Regras e grupos de regras DRS e CRS do Firewall de Aplicativo Web

  • Artigo

Os conjuntos de regras gerenciados pelo Azure no WAF (firewall do aplicativo Web) do Gateway de Aplicativo protegem ativamente os aplicativos Web contra vulnerabilidades e explorações comuns. Esses conjuntos de regras, gerenciados pelo Azure, recebem atualizações conforme necessário para se proteger contra novas assinaturas de ataque. O conjunto de regras padrão também incorpora as regras da Coleção de Inteligência contra Ameaças da Microsoft. A equipe de Inteligência da Microsoft colabora na redação dessas regras, garantindo uma cobertura aprimorada, patches específicos para vulnerabilidades e uma redução aprimorada de falsos positivos.

Você também têm a opção de usar regras definidas com base nos conjuntos de regras principais do OWASP 3.2, 3.1, 3.0 ou 2.2.9.

Você pode desabilitar as regras individualmente ou definir ações específicas para cada regra. Este artigo lista as regras atuais e os conjuntos de regras disponíveis. Se um conjunto de regras publicado exigir uma atualização, vamos documentá-lo aqui.

Observação

Quando você migra de uma versão do conjunto de regras para outra, todas as configurações de regra desabilitadas e habilitadas irão retornar ao padrão do conjunto de regras para o qual você está migrando. Isso significa que, se tiver desabilitado ou habilitado uma regra anteriormente, você precisará desabilitá-la ou habilitá-la novamente depois de migrar para a nova versão do conjunto de regras.

Conjuntos de regras padrão

O DRS (Conjunto de Regras Padrão) gerenciado pelo Azure inclui regras contra as seguintes categorias de ameaça:

  • Script entre sites
  • Ataques de Java
  • Inclusão de arquivo local
  • Ataque de injeção de PHP
  • Execução de comando remoto
  • Inclusão de arquivo remoto
  • Fixação da sessão
  • Proteção contra injeção de SQL
  • Invasores de protocolo O número de versão do DRS será incrementado quando novas assinaturas de ataque forem adicionadas ao conjunto de regras.

Regras de coleta de inteligência contra ameaças da Microsoft

As regras de coleta de inteligência contra ameaças da Microsoft são escritas em parceria com a equipe de Inteligência contra Ameaças da Microsoft para fornecer maior cobertura, patches para vulnerabilidades específicas e melhor redução de falsos positivos.

Observação

Use as diretrizes a seguir para ajustar o WAF enquanto você começa a usar o 2.1 no WAF do Gateway de Aplicativo. Os detalhes das regras são descritos a seguir.

ID da regra Grupo de regras Descrição Detalhes
942110 SQLI Ataque de injeção de SQL: teste de injeção comum detectado Desabilitar, substituído pela regra MSTIC 99031001
942150 SQLI Ataque de injeção de SQL Desabilitar, substituído pela regra MSTIC 99031003
942260 SQLI Detecta tentativas básicas de bypass de autenticação SQL 2/3 Desabilitar, substituído pela regra MSTIC 99031004
942430 SQLI Detecção restrita de anomalias de caracteres SQL (args): # de caracteres especiais excedidos (12) Desabilitar, muitos falsos positivos.
942440 SQLI Sequência de comentários SQL detectada Desabilitar, substituído pela regra MSTIC 99031002
99005006 MS-ThreatIntel-WebShells Tentativa de interação do Spring4Shell Manter a regra habilitada para evitar a vulnerabilidade do SpringShell
99001014 MS-ThreatIntel-CVEs Tentativa de injeção de expressão de roteamento do Spring Cloud CVE-2022-22963 Manter a regra habilitada para evitar a vulnerabilidade do SpringShell
99001015 MS-ThreatIntel-WebShells Tentativa de exploração de objeto de classe não segura do Spring Framework CVE-2022-22965 Manter a regra habilitada para evitar a vulnerabilidade do SpringShell
99001016 MS-ThreatIntel-WebShells Tentativa de injeção do Actuator do Spring Cloud Gateway CVE-2022-22947 Manter a regra habilitada para evitar a vulnerabilidade do SpringShell
99001017 MS-ThreatIntel-CVEs Tentativa de exploração de upload do arquivo do Apache Struts CVE-2023-50164 Defina a ação como Bloquear para evitar a vulnerabilidade do Apache Struts. Não há suporte para a Pontuação de Anomalias para essa regra.

Conjuntos de regras principais

O WAF do Gateway de Aplicativo vem pré-configurado com o CRS 3.2 por padrão, mas é possível optar por outra versão do CRS com suporte.

O CRS 3.2 oferece um novo mecanismo e novos conjuntos de regras para a defesa contra injeções do Java, além de um conjunto inicial de verificações de carregamento de arquivo e menos falsos positivos quando comparado às versões anteriores. Você também pode personalizar regras para atender às suas necessidades. Saiba mais sobre o novo mecanismo WAF do Azure.

Manages rules

O WAF protege contra as seguintes vulnerabilidades da Web:

  • Ataques de injeção de SQL
  • Ataques de script entre sites
  • Outros ataques comuns, como injeção de comandos, solicitações HTTP indesejadas, divisão de resposta HTTP e inclusão de arquivo remoto
  • Violações de protocolo HTTP
  • Anomalias de protocolo HTTP, como ausência de cabeçalhos de agente de usuário do host e de aceitação
  • Bots, rastreadores e scanners
  • Configurações incorretas de aplicativos comuns (por exemplo, Apache e IIS)

Ajuste de conjuntos de regras gerenciados

O DRS e o CRS estão habilitados por padrão no modo Detecção nas políticas do WAF. Você pode desabilitar ou habilitar regras individuais dentro do Conjunto de Regras Gerenciado para atender aos requisitos do aplicativo. Você também pode definir ações específicas por regra. O DRS/CRS dá suporte a ações de pontuação de bloco, log e anomalias. O conjunto de regras do Gerenciador de Bot dá suporte às ações de permissão, bloqueio e log.

Às vezes, você pode omitir certos atributos de solicitação de uma avaliação do WAF. Um exemplo comum são os tokens inseridos pelo Active Directory que são usados para autenticação. É possível configurar exclusões a serem aplicadas durante a avaliação de regras específicas do WAF ou globalmente à avaliação de todas as regras do WAF. As regras de exclusão se aplicam a todo o aplicativo Web. Para obter mais informações, confira Listas de exclusões do WAF (Firewall de Aplicativo Web) com o Gateway de Aplicativo.

Por padrão, o DRS versão 2.1/CRS versão 3.2 e posteriores usam a pontuação de anomalias quando uma solicitação corresponde a uma regra. O CRS 3.1 e anteriores bloqueiam as solicitações correspondentes por padrão. Além disso, as regras personalizadas podem ser configuradas na mesma política WAF se você quiser ignorar uma das regras pré-configuradas no conjunto de regras padrão.

As regras personalizadas sempre são aplicadas antes da avaliação das regras no Conjunto de Regras Básico. Se uma solicitação corresponder a uma regra personalizada, a ação de regra correspondente será aplicada. A solicitação é bloqueada ou passada pelo back-end. Nenhuma outra regra personalizada nem as regras do Conjunto de Regras Básico são processadas.

Pontuação de anomalias

Quando você usa o CRS ou o DRS 2.1 e posteriores, o WAF é configurado para usar a pontuação de anomalias por padrão. O tráfego que corresponde a qualquer regra não é imediatamente bloqueado, mesmo quando o WAF está no modo de prevenção. Em vez disso, os conjuntos de regras OWASP definem uma gravidade para cada regra: Crítico, Erro, Aviso ou Informativo. A gravidade afeta um valor numérico para a solicitação, que é chamado de pontuação de anomalias:

Gravidade da regra Valor que contribuiu para a pontuação de anomalias
Crítico 5
Erro 4
Aviso 3
Informativo 2

Se a pontuação de anomalia for 5 ou maior e o WAF estiver no modo de prevenção, a solicitação será bloqueada. Se a pontuação de anomalia for 5 ou maior e o WAF estiver no modo de detecção, a solicitação será registrada, mas não bloqueada.

Por exemplo, uma correspondência de regra Crítica única é suficiente para o WAF bloquear uma solicitação no modo de prevenção, pois a pontuação geral de anomalia é 5. Entretanto, uma correspondência de regra de Aviso aumenta apenas a pontuação de anomalias em 3, o que não é suficiente para bloquear o tráfego. Quando uma regra de anomalia é disparada, ela mostra uma ação "Correspondente" nos logs. Se a pontuação de anomalia for 5 ou maior, haverá um disparo de regra separada com a ação "Bloqueado" ou "Detectado", de acordo com o modo da política do WAF: prevenção ou detecção. Para obter mais informações, confira Modo de pontuação de anomalias.

DRS 2.1

As regras do DRS 2.1 oferecem uma proteção melhor do que as versões anteriores do DRS. Ele inclui mais regras desenvolvidas pela equipe de Inteligência contra Ameaças da Microsoft e atualizações nas assinaturas para reduzir falsos positivos. Ele também dá suporte a transformações além da decodificação de URL.

O DRS 2.1 inclui 17 grupos de regras, conforme mostrado na tabela a seguir. Cada grupo contém várias regras, e você pode personalizar o comportamento das regras individuais, dos grupos de regras ou de todo o conjunto de regras.

Grupo de regras Descrição
Geral Grupo geral
METHOD-ENFORCEMENT Métodos de bloqueio (PUT, PATCH)
PROTOCOL-ENFORCEMENT Protege contra problemas de protocolo e codificação
PROTOCOL-ATTACK Protege contra injeção de cabeçalho, solicitações indesejadas e divisão de resposta
APPLICATION-ATTACK-LFI Protege contra ataques de arquivo e caminho
APPLICATION-ATTACK-RFI Protege contra ataques de inclusão de arquivo remoto (RFI)
APPLICATION-ATTACK-RCE Protege novamente contra ataques de execução remota de código
APPLICATION-ATTACK-PHP Protege contra ataques de injeção de PHP
APPLICATION-ATTACK-NodeJS Protege contra ataques de Node JS
APPLICATION-ATTACK-XSS Protege contra ataques de scripts entre sites
APPLICATION-ATTACK-SQLI Protege contra ataques de injeção de SQL
APPLICATION-ATTACK-SESSION-FIXATION Protege contra ataques de fixação de sessão
APPLICATION-ATTACK-SESSION-JAVA Protege contra ataques JAVA
MS-ThreatIntel-WebShells Protege contra ataques de web shell
MS-ThreatIntel-AppSec Protege contra ataques do AppSec
MS-ThreatIntel-SQLI Protege contra ataques SQLI
MS-ThreatIntel-CVEs Protege contra ataques CVE

OWASP CRS 3.2

O CRS 3.2 inclui 14 grupos de regras, conforme mostrado na tabela a seguir. Cada um desses grupos de regra contém várias regras, que podem ser desabilitadas. O conjunto de regras é baseado na versão OWASP CRS 3.2.0.

Observação

O CRS 3.2 só está disponível no SKU WAF_v2. Como o CRS 3.2 é executado no novo mecanismo WAF do Azure, não é possível fazer downgrade para o CRS 3.1 ou anterior. Se o downgrade for necessário, entre em contato com o Suporte do Azure.

Grupo de regras Descrição
Geral Grupo geral
CVES CONHECIDA Ajuda para detectar CVEs novos e conhecidos
REQUEST-911-METHOD-ENFORCEMENT Métodos de bloqueio (PUT, PATCH)
SOLICITAÇÃO-913-DETECÇÃO DE SCANNER Protege contra os scanners de porta e ambiente
REQUEST-920-PROTOCOL-ENFORCEMENT Protege contra problemas de protocolo e codificação
REQUEST-921-PROTOCOL-ATTACK Protege contra injeção de cabeçalho, solicitações indesejadas e divisão de resposta
REQUEST-930-APPLICATION-ATTACK-LFI Protege contra ataques de arquivo e caminho
REQUEST-931-APPLICATION-ATTACK-RFI Protege contra ataques de inclusão de arquivo remoto (RFI)
REQUEST-932-APPLICATION-ATTACK-RCE Protege novamente contra ataques de execução remota de código
REQUEST-933-APPLICATION-ATTACK-PHP Protege contra ataques de injeção de PHP
REQUEST-941-APPLICATION-ATTACK-XSS Protege contra ataques de scripts entre sites
REQUEST-942-APPLICATION-ATTACK-SQLI Protege contra ataques de injeção de SQL
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Protege contra ataques de fixação de sessão
REQUEST-944-APPLICATION-ATTACK-JAVA Protege contra ataques JAVA

OWASP CRS 3.1

O CRS 3.1 inclui 14 grupos de regras, conforme mostrado na tabela a seguir. Cada um desses grupos de regra contém várias regras, que podem ser desabilitadas. O conjunto de regras é baseado na versão OWASP CRS 3.1.1.

Observação

O CRS 3.1 só está disponível no SKU WAF_v2.

Grupo de regras Descrição
Geral Grupo geral
CVES CONHECIDA Ajuda para detectar CVEs novos e conhecidos
REQUEST-911-METHOD-ENFORCEMENT Métodos de bloqueio (PUT, PATCH)
SOLICITAÇÃO-913-DETECÇÃO DE SCANNER Protege contra os scanners de porta e ambiente
REQUEST-920-PROTOCOL-ENFORCEMENT Protege contra problemas de protocolo e codificação
REQUEST-921-PROTOCOL-ATTACK Protege contra injeção de cabeçalho, solicitações indesejadas e divisão de resposta
REQUEST-930-APPLICATION-ATTACK-LFI Protege contra ataques de arquivo e caminho
REQUEST-931-APPLICATION-ATTACK-RFI Protege contra ataques de inclusão de arquivo remoto (RFI)
REQUEST-932-APPLICATION-ATTACK-RCE Protege novamente contra ataques de execução remota de código
REQUEST-933-APPLICATION-ATTACK-PHP Protege contra ataques de injeção de PHP
REQUEST-941-APPLICATION-ATTACK-XSS Protege contra ataques de scripts entre sites
REQUEST-942-APPLICATION-ATTACK-SQLI Protege contra ataques de injeção de SQL
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Protege contra ataques de fixação de sessão
REQUEST-944-APPLICATION-ATTACK-SESSION-JAVA Protege contra ataques JAVA

OWASP CRS 3.0

O CRS 3.0 inclui 13 grupos de regras, conforme mostrado na tabela a seguir. Cada um desses grupos de regra contém várias regras, que podem ser desabilitadas. O conjunto de regras é baseado na versão OWASP CRS 3.0.0.

Grupo de regras Descrição
Geral Grupo geral
CVES CONHECIDA Ajuda para detectar CVEs novos e conhecidos
REQUEST-911-METHOD-ENFORCEMENT Métodos de bloqueio (PUT, PATCH)
SOLICITAÇÃO-913-DETECÇÃO DE SCANNER Protege contra os scanners de porta e ambiente
REQUEST-920-PROTOCOL-ENFORCEMENT Protege contra problemas de protocolo e codificação
REQUEST-921-PROTOCOL-ATTACK Protege contra injeção de cabeçalho, solicitações indesejadas e divisão de resposta
REQUEST-930-APPLICATION-ATTACK-LFI Protege contra ataques de arquivo e caminho
REQUEST-931-APPLICATION-ATTACK-RFI Protege contra ataques de inclusão de arquivo remoto (RFI)
REQUEST-932-APPLICATION-ATTACK-RCE Protege novamente contra ataques de execução remota de código
REQUEST-933-APPLICATION-ATTACK-PHP Protege contra ataques de injeção de PHP
REQUEST-941-APPLICATION-ATTACK-XSS Protege contra ataques de scripts entre sites
REQUEST-942-APPLICATION-ATTACK-SQLI Protege contra ataques de injeção de SQL
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Protege contra ataques de fixação de sessão

OWASP CRS 2.2.9

O CRS 2.2.9 inclui 10 grupos de regras, conforme mostrado na tabela a seguir. Cada um desses grupos de regra contém várias regras, que podem ser desabilitadas.

Observação

O CRS 2.2.9 não tem mais suporte para novas políticas do WAF. Recomenda-se atualizar para a versão mais recente do CRS. O CRS 2.2.9 não pode ser usado junto com o CRS 3.2/DRS 2.1 e versões superiores.

Grupo de regras Descrição
crs_20_protocol_violations Protege contra violações de protocolo (como caracteres inválidos ou GET com um corpo de solicitação)
crs_21_protocol_anomalies Protege contra informações de cabeçalho incorretas
crs_23_request_limits Protege contra argumentos ou arquivos que excedem os limites
crs_30_http_policy Protege contra métodos, cabeçalhos e tipos de arquivo restritos
crs_35_bad_robots Protege contra rastreadores e scanners da Web
crs_40_generic_attacks Protege contra ataques genéricos (como fixação da sessão, inclusão de arquivo remoto, e injeção de PHP)
crs_41_sql_injection_attacks Protege contra ataques de injeção de SQL
crs_41_xss_attacks Protege contra ataques de scripts entre sites
crs_42_tight_security Protege contra ataques de percurso de caminho
crs_45_trojans Protege contra cavalos de Tróia de backdoor

Regras de bot

Você pode habilitar um conjunto de regras de proteção contra bots gerenciado para executar ações personalizadas em solicitações de todas as categorias de bots.

Grupo de regras Descrição
BadBots Protege contra bots inválidos
GoodBots Identifica bots válidos
UnknownBots Identifica bots desconhecidos

As regras e os grupos de regras a seguir estão disponíveis ao usar o Firewall do aplicativo Web no gateway de aplicativo.

Conjuntos de regras da versão 2.1

Geral

RuleId Descrição
200002 Falha ao analisar o corpo da solicitação.
200003 Falha na validação estrita do corpo da solicitação de várias partes

METHOD ENFORCEMENT

RuleId Descrição
911100 O método não é permitido pela política

PROTOCOL-ENFORCEMENT

RuleId Descrição
920100 Linha de solicitação de HTTP inválida
920120 Tentativa de bypass de dados de várias partes/formulário
920121 Tentativa de bypass de dados de várias partes/formulário
920160 O cabeçalho HTTP Content-Length não é numérico.
920170 Solicitação GET ou HEAD com conteúdo no corpo.
920171 Solicitação GET ou HEAD com codificação de transferência.
920180 Solicitação POST com cabeçalho Content-Length ausente.
920181 Cabeçalhos Content-Length e Transfer-Encoding presentes 99001003
920190 Intervalo: último valor de byte inválido.
920200 Intervalo: excesso de campos (seis ou mais)
920201 Intervalo: muitos campos para a solicitação de PDF (35 ou mais)
920210 Dados de cabeçalho de conexão em grande número ou conflitantes.
920220 Tentativa de ataque de abuso de codificação de URL
920230 Várias codificações de URL detectadas
920240 Tentativa de ataque de abuso de codificação de URL
920260 Tentativa de ataque de abuso de meia largura/largura total
920270 Caractere inválido na solicitação (caractere nulo)
920271 Caractere inválido na solicitação (caracteres não imprimíveis)
920280 Solicitação com cabeçalho de host ausente
920290 Cabeçalho de host vazio
920300 Falta cabeçalho de aceitação da solicitação
920310 A solicitação tem cabeçalho de aceitação vazio
920311 A solicitação tem cabeçalho de aceitação vazio
920320 Cabeçalho do agente de usuário ausente
920330 Cabeçalho do agente do usuário vazio
920340 A solicitação tem conteúdo, mas o cabeçalho Content-Type está ausente
920341 A solicitação tem conteúdo, mas o cabeçalho Content-Type está ausente
920350 O cabeçalho de host é um endereço IP numérico
920420 O tipo de conteúdo da solicitação não é permitido pela política
920430 A versão do protocolo HTTP não é permitida pela política
920440 A extensão de arquivo da URL é restrita pela política
920450 O cabeçalho HTTP é restrita pela política
920470 Cabeçalho de tipo de conteúdo ilegal
920480 O conjunto de caracteres do tipo de conteúdo da solicitação não é permitido pela política
920500 Tentativa de acessar um arquivo de backup ou de trabalho

PROTOCOL-ATTACK

RuleId Descrição
921110 Ataque de solicitação HTTP indesejada
921120 Ataque de divisão de resposta HTTP
921130 Ataque de divisão de resposta HTTP
921140 Ataque de injeção de cabeçalho HTTP por meio de cabeçalhos
921150 Ataque de injeção de cabeçalho HTTP por meio de conteúdo (CR/LF detectado)
921151 Ataque de injeção de cabeçalho HTTP por meio de conteúdo (CR/LF detectado)
921160 Ataque de injeção de cabeçalho HTTP por meio de conteúdo (CR/LF e header-name detectado)
921190 Divisão de HTTP (CR/LF no nome do arquivo de solicitação detectado)
921200 Ataques de injeção de LDAP

LFI - Inclusão de arquivo local

RuleId Descrição
930100 Ataques de percurso de caminho (/../)
930110 Ataques de percurso de caminho (/../)
930120 Tentativa de acesso ao arquivo do sistema operacional
930130 Tentativa de acesso a arquivo restrito

RFI - Inclusão de arquivo remoto

RuleId Descrição
931100 Possível ataque de RFI (inclusão de arquivo remoto): parâmetro de URL usando endereço IP
931110 Possível ataque de RFI (inclusão de arquivo remoto): nome de parâmetro vulnerável de RFI comum usado com carga de URL
931120 Possível ataque de RFI (inclusão de arquivo remoto): carga de URL usada com o caractere de ponto de interrogação à direita (?)
931130 Possível ataque de RFI (inclusão de arquivo remoto): referência/link fora do domínio

RCE – Execução remota de comando

RuleId Descrição
932100 Execução de comando remoto: injeção de comando Unix
932105 Execução de comando remoto: injeção de comando Unix
932110 Execução de comando remoto: injeção de comando Windows
932115 Execução de comando remoto: injeção de comando Windows
932120 Execução remota de comando: comando do Windows PowerShell encontrado
932130 Execução de comando remoto: vulnerabilidade de confluência ou expressão do Unix Shell (CVE-2022-26134) encontrada
932140 Execução remota de comando: comando Windows FOR/IF encontrado
932150 Execução de comando remoto: execução direta de comando Unix
932160 Execução remota de comando: código shell do Unix encontrado
932170 Execução remota de comando: shellshock (CVE-2014-6271)
932171 Execução remota de comando: shellshock (CVE-2014-6271)
932180 Tentativa de carregamento de arquivo restrito

Ataques de PHP

RuleId Descrição
933100 Ataque de injeção de PHP: marca de abertura/fechamento encontrada
933110 Ataque de injeção de PHP: carregamento de arquivo de script PHP encontrado
933120 Ataque de injeção de PHP: diretiva de configuração encontrada
933130 Ataque de injeção de PHP: variáveis encontradas
933140 Ataque de injeção de PHP: fluxo de E/S encontrado
933150 Ataque de injeção de PHP: nome da função PHP de alto risco encontrado
933151 Ataque de injeção de PHP: nome de função PHP de médio risco encontrado
933160 Ataque de injeção de PHP: chamada de função PHP de alto risco encontrada
933170 Ataque de injeção de PHP: injeção de objeto serializado
933180 Ataque de injeção de PHP: chamada de função de variável encontrada
933200 Ataque de injeção de PHP: esquema de wrapper detectado
933210 Ataque de injeção de PHP: chamada de função de variável encontrada

Ataques Node JS

RuleId Descrição
934100 Ataque de injeção Node.js

XSS – Script entre sites

RuleId Descrição
941100 Ataque de XSS detectado via libinjection
941101 Ataque de XSS detectado via libinjection.
Essa regra detecta solicitações com um cabeçalho de Referência.
941110 Filtro XSS – Categoria 1: vetor de marca de script
941120 Filtro XSS – Categoria 2: vetor de manipulador de eventos
941130 Filtro XSS – Categoria 3: vetor de atributo
941140 Filtro XSS – Categoria 4: vetor de URI de JavaScript
941150 Filtro XSS – Categoria 5: atributos HTML não permitidos
941160 NoScript XSS InjectionChecker: injeção de HTML
941170 NoScript XSS InjectionChecker: injeção de atributo
941180 Palavras-chave da lista de bloqueios do validador de nós
941190 XSS usando folhas de estilos
941200 XSS usando quadros VML
941210 XSS usando JavaScript ofuscado
941220 XSS usando script de VB ofuscado
941230 XSS usando a marca 'embed'
941240 XSS usando o atributo 'import' ou 'implementation'
941250 Filtros XSS do IE - ataque detectado.
941260 XSS usando a marca 'meta'
941270 XSS usando href 'link'
941280 XSS usando a marca 'base'
941290 XSS usando a marca 'applet'
941300 XSS usando a marca 'object'
941310 Filtro XSS de codificação mal feita US-ASCII - ataque detectado.
941320 Possível ataque XSS detectado - manipulador de marcação HTML
941330 Filtros XSS do IE - ataque detectado.
941340 Filtros XSS do IE - ataque detectado.
941350 Codificação UTF-7 IE XSS - ataque detectado.
941360 Ofuscação de JavaScript detectada.
941370 Variável global de JavaScript encontrada
941380 Injeção de modelo detectada no lado do cliente do AngularJS

SQLI – Injeção de SQL

RuleId Descrição
942100 Ataque de injeção de SQL detectado via libinjection
942110 Ataque de injeção de SQL: teste de injeção comum detectado
942120 Ataque de injeção de SQL: operador SQL detectado
942140 Ataque de injeção de SQL: nomes comuns de banco de dados detectados
942150 Ataque de injeção de SQL
942160 Detecta testes sqli cegos usando sleep() ou benchmark().
942170 Detecta tentativas de injeção de sleep e benchmark SQL, incluindo consultas condicionais
942180 Detecta tentativas básicas de bypass de autenticação SQL 1/3
942190 Detecta tentativas de coleta de informações e de execução do código MSSQL
942200 Detecta injeções de comment-/space-obfuscated e o encerramento de backticks do MySQL
942210 Detecta tentativas encadeadas de injeção de SQL 1/2
942220 Procurando ataques de estouro de inteiros, que são retirados do skipfish, exceto 3.0.00738585072007e-308, que é o "número mágico" de falha
942230 Detecta tentativas de injeção de SQL condicionais
942240 Detecta a troca de conjunto de caracteres MySQL e tentativas de DoS MSSQL
942250 Detecta injeções de MATCH AGAINST, MERGE e EXECUTE IMMEDIATE
942260 Detecta tentativas básicas de bypass de autenticação SQL 2/3
942270 Procurando injeção de sql básica. Cadeia de ataque comum para MySQL, Oracle e outros.
942280 Detecta injeção de pg_sleep de do Postgres, ataques de atraso waitfor e tentativas de desligamento de banco de dados
942290 Localiza tentativas de injeção de SQL MongoDB básica
942300 Detecta comentários, condições e injeções ch(a)r do MySQL
942310 Detecta tentativas encadeadas de injeção de SQL 2/2
942320 Detecta injeções de função/procedimento armazenado em MySQL e PostgreSQL
942330 Detecta investigações de injeção de SQL clássicas 1/2
942340 Detecta tentativas básicas de bypass de autenticação SQL 3/3
942350 Detecta injeção de UDF MySQL e outras tentativas de manipulação de dados/estrutura
942360 Detecta injeções de SQL básicas concatenadas e tentativas de SQLLFI
942361 Detecta a injeção de SQL básica com base na alteração ou união de palavra-chave
942370 Detecta investigações de injeção de SQL clássicas 2/2
942380 Ataque de injeção de SQL
942390 Ataque de injeção de SQL
942400 Ataque de injeção de SQL
942410 Ataque de injeção de SQL
942430 Detecção restrita de anomalias de caracteres SQL (args): # de caracteres especiais excedidos (12)
942440 Sequência de comentários SQL detectada
942450 Codificação hexadecimal de SQL identificada
942460 Alerta de detecção de anomalias de metacaracteres - caracteres repetitivos que não são palavras
942470 Ataque de injeção de SQL
942480 Ataque de injeção de SQL
942500 Comentário embutido do MySQL detectado.
942510 Tentativa de bypass de SQLi por ticks ou backticks detectada.

SESSION-FIXATION

RuleId Descrição
943100 Possível ataque de fixação de sessão: definindo valores de cookie em HTML
943110 Possível ataque de fixação de sessão: nome do parâmetro de SessionID com referenciador fora do domínio
943120 Possível ataque de fixação de sessão: nome do parâmetro de SessionID sem referenciador

Ataques de Java

RuleId Descrição
944100 Execução remota de comando: Apache Struts, Oracle WebLogic
944110 Detecta a execução de carga potencial
944120 Possível execução de carga e execução remota de comando
944130 Classes Java suspeitas
944200 Exploração do Apache Commons de desserialização do Java
944210 Possível uso da serialização Java
944240 Execução de comando remoto: serialização de Java e vulnerabilidade Log4j (CVE-2021-44228, CVE-2021-45046)
944250 Execução remota de comando: método Java suspeito detectado

MS-ThreatIntel-WebShells

RuleId Descrição
99005002 Tentativa de interação de web shell (POST)
99005003 Web Shell Upload Attempt (POST) - CHOPPER PHP
99005004 Tentativa de upload de web shell (POST) - CHOPPER ASPX
99005005 Tentativa de interação de web shell
99005006 Tentativa de interação do Spring4Shell

MS-ThreatIntel-AppSec

RuleId Descrição
99030001 Evasão de percurso de caminho em cabeçalhos (/.././../)
99030002 Evasão de percurso de caminho no corpo da solicitação (/.././../)

MS-ThreatIntel-SQLI

RuleId Descrição
99031001 Ataque de injeção de SQL: teste de injeção comum detectado
99031002 Sequência de comentário SQL detectada.
99031003 Ataque de injeção de SQL
99031004 Detecta tentativas básicas de bypass de autenticação SQL 2/3

MS-ThreatIntel-CVEs

RuleId Descrição
99001001 Tentativa de exploração da API REST de F5 tmui (CVE-2020-5902) com credenciais conhecidas
99001002 Tentativa de passagem de diretório do Citrix NSC_USER CVE-2019-19781
99001003 Tentativa de exploração do Conector de Widget do Atlassian Confluence CVE-2019-3396
99001004 Tentativa de exploração de modelo personalizado do Pulse Secure CVE-2020-8243
99001005 Tentativa de exploração do conversor de tipo do SharePoint CVE-2020-0932
99001006 Tentativa de passagem de diretório do Pulse Connect CVE-2019-11510
99001007 Tentativa de inclusão do arquivo local do Junos OS J-Web CVE-2020-1631
99001008 Tentativa de passagem de caminho do Fortinet CVE-2018-13379
99001009 Tentativa de injeção de ognl do Apache Struts CVE-2017-5638
99001010 Tentativa de injeção de ognl do Apache Struts CVE-2017-12611
99001011 Tentativa de passagem de caminho do Oracle WebLogic CVE-2020-14882
99001012 Tentativa de exploração de desserialização não segura da WebUI do Telerik CVE-2019-18935
99001013 Tentativa de desserialização de XML não segura do SharePoint CVE-2019-0604
99001014 Tentativa de injeção de expressão de roteamento do Spring Cloud CVE-2022-22963
99001015 Tentativa de exploração de objeto de classe não segura do Spring Framework CVE-2022-22965
99001016 Tentativa de injeção do Actuator do Spring Cloud Gateway CVE-2022-22947
99001017* Tentativa de exploração de upload do arquivo do Apache Struts CVE-2023-50164

*A ação dessa regra é definida como log por padrão. Defina a ação como Bloquear para evitar a vulnerabilidade do Apache Struts. Não há suporte para a Pontuação de Anomalias dessa regra.

Observação

Ao revisar os logs do WAF, você poderá ver a ID da regra 949110. A descrição da regra pode incluir a Pontuação de Anomalias de Entrada Excedida.

Essa regra indica que a pontuação total de anomalias para a solicitação excedeu a máxima permitida. Para obter mais informações, confira Pontuação de anomalias.

Próximas etapas