Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Domyślny zestaw reguł zarządzanych przez platformę Azure (DRS) w zaporze aplikacji internetowej Application Gateway (WAF) aktywnie chroni aplikacje internetowe przed typowymi lukami w zabezpieczeniach i programami wykorzystującymi luki w zabezpieczeniach. Te zestawy reguł zarządzane przez platformę Azure otrzymują aktualizacje w razie potrzeby w celu ochrony przed nowymi sygnaturami ataków. Domyślny zestaw reguł zawiera również reguły zbierania danych analizy zagrożeń firmy Microsoft. Zespół ds. analizy firmy Microsoft współpracuje w pisaniu tych reguł, zapewniając ulepszone pokrycie, konkretne poprawki luk w zabezpieczeniach i ulepszoną fałszywie dodatnią redukcję.
Istnieje również możliwość korzystania z reguł zdefiniowanych na podstawie podstawowego zestawu reguł OWASP 3.2 (CRS 3.2).
Reguły można wyłączyć indywidualnie lub ustawić określone akcje dla każdej reguły. W tym artykule wymieniono dostępne bieżące reguły i zestawy reguł. Jeśli opublikowany zestaw reguł wymaga aktualizacji, udokumentowamy ją tutaj.
Uwaga
Po zmianie wersji zestawu reguł w polityce WAF wszystkie istniejące dostosowania, które wprowadziłeś w zestawie reguł, zostaną zresetowane do wartości domyślnych nowej wersji. Zobacz: Uaktualnianie lub zmienianie wersji zestawu reguł.
Domyślny zestaw reguł 2.1
Domyślny zestaw reguł (DRS) 2.1 jest oparty na podstawowym zestawie reguł (CRS) 3.3.2 Open Web Application Security Project (OWASP) i obejmuje dodatkowe zastrzeżone reguły zabezpieczeń opracowane przez zespół Microsoft Threat Intelligence oraz aktualizacje sygnatur w celu zmniejszenia liczby wyników fałszywie dodatnich. Obsługuje również przekształcenia wykraczające poza dekodowanie adresów URL.
DRS 2.1 oferuje nowy silnik i nowe zestawy reguł chroniących przed wstrzyknięciami oprogramowania Java, początkowy zestaw kontroli przesyłania plików i mniej fałszywych alarmów w porównaniu z wersjami CRS. Możesz również dostosować reguły zgodnie z twoimi potrzebami. Dowiedz się więcej na temat nowego aparatu zapory aplikacji internetowej platformy Azure.
Usługa DRS 2.1 zawiera 17 grup reguł, jak pokazano w poniższej tabeli. Każda grupa zawiera wiele reguł i można dostosować zachowanie poszczególnych reguł, grup reguł lub całego zestawu reguł.
| Typ zagrożenia | Nazwa grupy reguł |
|---|---|
| Ogólne | Ogólne |
| Metody blokady (PUT, PATCH) | WYMUSZANIE METODY |
| Problemy z protokołem i kodowaniem | WYMUSZANIE PROTOKOŁU |
| Wstrzykiwanie nagłówków, przemycanie żądań i dzielenie odpowiedzi | ATAK PROTOKOŁU |
| Ataki na pliki i ścieżki | LFI |
| Ataki zdalnego dołączania plików (RFI) | RFI |
| Ataki polegające na zdalnym wykonywaniu kodu | RCE |
| Ataki polegające na wstrzyknięciu kodu PHP | Język PHP |
| Ataki js węzła | NodeJS |
| Ataki skryptowe obejmujące wiele witryn | XSS |
| Ataki polegających na wstrzyknięciu kodu SQL | SQLI |
| Ataki polegające na fiksacji sesji | Fiksacja sesji |
| Ataki JAVA | SESJA-JAVA |
| Ataki przy użyciu webshella (MS) | MS-ThreatIntel-WebShells |
| Ataki AppSec (MS) | MS-ThreatIntel-AppSec |
| Ataki polegające na wstrzyknięciu kodu SQL (MS) | MS-ZagrożenieIntel-SQLI |
| Ataki CVE (MS) | MS-ThreatIntel-CVEs |
Wskazówki dotyczące dostrajania dla DRS 2.1
Skorzystaj z poniższych wskazówek, aby dostroić WAF przy rozpoczęciu pracy z DRS 2.1 na Application Gateway WAF.
| Identyfikator zasady | Grupa reguł | opis | Rekomendacja |
|---|---|---|---|
| 942110 | SQL Injection (SQLI) | Atak polegający na wstrzyknięciu kodu SQL: wykryto typowe testy iniekcji | Wyłącz regułę 942110, zastąpioną regułą MSTIC 99031001 |
| 942150 | SQL Injection (SQLI) | Atak polegający na wstrzyknięciu kodu SQL | Wyłącz regułę 942150, zastąpioną regułą MSTIC 99031003 |
| 942260 | SQL Injection (SQLI) | Wykrywa podstawowe próby obejścia uwierzytelniania SQL 2/3 | Wyłącz regułę 942260, zastąpioną regułą MSTIC 99031004 |
| 942430 | SQL Injection (SQLI) | Wykrywanie anomalii ograniczonego znaku SQL (args): liczba znaków specjalnych przekroczyła (12) | Wyłącz regułę 942430, powoduje ona zbyt wiele fałszywych alarmów |
| 942440 | SQL Injection (SQLI) | Wykryto sekwencję komentarzy SQL | Wyłącz regułę 942440, zastąpioną regułą MSTIC 99031002 |
| 99005006 | MS-ThreatIntel-WebShells | Próba interakcji z programem Spring4Shell | Zachowaj włączoną regułę, aby zapobiec lukom w zabezpieczeniach programu SpringShell |
| 99001014 | MS-ThreatIntel-CVEs | Podjęto próbę wstrzyknięcia wyrażenia routingu Spring Cloud CVE-2022-22963 | Zachowaj włączoną regułę, aby zapobiec lukom w zabezpieczeniach programu SpringShell |
| 99001015 | MS-ThreatIntel-WebShells | Podjęto próbę wykorzystania niebezpiecznych obiektów klasy Spring Framework CVE-2022-22965 | Zachowaj włączoną regułę, aby zapobiec lukom w zabezpieczeniach programu SpringShell |
| 99001016 | MS-ThreatIntel-WebShells | Podjęto próbę wstrzyknięcia siłownika spring Cloud Gateway CVE-2022-22947 | Zachowaj włączoną regułę, aby zapobiec lukom w zabezpieczeniach programu SpringShell |
| 99001017 | MS-ThreatIntel-CVEs | Podjęto próbę przekazania pliku Apache Struts cve-2023-50164 | Ustaw akcję na Blokuj, aby zapobiec lukom w zabezpieczeniach apache Struts. Ocena anomalii nie jest obsługiwana dla tej reguły |
Podstawowy zestaw reguł 3.2
Zalecanym zarządzanym zestawem reguł jest Domyślny Zestaw Reguł 2.1, który bazuje na Zestawie Reguł Podstawowych Open Web Application Security Project (OWASP) 3.3.2 i zawiera dodatkowe zastrzeżone reguły ochrony opracowane przez zespół Microsoft Threat Intelligence oraz aktualizacje sygnatur w celu zmniejszenia liczby wyników fałszywie dodatnich. Jako alternatywę dla DRS 2.1 można użyć CRS 3.2, który jest oparty na wersji OWASP CRS 3.2.0.
CrS 3.2 zawiera 14 grup reguł, jak pokazano w poniższej tabeli. Każda grupa zawiera wiele reguł, które można wyłączyć.
Uwaga
CrS 3.2 jest dostępny tylko w jednostce SKU WAF_v2. Ponieważ system CRS 3.2 działa w nowym aurze zapory aplikacji internetowej platformy Azure, nie można obniżyć do wersji CRS 3.1 lub starszej. Jeśli musisz obniżyć dół, skontaktuj się z pomocą techniczną platformy Azure.
| Nazwa grupy reguł | Typ zagrożenia |
|---|---|
| Ogólne | Ogólne |
| Nowe i znane CVE | ZNANE CVES |
| Metody blokady (PUT, PATCH) | ŻĄDANIE-911-METODA-EGZEKUCJA |
| Skanery portów i środowisk | REQUEST-913-WYKRYWANIE SKANERA |
| Problemy z protokołem i kodowaniem | REQUEST-920-EGZEKWOWANIE PROTOKOŁU |
| Wstrzykiwanie nagłówków, przemycanie żądań i dzielenie odpowiedzi | REQUEST-921-ATAK-PROTOKOŁU |
| Ataki na pliki i ścieżki | ŻĄDANIE-930-ATAK-APLIKACJI-LFI |
| Ataki zdalnego dołączania plików (RFI) | ŻĄDANIE-931-ATAK-NA-APLIKACJĘ-RFI |
| Ataki polegające na zdalnym wykonywaniu kodu | REQUEST-932-ATAK-APLIKACJI-RCE |
| Ataki polegające na wstrzyknięciu kodu PHP | ŻĄDANIE-933-ATAK-APLIKACJI-PHP |
| Ataki skryptowe obejmujące wiele witryn | ŻĄDANIE-941-APLIKACJA-ATAK-XSS |
| Ataki polegających na wstrzyknięciu kodu SQL | Żądanie-942-Atak-aplikacji-SQLI |
| Ataki polegające na fiksacji sesji | REQUEST-943-NAPRAWA SESJI ATAKU-APLIKACJI |
| Ataki JAVA | ŻĄDANIE-944-ATAK-APLIKACJI-JAVA |
Dostrajanie zarządzanych zestawów reguł
Zarówno drS, jak i CRS są domyślnie włączone w trybie wykrywania w zasadach zapory aplikacji internetowej. Możesz wyłączyć lub włączyć poszczególne reguły w zestawie reguł zarządzanych, aby spełnić wymagania aplikacji. Można również ustawić określone akcje na regułę. Usługa DRS/CRS obsługuje akcje oceny bloków, dzienników i anomalii. Zestaw reguł Bot Manager obsługuje akcje zezwalania, blokowania i rejestrowania.
Czasami może być konieczne pominięcie niektórych atrybutów żądania z oceny zapory aplikacji internetowej. Typowym przykładem są wstawiane tokeny usługi Active Directory, które są używane do uwierzytelniania. Wykluczenia można skonfigurować do zastosowania, gdy są oceniane określone reguły zapory aplikacji internetowej, lub stosować globalnie do oceny wszystkich reguł zapory aplikacji internetowej. Reguły wykluczania mają zastosowanie do całej aplikacji internetowej. Aby uzyskać więcej informacji, zobacz Web Application Firewall (WAF) with Application Gateway exclusion lists (Zapora aplikacji internetowej) z listami wykluczeń usługi Application Gateway.
Domyślnie usługa DRS w wersji 2.1 / CRS w wersji 3.2 lub nowszej używa oceniania anomalii, gdy żądanie pasuje do reguły. System CRS 3.1 lub nowszy domyślnie blokuje dopasowywanie żądań. Ponadto reguły niestandardowe można skonfigurować w tych samych zasadach zapory aplikacji internetowej, jeśli chcesz pominąć dowolną ze wstępnie skonfigurowanych reguł w zestawie reguł podstawowych.
Reguły niestandardowe są zawsze stosowane przed obliczeniu reguł w zestawie reguł podstawowych. Jeśli żądanie pasuje do reguły niestandardowej, zostanie zastosowana odpowiednia akcja reguły. Żądanie jest zablokowane lub przekazywane do zaplecza. Żadne inne reguły niestandardowe ani reguły w zestawie reguł podstawowych nie są przetwarzane.
Ocenianie anomalii
W przypadku korzystania z usług CRS lub DRS 2.1 lub nowszych zapora aplikacji internetowej jest domyślnie skonfigurowana do używania oceniania anomalii. Ruch zgodny z dowolną regułą nie jest natychmiast blokowany, nawet jeśli zapora aplikacji internetowej jest w trybie zapobiegania. Zamiast tego zestawy reguł OWASP definiują ważność dla każdej reguły: Krytyczne, Błąd, Ostrzeżenie lub Powiadomienie. Ważność ma wpływ na wartość liczbową żądania, która jest nazywana wynikiem anomalii:
| Ważność reguły | Wartość przyczyniła się do wyniku anomalii |
|---|---|
| Krytyczne | 5 |
| Błąd | 100 |
| Ostrzeżenie | 3 |
| Uwaga | 2 |
Jeśli wynik anomalii wynosi 5 lub większy, a zapora aplikacji internetowej jest w trybie zapobiegania, żądanie zostanie zablokowane. Jeśli wynik anomalii wynosi 5 lub większy, a zapora aplikacji internetowej jest w trybie wykrywania, żądanie jest rejestrowane, ale nie jest blokowane.
Na przykład pojedyncze dopasowanie reguły krytycznej wystarczy, aby zapora aplikacji internetowej zablokowała żądanie w trybie zapobiegania, ponieważ ogólny wynik anomalii wynosi 5. Jednak jedno dopasowanie reguły ostrzeżenia zwiększa tylko wynik anomalii o 3, co nie wystarczy, aby zablokować ruch. Po wyzwoleniu reguły anomalii w dziennikach zostanie wyświetlona akcja "Dopasowane". Jeśli wynik anomalii wynosi 5 lub więcej, jest uruchamiana osobna reguła z akcją "Zablokowane" lub "Wykryte", w zależności od tego, czy polityka WAF jest w trybie zapobiegania, czy wykrywania. Aby uzyskać więcej informacji, zobacz Tryb oceniania anomalii.
Poziom paranoi
Każda reguła jest przypisana do określonego poziomu paranoi (PL). Reguły skonfigurowane w Paranoia Level 1 (PL1) są mniej agresywne i prawie nigdy nie wywołują fałszywego alarmu. Zapewniają one podstawowe zabezpieczenia przy minimalnej potrzebie dostrajania. Reguły w pl2 wykrywają więcej ataków, ale oczekuje się, że wyzwolą fałszywie dodatnie wyniki, które powinny zostać dostosowane.
Domyślnie wersje reguł DRS 2.1 i CRS 3.2 są wstępnie skonfigurowane w Paranoia Level 2, w tym reguły przypisane zarówno w PL1, jak i w PL2. Jeśli chcesz używać WAF wyłącznie z PL1, możesz wyłączyć dowolną lub wszystkie reguły PL2 lub zmienić ich działanie na "log". Interfejsy PL3 i PL4 nie są obecnie obsługiwane w zaporze aplikacji internetowej Azure (WAF).
Uwaga
Zestaw reguł CRS 3.2 zawiera reguły w PL3 i PL4, ale te reguły są zawsze nieaktywne i nie można ich włączyć, niezależnie od ich skonfigurowanego stanu lub akcji.
Uaktualnianie lub zmienianie wersji zestawu reguł
Jeśli uaktualniasz lub przypisujesz nową wersję zestawu reguł i chcesz zachować istniejące przesłonięcia i wykluczenia reguł, zaleca się użycie programu PowerShell, interfejsu wiersza polecenia, interfejsu API REST lub szablonu w celu wprowadzenia zmian w wersji zestawu reguł. Nowa wersja zestawu reguł może mieć nowsze reguły, dodatkowe grupy reguł i mogą mieć aktualizacje istniejących podpisów w celu wymuszenia lepszych zabezpieczeń i zmniejszenia liczby wyników fałszywie dodatnich. Zaleca się zweryfikowanie zmian w środowisku testowym, dostosowanie w razie potrzeby, a następnie wdrożenie w środowisku produkcyjnym.
Uwaga
Jeśli używasz portalu Azure do przypisania nowego zarządzanego zestawu reguł do zasad WAF, wszystkie wcześniejsze dostosowania z istniejącego zarządzanego zestawu reguł, takie jak stan reguły, akcje reguł i wykluczenia na poziomie reguły, zostaną zresetowane do wartości domyślnych nowego zarządzanego zestawu reguł. Jednak wszystkie niestandardowe reguły, ustawienia zasad i wykluczenia globalne pozostaną nienaruszone podczas nowego przypisania zestawu reguł. Przed wdrożeniem w środowisku produkcyjnym należy ponownie zdefiniować przesłonięcia reguł i zweryfikować zmiany.
OWASP CRS 3.1
CrS 3.1 zawiera 14 grup reguł, jak pokazano w poniższej tabeli. Każda grupa zawiera wiele reguł, które można wyłączyć. Zestaw reguł jest oparty na wersji OWASP CRS 3.1.1.
Uwaga
CrS 3.1 jest dostępny tylko w jednostce SKU WAF_v2.
| Nazwa grupy reguł | opis |
|---|---|
| Ogólne | Grupa ogólna |
| ZNANE CVES | Pomoc w wykrywaniu nowych i znanych CVE |
| ŻĄDANIE-911-METODA-EGZEKUCJA | Metody blokady (PUT, PATCH) |
| REQUEST-913-WYKRYWANIE SKANERA | Ochrona przed skanerami portów i środowisk |
| REQUEST-920-EGZEKWOWANIE PROTOKOŁU | Ochrona przed problemami z protokołem i kodowaniem |
| REQUEST-921-ATAK-PROTOKOŁU | Ochrona przed wstrzyknięciem nagłówka, przemytem żądań i podziałem odpowiedzi |
| ŻĄDANIE-930-ATAK-APLIKACJI-LFI | Ochrona przed atakami na pliki i ścieżki |
| ŻĄDANIE-931-ATAK-NA-APLIKACJĘ-RFI | Ochrona przed atakami zdalnego dołączania plików (RFI) |
| REQUEST-932-ATAK-APLIKACJI-RCE | Ponownie chroń ataki zdalnego wykonywania kodu |
| ŻĄDANIE-933-ATAK-APLIKACJI-PHP | Ochrona przed atakami polegającymi na wstrzyknięciu kodu PHP |
| ŻĄDANIE-941-APLIKACJA-ATAK-XSS | Ochrona przed atakami skryptowymi między witrynami |
| Żądanie-942-Atak-aplikacji-SQLI | Ochrona przed atakami polegającymi na wstrzyknięciu kodu SQL |
| REQUEST-943-NAPRAWA SESJI ATAKU-APLIKACJI | Ochrona przed atakami naprawiania sesji |
| REQUEST-944-APLIKACJA-ATAK-SESJA-JAVA | Ochrona przed atakami java |
Menedżer botów 1.0
Zestaw reguł usługi Bot Manager 1.0 zapewnia ochronę przed złośliwymi botami i wykrywaniem dobrych botów. Reguły zapewniają szczegółową kontrolę nad botami wykrytymi przez zaporę aplikacji internetowej przez kategoryzowanie ruchu bota jako Dobre, Złe lub Nieznane boty.
| Grupa reguł | opis |
|---|---|
| BadBots | Ochrona przed złymi botami |
| Dobre Boty | Identyfikowanie dobrych botów |
| Nieznane Boty | Identyfikowanie nieznanych botów |
Menedżer botów 1.1
Zestaw reguł usługi Bot Manager 1.1 to ulepszenie zestawu reguł usługi Bot Manager 1.0. Zapewnia on rozszerzoną ochronę przed złośliwymi botami i zwiększa dobre wykrywanie botów.
| Grupa reguł | opis |
|---|---|
| BadBots | Ochrona przed złymi botami |
| Dobre Boty | Identyfikowanie dobrych botów |
| Nieznane Boty | Identyfikowanie nieznanych botów |
Następujące grupy reguł i reguły są dostępne w przypadku korzystania z zapory aplikacji internetowej w usłudze Application Gateway.
Zestawy reguł 2.1
Ogólne
| Identyfikator zasady | Ważność oceny anomalii | Poziom paranoi | opis |
|---|---|---|---|
| 200002 | Krytyczne - 5 | PL1 | Nie można przeanalizować treści żądania |
| 200003 | Krytyczne - 5 | PL1 | Treść żądania wieloczęściowego nie powiodła się ścisłej walidacji |
WYMUSZANIE METODY
| Identyfikator zasady | Ważność oceny anomalii | Poziom paranoi | opis |
|---|---|---|---|
| 911100 | Krytyczne - 5 | PL1 | Metoda nie jest dozwolona przez zasady |
PROTOKUŁ-WYMUSZENIE
| Identyfikator zasady | Ważność oceny anomalii | Poziom paranoi | opis |
|---|---|---|---|
| 920100 | Uwaga - 2 | PL1 | Nieprawidłowy wiersz żądania HTTP |
| 920120 | Krytyczne - 5 | PL1 | Podjęto próbę obejścia danych wieloczęściowych/formularzy |
| 920121 | Krytyczne - 5 | Płyta PL2 | Podjęto próbę obejścia danych wieloczęściowych/formularzy |
| 920160 | Krytyczne - 5 | PL1 | Nagłówek HTTP Content-Length nie jest numeryczny |
| 920170 | Krytyczne - 5 | PL1 | Żądanie GET lub HEAD z treścią |
| 920171 | Krytyczne - 5 | PL1 | Żądanie typu GET lub typu HEAD z elementem Transfer-Encoding |
| 920180 | Uwaga - 2 | PL1 | Nagłówek Content-Length jest brakujący w żądaniu POST. |
| 920181 | Ostrzeżenie - 3 | PL1 | Nagłówki Content-Length i Transfer-Encoding są obecne 99001003 |
| 920190 | Ostrzeżenie - 3 | PL1 | Zakres: Nieprawidłowa ostatnia wartość bajtu |
| 920200 | Ostrzeżenie - 3 | Płyta PL2 | Zakres: zbyt wiele pól (co najmniej 6) |
| 920201 | Ostrzeżenie - 3 | Płyta PL2 | Zakres: zbyt wiele pól dla żądania pdf (co najmniej 35) |
| 920210 | Krytyczne - 5 | PL1 | Znaleziono wiele/sprzeczne dane nagłówka połączenia |
| 920220 | Ostrzeżenie - 3 | PL1 | Próba ataku na nadużycie kodowania adresów URL |
| 920230 | Ostrzeżenie - 3 | Płyta PL2 | Wykryto kodowanie wielu adresów URL |
| 920240 | Ostrzeżenie - 3 | PL1 | Próba ataku na nadużycie kodowania adresów URL |
| 920260 | Ostrzeżenie - 3 | PL1 | Próba ataku na ataki typu Full/Half Width Unicode |
| 920270 | Błąd - 4 | PL1 | Nieprawidłowy znak w żądaniu (znak null) |
| 920271 | Krytyczne - 5 | Płyta PL2 | Nieprawidłowy znak w żądaniu (znaki niedrukowalne) |
| 920280 | Ostrzeżenie - 3 | PL1 | Żądanie braku nagłówka hosta |
| 920290 | Ostrzeżenie - 3 | PL1 | Pusty nagłówek hosta |
| 920300 | Uwaga - 2 | Płyta PL2 | Żądanie braku nagłówka accept |
| 920310 | Uwaga - 2 | PL1 | Żądanie ma pusty nagłówek Accept |
| 920311 | Uwaga - 2 | PL1 | Żądanie ma pusty nagłówek Accept |
| 920320 | Uwaga - 2 | Płyta PL2 | Brak nagłówka agenta użytkownika |
| 920330 | Uwaga - 2 | PL1 | Pusty nagłówek agenta użytkownika |
| 920340 | Uwaga - 2 | PL1 | Żądanie zawierające zawartość, ale brak nagłówka Content-Type |
| 920341 | Krytyczne - 5 | PL1 | Żądanie zawierające zawartość wymaga nagłówka Content-Type |
| 920350 | Ostrzeżenie - 3 | PL1 | Nagłówek hosta jest numerycznym adresem IP |
| 920420 | Krytyczne - 5 | PL1 | Typ zawartości żądania nie jest dozwolony przez zasady |
| 920430 | Krytyczne - 5 | PL1 | Wersja protokołu HTTP nie jest dozwolona przez zasady |
| 920440 | Krytyczne - 5 | PL1 | Rozszerzenie pliku adresu URL jest ograniczone przez zasady |
| 920450 | Krytyczne - 5 | PL1 | Nagłówek HTTP jest ograniczony przez zasady |
| 920470 | Krytyczne - 5 | PL1 | Nagłówek niedozwolonego typu zawartości |
| 920480 | Krytyczne - 5 | PL1 | Żądanie typu zawartości charset nie jest dozwolone przez zasady |
| 920500 | Krytyczne - 5 | PL1 | Próba uzyskania dostępu do kopii zapasowej lub działającego pliku |
PROTOKÓŁ-ATAK
| Identyfikator zasady | Ważność oceny anomalii | Poziom paranoi | opis |
|---|---|---|---|
| 921110 | Krytyczne - 5 | PL1 | Atak przemytu żądań HTTP |
| 921120 | Krytyczne - 5 | PL1 | Atak dzielenia odpowiedzi HTTP |
| 921130 | Krytyczne - 5 | PL1 | Atak dzielenia odpowiedzi HTTP |
| 921140 | Krytyczne - 5 | PL1 | Atak polegający na wstrzyknięciu nagłówka HTTP za pośrednictwem nagłówków |
| 921150 | Krytyczne - 5 | PL1 | Atak polegający na wstrzyknięciu nagłówka HTTP za pośrednictwem ładunku (wykryto cr/LF) |
| 921151 | Krytyczne - 5 | Płyta PL2 | Atak polegający na wstrzyknięciu nagłówka HTTP za pośrednictwem ładunku (wykryto cr/LF) |
| 921160 | Krytyczne - 5 | PL1 | Atak polegający na wstrzyknięciu nagłówka HTTP za pośrednictwem ładunku (wykryto wartość CR/LF i nazwę nagłówka) |
| 921190 | Krytyczne - 5 | PL1 | Dzielenie HTTP (CR/LF w wykrytej nazwie żądania) |
| 921 200 | Krytyczne - 5 | PL1 | Atak polegający na wstrzyknięciu protokołu LDAP |
LFI — włączenie plików lokalnych
| Identyfikator zasady | Ważność oceny anomalii | Poziom paranoi | opis |
|---|---|---|---|
| 930100 | Krytyczne - 5 | PL1 | Atak przechodzenia ścieżki (/.. /) |
| 930110 | Krytyczne - 5 | PL1 | Atak przechodzenia ścieżki (/.. /) |
| 930120 | Krytyczne - 5 | PL1 | Próba uzyskania dostępu do pliku systemu operacyjnego |
| 930130 | Krytyczne - 5 | PL1 | Próba dostępu do plików z ograniczeniami |
RFI — włączenie plików zdalnych
| Identyfikator zasady | Ważność oceny anomalii | Poziom paranoi | opis |
|---|---|---|---|
| 931100 | Krytyczne - 5 | PL1 | Możliwy atak zdalnego dołączania plików (RFI): parametr adresu URL przy użyciu adresu IP |
| 931110 | Krytyczne - 5 | PL1 | Możliwy atak zdalnego dołączania plików (RFI): typowa nazwa parametru podatnego na ataki RFI używana w/URL ładunku |
| 931120 | Krytyczne - 5 | PL1 | Możliwy zdalny atak dołączania plików (RFI): ładunek adresu URL używany w/końcowy znak znaku zapytania (?) |
| 931130 | Krytyczne - 5 | Płyta PL2 | Możliwy atak zdalnego dołączania plików (RFI): odwołanie poza domeną/łącze |
RCE — zdalne wykonywanie poleceń
| Identyfikator zasady | Ważność oceny anomalii | Poziom paranoi | opis |
|---|---|---|---|
| 932100 | Krytyczne - 5 | PL1 | Zdalne wykonywanie poleceń: Wstrzykiwanie poleceń w systemie Unix |
| 932105 | Krytyczne - 5 | PL1 | Zdalne wykonywanie poleceń: Wstrzykiwanie poleceń w systemie Unix |
| 932110 | Krytyczne - 5 | PL1 | Zdalne wykonywanie poleceń: iniekcja poleceń systemu Windows |
| 932115 | Krytyczne - 5 | PL1 | Zdalne wykonywanie poleceń: iniekcja poleceń systemu Windows |
| 932120 | Krytyczne - 5 | PL1 | Zdalne wykonywanie poleceń: znaleziono polecenie programu Windows PowerShell |
| 932130 | Krytyczne - 5 | PL1 | Zdalne wykonywanie poleceń: znaleziono lukę w zabezpieczeniach wyrażeniu powłoki unix lub confluence (CVE-2022-26134) |
| 932140 | Krytyczne - 5 | PL1 | Zdalne wykonywanie poleceń: znaleziono polecenie Windows FOR/IF |
| 932150 | Krytyczne - 5 | PL1 | Zdalne wykonywanie poleceń: bezpośrednie wykonywanie poleceń systemu Unix |
| 932160 | Krytyczne - 5 | PL1 | Zdalne wykonywanie poleceń: znaleziono kod powłoki systemu Unix |
| 932170 | Krytyczne - 5 | PL1 | Zdalne wykonywanie poleceń: Shellshock (CVE-2014-6271) |
| 932171 | Krytyczne - 5 | PL1 | Zdalne wykonywanie poleceń: Shellshock (CVE-2014-6271) |
| 932180 | Krytyczne - 5 | PL1 | Próba przekazania pliku z ograniczeniami |
Ataki PHP
| Identyfikator zasady | Ważność oceny anomalii | Poziom paranoi | opis |
|---|---|---|---|
| 933100 | Krytyczne - 5 | PL1 | Atak polegający na wstrzyknięciu kodu PHP: znaleziono znacznik otwierający/zamykający |
| 933110 | Krytyczne - 5 | PL1 | Atak polegający na wstrzyknięciu kodu PHP: znaleziono plik skryptu PHP |
| 933120 | Krytyczne - 5 | PL1 | Atak polegający na wstrzyknięciu kodu PHP: znaleziono dyrektywę konfiguracji |
| 933130 | Krytyczne - 5 | PL1 | Atak polegający na wstrzyknięciu kodu PHP: znalezione zmienne |
| 933140 | Krytyczne - 5 | PL1 | Atak polegający na wstrzyknięciu kodu PHP: Znaleziono strumień we/wy |
| 933150 | Krytyczne - 5 | PL1 | Atak polegający na wstrzyknięciu kodu PHP: znaleziono nazwę funkcji PHP o wysokim ryzyku |
| 933151 | Krytyczne - 5 | Płyta PL2 | Atak polegający na wstrzyknięciu kodu PHP: znaleziona nazwa funkcji PHP o średnim ryzyku |
| 933160 | Krytyczne - 5 | PL1 | Atak polegający na wstrzyknięciu kodu PHP: znaleziono wywołanie funkcji PHP o wysokim ryzyku |
| 933170 | Krytyczne - 5 | PL1 | Atak polegający na wstrzyknięciu kodu PHP: wstrzyknięcie obiektu serializowanego |
| 933180 | Krytyczne - 5 | PL1 | Atak polegający na wstrzyknięciu kodu PHP: znaleziono wywołanie funkcji zmiennej |
| 933200 | Krytyczne - 5 | PL1 | Atak polegający na wstrzyknięciu kodu PHP: wykryto schemat otoki |
| 933210 | Krytyczne - 5 | PL1 | Atak polegający na wstrzyknięciu kodu PHP: znaleziono wywołanie funkcji zmiennej |
Ataki js węzła
| Identyfikator zasady | Ważność oceny anomalii | Poziom paranoi | opis |
|---|---|---|---|
| 934100 | Krytyczne - 5 | PL1 | atak polegający na wstrzyknięciu Node.js |
XSS — skrypty między witrynami
| Identyfikator zasady | Ważność oceny anomalii | Poziom paranoi | opis |
|---|---|---|---|
| 941100 | Krytyczne - 5 | PL1 | Wykryto atak XSS za pośrednictwem libinjection |
| 941101 | Krytyczne - 5 | Płyta PL2 | Wykryto atak XSS za pośrednictwem libinjection. Ta reguła wykrywa żądania z nagłówkiem Referer |
| 941110 | Krytyczne - 5 | PL1 | Filtr XSS — kategoria 1: wektor tagu skryptu |
| 941120 | Krytyczne - 5 | PL1 | Filtr XSS — kategoria 2: wektor obsługi zdarzeń |
| 941130 | Krytyczne - 5 | PL1 | Filtr XSS — kategoria 3: wektor atrybutu |
| 941140 | Krytyczne - 5 | PL1 | Filtr XSS — kategoria 4: wektor identyfikatora URI języka JavaScript |
| 941150 | Krytyczne - 5 | Płyta PL2 | Filtr XSS — kategoria 5: niedozwolone atrybuty HTML |
| 941160 | Krytyczne - 5 | PL1 | NoScript XSS InjectionChecker: wstrzykiwanie kodu HTML |
| 941170 | Krytyczne - 5 | PL1 | NoScript XSS InjectionChecker: Iniekcja atrybutów |
| 941180 | Krytyczne - 5 | PL1 | Słowa kluczowe listy bloków modułu sprawdzania poprawności węzła |
| 941190 | Krytyczne - 5 | PL1 | XSS korzystające z arkuszy stylów |
| 941200 | Krytyczne - 5 | PL1 | XSS z ramkami VML |
| 941210 | Krytyczne - 5 | PL1 | Usługa XSS korzystająca z zaciemnionego kodu JavaScript |
| 941220 | Krytyczne - 5 | PL1 | XSS używający zaciemnionego skryptu VB |
| 941230 | Krytyczne - 5 | PL1 | XSS przy użyciu tagu "embed" |
| 941240 | Krytyczne - 5 | PL1 | XSS używający atrybutu "import" lub "implementation" |
| 941250 | Krytyczne - 5 | PL1 | Filtry XSS IE — wykryto atak |
| 941260 | Krytyczne - 5 | PL1 | XSS używający tagu "meta" |
| 941270 | Krytyczne - 5 | PL1 | XSS przy użyciu elementu href "link" |
| 941280 | Krytyczne - 5 | PL1 | XSS używający tagu "base" |
| 941290 | Krytyczne - 5 | PL1 | XSS przy użyciu tagu "apletu" |
| 941300 | Krytyczne - 5 | PL1 | XSS przy użyciu tagu "object" |
| 941310 | Krytyczne - 5 | PL1 | Źle sformułowany filtr XSS kodowania US-ASCII — wykryto atak |
| 941320 | Krytyczne - 5 | Płyta PL2 | Wykryto możliwy atak XSS — procedura obsługi tagów HTML |
| 941330 | Krytyczne - 5 | Płyta PL2 | Filtry XSS IE — wykryto atak |
| 941340 | Krytyczne - 5 | Płyta PL2 | Filtry XSS IE — wykryto atak |
| 941350 | Krytyczne - 5 | PL1 | Kodowanie UTF-7 IE XSS — wykryto atak |
| 941360 | Krytyczne - 5 | PL1 | Wykryto zaciemnianie kodu JavaScript |
| 941370 | Krytyczne - 5 | PL1 | Znaleziono zmienną globalną języka JavaScript |
| 941380 | Krytyczne - 5 | Płyta PL2 | Wykryto wstrzyknięcie szablonu po stronie klienta AngularJS |
SQLI — iniekcja SQL
| Identyfikator zasady | Ważność oceny anomalii | Poziom paranoi | opis |
|---|---|---|---|
| 942100 | Krytyczne - 5 | PL1 | Wykryto atak polegający na wstrzyknięciu kodu SQL za pośrednictwem libinjection |
| 942110 | Ostrzeżenie - 3 | Płyta PL2 | Atak polegający na wstrzyknięciu kodu SQL: wykryto typowe testy iniekcji |
| 942120 | Krytyczne - 5 | Płyta PL2 | Atak polegający na wstrzyknięciu kodu SQL: wykryto operator SQL |
| 942130 | Krytyczne - 5 | Płyta PL2 | Atak polegający na wstrzyknięciu kodu SQL: wykryto tautologię SQL |
| 942140 | Krytyczne - 5 | PL1 | Atak polegający na wstrzyknięciu kodu SQL: wykryto typowe nazwy baz danych |
| 942150 | Krytyczne - 5 | Płyta PL2 | Atak polegający na wstrzyknięciu kodu SQL |
| 942160 | Krytyczne - 5 | PL1 | Wykrywa ślepe testy sqli za pomocą sleep() lub benchmark() |
| 942170 | Krytyczne - 5 | PL1 | Wykrywa próby testu porównawczego SQL i iniekcji snu, w tym zapytania warunkowe |
| 942180 | Krytyczne - 5 | Płyta PL2 | Wykrywa podstawowe próby obejścia uwierzytelniania SQL 1/3 |
| 942190 | Krytyczne - 5 | PL1 | Wykrywa wykonywanie kodu MSSQL i próby zbierania informacji |
| 942200 | Krytyczne - 5 | Płyta PL2 | Wykrywa wstrzyknięcia komentarza MySQL/zaciemnione miejsca i zakończenie backtick |
| 942210 | Krytyczne - 5 | Płyta PL2 | Wykrywa łańcuchowe próby wstrzyknięcia kodu SQL 1/2 |
| 942220 | Krytyczne - 5 | PL1 | Szukasz ataków przepełnienia liczb całkowitych, pochodzą one z skipfish, z wyjątkiem 3.0.00738585072007e-308 jest "liczbą magiczną" awarii |
| 942230 | Krytyczne - 5 | PL1 | Wykrywa próby wstrzyknięcia warunkowego kodu SQL |
| 942240 | Krytyczne - 5 | PL1 | Wykrywa przełącznik znaków MySQL i próby msSQL DoS |
| 942250 | Krytyczne - 5 | PL1 | Wykrywa iniekcje MATCH AGAINST, MERGE i EXECUTE IMMEDIATE |
| 942260 | Krytyczne - 5 | Płyta PL2 | Wykrywa podstawowe próby obejścia uwierzytelniania SQL 2/3 |
| 942270 | Krytyczne - 5 | PL1 | Szukasz podstawowego iniekcji sql. Typowy ciąg ataku dla mysql, oracle i innych |
| 942280 | Krytyczne - 5 | PL1 | Wykrywa wstrzyknięcie pg_sleep Postgres, oczekiwanie na ataki opóźnione i próby zamknięcia bazy danych |
| 942290 | Krytyczne - 5 | PL1 | Znajduje podstawowe próby wstrzyknięcia kodu SQL bazy danych MongoDB |
| 942300 | Krytyczne - 5 | Płyta PL2 | Wykrywa komentarze, warunki i wstrzyknięcia bazy danych MySQL (a)r |
| 942310 | Krytyczne - 5 | Płyta PL2 | Wykrywa łańcuchowe próby wstrzyknięcia kodu SQL 2/2 |
| 942320 | Krytyczne - 5 | PL1 | Wykrywa procedury składowane/iniekcje funkcji MySQL i PostgreSQL |
| 942330 | Krytyczne - 5 | Płyta PL2 | Wykrywa klasyczne sondowania iniekcji SQL 1/2 |
| 942340 | Krytyczne - 5 | Płyta PL2 | Wykrywa podstawowe próby obejścia uwierzytelniania SQL 3/3 |
| 942350 | Krytyczne - 5 | PL1 | Wykrywa iniekcję funkcji zdefiniowanej przez użytkownika mySQL i inne próby manipulowania danymi/strukturą |
| 942360 | Krytyczne - 5 | PL1 | Wykrywa połączoną podstawową iniekcję SQL i próby SQLLFI |
| 942361 | Krytyczne - 5 | Płyta PL2 | Wykrywa podstawowe wstrzyknięcie kodu SQL na podstawie zmiany słowa kluczowego lub unii |
| 942370 | Krytyczne - 5 | Płyta PL2 | Wykrywa klasyczne sondowania iniekcji SQL 2/2 |
| 942380 | Krytyczne - 5 | Płyta PL2 | Atak polegający na wstrzyknięciu kodu SQL |
| 942390 | Krytyczne - 5 | Płyta PL2 | Atak polegający na wstrzyknięciu kodu SQL |
| 942400 | Krytyczne - 5 | Płyta PL2 | Atak polegający na wstrzyknięciu kodu SQL |
| 942410 | Krytyczne - 5 | Płyta PL2 | Atak polegający na wstrzyknięciu kodu SQL |
| 942430 | Ostrzeżenie - 3 | Płyta PL2 | Wykrywanie anomalii ograniczonego znaku SQL (args): liczba znaków specjalnych przekroczyła (12) |
| 942440 | Krytyczne - 5 | Płyta PL2 | Wykryto sekwencję komentarzy SQL |
| 942450 | Krytyczne - 5 | Płyta PL2 | Zidentyfikowano kodowanie szesnastkowy SQL |
| 942470 | Krytyczne - 5 | Płyta PL2 | Atak polegający na wstrzyknięciu kodu SQL |
| 942480 | Krytyczne - 5 | Płyta PL2 | Atak polegający na wstrzyknięciu kodu SQL |
| 942500 | Krytyczne - 5 | PL1 | Wykryto komentarz w wierszu MySQL |
| 942510 | Krytyczne - 5 | Płyta PL2 | Próba obejścia programu SQLi przez wykrycie znaczników lub odwrotnych znaczników |
SESJA-FIKSACJA
| Identyfikator zasady | Ważność oceny anomalii | Poziom paranoi | opis |
|---|---|---|---|
| 943100 | Krytyczne - 5 | PL1 | Możliwy atak naprawy sesji: ustawianie wartości plików cookie w kodzie HTML |
| 943110 | Krytyczne - 5 | PL1 | Możliwy atak naprawy sesji: nazwa parametru SessionID z odwołaniem poza domeną |
| 943120 | Krytyczne - 5 | PL1 | Możliwy atak naprawy sesji: nazwa parametru SessionID bez odwołania |
Ataki java
| Identyfikator zasady | Ważność oceny anomalii | Poziom paranoi | opis |
|---|---|---|---|
| 944100 | Krytyczne - 5 | PL1 | Zdalne wykonywanie poleceń: Apache Struts, Oracle WebLogic |
| 944110 | Krytyczne - 5 | PL1 | Wykrywa potencjalne wykonanie ładunku |
| 944120 | Krytyczne - 5 | PL1 | Możliwe wykonywanie ładunku i zdalne wykonywanie poleceń |
| 944130 | Krytyczne - 5 | PL1 | Podejrzane klasy języka Java |
| 944200 | Krytyczne - 5 | Płyta PL2 | Wykorzystanie deserializacji języka Java Apache Commons |
| 944210 | Krytyczne - 5 | Płyta PL2 | Możliwe użycie serializacji języka Java |
| 944240 | Krytyczne - 5 | Płyta PL2 | Zdalne wykonywanie poleceń: luka w zabezpieczeniach dotycząca serializacji Java i log4j (CVE-2021-44228, CVE-2021-45046) |
| 944250 | Krytyczne - 5 | Płyta PL2 | Zdalne wykonywanie poleceń: wykryto podejrzaną metodę Java |
MS-ThreatIntel-WebShells
| Identyfikator zasady | Ważność oceny anomalii | Poziom paranoi | opis |
|---|---|---|---|
| 99005002 | Krytyczne - 5 | Płyta PL2 | Próba interakcji z powłoką internetową (POST) |
| 99005003 | Krytyczne - 5 | Płyta PL2 | Próba przekazania powłoki internetowej (POST) — CHOPPER PHP |
| 99005004 | Krytyczne - 5 | Płyta PL2 | Próba przekazania powłoki internetowej (POST) — CHOPPER ASPX |
| 99005005 | Krytyczne - 5 | Płyta PL2 | Próba interakcji z powłoką internetową |
| 99005006 | Krytyczne - 5 | Płyta PL2 | Próba interakcji z programem Spring4Shell |
MS-ThreatIntel-AppSec
| Identyfikator zasady | Ważność oceny anomalii | Poziom paranoi | opis |
|---|---|---|---|
| 99030001 | Krytyczne - 5 | Płyta PL2 | Uchylanie się od przechodzenia ścieżki w nagłówkach (/.. /./.. /) |
| 99030002 | Krytyczne - 5 | Płyta PL2 | Uchylanie się od przechodzenia ścieżki w treści żądania (/.. /./.. /) |
MS-ThreatIntel-SQLI
| Identyfikator zasady | Ważność oceny anomalii | Poziom paranoi | opis |
|---|---|---|---|
| 99031001 | Ostrzeżenie - 3 | Płyta PL2 | Atak polegający na wstrzyknięciu kodu SQL: wykryto typowe testy iniekcji |
| 99031002 | Krytyczne - 5 | Płyta PL2 | Wykryto sekwencję komentarzy SQL |
| 99031003 | Krytyczne - 5 | Płyta PL2 | Atak polegający na wstrzyknięciu kodu SQL |
| 99031004 | Krytyczne - 5 | Płyta PL2 | Wykrywa podstawowe próby obejścia uwierzytelniania SQL 2/3 |
MS-ThreatIntel-CVEs
| Identyfikator zasady | Ważność oceny anomalii | Poziom paranoi | opis |
|---|---|---|---|
| 99001001 | Krytyczne - 5 | Płyta PL2 | Podjęto próbę użycia interfejsu API REST W języku F5 tmui (CVE-2020-5902) Ze znanymi poświadczeniami |
| 99001002 | Krytyczne - 5 | Płyta PL2 | Podjęto próbę przejścia katalogu Citrix NSC_USER CVE-2019-19781 |
| 99001003 | Krytyczne - 5 | Płyta PL2 | Podjęto próbę wykorzystania łącznika widżetu Confluence Atlassian CVE-2019-3396 |
| 99001004 | Krytyczne - 5 | Płyta PL2 | Próba wykorzystania szablonu niestandardowego Pulse Secure CVE-2020-8243 |
| 99001005 | Krytyczne - 5 | Płyta PL2 | Próba wykorzystania konwertera typów programu SharePoint CVE-2020-0932 |
| 99001006 | Krytyczne - 5 | Płyta PL2 | Próba przejścia katalogu Pulse Connect CVE-2019-11510 |
| 99001007 | Krytyczne - 5 | Płyta PL2 | Podjęto próbę dołączenia lokalnego pliku junos J-Web CVE-2020-1631 |
| 99001008 | Krytyczne - 5 | Płyta PL2 | Podjęto próbę przejścia ścieżki fortinet CVE-2018-13379 |
| 99001009 | Krytyczne - 5 | Płyta PL2 | Podjęto próbę wstrzyknięcia struts apache ognl CVE-2017-5638 |
| 99001010 | Krytyczne - 5 | Płyta PL2 | Podjęto próbę wstrzyknięcia struts platformy Apache CVE-2017-12611 |
| 99001011 | Krytyczne - 5 | Płyta PL2 | Podjęto próbę przejścia ścieżki Oracle WebLogic CVE-2020-14882 |
| 99001012 | Krytyczne - 5 | Płyta PL2 | Podjęto próbę wykorzystania niezabezpieczonego deserializacji telerik WebUI CVE-2019-18935 |
| 99001013 | Krytyczne - 5 | Płyta PL2 | Podjęto próbę deserializacji XML niezabezpieczonego programu SharePoint CVE-2019-0604 |
| 99001014 | Krytyczne - 5 | Płyta PL2 | Podjęto próbę wstrzyknięcia wyrażenia routingu Spring Cloud CVE-2022-22963 |
| 99001015 | Krytyczne - 5 | Płyta PL2 | Podjęto próbę wykorzystania niebezpiecznych obiektów klasy Spring Framework CVE-2022-22965 |
| 99001016 | Krytyczne - 5 | Płyta PL2 | Podjęto próbę wstrzyknięcia siłownika spring Cloud Gateway CVE-2022-22947 |
| 99001017* | N/A | N/A | Podjęto próbę przekazania pliku Apache Struts cve-2023-50164 |
* Ta reguła jest domyślnie ustawiona na rejestrowanie. Ustaw akcję na Blokuj, aby zapobiec lukom w zabezpieczeniach apache Struts. Wynik anomalii nie jest obsługiwany dla tej reguły.
Uwaga
Podczas przeglądania dzienników zapory aplikacji internetowej może zostać wyświetlony identyfikator reguły 949110. Opis reguły może zawierać wynik anomalii dla ruchu przychodzącego przekroczony.
Ta reguła wskazuje, że łączny wynik anomalii dla żądania przekroczył maksymalny dozwolony wynik. Aby uzyskać więcej informacji, zobacz Anomaly scoring (Ocenianie anomalii).
Następujące zestawy reguł — grupy i reguły CRS 3.0 i CRS 2.2.9 nie są już obsługiwane w usłudze Azure Web Application Firewall w Application Gateway. Zalecamy aktualizację do DRS 2.1 / CRS 3.2
Zestawy reguł 3.0
Ogólne
| IdentyfikatorReguły | opis |
|---|---|
| 200004 | Możliwa wieloczęściowa niedopasowana granica |
ZNANE CVES
| IdentyfikatorReguły | opis |
|---|---|
| 800100 | Reguła ułatwiając wykrywanie i eliminowanie luki w zabezpieczeniach log4j CVE-2021-44228, CVE-2021-45046 |
| 800110 | Próba interakcji z programem Spring4Shell |
| 800111 | Podjęto próbę wstrzyknięcia wyrażenia routingu spring Cloud — CVE-2022-22963 |
| 800112 | Próba wykorzystania niebezpiecznych obiektów klas platformy Spring Framework — CVE-2022-22965 |
| 800113 | Podjęto próbę wstrzyknięcia siłownika spring Cloud Gateway — CVE-2022-22947 |
ŻĄDANIE-911-METHOD-ENFORCEMENT
| IdentyfikatorReguły | opis |
|---|---|
| 911100 | Metoda nie jest dozwolona przez zasady |
ŻĄDANIE-913-SCANNER-DETECTION
| IdentyfikatorReguły | opis |
|---|---|
| 913100 | Znaleziono agenta użytkownika skojarzonego ze skanerem zabezpieczeń |
| 913110 | Znaleziono nagłówek żądania skojarzony ze skanerem zabezpieczeń |
| 913120 | Znaleziono nazwę pliku/argument żądania skojarzony ze skanerem zabezpieczeń |
| 913101 | Znaleziono agenta użytkownika skojarzonego ze skryptami/ogólnym klientem HTTP |
| 913102 | Znaleziono agenta użytkownika skojarzonego z przeszukiwarką sieci Web/botem |
ŻĄDANIE-920-PROTOCOL-ENFORCEMENT
| IdentyfikatorReguły | opis |
|---|---|
| 920100 | Nieprawidłowy wiersz żądania HTTP |
| 920130 | Nie można przeanalizować treści żądania |
| 920140 | Treść żądania wieloczęściowego nie powiodła się ścisłej walidacji |
| 920160 | Nagłówek HTTP Content-Length nie jest numeryczny |
| 920170 | Żądanie GET lub HEAD z treścią |
| 920180 | Nagłówek Content-Length jest brakujący w żądaniu POST. |
| 920190 | Zakres = Nieprawidłowa ostatnia wartość bajtu |
| 920210 | Znaleziono wiele/sprzeczne dane nagłówka połączenia |
| 920220 | Próba ataku na nadużycie kodowania adresów URL |
| 920240 | Próba ataku na nadużycie kodowania adresów URL |
| 920250 | Próba ataku na nadużycie kodowania UTF8 |
| 920260 | Próba ataku na ataki typu Full/Half Width Unicode |
| 920270 | Nieprawidłowy znak w żądaniu (znak null) |
| 920280 | Żądanie braku nagłówka hosta |
| 920290 | Pusty nagłówek hosta |
| 920310 | Żądanie ma pusty nagłówek Accept |
| 920311 | Żądanie ma pusty nagłówek Accept |
| 920330 | Pusty nagłówek agenta użytkownika |
| 920340 | Żądanie zawierające zawartość, ale brak nagłówka Content-Type |
| 920350 | Nagłówek hosta jest numerycznym adresem IP |
| 920380 | Zbyt wiele argumentów w żądaniu |
| 920360 | Nazwa argumentu jest za długa |
| 920370 | Zbyt długa wartość argumentu |
| 920390 | Przekroczono łączny rozmiar argumentów |
| 920400 | Za duży rozmiar przekazanego pliku |
| 920410 | Całkowity rozmiar przekazanych plików jest za duży |
| 920420 | Typ zawartości żądania nie jest dozwolony przez zasady |
| 920430 | Wersja protokołu HTTP nie jest dozwolona przez zasady |
| 920440 | Rozszerzenie pliku adresu URL jest ograniczone przez zasady |
| 920450 | Nagłówek HTTP jest ograniczony przez zasady (%@{MATCHED_VAR}) |
| 920200 | Zakres = zbyt wiele pól (co najmniej 6) |
| 920201 | Zakres = zbyt wiele pól dla żądania pdf (co najmniej 35) |
| 920230 | Wykryto kodowanie wielu adresów URL |
| 920300 | Żądanie braku nagłówka accept |
| 920271 | Nieprawidłowy znak w żądaniu (znaki niedrukowalne) |
| 920320 | Brak nagłówka agenta użytkownika |
| 920272 | Nieprawidłowy znak w żądaniu (poza drukowalnymi znakami poniżej ascii 127) |
| 920202 | Zakres = zbyt wiele pól dla żądania pdf (co najmniej 6) |
| 920273 | Nieprawidłowy znak w żądaniu (poza bardzo rygorystycznym zestawem) |
| 920274 | Nieprawidłowy znak w nagłówkach żądania (poza bardzo rygorystycznym zestawem) |
| 920460 | Nietypowe znaki ucieczki |
ŻĄDANIE-921-PROTOCOL-ATTACK
| IdentyfikatorReguły | opis |
|---|---|
| 921100 | Atak przemytu żądań HTTP |
| 921110 | Atak przemytu żądań HTTP |
| 921120 | Atak dzielenia odpowiedzi HTTP |
| 921130 | Atak dzielenia odpowiedzi HTTP |
| 921140 | Atak polegający na wstrzyknięciu nagłówka HTTP za pośrednictwem nagłówków |
| 921150 | Atak polegający na wstrzyknięciu nagłówka HTTP za pośrednictwem ładunku (wykryto cr/LF) |
| 921160 | Atak polegający na wstrzyknięciu nagłówka HTTP za pośrednictwem ładunku (wykryto wartość CR/LF i nazwę nagłówka) |
| 921151 | Atak polegający na wstrzyknięciu nagłówka HTTP za pośrednictwem ładunku (wykryto cr/LF) |
| 921170 | Zanieczyszczenie parametrów HTTP |
| 921180 | Zanieczyszczenie parametrów HTTP (%@{TX.1}) |
WNIOSEK-930-APLIKACJA-ATTACK-LFI
| IdentyfikatorReguły | opis |
|---|---|
| 930100 | Atak przechodzenia ścieżki (/.. /) |
| 930110 | Atak przechodzenia ścieżki (/.. /) |
| 930120 | Próba uzyskania dostępu do pliku systemu operacyjnego |
| 930130 | Próba dostępu do plików z ograniczeniami |
WNIOSEK-931-APLIKACJA-ATTACK-RFI
| IdentyfikatorReguły | opis |
|---|---|
| 931100 | Możliwy atak zdalnego dołączania plików (RFI) = parametr adresu URL przy użyciu adresu IP |
| 931110 | Możliwy atak zdalnego dołączania plików (RFI) = typowa nazwa parametru podatnego na ataki RFI używana w/URL ładunku |
| 931120 | Możliwy atak zdalnego dołączania plików (RFI) = ładunek adresu URL używany w/końcowy znak znaku zapytania (?) |
| 931130 | Możliwy atak zdalnego dołączania plików (RFI) = odwołanie poza domeną/łącze |
WNIOSEK-932-APLIKACJA-ATTACK-RCE
| IdentyfikatorReguły | opis |
|---|---|
| 932120 | Zdalne wykonywanie poleceń = znaleziono polecenie programu Windows PowerShell |
| 932130 |
Zapora aplikacji internetowej usługi Application Gateway w wersji 2: zdalne wykonywanie poleceń: wykryto lukę w zabezpieczeniach wyrażeniu powłoki systemu Unix lub confluence (CVE-2022-20289) lub text4Shell (CVE-2022-42889) Zapora aplikacji internetowej usługi Application Gateway w wersji 1: zdalne wykonywanie poleceń: Wyrażenie powłoki systemu Unix |
| 932140 | Zdalne wykonywanie poleceń = znaleziono polecenie Windows FOR/IF |
| 932160 | Zdalne wykonywanie poleceń = znaleziono kod powłoki unix |
| 932170 | Zdalne wykonywanie poleceń = Shellshock (CVE-2014-6271) |
| 932171 | Zdalne wykonywanie poleceń = Shellshock (CVE-2014-6271) |
WNIOSEK-933-APLIKACJA-ATTACK-PHP
| IdentyfikatorReguły | opis |
|---|---|
| 933100 | Atak polegający na wstrzyknięciu kodu PHP = znaleziono znacznik otwierający/zamykający |
| 933110 | Atak polegający na wstrzyknięciu kodu PHP = znaleziono plik skryptu PHP |
| 933120 | Atak polegający na wstrzyknięciu kodu PHP = znaleziono dyrektywę konfiguracji |
| 933130 | Atak polegający na wstrzyknięciu kodu PHP = znaleziono zmienne |
| 933150 | Atak polegający na wstrzyknięciu kodu PHP = znaleziono nazwę funkcji PHP o wysokim ryzyku |
| 933160 | Atak polegający na wstrzyknięciu kodu PHP = znaleziono wywołanie funkcji PHP o wysokim ryzyku |
| 933180 | Atak polegający na wstrzyknięciu kodu PHP = znaleziono wywołanie funkcji zmiennej |
| 933151 | Atak polegający na wstrzyknięciu kodu PHP = znaleziona nazwa funkcji PHP o średnim ryzyku |
| 933131 | Atak polegający na wstrzyknięciu kodu PHP = znaleziono zmienne |
| 933161 | Atak polegający na wstrzyknięciu kodu PHP = znaleziono wywołanie funkcji PHP o niskiej wartości |
| 933111 | Atak polegający na wstrzyknięciu kodu PHP = znaleziono plik skryptu PHP |
WNIOSEK-941-APLIKACJA-ATTACK-XSS
| IdentyfikatorReguły | opis |
|---|---|
| 941100 | Wykryto atak XSS za pośrednictwem libinjection |
| 941110 | Filtr XSS — kategoria 1 = wektor tagu skryptu |
| 941130 | Filtr XSS — kategoria 3 = wektor atrybutu |
| 941140 | Filtr XSS — kategoria 4 = wektor identyfikatora URI języka JavaScript |
| 941150 | Filtr XSS — kategoria 5 = niedozwolone atrybuty HTML |
| 941180 | Słowa kluczowe listy bloków modułu sprawdzania poprawności węzła |
| 941190 | XSS z użyciem arkuszy stylów |
| 941200 | XSS z ramkami VML |
| 941210 | XSS używający zaciemnionego kodu JavaScript lub text4Shell (CVE-2022-42889) |
| 941220 | XSS używający zaciemnionego skryptu VB |
| 941230 | XSS przy użyciu tagu "embed" |
| 941240 | XSS używający atrybutu "import" lub "implementation" |
| 941260 | XSS używający tagu "meta" |
| 941270 | XSS przy użyciu elementu href "link" |
| 941280 | XSS używający tagu "base" |
| 941290 | XSS przy użyciu tagu "apletu" |
| 941300 | XSS przy użyciu tagu "object" |
| 941310 | Źle sformułowany filtr XSS kodowania US-ASCII — wykryto atak |
| 941330 | Filtry XSS IE — wykryto atak |
| 941340 | Filtry XSS IE — wykryto atak |
| 941350 | Kodowanie UTF-7 IE XSS — wykryto atak |
| 941320 | Wykryto możliwy atak XSS — procedura obsługi tagów HTML |
WNIOSEK-942-APLIKACJA-ATTACK-SQLI
| IdentyfikatorReguły | opis |
|---|---|
| 942100 | Wykryto atak polegający na wstrzyknięciu kodu SQL za pośrednictwem libinjection |
| 942110 | Atak polegający na wstrzyknięciu kodu SQL: wykryto typowe testy iniekcji |
| 942130 | Atak polegający na wstrzyknięciu kodu SQL: wykryto tautologię SQL |
| 942140 | Atak polegający na wstrzyknięciu kodu SQL = wykryto typowe nazwy baz danych |
| 942160 | Wykrywa ślepe testy sqli za pomocą sleep() lub benchmark() |
| 942170 | Wykrywa próby testu porównawczego SQL i iniekcji snu, w tym zapytania warunkowe |
| 942190 | Wykrywa wykonywanie kodu MSSQL i próby zbierania informacji |
| 942200 | Wykrywa wstrzyknięcia komentarza MySQL/zaciemnione miejsca i zakończenie backtick |
| 942230 | Wykrywa próby wstrzyknięcia warunkowego kodu SQL |
| 942260 | Wykrywa podstawowe próby obejścia uwierzytelniania SQL 2/3 |
| 942270 | Szukasz podstawowego iniekcji sql. Typowy ciąg ataku dla wyroczni mysql i innych |
| 942290 | Znajduje podstawowe próby wstrzyknięcia kodu SQL bazy danych MongoDB |
| 942300 | Wykrywa komentarze, warunki i wstrzyknięcia bazy danych MySQL (a)r |
| 942310 | Wykrywa łańcuchowe próby wstrzyknięcia kodu SQL 2/2 |
| 942320 | Wykrywa procedury składowane/iniekcje funkcji MySQL i PostgreSQL |
| 942330 | Wykrywa klasyczne sondowania iniekcji SQL 1/2 |
| 942340 | Wykrywa podstawowe próby obejścia uwierzytelniania SQL 3/3 |
| 942350 | Wykrywa iniekcję funkcji zdefiniowanej przez użytkownika mySQL i inne próby manipulowania danymi/strukturą |
| 942360 | Wykrywa połączoną podstawową iniekcję SQL i próby SQLLFI |
| 942370 | Wykrywa klasyczne sondowania iniekcji SQL 2/2 |
| 942150 | Atak polegający na wstrzyknięciu kodu SQL |
| 942410 | Atak polegający na wstrzyknięciu kodu SQL |
| 942430 | Wykrywanie anomalii ograniczonego znaku SQL (args): liczba znaków specjalnych przekroczyła (12) |
| 942440 | Wykryto sekwencję komentarzy SQL |
| 942450 | Zidentyfikowano kodowanie szesnastkowy SQL |
| 942251 | Wykrywa wstrzyknięcia |
| 942460 | Alert wykrywania anomalii metaznacznych — powtarzające się znaki inne niż wyrazy |
żądanie-943-atak-na aplikację-SESSION-FIXATION
| IdentyfikatorReguły | opis |
|---|---|
| 943100 | Możliwy atak naprawy sesji = ustawianie wartości plików cookie w kodzie HTML |
| 943110 | Możliwy atak naprawy sesji = nazwa parametru SessionID z odwołaniem poza domeną |
| 943120 | Możliwy atak naprawy sesji = nazwa parametru SessionID bez odwołania |