat regels in de basisregelset worden geëvalueerd. Als een aanvraag overeenkomt met een aangepaste regel, wordt de bijbehorende regelactie toegepast. De aanvraag wordt geblokkeerd of doorgegeven aan de back-end. Er worden geen andere aangepaste regels of de regels in de basisregelset verwerkt.

Anomaliescore

Wanneer u CRS gebruikt, is uw WAF standaard geconfigureerd voor het gebruik van anomaliescores. Verkeer dat overeenkomt met een regel wordt niet onmiddellijk geblokkeerd, zelfs niet wanneer uw WAF zich in de preventiemodus bevindt. In plaats daarvan definiëren de OWASP-regelsets een ernst voor elke regel: Kritiek, Fout, Waarschuwing of Kennisgeving. De ernst is van invloed op een numerieke waarde voor de aanvraag, die de anomaliescore wordt genoemd:

Ernst van regel Waarde heeft bijgedragen aan anomaliescore
Kritiek 5
Fout 4
Waarschuwing 3
Kennisgeving 2

Als de anomaliescore 5 of hoger is en de WAF zich in de preventiemodus bevindt, wordt de aanvraag geblokkeerd. Als de anomaliescore 5 of hoger is en de WAF zich in de detectiemodus bevindt, wordt de aanvraag geregistreerd, maar niet geblokkeerd.

Een enkele kritieke regelovereenkomst is bijvoorbeeld voldoende voor de WAF om een aanvraag te blokkeren in de preventiemodus, omdat de algehele anomaliescore 5 is. Een overeenkomst met waarschuwingsregel verhoogt echter alleen de anomaliescore met 3, wat op zichzelf niet voldoende is om het verkeer te blokkeren. Wanneer een anomalieregel wordt geactiveerd, wordt een actie 'Overeenkomend' weergegeven in de logboeken. Als de anomaliescore 5 of hoger is, wordt er een afzonderlijke regel geactiveerd met de actie 'Geblokkeerd' of 'Gedetecteerd', afhankelijk van of WAF-beleid zich in de preventie- of detectiemodus bevindt. Zie Anomaliescoremodus voor meer informatie.

OWASP CRS 3.2

CRS 3.2 bevat 14 regelgroepen, zoals wordt weergegeven in de volgende tabel. Elke groep bevat meerdere regels, die kunnen worden uitgeschakeld. De regelset is gebaseerd op versie OWASP CRS 3.2.0.

Notitie

CRS 3.2 is alleen beschikbaar op de WAF_v2-SKU. Omdat CRS 3.2 wordt uitgevoerd op de nieuwe Azure WAF-engine, kunt u niet downgraden naar CRS 3.1 of eerder. Als u een downgrade wilt uitvoeren, neemt u contact op met de ondersteuning van Azure.

Regelgroep Description
Algemeen Algemene groep
BEKENDE CVES Nieuwe en bekende CVE's helpen detecteren
REQUEST-911-METHOD-ENFORCEMENT Vergrendelingsmethoden (PUT, PATCH)
REQUEST-913-SCANNER-DETECTION Beveiligen tegen poort- en omgevingsscanners
REQUEST-920-PROTOCOL-ENFORCEMENT Beveiligen tegen protocol- en coderingsproblemen
REQUEST-921-PROTOCOL-ATTACK Beschermen tegen headerinjectie, smokkel van aanvragen en antwoordsplitsing
REQUEST-930-APPLICATION-ATTACK-LFI Beveiligen tegen bestands- en padaanvallen
REQUEST-931-APPLICATION-ATTACK-RFI Beveiligen tegen RFI-aanvallen (Remote File Inclusion)
REQUEST-932-APPLICATION-ATTACK-RCE Aanvallen voor het uitvoeren van externe code opnieuw beveiligen
REQUEST-933-APPLICATION-ATTACK-PHP Bescherming tegen PHP-injectieaanvallen
REQUEST-941-APPLICATION-ATTACK-XSS Beveiligen tegen aanvallen met scripts op meerdere sites
REQUEST-942-APPLICATION-ATTACK-SQLI Bescherming tegen SQL-injectieaanvallen
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Beveiligen tegen sessiefixatieaanvallen
REQUEST-944-APPLICATION-ATTACK-JAVA Beveiligen tegen JAVA-aanvallen

OWASP CRS 3.1

CRS 3.1 bevat 14 regelgroepen, zoals wordt weergegeven in de volgende tabel. Elke groep bevat meerdere regels, die kunnen worden uitgeschakeld. De regelset is gebaseerd op versie OWASP CRS 3.1.1.

Notitie

CRS 3.1 is alleen beschikbaar op de WAF_v2 SKU.

Regelgroep Description
Algemeen Algemene groep
CVE-BEKEND Nieuwe en bekende CVE's helpen detecteren
REQUEST-911-METHOD-ENFORCEMENT Vergrendelingsmethoden (PUT, PATCH)
REQUEST-913-SCANNER-DETECTION Beveiligen tegen poort- en omgevingsscanners
REQUEST-920-PROTOCOL-ENFORCEMENT Beveiligen tegen protocol- en coderingsproblemen
REQUEST-921-PROTOCOL-ATTACK Bescherming tegen headerinjectie, smokkel van aanvragen en antwoordsplitsing
REQUEST-930-APPLICATION-ATTACK-LFI Beveiligen tegen bestands- en padaanvallen
REQUEST-931-APPLICATION-ATTACK-RFI Beveiligen tegen RFI-aanvallen (remote file inclusion)
REQUEST-932-APPLICATION-ATTACK-RCE Opnieuw aanvallen voor het uitvoeren van externe code beveiligen
REQUEST-933-APPLICATION-ATTACK-PHP Beschermen tegen PHP-injectieaanvallen
REQUEST-941-APPLICATION-ATTACK-XSS Beveiligen tegen aanvallen met scripts op meerdere sites
REQUEST-942-APPLICATION-ATTACK-SQLI Beveiligen tegen SQL-injectieaanvallen
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Beveiligen tegen sessiefixatieaanvallen
REQUEST-944-APPLICATION-ATTACK-SESSION-JAVA Beveiligen tegen JAVA-aanvallen

OWASP CRS 3.0

CRS 3.0 bevat 13 regelgroepen, zoals wordt weergegeven in de volgende tabel. Elke groep bevat meerdere regels, die kunnen worden uitgeschakeld. De regelset is gebaseerd op versie OWASP CRS 3.0.0.

Regelgroep Description
Algemeen Algemene groep
CVE-BEKEND Nieuwe en bekende CVE's helpen detecteren
REQUEST-911-METHOD-ENFORCEMENT Vergrendelingsmethoden (PUT, PATCH)
REQUEST-913-SCANNER-DETECTION Beveiligen tegen poort- en omgevingsscanners
REQUEST-920-PROTOCOL-ENFORCEMENT Beveiligen tegen protocol- en coderingsproblemen
REQUEST-921-PROTOCOL-ATTACK Bescherming tegen headerinjectie, smokkel van aanvragen en antwoordsplitsing
REQUEST-930-APPLICATION-ATTACK-LFI Beveiligen tegen bestands- en padaanvallen
REQUEST-931-APPLICATION-ATTACK-RFI Beveiligen tegen RFI-aanvallen (remote file inclusion)
REQUEST-932-APPLICATION-ATTACK-RCE Opnieuw aanvallen voor het uitvoeren van externe code beveiligen
REQUEST-933-APPLICATION-ATTACK-PHP Beschermen tegen PHP-injectieaanvallen
REQUEST-941-APPLICATION-ATTACK-XSS Beveiligen tegen aanvallen met scripts op meerdere sites
REQUEST-942-APPLICATION-ATTACK-SQLI Beveiligen tegen SQL-injectieaanvallen
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Beveiligen tegen sessiefixatieaanvallen

OWASP CRS 2.2.9

CRS 2.2.9 bevat 10 regelgroepen, zoals wordt weergegeven in de volgende tabel. Elke groep bevat meerdere regels, die kunnen worden uitgeschakeld.

Notitie

CRS 2.2.9 wordt niet meer ondersteund voor nieuw WAF-beleid. U wordt aangeraden een upgrade uit te voeren naar de nieuwste CRS-versie.

Regelgroep Description
crs_20_protocol_violations Beveiligen tegen protocolschendingen (zoals ongeldige tekens of een GET met een aanvraagbody)
crs_21_protocol_anomalies Beveiligen tegen onjuiste headergegevens
crs_23_request_limits Beveiligen tegen argumenten of bestanden die de limieten overschrijden
crs_30_http_policy Beveiligen tegen beperkte methoden, headers en bestandstypen
crs_35_bad_robots Beveiligen tegen webcrawlers en scanners
crs_40_generic_attacks Beschermen tegen algemene aanvallen (zoals sessiefixatie, externe bestandsopname en PHP-injectie)
crs_41_sql_injection_attacks Beveiligen tegen SQL-injectieaanvallen
crs_41_xss_attacks Beveiligen tegen aanvallen met scripts op meerdere sites
crs_42_tight_security Beveiligen tegen path-traversal-aanvallen
crs_45_trojans Beveiligen tegen trojaanse paarden van de achterdeur

Botregels

U kunt een regelset voor beheerde botbeveiliging inschakelen om aangepaste acties uit te voeren op aanvragen van alle botcategorieën.

Regelgroep Description
BadBots Beveiligen tegen slechte bots
GoodBots Goede bots identificeren
UnknownBots Onbekende bots identificeren

De volgende regelgroepen en regels zijn beschikbaar wanneer u Web Application Firewall gebruikt op Application Gateway.

3.2 regelsets

Algemeen

RuleId Description
200002 Kan aanvraagbody niet parseren.
200003 Aanvraagbody voor meerdere delen Strikte validatie.
200004 Mogelijke niet-overeenkomende grens met meerdere delen.

CVE-BEKEND

RuleId Description
800100 Regel voor het detecteren en beperken van log4j kwetsbaarheid CVE-2021-44228, CVE-2021-45046
800110 Spring4Shell-interactiepoging
800111 Poging tot Spring Cloud-routeringsexpressieinjectie - CVE-2022-22963
800112 Poging tot exploitatie van onveilige klasseobjecten in Spring Framework - CVE-2022-22965
800113 Poging tot injectie van Spring Cloud Gateway Actuator - CVE-2022-22947

REQUEST-911-METHOD-ENFORCEMENT

RuleId Description
911100 Methode is niet toegestaan door beleid

REQUEST-913-SCANNER-DETECTION

RuleId Description
913100 Er is User-Agent gevonden die is gekoppeld aan de beveiligingsscanner
913101 Er is User-Agent gevonden die is gekoppeld aan scripting/algemene HTTP-client
913102 Er is User-Agent gevonden die is gekoppeld aan webcrawler/bot
913110 Aanvraagheader gevonden die is gekoppeld aan de beveiligingsscanner
913120 Bestandsnaam/argument van aanvraag gevonden die is gekoppeld aan de beveiligingsscanner

REQUEST-920-PROTOCOL-ENFORCEMENT

RuleId Description
920100 Ongeldige HTTP-aanvraagregel
920120 Poging tot het overslaan van meerdere delen/formuliergegevens
920121 Poging tot het overslaan van meerdere delen/formuliergegevens
920160 HTTP-header met lengte van inhoud is niet numeriek.
920170 GET of HEAD-aanvraag met hoofdtekstinhoud.
920171 GET- of HEAD-aanvraag met overdrachtscodering.
920180 POST-aanvraag ontbreekt koptekst met lengte van inhoud.
920190 Bereik: ongeldige laatste bytewaarde.
920200 Bereik: Te veel velden (6 of meer)
920201 Bereik: Te veel velden voor PDF-aanvraag (35 of meer)
920202 Bereik: Te veel velden voor PDF-aanvraag (6 of meer)
920210 Er zijn meerdere/conflicterende verbindingsheadergegevens gevonden.
920220 Aanvalspoging url-coderingsmisbruik
920230 Meervoudige URL-codering gedetecteerd
920240 Aanvalspoging url-coderingsmisbruik
920250 Aanvalspoging UTF8-coderingsmisbruik
920260 Unicode-aanvalspoging met volledige/halve breedte
920270 Ongeldig teken in aanvraag (null-teken)
920271 Ongeldig teken in aanvraag (niet-afdrukbare tekens)
920272 Ongeldig teken in aanvraag (buiten afdrukbare tekens onder ascii 127)
920273 Ongeldig teken in aanvraag (buiten zeer strikte set)
920274 Ongeldig teken in aanvraagheaders (buiten zeer strikte set)
920280 Aanvraag ontbreekt een hostheader
920290 Lege hostheader
920300 Aanvraag ontbreekt een acceptheader
920310 Aanvraag heeft een lege acceptheader
920311 Aanvraag heeft een lege acceptheader
920320 Header van gebruikersagent ontbreekt
920330 Lege header van gebruikersagent
920340 Aanvraag die inhoud bevat, maar koptekst van inhoudstype ontbreekt
920341 Voor een aanvraag met inhoud is de header Content-Type vereist
920350 Hostheader is een numeriek IP-adres
920420 Aanvraaginhoudstype is niet toegestaan door beleid
920430 HTTP-protocolversie is niet toegestaan door beleid
920440 URL-bestandsextensie is beperkt door beleid
920450 HTTP-header is beperkt door beleid (%{MATCHED_VAR})
920460 Abnormale escapetekens
920470 Koptekst van ongeldig inhoudstype
920480 Charset-parameter binnen de header van het inhoudstype beperken

REQUEST-921-PROTOCOL-ATTACK

RuleId Description
921110 Http-aanvraagsmokkelaanval
921120 Aanval voor het splitsen van HTTP-reacties
921130 Aanval voor het splitsen van HTTP-reacties
921140 Aanval met HTTP-headerinjectie via headers
921150 HTTP-headerinjectieaanval via nettolading (CR/LF gedetecteerd)
921151 HTTP-headerinjectieaanval via nettolading (CR/LF gedetecteerd)
921160 Http-headerinjectieaanval via nettolading (CR/LF en header-name gedetecteerd)
921170 HTTP-parametervervuiling
921180 HTTP-parametervervuiling (%{TX.1})

REQUEST-930-APPLICATION-ATTACK-LFI

RuleId Description
930100 Path Traversal Attack (/.. /)
930110 Path Traversal Attack (/.. /)
930120 Poging tot bestandstoegang van het besturingssysteem
930130 Beperkte bestandstoegangspoging

REQUEST-931-APPLICATION-ATTACK-RFI

RuleId Description
931100 Mogelijke RFI-aanval (Remote File Inclusion): URL-parameter met behulp van IP-adres
931110 Mogelijke RFI-aanval (Remote File Inclusion): Common RFI Vulnerable Parameter Name used w/URL Payload
931120 Mogelijke RFI-aanval (Remote File Inclusion): URL-nettolading gebruikt met afsluitend vraagteken (?)
931130 Mogelijke RFI-aanval (Remote File Inclusion): Off-Domain reference/link

REQUEST-932-APPLICATION-ATTACK-RCE

RuleId Description
932100 Uitvoering van externe opdracht: Unix-opdrachtinjectie
932105 Uitvoering van externe opdracht: Unix-opdrachtinjectie
932106 Uitvoering van externe opdracht: Unix-opdrachtinjectie
932110 Uitvoering van externe opdracht: Windows-opdrachtinjectie
932115 Uitvoering van externe opdracht: Windows-opdrachtinjectie
932120 Uitvoering van externe opdracht: Windows PowerShell opdracht gevonden
932130 Uitvoering van externe opdracht: Unix Shell Expression of Confluence Vulnerability (CVE-2022-26134) of Text4Shell (CVE-2022-42889) gevonden
932140 Uitvoering van externe opdracht: Windows FOR/IF-opdracht gevonden
932150 Uitvoering van externe opdracht: directe uitvoering van unix-opdrachten
932160 Uitvoering van externe opdracht: Unix Shell-code gevonden
932170 Uitvoering van externe opdrachten: Shellshock (CVE-2014-6271)
932171 Uitvoering van externe opdracht: Shellshock (CVE-2014-6271)
932180 Beperkte uploadpoging voor bestand
932190 Uitvoering van externe opdracht: poging tot overslaan van jokertekens

REQUEST-933-APPLICATION-ATTACK-PHP

RuleId Description
933100 PHP-injectieaanval: tag openen/sluiten gevonden
933110 PHP-injectieaanval: UPLOAD VAN PHP-scriptbestand gevonden
933111 PHP-injectieaanval: UPLOAD VAN PHP-scriptbestand gevonden
933120 PHP-injectieaanval: configuratie-instructie gevonden
933130 PHP-injectieaanval: variabelen gevonden
933131 PHP-injectieaanval: variabelen gevonden
933140 PHP-injectieaanval: I/O-stream gevonden
933150 PHP-injectieaanval: High-Risk PHP-functienaam gevonden
933151 PHP-injectieaanval: Medium-Risk PHP-functienaam gevonden
933160 PHP-injectieaanval: High-Risk PHP-functieaanroep gevonden
933161 PHP-injectieaanval: Low-Value PHP-functieaanroep gevonden
933170 PHP-injectieaanval: geserialiseerde objectinjectie
933180 PHP-injectieaanval: aanroep van variabele functie gevonden
933190 PHP-injectieaanval: PHP-afsluitende tag gevonden
933200 PHP-injectieaanval: Wrapper-schema gedetecteerd
933210 PHP-injectieaanval: aanroep van variabele functie gevonden

REQUEST-941-APPLICATION-ATTACK-XSS

RuleId Description
941100 XSS-aanval gedetecteerd via libinjectie
941101 XSS-aanval gedetecteerd via libinjectie.
Met deze regel worden aanvragen met een verwijzingsheader gedetecteerd.
941110 XSS-filter - categorie 1: scripttagvector
941120 XSS-filter - Categorie 2: Vector van gebeurtenis-handler
941130 XSS-filter - Categorie 3: Kenmerkvector
941140 XSS-filter - categorie 4: JavaScript-URI-vector
941150 XSS-filter - categorie 5: niet-toegestane HTML-kenmerken
941160 NoScript XSS InjectionChecker: HTML-injectie
941170 NoScript XSS InjectionChecker: Kenmerkinjectie
941180 Node-Validator zwarte lijst met trefwoorden
941190 XSS met opmaakmodellen
941200 XSS met VML-frames
941210 XSS met behulp van verborgen JavaScript of Text4Shell (CVE-2022-42889)
941220 XSS met behulp van verborgen VB-script
941230 XSS met behulp van de tag 'insluiten'
941240 XSS met behulp van het kenmerk 'import' of 'implementation'
941250 IE XSS-filters - Aanval gedetecteerd.
941260 XSS met de tag 'meta'
941270 XSS met behulp van 'link' href
941280 XSS met behulp van de 'base'-tag
941290 XSS met de tag 'applet'
941300 XSS met behulp van de tag 'object'
941310 US-ASCII Ongeldig coderen XSS-filter - Aanval gedetecteerd.
941320 Mogelijke XSS-aanval gedetecteerd - HTML-taghandler
941330 IE XSS-filters - Aanval gedetecteerd.
941340 IE XSS-filters - Aanval gedetecteerd.
941350 UTF-7-codering IE XSS - Aanval gedetecteerd.
941360 JavaScript-verdoezeling gedetecteerd.

REQUEST-942-APPLICATION-ATTACK-SQLI

RuleId Description
942100 SQL-injectieaanval gedetecteerd via libinjectie
942110 SQL-injectieaanval: algemene injectietests gedetecteerd
942120 SQL-injectieaanval: SQL-operator gedetecteerd
942130 SQL-injectieaanval: SQL-tautologie gedetecteerd.
942140 SQL-injectieaanval: algemene db-namen gedetecteerd
942150 SQL-injectieaanval
942160 Detecteert blinde sqli-tests met behulp van slaapstand() of benchmark().
942170 Detecteert SQL-benchmark- en slaapinjectiepogingen, inclusief voorwaardelijke query's
942180 Detecteert eenvoudige sql-verificatie bypasspogingen 1/3
942190 Detecteert het uitvoeren van MSSQL-code en pogingen om gegevens te verzamelen
942200 Detecteert mySQL opmerking-/space-obfuscated injecties en backtick beëindiging
942210 Detecteert geketende SQL-injectiepogingen 1/2
942220 Op zoek naar overloopaanvallen voor gehele getallen, deze zijn afkomstig van skipfish, met uitzondering van 3.0.00738585072007e-308 is het 'magische getal' crash
942230 Detecteert voorwaardelijke SQL-injectiepogingen
942240 Detecteert MySQL charset switch en MSSQL DoS-pogingen
942250 Detecteert MATCH AGAINST, MERGE en EXECUTE IMMEDIATE injecties
942251 Detecteert HAVING-injecties
942260 Detecteert eenvoudige sql-verificatie bypasspogingen 2/3
942270 Op zoek naar eenvoudige SQL-injectie. Algemene aanvalstekenreeks voor mysql, oracle en andere.
942280 Detecteert Postgres pg_sleep injectie, wachten op vertragingsaanvallen en pogingen om de database af te sluiten
942290 Vindt eenvoudige MongoDB SQL-injectiepogingen
942300 Detecteert MySQL-opmerkingen, voorwaarden en ch(a)r-injecties
942310 Detecteert geketende SQL-injectiepogingen 2/2
942320 Detecteert mySQL en PostgreSQL opgeslagen procedure/functie-injecties
942330 Detecteert klassieke SQL-injectieprobings 1/2
942340 Detecteert eenvoudige sql-verificatie bypasspogingen 3/3
942350 Detecteert MySQL UDF-injectie en andere bewerkingspogingen voor gegevens/structuur
942360 Detecteert samengevoegde SQL-injectie en SQLLFI-pogingen
942361 Detecteert eenvoudige SQL-injectie op basis van trefwoorden wijzigen of samenvoegen
942370 Detecteert klassieke SQL-injectieprobings 2/2
942380 SQL-injectieaanval
942390 SQL-injectieaanval
942400 SQL-injectieaanval
942410 SQL-injectieaanval
942420 Beperkte sql-tekenafwijkingsdetectie (cookies): aantal speciale tekens overschreden (8)
942421 Beperkte sql-tekenafwijkingsdetectie (cookies): aantal speciale tekens overschreden (3)
942430 Beperkte sql-tekenafwijkingsdetectie (args): aantal speciale tekens overschreden (12)
942431 Beperkte sql-tekenafwijkingsdetectie (args): aantal speciale tekens overschreden (6)
942432 Beperkte sql-tekenafwijkingsdetectie (args): aantal speciale tekens overschreden (2)
942440 SQL-opmerkingenreeks gedetecteerd.
942450 SQL Hex-codering geïdentificeerd
942460 Meta-Character waarschuwing voor anomaliedetectie - terugkerende niet-Word tekens
942470 SQL-injectieaanval
942480 SQL-injectieaanval
942490 Detecteert klassieke SQL-injectieprobings 3/3
942500 MySQL inline opmerking gedetecteerd.

REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION

RuleId Description
943100 Mogelijke sessiefixatieaanval: cookiewaarden instellen in HTML
943110 Mogelijke sessiefixatieaanval: SessionID-parameternaam met Off-Domain verwijzer
943120 Mogelijke sessiefixatieaanval: SessionID-parameternaam zonder verwijzing

REQUEST-944-APPLICATION-ATTACK-JAVA

RuleId Description
944100 Uitvoering van externe opdrachten: Apache Struts, Oracle WebLogic
944110 Detecteert mogelijke uitvoering van nettoladingen
944120 Mogelijke uitvoering van nettolading en uitvoering van externe opdrachten
944130 Verdachte Java-klassen
944200 Exploitatie van Java-deserialisatie van Apache Commons
944210 Mogelijk gebruik van Java-serialisatie
944240 Uitvoering van externe opdracht: Java-serialisatie
944250 Uitvoering van externe opdracht: verdachte Java-methode gedetecteerd
944300 Met Base64 gecodeerde tekenreeks komt overeen met verdacht trefwoord

Volgende stappen