Partilhar via


Regras e grupos de regras do DRS e CRS do Web Application Firewall

O Conjunto de Regras Padrão (DRS) gerenciado pelo Azure no firewall de aplicativo Web do Gateway de Aplicativo (WAF) protege ativamente os aplicativos Web contra vulnerabilidades e explorações comuns. Esses conjuntos de regras, gerenciados pelo Azure, recebem atualizações conforme necessário para proteger contra novas assinaturas de ataque. O conjunto de regras padrão também incorpora as regras do Microsoft Threat Intelligence Collection. A equipe de inteligência da Microsoft colabora na redação dessas regras, garantindo cobertura aprimorada, patches de vulnerabilidade específicos e redução aprimorada de falsos positivos.

Você também tem a opção de usar regras definidas com base no conjunto de regras principais do OWASP 3.2 (CRS 3.2).

Você pode desabilitar regras individualmente ou definir ações específicas para cada regra. Este artigo lista as regras atuais e os conjuntos de regras disponíveis. Se um conjunto de regras publicado exigir uma atualização, iremos documentá-lo aqui.

Nota

Quando você altera uma versão do conjunto de regras em uma Política WAF, todas as personalizações existentes feitas no conjunto de regras serão redefinidas para os padrões do novo conjunto de regras. Consulte: Atualizando ou alterando a versão do conjunto de regras.

Conjunto de regras padrão 2.1

O conjunto de regras padrão (DRS) 2.1 é baseado no Open Web Application Security Project (OWASP) Core Rule set (CRS) 3.3.2 e inclui proteções proprietárias adicionais, regras desenvolvidas pela equipe do Microsoft Threat Intelligence e atualizações de assinaturas para reduzir falsos positivos. Ele também suporta transformações além da decodificação de URL.

O DRS 2.1 oferece um novo mecanismo e novos conjuntos de regras de defesa contra injeções Java, um conjunto inicial de verificações de upload de arquivos e menos falsos positivos em comparação com as versões CRS. Você também pode personalizar as regras para atender às suas necessidades. Saiba mais sobre o novo mecanismo WAF do Azure.

O DRS 2.1 inclui 17 grupos de regras, conforme mostrado na tabela a seguir. Cada grupo contém várias regras e você pode personalizar o comportamento para regras individuais, grupos de regras ou conjunto de regras inteiro.

Tipo de Ameaça Nome do grupo de regras
Geral Geral
Métodos de bloqueio (PUT, PATCH) APLICAÇÃO DO MÉTODO
Problemas de protocolo e codificação APLICAÇÃO DO PROTOCOLO
Injeção de cabeçalho, contrabando de solicitações e divisão de respostas PROTOCOLO-ATAQUE
Ataques de arquivos e caminhos LFI
Ataques de inclusão remota de arquivos (RFI) RFI
Ataques de execução remota de código RCE
Ataques de injeção de PHP PHP
Ataques Node JS NodeJS
Ataques de script entre sites XSS
Ataques de injeção de SQL SQLI
Ataques de fixação de sessão FIXAÇÃO DE SESSÃO
Ataques JAVA SESSÃO-JAVA
Ataques de shell da Web (MS) MS-ThreatIntel-WebShells
Ataques AppSec (MS) MS-ThreatIntel-AppSec
Ataques de injeção de SQL (MS) MS-ThreatIntel-SQLI
Ataques CVE (MS) MS-ThreatIntel-CVEs

Orientações de ajuste fino para o DRS 2.1

Use as seguintes orientações para ajustar o WAF enquanto você começa a usar o DRS 2.1 no WAF do Application Gateway:

ID da Regra Grupo de Regras Descrição Recomendação
942110 SQLI Ataque de injeção de SQL: teste de injeção comum detetado Desativar a regra 942110, substituída pela regra MSTIC 99031001
942150 SQLI Ataque de Injeção do SQL Desativar a regra 942150, substituída pela regra MSTIC 99031003
942260 SQLI Deteta tentativas básicas de desvio de autenticação SQL 2/3 Desativar a regra 942260, substituída pela regra MSTIC 99031004
942430 SQLI Deteção de Anomalias de Carateres SQL Restritos (args): número de carateres especiais excedidos (12) Desative a regra 942430, ela aciona muitos falsos positivos
942440 SQLI Sequência de comentários SQL detetada Desativar a regra 942440, substituída pela regra MSTIC 99031002
99005006 EM-ThreatIntel-WebShells Tentativa de interação com Spring4Shell Mantenha a regra ativada para evitar a vulnerabilidade do SpringShell
99001014 EM-ThreatIntel-CVEs Tentativa de injeção de expressão de encaminhamento do Spring Cloud CVE-2022-22963 Mantenha a regra ativada para evitar a vulnerabilidade do SpringShell
99001015 EM-ThreatIntel-WebShells Tentativa de exploração de objeto de classe não segura do Spring Framework CVE-2022-22965 Mantenha a regra ativada para evitar a vulnerabilidade do SpringShell
99001016 EM-ThreatIntel-WebShells Tentativa de injeção no Spring Cloud Gateway Actuator CVE-2022-22947 Mantenha a regra ativada para evitar a vulnerabilidade do SpringShell
99001017 EM-ThreatIntel-CVEs Tentativa de exploração de carregamento de ficheiros no Apache Struts CVE-2023-50164 Defina a ação como Bloquear para prevenir contra a vulnerabilidade do Apache Struts. Pontuação de anomalia não suportada para esta regra

Conjunto de regras principais 3.2

O conjunto de regras gerenciadas recomendado é o Conjunto de Regras Padrão 2.1, que é baseado no Open Web Application Security Project (OWASP) Core Rule set (CRS) 3.3.2 e inclui proteções proprietárias adicionais, regras desenvolvidas pela equipe de Inteligência de Ameaças da Microsoft e atualizações de assinaturas para reduzir falsos positivos. Como alternativa ao DRS 2.1, você pode usar o CRS 3.2, que é baseado na versão OWASP CRS 3.2.0.

O CRS 3.2 inclui 14 grupos de regras, conforme mostrado na tabela a seguir. Cada grupo contém várias regras, que podem ser desativadas.

Nota

O CRS 3.2 só está disponível no WAF_v2 SKU. Como o CRS 3.2 é executado no novo mecanismo WAF do Azure, não é possível fazer o downgrade para o CRS 3.1 ou anterior. Se precisar fazer o downgrade, entre em contato com o Suporte do Azure.

Nome do grupo de regras Tipo de Ameaça
Geral Geral
CVEs novos e conhecidos CVES CONHECIDOS
Métodos de bloqueio (PUT, PATCH) PEDIDO-911-MÉTODO-EXECUÇÃO
Verificadores de portas e ambiente REQUEST-913-SCANNER-DETECÇÃO
Problemas de protocolo e codificação SOLICITAÇÃO-920-PROTOCOLO-EXECUÇÃO
Injeção de cabeçalho, contrabando de solicitações e divisão de respostas REQUEST-921-PROTOCOLO-ATAQUE
Ataques de arquivos e caminhos REQUEST-930-APPLICATION-ATTACK-LFI
Ataques de inclusão remota de arquivos (RFI) SOLICITAÇÃO-931-ATAQUE-DE-APLICAÇÃO-RFI
Ataques de execução remota de código REQUEST-932-APPLICATION-ATTACK-RCE
Ataques de injeção de PHP PEDIDO-933-APPLICATION-ATTACK-PHP
Ataques de script entre sites REQUEST-941-APPLICATION-ATTACK-XSS
Ataques de injeção de SQL REQUEST-942-APPLICATION-ATTACK-SQLI
Ataques de fixação de sessão REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION
Ataques JAVA REQUEST-944-APLICAÇÃO-ATAQUE-JAVA

Ajuste de conjuntos de regras gerenciadas

O DRS e o CRS são habilitados por padrão no modo de deteção em suas políticas WAF. Você pode desabilitar ou habilitar regras individuais dentro do Conjunto de Regras Gerenciadas para atender aos requisitos do seu aplicativo. Você também pode definir ações específicas por regra. O DRS/CRS suporta ações de bloqueio, registo e pontuação de anomalias. O conjunto de regras do Bot Manager suporta as ações de permissão, bloqueio e registro.

Às vezes, talvez seja necessário omitir certos atributos de solicitação de uma avaliação do WAF. Um exemplo comum são os tokens inseridos no Ative Directory que são usados para autenticação. Você pode configurar exclusões para serem aplicadas quando regras específicas do WAF forem avaliadas ou para serem aplicadas globalmente à avaliação de todas as regras do WAF. As regras de exclusão aplicam-se a toda a sua aplicação Web. Para obter mais informações, consulte Web Application Firewall (WAF) com listas de exclusão do Application Gateway.

Por padrão, o DRS versão 2.1 / CRS versão 3.2 e superior usa pontuação de anomalia quando uma solicitação corresponde a uma regra. O CRS 3.1 e inferior bloqueia pedidos correspondentes por predefinição. Além disso, as regras personalizadas podem ser configuradas na mesma política WAF se você quiser ignorar qualquer uma das regras pré-configuradas no Conjunto de Regras Principais.

As regras personalizadas são sempre aplicadas antes que as regras no Conjunto de Regras Principais sejam avaliadas. Se uma solicitação corresponder a uma regra personalizada, a ação de regra correspondente será aplicada. A solicitação é bloqueada ou passada para o back-end. Nenhuma outra regra personalizada ou as regras no Conjunto de Regras Principais são processadas.

Pontuação de anomalias

Ao utilizar o CRS ou DRS versão 2.1 ou posteriores, o seu WAF é configurado para usar pontuação de anomalias por padrão. O tráfego que corresponde a qualquer regra não é imediatamente bloqueado, mesmo quando o WAF está no modo de prevenção. Em vez disso, os conjuntos de regras OWASP definem uma gravidade para cada regra: Crítica, Erro, Aviso ou Notificação. A gravidade afeta um valor numérico para a solicitação, que é chamado de pontuação de anomalia:

Severidade da regra O valor contribui para a pontuação de anomalia
Crítico 5
Erro 4
Aviso 3
Aviso 2

Se a pontuação de anomalia for igual ou superior a 5 e o WAF estiver no modo de Prevenção, a solicitação será bloqueada. Se a pontuação de anomalia for 5 ou superior e o WAF estiver no modo de Deteção, a solicitação será registrada, mas não bloqueada.

Por exemplo, uma única correspondência de regra crítica é suficiente para o WAF bloquear uma solicitação quando estiver no modo de Prevenção, porque a pontuação de anomalia geral é 5. No entanto, uma regra de Aviso só aumenta a pontuação de anomalia em 3, o que, por si só, não é suficiente para bloquear o tráfego. Quando uma regra de anomalia é acionada, ela mostra uma ação de "Correspondência" nos registos. Se a pontuação de anomalia for 5 ou superior, há uma regra separada acionada com a ação "Bloqueado" ou "Detetado", dependendo se a política WAF está no modo de Prevenção ou Deteção. Para obter mais informações, consulte Modo de pontuação de anomalias.

Nível de paranoia

Cada regra é atribuída em um Nível de Paranoia (PL) específico. As regras configuradas na Paranoia Nível 1 (PL1) são menos agressivas e quase nunca desencadeiam um falso positivo. Eles fornecem segurança básica com necessidade mínima de ajustes finos. As regras do PL2 detetam mais ataques, mas espera-se que desencadeiem falsos positivos que devem ser ajustados.

Por padrão, as versões de regras DRS 2.1 e CRS 3.2 são pré-configuradas no Paranoia Nível 2, incluindo regras atribuídas em PL1 e PL2. Se você quiser usar o WAF exclusivamente com PL1, você pode desativar qualquer uma ou todas as regras PL2 ou alterar sua ação para 'log'. PL3 e PL4 atualmente não são suportados no Azure WAF.

Nota

O conjunto de regras do CRS 3.2 inclui regras em PL3 e PL4, mas essas regras estão sempre inativas e não podem ser habilitadas, independentemente de seu estado configurado ou ação.

Atualizando ou alterando a versão do conjunto de regras

Se você estiver atualizando ou atribuindo uma nova versão do conjunto de regras e quiser preservar as substituições e exclusões de regras existentes, é recomendável usar o PowerShell, a CLI, A API REST ou um modelo para fazer alterações na versão do conjunto de regras. Uma nova versão de um conjunto de regras pode ter regras mais recentes, grupos de regras adicionais e pode ter atualizações para assinaturas existentes para impor melhor segurança e reduzir falsos positivos. É recomendável validar as alterações em um ambiente de teste, ajustar se necessário e, em seguida, implantar em um ambiente de produção.

Nota

Se você estiver usando o portal do Azure para atribuir um novo conjunto de regras gerenciado a uma política WAF, todas as personalizações anteriores do conjunto de regras gerenciado existente, como estado da regra, ações de regra e exclusões de nível de regra, serão redefinidas para os padrões do novo conjunto de regras gerenciado. No entanto, quaisquer regras personalizadas, configurações de política e exclusões globais permanecerão inalteradas durante a atribuição do novo conjunto de regras. Você precisará atualizar exceções de regras e validar as alterações antes de desenvolver em um ambiente de produção.

OWASP CRS 3,1

O CRS 3.1 inclui 14 grupos de regras, conforme mostrado na tabela a seguir. Cada grupo contém várias regras, que podem ser desativadas. O conjunto de regras é baseado na versão OWASP CRS 3.1.1.

Nota

O CRS 3.1 só está disponível no WAF_v2 SKU.

Nome do grupo de regras Descrição
Geral Grupo geral
CVES CONHECIDOS Ajudar a detetar CVEs novos e conhecidos
PEDIDO-911-MÉTODO-EXECUÇÃO Métodos de bloqueio (PUT, PATCH)
REQUEST-913-SCANNER-DETECÇÃO Proteja-se contra os escaneres de porta e ambiente
SOLICITAÇÃO-920-PROTOCOLO-EXECUÇÃO Proteja-se contra problemas de protocolo e codificação
REQUEST-921-PROTOCOLO-ATAQUE Proteja-se contra injeção de cabeçalho, manipulação de solicitações e fragmentação de respostas
REQUEST-930-APPLICATION-ATTACK-LFI Proteja-se contra ataques de arquivos e caminhos
SOLICITAÇÃO-931-ATAQUE-DE-APLICAÇÃO-RFI Proteja-se contra ataques de inclusão remota de arquivos (RFI)
REQUEST-932-APPLICATION-ATTACK-RCE Proteja novamente ataques de execução remota de código
PEDIDO-933-APPLICATION-ATTACK-PHP Proteja-se contra ataques de injeção de PHP
REQUEST-941-APPLICATION-ATTACK-XSS Proteja-se contra ataques de script entre sites
REQUEST-942-APPLICATION-ATTACK-SQLI Proteja-se contra ataques de injeção de SQL
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Proteja-se contra ataques de fixação de sessão
REQUEST-944-APPLICATION-ATTACK-SESSION-JAVA Proteja-se contra ataques JAVA

Gerenciador de Bot 1.0

O conjunto de regras do Bot Manager 1.0 fornece proteção contra bots mal-intencionados e deteção de bons bots. As regras fornecem controle granular sobre bots detetados pelo WAF, categorizando o tráfego de bots como Bom, Ruim ou Desconhecido.

Grupo de regras Descrição
BadBots Proteja-se contra bots maliciosos
GoodBots Identifique bons bots
Bots Desconhecidos Identificar bots desconhecidos

Gerenciador de Bot 1.1

O conjunto de regras do Bot Manager 1.1 é um aprimoramento do conjunto de regras do Bot Manager 1.0. Ele fornece proteção aprimorada contra bots mal-intencionados e aumenta a boa deteção de bots.

Grupo de regras Descrição
BadBots Proteja-se contra bots maliciosos
GoodBots Identifique bons bots
Bots Desconhecidos Identificar bots desconhecidos

Os seguintes grupos de regras e regras estão disponíveis ao usar o Web Application Firewall no Application Gateway.

2.1 Conjuntos de regras

Geral

ID da Regra Gravidade da pontuação de anomalia Nível de paranoia Descrição
200002 Crítica - 5 PL1 Falha ao analisar o corpo da solicitação
200003 Crítica - 5 PL1 O corpo do pedido multipartes não passou na validação estrita

IMPOSIÇÃO DO MÉTODO

ID da Regra Gravidade da pontuação de anomalia Nível de paranoia Descrição
911100 Crítica - 5 PL1 O método não é permitido pela política

IMPOSIÇÃO DE PROTOCOLO

ID da Regra Gravidade da pontuação de anomalia Nível de paranoia Descrição
920100 Aviso - 2 PL1 Linha de solicitação HTTP inválida
920120 Crítica - 5 PL1 Tentativa de contornar multipart/form-data
920121 Crítica - 5 PL2 Tentativa de contornar multipart/form-data
920160 Crítica - 5 PL1 O cabeçalho HTTP Content-Length não é numérico
920170 Crítica - 5 PL1 Solicitação GET ou HEAD com conteúdo corporal
920171 Crítica - 5 PL1 Pedido GET ou HEAD com Transfer-Encoding
920180 Aviso - 2 PL1 Cabeçalho de comprimento de conteúdo ausente da solicitação POST
920181 Advertência - 3 PL1 Os cabeçalhos Content-Length e Transfer-Encoding apresentam 99001003
920190 Advertência - 3 PL1 Intervalo: Valor do último byte inválido
920200 Advertência - 3 PL2 Intervalo: Demasiados campos (6 ou mais)
920201 Advertência - 3 PL2 Intervalo: Demasiados campos para pedido de PDF (35 ou mais)
920210 Crítica - 5 PL1 Dados de cabeçalho de conexão múltiplos/conflitantes encontrados
920220 Advertência - 3 PL1 Tentativa de ataque de abuso de codificação de URL
920230 Advertência - 3 PL2 Codificação de URL múltipla detetada
920240 Advertência - 3 PL1 Tentativa de ataque de abuso de codificação de URL
920260 Advertência - 3 PL1 Tentativa de ataque de abuso da largura completa/parcial do Unicode
920270 Erro - 4 PL1 Caractere inválido na solicitação (caractere nulo)
920271 Crítica - 5 PL2 Caractere inválido na solicitação (caracteres não imprimíveis)
920280 Advertência - 3 PL1 Solicitação faltando um cabeçalho de host
920290 Advertência - 3 PL1 Cabeçalho de host vazio
920300 Aviso - 2 PL2 Falta de um cabeçalho 'Accept'
920310 Aviso - 2 PL1 A solicitação tem um cabeçalho de aceitação vazio
920311 Aviso - 2 PL1 A solicitação tem um cabeçalho de aceitação vazio
920320 Aviso - 2 PL2 Cabeçalho do agente de usuário ausente
920330 Aviso - 2 PL1 Cabeçalho vazio do agente do usuário
920340 Aviso - 2 PL1 Solicitação contendo conteúdo, mas faltando cabeçalho de tipo de conteúdo
920341 Crítica - 5 PL1 A solicitação que contém conteúdo requer o cabeçalho Content-Type
920350 Advertência - 3 PL1 O cabeçalho do host é um endereço IP numérico
920420 Crítica - 5 PL1 O tipo de conteúdo de solicitação não é permitido pela política
920430 Crítica - 5 PL1 A versão do protocolo HTTP não é permitida pela política
920440 Crítica - 5 PL1 A extensão de arquivo URL é restrita pela política
920450 Crítica - 5 PL1 O cabeçalho HTTP é restrito pela política
920470 Crítica - 5 PL1 Cabeçalho de tipo de conteúdo ilegal
920480 Crítica - 5 PL1 O charset do tipo de conteúdo de solicitação não é permitido pela política
920500 Crítica - 5 PL1 Tentar aceder a uma cópia de segurança ou a um ficheiro de trabalho

ATAQUE DE PROTOCOLO

ID da Regra Gravidade da pontuação de anomalia Nível de paranoia Descrição
921110 Crítica - 5 PL1 Ataque de Manipulação de Solicitação HTTP
921120 Crítica - 5 PL1 Ataque de divisão de resposta HTTP
921130 Crítica - 5 PL1 Ataque de divisão de resposta HTTP
921140 Crítica - 5 PL1 Ataque de injeção de cabeçalho HTTP via cabeçalhos
921150 Crítica - 5 PL1 Ataque de injeção de cabeçalho HTTP via payload (CR/LF detetado)
921151 Crítica - 5 PL2 Ataque de injeção de cabeçalho HTTP via payload (CR/LF detetado)
921160 Crítica - 5 PL1 Ataque de injeção de cabeçalho HTTP via carga útil (CR/LF e nome do cabeçalho detetados)
921190 Crítica - 5 PL1 Divisão HTTP (CR/LF no nome do arquivo de solicitação detetado)
921200 Crítica - 5 PL1 Ataque de injeção LDAP

LFI – Inclusão de Ficheiro Local

ID da Regra Gravidade da pontuação de anomalia Nível de paranoia Descrição
930100 Crítica - 5 PL1 Ataque de Travessia de Caminho (/.. /)
930110 Crítica - 5 PL1 Ataque de Travessia de Caminho (/.. /)
930120 Crítica - 5 PL1 Tentativa de acesso a ficheiros do SO
930130 Crítica - 5 PL1 Tentativa de acesso restrito a arquivos

RFI – Inclusão de Ficheiro Remoto

ID da Regra Gravidade da pontuação de anomalia Nível de paranoia Descrição
931100 Crítica - 5 PL1 Possível ataque de inclusão remota de arquivos (RFI): parâmetro de URL usando endereço IP
931110 Crítica - 5 PL1 Possível ataque de inclusão remota de arquivos (RFI): nome de parâmetro vulnerável comum de RFI usado com carga útil de URL
931120 Crítica - 5 PL1 Possível ataque de inclusão remota de ficheiros (RFI): URL com carga usada e terminada com o caractere ponto de interrogação (?)
931130 Crítica - 5 PL2 Possível ataque de inclusão remota de arquivos (RFI): referência/hiperligação externa ao domínio

RCE - Execução de Comandos Remotos

ID da Regra Gravidade da pontuação de anomalia Nível de paranoia Descrição
932100 Crítica - 5 PL1 Execução de Comando Remoto: Unix Command Injection
932105 Crítica - 5 PL1 Execução de Comando Remoto: Unix Command Injection
932110 Crítica - 5 PL1 Execução remota de comando: Windows Command Injection
932115 Crítica - 5 PL1 Execução remota de comando: Windows Command Injection
932120 Crítica - 5 PL1 Execução de comando remoto: comando do Windows PowerShell encontrado
932130 Crítica - 5 PL1 Execução remota de comando: Vulnerabilidade de expressão ou confluência de shell Unix (CVE-2022-26134) encontrada
932140 Crítica - 5 PL1 Execução de comando remoto: Comando FOR/IF do Windows encontrado
932150 Crítica - 5 PL1 Execução de Comando Remoto: Execução Direta de Comandos Unix
932160 Crítica - 5 PL1 Execução de Comando Remoto: Código Unix Shell Encontrado
932170 Crítica - 5 PL1 Execução remota de comando: Shellshock (CVE-2014-6271)
932171 Crítica - 5 PL1 Execução remota de comando: Shellshock (CVE-2014-6271)
932180 Crítica - 5 PL1 Tentativa de carregamento de arquivo restrito

Ataques PHP

ID da Regra Gravidade da pontuação de anomalia Nível de paranoia Descrição
933100 Crítica - 5 PL1 Ataque de Injeção PHP: Tag de abertura/fechamento encontrada
933110 Crítica - 5 PL1 Ataque de injeção de PHP: Upload de arquivo de script PHP encontrado
933120 Crítica - 5 PL1 PHP Injection Attack: Diretiva de configuração encontrada
933130 Crítica - 5 PL1 Ataque de injeção de PHP: variáveis encontradas
933140 Crítica - 5 PL1 Ataque de injeção de PHP: fluxo de E/S encontrado
933150 Crítica - 5 PL1 Ataque de Injeção de Código PHP: Nome da Função PHP de Alto Risco Encontrado
933151 Crítica - 5 PL2 Ataque de injeção PHP: Encontrado nome de função PHP de médio risco
933160 Crítica - 5 PL1 Ataque de injeção de PHP: chamada de função PHP de alto risco encontrada
933170 Crítica - 5 PL1 Ataque de Injeção de PHP: Injeção de Objeto Serializado
933180 Crítica - 5 PL1 Ataque de injeção de PHP: chamada de função variável encontrada
933200 Crítica - 5 PL1 Ataque de Injeção PHP: Esquema de wrapper detetado
933210 Crítica - 5 PL1 Ataque de injeção de PHP: chamada de função variável encontrada

Ataques em Node JS

ID da Regra Gravidade da pontuação de anomalia Nível de paranoia Descrição
934100 Crítica - 5 PL1 Node.js Ataque de injeção

XSS – Scripting Entre Sites

ID da Regra Gravidade da pontuação de anomalia Nível de paranoia Descrição
941100 Crítica - 5 PL1 Ataque XSS detetado via libinjection
941101 Crítica - 5 PL2 Ataque XSS detetado via libinjection.
Esta regra deteta solicitações com um cabeçalho Referer
941110 Crítica - 5 PL1 Filtro XSS - Categoria 1: Vetor de tag de script
941120 Crítica - 5 PL1 Filtro XSS - Categoria 2: Vetor do manipulador de eventos
941130 Crítica - 5 PL1 Filtro XSS - Categoria 3: Vetor de atributo
941140 Crítica - 5 PL1 Filtro XSS - Categoria 4: Vetor URI JavaScript
941150 Crítica - 5 PL2 Filtro XSS - Categoria 5: Atributos HTML não permitidos
941160 Crítica - 5 PL1 NoScript XSS InjectionChecker: Injeção de HTML
941170 Crítica - 5 PL1 NoScript XSS InjectionChecker: Injeção de atributos
941180 Crítica - 5 PL1 Palavras-chave da lista de bloqueio do validador de nós
941190 Crítica - 5 PL1 XSS Usando folhas de estilo
941200 Crítica - 5 PL1 XSS usando quadros VML
941210 Crítica - 5 PL1 XSS usando JavaScript ofuscado
941220 Crítica - 5 PL1 XSS usando VBScript ofuscado
941230 Crítica - 5 PL1 XSS usando a tag 'embed'
941240 Crítica - 5 PL1 XSS usando o atributo 'import' ou 'implementation'
941250 Crítica - 5 PL1 Filtros XSS do IE - Ataque detetado
941260 Crítica - 5 PL1 XSS usando a tag 'meta'
941270 Crítica - 5 PL1 XSS usando 'link' href
941280 Crítica - 5 PL1 XSS usando a tag 'base'
941290 Crítica - 5 PL1 XSS usando a tag 'applet'
941300 Crítica - 5 PL1 XSS usando a tag 'object'
941310 Crítica - 5 PL1 Filtro XSS de codificação malformado US-ASCII - Ataque detetado
941320 Crítica - 5 PL2 Possível ataque XSS detetado - manipulador de tags HTML
941330 Crítica - 5 PL2 Filtros XSS do IE - Ataque detetado
941340 Crítica - 5 PL2 Filtros XSS do IE - Ataque detetado
941350 Crítica - 5 PL1 Codificação UTF-7 IE XSS - Ataque detetado
941360 Crítica - 5 PL1 Ofuscação de JavaScript detetada
941370 Crítica - 5 PL1 Variável global JavaScript encontrada
941380 Crítica - 5 PL2 Injeção de modelo AngularJS no cliente detetada

SQLI - Ataque de Injeção de SQL

ID da Regra Gravidade da pontuação de anomalia Nível de paranoia Descrição
942100 Crítica - 5 PL1 Ataque de injeção de SQL detetado via libinjection
942110 Advertência - 3 PL2 Ataque de injeção de SQL: teste de injeção comum detetado
942120 Crítica - 5 PL2 Ataque de injeção de SQL: operador SQL detetado
942130 Crítica - 5 PL2 Ataque de injeção de SQL: Tautologia SQL detectada
942140 Crítica - 5 PL1 Ataque de injeção de SQL: nomes comuns de banco de dados detetados
942150 Crítica - 5 PL2 Ataque de Injeção do SQL
942160 Crítica - 5 PL1 Deteta testes sqli cegos usando sleep() ou benchmark()
942170 Crítica - 5 PL1 Deteta tentativas de injeção de padrões SQL e de sono, incluindo consultas condicionais
942180 Crítica - 5 PL2 Deteta tentativas básicas de desvio de autenticação SQL 1/3
942190 Crítica - 5 PL1 Deteta a execução de código MSSQL e tentativas de coleta de informações
942200 Crítica - 5 PL2 Detecta injeções ofuscadas por comentários ou espaços no MySQL e terminação com backtick
942210 Crítica - 5 PL2 Deteta tentativas de injeção de SQL encadeadas 1/2
942220 Crítica - 5 PL1 Procurando por ataques de estouro de inteiros, estes foram retirados do skipfish, exceto 3.0.00738585072007e-308, que é o "número mágico" que causa falha.
942230 Crítica - 5 PL1 Deteta tentativas condicionais de injeção de SQL
942240 Crítica - 5 PL1 Deteta a alteração do conjunto de caracteres MySQL e tentativas de Negação de Serviço MSSQL
942250 Crítica - 5 PL1 Deteta MATCH CONTRA, MERGE e EXECUTE injeções IMEDIATAS
942260 Crítica - 5 PL2 Deteta tentativas básicas de desvio de autenticação SQL 2/3
942270 Crítica - 5 PL1 Procurando por uma injeção SQL básica. String de ataque comum para mysql, oracle e outros
942280 Crítica - 5 PL1 Deteta a injeção de pg_sleep Postgres, aguarda ataques de atraso e tentativas de desligamento do banco de dados
942290 Crítica - 5 PL1 Localiza tentativas básicas de injeção de SQL do MongoDB
942300 Crítica - 5 PL2 Deteta comentários, condições e injeções de ch(a)r do MySQL
942310 Crítica - 5 PL2 Deteta tentativas encadeadas de injeção de SQL 2/2
942320 Crítica - 5 PL1 Deteta injeções de procedimento armazenado/função MySQL e PostgreSQL
942330 Crítica - 5 PL2 Deteta tentativas clássicas de injeção SQL 1/2
942340 Crítica - 5 PL2 Deteta tentativas básicas de desvio de autenticação SQL 3/3
942350 Crítica - 5 PL1 Deteta a injeção de UDF do MySQL e outras tentativas de manipulação de dados/estrutura
942360 Crítica - 5 PL1 Deteta injeção básica concatenada de SQL e tentativas de SQLLFI
942361 Crítica - 5 PL2 Deteta a injeção básica de SQL com base na alteração ou união de palavras-chave
942370 Crítica - 5 PL2 Deteta sondagens clássicas de injeção de SQL 2/2
942380 Crítica - 5 PL2 Ataque de Injeção do SQL
942390 Crítica - 5 PL2 Ataque de Injeção do SQL
942400 Crítica - 5 PL2 Ataque de Injeção do SQL
942410 Crítica - 5 PL2 Ataque de Injeção do SQL
942430 Advertência - 3 PL2 Deteção de Anomalias de Carateres SQL Restritos (args): número de carateres especiais excedidos (12)
942440 Crítica - 5 PL2 Sequência de comentários SQL detetada
942450 Crítica - 5 PL2 Codificação SQL Hex Identificada
942470 Crítica - 5 PL2 Ataque de Injeção do SQL
942480 Crítica - 5 PL2 Ataque de Injeção do SQL
942500 Crítica - 5 PL1 Comentário in-line do MySQL detetado
942510 Crítica - 5 PL2 Tentativa de desvio SQLi por ticks ou backticks detetados

FIXAÇÃO DE SESSÃO

ID da Regra Gravidade da pontuação de anomalia Nível de paranoia Descrição
943100 Crítica - 5 PL1 Possível ataque de fixação de sessão: definindo valores de cookie em HTML
943110 Crítica - 5 PL1 Possível ataque de fixação de sessão: nome do parâmetro SessionID com referenciador fora do domínio
943120 Crítica - 5 PL1 Possível ataque de fixação de sessão: nome do parâmetro SessionID sem referenciador

Ataques JAVA

ID da Regra Gravidade da pontuação de anomalia Nível de paranoia Descrição
944100 Crítica - 5 PL1 Execução remota de comandos: Apache Struts, Oracle WebLogic
944110 Crítica - 5 PL1 Deteta a execução potencial de carga maliciosa
944120 Crítica - 5 PL1 Possível execução de carga maliciosa e execução remota de comandos
944130 Crítica - 5 PL1 Classes Java suspeitas
944200 Crítica - 5 PL2 Exploração da desserialização em Java no Apache Commons
944210 Crítica - 5 PL2 Possível uso da serialização Java
944240 Crítica - 5 PL2 Execução remota de comando: serialização Java e vulnerabilidade Log4j (CVE-2021-44228, CVE-2021-45046)
944250 Crítica - 5 PL2 Execução remota de comando: método Java suspeito detetado

EM-ThreatIntel-WebShells

ID da Regra Gravidade da pontuação de anomalia Nível de paranoia Descrição
99005002 Crítica - 5 PL2 Tentativa de interação do Web Shell (POST)
99005003 Crítica - 5 PL2 Tentativa de Upload do Web Shell (POST) - CHOPPER PHP
99005004 Crítica - 5 PL2 Tentativa de carregamento do Web Shell (POST) - CHOPPER ASPX
99005005 Crítica - 5 PL2 Tentativa de interação do Web Shell
99005006 Crítica - 5 PL2 Tentativa de interação com Spring4Shell

MS-ThreatIntel-AppSec (Inteligência de Ameaças e Segurança de Aplicações)

ID da Regra Gravidade da pontuação de anomalia Nível de paranoia Descrição
99030001 Crítica - 5 PL2 Evasão transversal de caminho em cabeçalhos (/.. /./.. /)
99030002 Crítica - 5 PL2 Evasão Transversal de Caminho no Corpo de Solicitação (/.. /./.. /)

EM-ThreatIntel-SQLI

ID da Regra Gravidade da pontuação de anomalia Nível de paranoia Descrição
99031001 Advertência - 3 PL2 Ataque de injeção de SQL: teste de injeção comum detetado
99031002 Crítica - 5 PL2 Sequência de comentários SQL detetada
99031003 Crítica - 5 PL2 Ataque de Injeção do SQL
99031004 Crítica - 5 PL2 Deteta tentativas básicas de desvio de autenticação SQL 2/3

EM-ThreatIntel-CVEs

ID da Regra Gravidade da pontuação de anomalia Nível de paranoia Descrição
99001001 Crítica - 5 PL2 Tentativa de exploração da API REST F5 tmui (CVE-2020-5902) com credenciais conhecidas
99001002 Crítica - 5 PL2 Tentativa de travessia de diretório Citrix NSC_USER CVE-2019-19781
99001003 Crítica - 5 PL2 Tentativa de exploração do Atlassian Confluence Widget Connector CVE-2019-3396
99001004 Crítica - 5 PL2 Tentativa de exploração de um modelo personalizado do Pulse Secure CVE-2020-8243
99001005 Crítica - 5 PL2 Tentativa de exploração do conversor de tipo do SharePoint CVE-2020-0932
99001006 Crítica - 5 PL2 Tentativa de travessia de diretório Pulse Connect CVE-2019-11510
99001007 Crítica - 5 PL2 Tentativa de inclusão de arquivo local Junos OS J-Web CVE-2020-1631
99001008 Crítica - 5 PL2 Tentativa de travessia de diretórios na Fortinet CVE-2018-13379
99001009 Crítica - 5 PL2 Tentativa de injeção de Apache Struts OGNL CVE-2017-5638
99001010 Crítica - 5 PL2 Tentativa de injeção de ognl no Apache struts CVE-2017-12611
99001011 Crítica - 5 PL2 Tentativa de traversão de diretório Oracle WebLogic CVE-2020-14882
99001012 Crítica - 5 PL2 Tentativa de exploração de desserialização insegura Telerik WebUI CVE-2019-18935
99001013 Crítica - 5 PL2 Tentativa de desserialização de XML não seguro do SharePoint CVE-2019-0604
99001014 Crítica - 5 PL2 Tentativa de injeção de expressão de encaminhamento do Spring Cloud CVE-2022-22963
99001015 Crítica - 5 PL2 Tentativa de exploração de objeto de classe não segura do Spring Framework CVE-2022-22965
99001016 Crítica - 5 PL2 Tentativa de injeção no Spring Cloud Gateway Actuator CVE-2022-22947
99001017* N/A N/A Tentativa de exploração de carregamento de ficheiros no Apache Struts CVE-2023-50164

* A ação desta regra está configurada para registar por padrão. Defina a ação para Bloquear para proteger contra a vulnerabilidade do Apache Struts. A pontuação de anomalia não é suportada para esta regra.

Nota

Ao rever os registos do WAF, poderá ver o ID da regra 949110. A descrição da regra pode incluir Inbound Anomaly Score Exceeded.

Esta regra indica que a pontuação total de anomalia para o pedido excedeu a pontuação máxima permitida. Para obter mais informações, consulte Pontuação de anomalias.

Os seguintes conjuntos de regras - grupos e regras CRS 3.0 e CRS 2.2.9 não são mais suportados no Firewall de Aplicativo Web do Azure no Gateway de Aplicativo. Recomendamos que você atualize para DRS 2.1 / CRS 3.2

3.0 Conjuntos de regras

Geral

RuleId Descrição
200004 Possível limite não correspondente de múltiplas partes

CVES CONHECIDAS

RuleId Descrição
800100 Regra para ajudar a detetar e mitigar a vulnerabilidade de log4j CVE-2021-44228, CVE-2021-45046
800110 Tentativa de interação com Spring4Shell
800111 Tentativa de injeção de expressão de roteamento do Spring Cloud - CVE-2022-22963
800112 Tentativa de exploração de objeto de classe não segura do Spring Framework - CVE-2022-22965
800113 Tentativa de injeção do atuador do Spring Cloud Gateway - CVE-2022-22947

PEDIDO-911-METHOD-ENFORCEMENT

RuleId Descrição
911100 O método não é permitido pela política

PEDIDO-913-SCANNER-DETECTION

RuleId Descrição
913100 Encontrado User-Agent associado ao verificador de segurança
913110 Encontrado cabeçalho de solicitação associado ao verificador de segurança
913120 Nome de arquivo/argumento de solicitação encontrado associado ao verificador de segurança
913101 Encontrado User-Agent associado a scripting/cliente HTTP genérico
913102 Encontrado um User-Agent associado a um rastreador da Web

PEDIDO-920-PROTOCOL-ENFORCEMENT

RuleId Descrição
920100 Linha de solicitação HTTP inválida
920130 Falha ao analisar o corpo da solicitação
920140 O corpo do pedido multipartes não passou na validação estrita
920160 O cabeçalho HTTP Content-Length não é numérico
920170 Solicitação GET ou HEAD com conteúdo corporal
920180 Cabeçalho de comprimento de conteúdo ausente da solicitação POST
920190 Intervalo = Valor inválido do último byte
920210 Dados de cabeçalho de conexão múltiplos/conflitantes encontrados
920220 Tentativa de ataque de abuso de codificação de URL
920240 Tentativa de ataque de abuso de codificação de URL
920250 Tentativa de ataque de abuso de codificação UTF8
920260 Tentativa de ataque de abuso da largura completa/parcial do Unicode
920270 Caractere inválido na solicitação (caractere nulo)
920280 Solicitação faltando um cabeçalho de host
920290 Cabeçalho de host vazio
920310 A solicitação tem um cabeçalho de aceitação vazio
920311 A solicitação tem um cabeçalho de aceitação vazio
920330 Cabeçalho vazio do agente do usuário
920340 Solicitação contendo conteúdo, mas cabeçalho de tipo de conteúdo ausente
920350 O cabeçalho do host é um endereço IP numérico
920380 Demasiados argumentos solicitados
920360 Nome do argumento muito longo
920370 Valor do argumento muito longo
920390 Tamanho total dos argumentos excedido
920400 Tamanho do ficheiro carregado demasiado grande
920410 Tamanho total dos ficheiros carregados demasiado grande
920420 O tipo de conteúdo de solicitação não é permitido pela política
920430 A versão do protocolo HTTP não é permitida pela política
920440 A extensão de arquivo URL é restrita pela política
920450 O cabeçalho HTTP é restrito pela política (%@{MATCHED_VAR})
920200 Intervalo = Demasiados campos (6 ou mais)
920201 Intervalo = Demasiados campos para pedido de PDF (35 ou mais)
920230 Codificação de URL múltipla detetada
920300 Falta de um cabeçalho 'Accept'
920271 Caractere inválido na solicitação (caracteres não imprimíveis)
920320 Cabeçalho do agente de usuário ausente
920272 Caractere inválido na solicitação (fora dos caracteres imprimíveis abaixo de ascii 127)
920202 Intervalo = Demasiados campos para a solicitação de PDF (6 ou mais)
920273 Caractere inválido na solicitação (fora do conjunto muito restrito)
920274 Caractere inválido em cabeçalhos de solicitação (fora do conjunto muito restrito)
920460 Caracteres de fuga anormais

PEDIDO-921-PROTOCOL-ATTACK

RuleId Descrição
921100 Ataque de Manipulação de Solicitação HTTP
921110 Ataque de Manipulação de Solicitação HTTP
921120 Ataque de divisão de resposta HTTP
921130 Ataque de divisão de resposta HTTP
921140 Ataque de injeção de cabeçalho HTTP via cabeçalhos
921150 Ataque de injeção de cabeçalho HTTP via payload (CR/LF detetado)
921160 Ataque de injeção de cabeçalho HTTP via carga útil (CR/LF e nome do cabeçalho detetados)
921151 Ataque de injeção de cabeçalho HTTP via payload (CR/LF detetado)
921170 Poluição por parâmetros HTTP
921180 Poluição por parâmetros HTTP (%@{TX.1})

PEDIDO-930-APLICAÇÃO-ATTACK-LFI

RuleId Descrição
930100 Ataque de Travessia de Caminho (/.. /)
930110 Ataque de Travessia de Caminho (/.. /)
930120 Tentativa de acesso a ficheiros do SO
930130 Tentativa de acesso restrito a arquivos

REQUEST-931-APPLICATION-ATTACK-RFI

RuleId Descrição
931100 Possível ataque de inclusão remota de arquivos (RFI) = parâmetro de URL usando endereço IP
931110 Possível ataque de inclusão remota de ficheiros (RFI) = Parâmetro vulnerável de RFI comum usado com carga de URL
931120 Possível ataque de inclusão remota de ficheiros (RFI) = URL usada com o caractere de ponto de interrogação no final (?)
931130 Possível ataque de inclusão remota de arquivos (RFI) = referência/link fora do domínio

REQUEST-932-APPLICATION-ATTACK-RCE

RuleId Descrição
932120 Execução de Comando Remoto = Comando do Windows PowerShell Encontrado
932130 Application Gateway WAF v2: Execução remota de comando: expressão de shell Unix ou vulnerabilidade de confluência (CVE-2022-26134) ou Text4Shell (CVE-2022-42889) encontrados

Application Gateway WAF v1: Execução de comando remoto: Unix Shell Expression
932140 Execução de comando remoto = comando FOR/IF do Windows encontrado
932160 Execução remota de comandos = código shell Unix encontrado
932170 Execução remota de comandos = Shellshock (CVE-2014-6271)
932171 Execução remota de comandos = Shellshock (CVE-2014-6271)

SOLICITAÇÃO-933-APLICAÇÃO-ATTACK-PHP

RuleId Descrição
933100 Ataque de Injeção PHP – Tag de Abertura/Fechamento Encontrada
933110 Ataque de Injeção PHP = Carregamento de Ficheiro de Script PHP Encontrado
933120 PHP Injection Attack = Diretiva de configuração encontrada
933130 Ataque de Injeção de PHP = Variáveis Encontradas
933150 PHP Injection Attack = Nome da função PHP de alto risco encontrado
933160 Ataque de Injeção PHP = Chamada de função PHP de alto risco encontrada
933180 Ataque de Injeção PHP: Chamada de Função Variável Detetada
933151 PHP Injection Attack = Nome da função PHP de médio risco encontrado
933131 Ataque de Injeção de PHP = Variáveis Encontradas
933161 Ataque de injeção de PHP = chamada de função PHP de baixo valor encontrada
933111 Ataque de Injeção PHP = Carregamento de Ficheiro de Script PHP Encontrado

REQUEST-941-APPLICATION-ATTACK-XSS

RuleId Descrição
941100 Ataque XSS detetado via libinjection
941110 Filtro XSS - Categoria 1 = Vetor de Etiqueta de Script
941130 Filtro XSS - Categoria 3 = Vetor de Atributo
941140 Filtro XSS - Categoria 4: Vetor de URI JavaScript
941150 Filtro XSS - Categoria 5 = Atributos HTML não permitidos
941180 Palavras-chave da lista de bloqueio do validador de nós
941190 XSS usando folhas de estilo
941200 XSS usando quadros VML
941210 XSS usando JavaScript ofuscado ou Text4Shell (CVE-2022-42889)
941220 XSS usando VBScript ofuscado
941230 XSS usando a tag 'embed'
941240 XSS usando o atributo 'import' ou 'implementation'
941260 XSS usando a tag 'meta'
941270 XSS usando 'link' href
941280 XSS usando a tag 'base'
941290 XSS usando a tag 'applet'
941300 XSS usando a tag 'object'
941310 Filtro XSS de codificação malformado US-ASCII - Ataque detetado
941330 Filtros XSS do IE - Ataque detetado
941340 Filtros XSS do IE - Ataque detetado
941350 Codificação UTF-7 IE XSS - Ataque detetado
941320 Possível ataque XSS detetado - manipulador de tags HTML

REQUEST-942-APPLICATION-ATTACK-SQLI

RuleId Descrição
942100 Ataque de injeção de SQL detetado via libinjection
942110 Ataque de injeção de SQL: teste de injeção comum detetado
942130 Ataque de injeção de SQL: Tautologia SQL detectada
942140 Ataque de injeção de SQL = nomes comuns de banco de dados detetados
942160 Deteta testes sqli cegos usando sleep() ou benchmark()
942170 Deteta tentativas de injeção de padrões SQL e de sono, incluindo consultas condicionais
942190 Deteta a execução de código MSSQL e tentativas de coleta de informações
942200 Detecta injeções ofuscadas por comentários ou espaços no MySQL e terminação com backtick
942230 Deteta tentativas condicionais de injeção de SQL
942260 Deteta tentativas básicas de desvio de autenticação SQL 2/3
942270 Procurando por uma injeção SQL básica. String de ataque comum para MySQL, Oracle e outros
942290 Localiza tentativas básicas de injeção de SQL do MongoDB
942300 Deteta comentários, condições e injeções de ch(a)r no MySQL
942310 Deteta tentativas encadeadas de injeção de SQL 2/2
942320 Deteta injeções de procedimento armazenado/função MySQL e PostgreSQL
942330 Deteta tentativas clássicas de injeção SQL 1/2
942340 Deteta tentativas básicas de desvio de autenticação SQL 3/3
942350 Deteta a injeção de UDF do MySQL e outras tentativas de manipulação de dados/estrutura
942360 Deteta injeção básica concatenada de SQL e tentativas de SQLLFI
942370 Deteta sondagens clássicas de injeção de SQL 2/2
942150 Ataque de Injeção do SQL
942410 Ataque de Injeção do SQL
942430 Deteção de Anomalias de Carateres SQL Restritos (args): número de carateres especiais excedidos (12)
942440 Sequência de comentários SQL detetada
942450 Codificação SQL Hex Identificada
942251 Deteta TER injeções
942460 Alerta de Deteção de Anomalias de Meta-caracteres - Caracteres repetitivos não textuais

PEDIDO-943-ATAQUE-DE-APLICAÇÃO-FIXAÇÃO-DE-SESSÃO

RuleId Descrição
943100 Possível ataque de fixação de sessão = Definindo valores de cookie em HTML
943110 Possível ataque de fixação de sessão = nome do parâmetro SessionID com referência fora do domínio
943120 Possível ataque de fixação de sessão = Nome do parâmetro SessionID sem referenciador