Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O Conjunto de Regras Padrão (DRS) gerenciado pelo Azure no firewall de aplicativo Web do Gateway de Aplicativo (WAF) protege ativamente os aplicativos Web contra vulnerabilidades e explorações comuns. Esses conjuntos de regras, gerenciados pelo Azure, recebem atualizações conforme necessário para proteger contra novas assinaturas de ataque. O conjunto de regras padrão também incorpora as regras do Microsoft Threat Intelligence Collection. A equipe de inteligência da Microsoft colabora na redação dessas regras, garantindo cobertura aprimorada, patches de vulnerabilidade específicos e redução aprimorada de falsos positivos.
Você também tem a opção de usar regras definidas com base no conjunto de regras principais do OWASP 3.2 (CRS 3.2).
Você pode desabilitar regras individualmente ou definir ações específicas para cada regra. Este artigo lista as regras atuais e os conjuntos de regras disponíveis. Se um conjunto de regras publicado exigir uma atualização, iremos documentá-lo aqui.
Nota
Quando você altera uma versão do conjunto de regras em uma Política WAF, todas as personalizações existentes feitas no conjunto de regras serão redefinidas para os padrões do novo conjunto de regras. Consulte: Atualizando ou alterando a versão do conjunto de regras.
Conjunto de regras padrão 2.1
O conjunto de regras padrão (DRS) 2.1 é baseado no Open Web Application Security Project (OWASP) Core Rule set (CRS) 3.3.2 e inclui proteções proprietárias adicionais, regras desenvolvidas pela equipe do Microsoft Threat Intelligence e atualizações de assinaturas para reduzir falsos positivos. Ele também suporta transformações além da decodificação de URL.
O DRS 2.1 oferece um novo mecanismo e novos conjuntos de regras de defesa contra injeções Java, um conjunto inicial de verificações de upload de arquivos e menos falsos positivos em comparação com as versões CRS. Você também pode personalizar as regras para atender às suas necessidades. Saiba mais sobre o novo mecanismo WAF do Azure.
O DRS 2.1 inclui 17 grupos de regras, conforme mostrado na tabela a seguir. Cada grupo contém várias regras e você pode personalizar o comportamento para regras individuais, grupos de regras ou conjunto de regras inteiro.
| Tipo de Ameaça | Nome do grupo de regras |
|---|---|
| Geral | Geral |
| Métodos de bloqueio (PUT, PATCH) | APLICAÇÃO DO MÉTODO |
| Problemas de protocolo e codificação | APLICAÇÃO DO PROTOCOLO |
| Injeção de cabeçalho, contrabando de solicitações e divisão de respostas | PROTOCOLO-ATAQUE |
| Ataques de arquivos e caminhos | LFI |
| Ataques de inclusão remota de arquivos (RFI) | RFI |
| Ataques de execução remota de código | RCE |
| Ataques de injeção de PHP | PHP |
| Ataques Node JS | NodeJS |
| Ataques de script entre sites | XSS |
| Ataques de injeção de SQL | SQLI |
| Ataques de fixação de sessão | FIXAÇÃO DE SESSÃO |
| Ataques JAVA | SESSÃO-JAVA |
| Ataques de shell da Web (MS) | MS-ThreatIntel-WebShells |
| Ataques AppSec (MS) | MS-ThreatIntel-AppSec |
| Ataques de injeção de SQL (MS) | MS-ThreatIntel-SQLI |
| Ataques CVE (MS) | MS-ThreatIntel-CVEs |
Orientações de ajuste fino para o DRS 2.1
Use as seguintes orientações para ajustar o WAF enquanto você começa a usar o DRS 2.1 no WAF do Application Gateway:
| ID da Regra | Grupo de Regras | Descrição | Recomendação |
|---|---|---|---|
| 942110 | SQLI | Ataque de injeção de SQL: teste de injeção comum detetado | Desativar a regra 942110, substituída pela regra MSTIC 99031001 |
| 942150 | SQLI | Ataque de Injeção do SQL | Desativar a regra 942150, substituída pela regra MSTIC 99031003 |
| 942260 | SQLI | Deteta tentativas básicas de desvio de autenticação SQL 2/3 | Desativar a regra 942260, substituída pela regra MSTIC 99031004 |
| 942430 | SQLI | Deteção de Anomalias de Carateres SQL Restritos (args): número de carateres especiais excedidos (12) | Desative a regra 942430, ela aciona muitos falsos positivos |
| 942440 | SQLI | Sequência de comentários SQL detetada | Desativar a regra 942440, substituída pela regra MSTIC 99031002 |
| 99005006 | EM-ThreatIntel-WebShells | Tentativa de interação com Spring4Shell | Mantenha a regra ativada para evitar a vulnerabilidade do SpringShell |
| 99001014 | EM-ThreatIntel-CVEs | Tentativa de injeção de expressão de encaminhamento do Spring Cloud CVE-2022-22963 | Mantenha a regra ativada para evitar a vulnerabilidade do SpringShell |
| 99001015 | EM-ThreatIntel-WebShells | Tentativa de exploração de objeto de classe não segura do Spring Framework CVE-2022-22965 | Mantenha a regra ativada para evitar a vulnerabilidade do SpringShell |
| 99001016 | EM-ThreatIntel-WebShells | Tentativa de injeção no Spring Cloud Gateway Actuator CVE-2022-22947 | Mantenha a regra ativada para evitar a vulnerabilidade do SpringShell |
| 99001017 | EM-ThreatIntel-CVEs | Tentativa de exploração de carregamento de ficheiros no Apache Struts CVE-2023-50164 | Defina a ação como Bloquear para prevenir contra a vulnerabilidade do Apache Struts. Pontuação de anomalia não suportada para esta regra |
Conjunto de regras principais 3.2
O conjunto de regras gerenciadas recomendado é o Conjunto de Regras Padrão 2.1, que é baseado no Open Web Application Security Project (OWASP) Core Rule set (CRS) 3.3.2 e inclui proteções proprietárias adicionais, regras desenvolvidas pela equipe de Inteligência de Ameaças da Microsoft e atualizações de assinaturas para reduzir falsos positivos. Como alternativa ao DRS 2.1, você pode usar o CRS 3.2, que é baseado na versão OWASP CRS 3.2.0.
O CRS 3.2 inclui 14 grupos de regras, conforme mostrado na tabela a seguir. Cada grupo contém várias regras, que podem ser desativadas.
Nota
O CRS 3.2 só está disponível no WAF_v2 SKU. Como o CRS 3.2 é executado no novo mecanismo WAF do Azure, não é possível fazer o downgrade para o CRS 3.1 ou anterior. Se precisar fazer o downgrade, entre em contato com o Suporte do Azure.
| Nome do grupo de regras | Tipo de Ameaça |
|---|---|
| Geral | Geral |
| CVEs novos e conhecidos | CVES CONHECIDOS |
| Métodos de bloqueio (PUT, PATCH) | PEDIDO-911-MÉTODO-EXECUÇÃO |
| Verificadores de portas e ambiente | REQUEST-913-SCANNER-DETECÇÃO |
| Problemas de protocolo e codificação | SOLICITAÇÃO-920-PROTOCOLO-EXECUÇÃO |
| Injeção de cabeçalho, contrabando de solicitações e divisão de respostas | REQUEST-921-PROTOCOLO-ATAQUE |
| Ataques de arquivos e caminhos | REQUEST-930-APPLICATION-ATTACK-LFI |
| Ataques de inclusão remota de arquivos (RFI) | SOLICITAÇÃO-931-ATAQUE-DE-APLICAÇÃO-RFI |
| Ataques de execução remota de código | REQUEST-932-APPLICATION-ATTACK-RCE |
| Ataques de injeção de PHP | PEDIDO-933-APPLICATION-ATTACK-PHP |
| Ataques de script entre sites | REQUEST-941-APPLICATION-ATTACK-XSS |
| Ataques de injeção de SQL | REQUEST-942-APPLICATION-ATTACK-SQLI |
| Ataques de fixação de sessão | REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION |
| Ataques JAVA | REQUEST-944-APLICAÇÃO-ATAQUE-JAVA |
Ajuste de conjuntos de regras gerenciadas
O DRS e o CRS são habilitados por padrão no modo de deteção em suas políticas WAF. Você pode desabilitar ou habilitar regras individuais dentro do Conjunto de Regras Gerenciadas para atender aos requisitos do seu aplicativo. Você também pode definir ações específicas por regra. O DRS/CRS suporta ações de bloqueio, registo e pontuação de anomalias. O conjunto de regras do Bot Manager suporta as ações de permissão, bloqueio e registro.
Às vezes, talvez seja necessário omitir certos atributos de solicitação de uma avaliação do WAF. Um exemplo comum são os tokens inseridos no Ative Directory que são usados para autenticação. Você pode configurar exclusões para serem aplicadas quando regras específicas do WAF forem avaliadas ou para serem aplicadas globalmente à avaliação de todas as regras do WAF. As regras de exclusão aplicam-se a toda a sua aplicação Web. Para obter mais informações, consulte Web Application Firewall (WAF) com listas de exclusão do Application Gateway.
Por padrão, o DRS versão 2.1 / CRS versão 3.2 e superior usa pontuação de anomalia quando uma solicitação corresponde a uma regra. O CRS 3.1 e inferior bloqueia pedidos correspondentes por predefinição. Além disso, as regras personalizadas podem ser configuradas na mesma política WAF se você quiser ignorar qualquer uma das regras pré-configuradas no Conjunto de Regras Principais.
As regras personalizadas são sempre aplicadas antes que as regras no Conjunto de Regras Principais sejam avaliadas. Se uma solicitação corresponder a uma regra personalizada, a ação de regra correspondente será aplicada. A solicitação é bloqueada ou passada para o back-end. Nenhuma outra regra personalizada ou as regras no Conjunto de Regras Principais são processadas.
Pontuação de anomalias
Ao utilizar o CRS ou DRS versão 2.1 ou posteriores, o seu WAF é configurado para usar pontuação de anomalias por padrão. O tráfego que corresponde a qualquer regra não é imediatamente bloqueado, mesmo quando o WAF está no modo de prevenção. Em vez disso, os conjuntos de regras OWASP definem uma gravidade para cada regra: Crítica, Erro, Aviso ou Notificação. A gravidade afeta um valor numérico para a solicitação, que é chamado de pontuação de anomalia:
| Severidade da regra | O valor contribui para a pontuação de anomalia |
|---|---|
| Crítico | 5 |
| Erro | 4 |
| Aviso | 3 |
| Aviso | 2 |
Se a pontuação de anomalia for igual ou superior a 5 e o WAF estiver no modo de Prevenção, a solicitação será bloqueada. Se a pontuação de anomalia for 5 ou superior e o WAF estiver no modo de Deteção, a solicitação será registrada, mas não bloqueada.
Por exemplo, uma única correspondência de regra crítica é suficiente para o WAF bloquear uma solicitação quando estiver no modo de Prevenção, porque a pontuação de anomalia geral é 5. No entanto, uma regra de Aviso só aumenta a pontuação de anomalia em 3, o que, por si só, não é suficiente para bloquear o tráfego. Quando uma regra de anomalia é acionada, ela mostra uma ação de "Correspondência" nos registos. Se a pontuação de anomalia for 5 ou superior, há uma regra separada acionada com a ação "Bloqueado" ou "Detetado", dependendo se a política WAF está no modo de Prevenção ou Deteção. Para obter mais informações, consulte Modo de pontuação de anomalias.
Nível de paranoia
Cada regra é atribuída em um Nível de Paranoia (PL) específico. As regras configuradas na Paranoia Nível 1 (PL1) são menos agressivas e quase nunca desencadeiam um falso positivo. Eles fornecem segurança básica com necessidade mínima de ajustes finos. As regras do PL2 detetam mais ataques, mas espera-se que desencadeiem falsos positivos que devem ser ajustados.
Por padrão, as versões de regras DRS 2.1 e CRS 3.2 são pré-configuradas no Paranoia Nível 2, incluindo regras atribuídas em PL1 e PL2. Se você quiser usar o WAF exclusivamente com PL1, você pode desativar qualquer uma ou todas as regras PL2 ou alterar sua ação para 'log'. PL3 e PL4 atualmente não são suportados no Azure WAF.
Nota
O conjunto de regras do CRS 3.2 inclui regras em PL3 e PL4, mas essas regras estão sempre inativas e não podem ser habilitadas, independentemente de seu estado configurado ou ação.
Atualizando ou alterando a versão do conjunto de regras
Se você estiver atualizando ou atribuindo uma nova versão do conjunto de regras e quiser preservar as substituições e exclusões de regras existentes, é recomendável usar o PowerShell, a CLI, A API REST ou um modelo para fazer alterações na versão do conjunto de regras. Uma nova versão de um conjunto de regras pode ter regras mais recentes, grupos de regras adicionais e pode ter atualizações para assinaturas existentes para impor melhor segurança e reduzir falsos positivos. É recomendável validar as alterações em um ambiente de teste, ajustar se necessário e, em seguida, implantar em um ambiente de produção.
Nota
Se você estiver usando o portal do Azure para atribuir um novo conjunto de regras gerenciado a uma política WAF, todas as personalizações anteriores do conjunto de regras gerenciado existente, como estado da regra, ações de regra e exclusões de nível de regra, serão redefinidas para os padrões do novo conjunto de regras gerenciado. No entanto, quaisquer regras personalizadas, configurações de política e exclusões globais permanecerão inalteradas durante a atribuição do novo conjunto de regras. Você precisará atualizar exceções de regras e validar as alterações antes de desenvolver em um ambiente de produção.
OWASP CRS 3,1
O CRS 3.1 inclui 14 grupos de regras, conforme mostrado na tabela a seguir. Cada grupo contém várias regras, que podem ser desativadas. O conjunto de regras é baseado na versão OWASP CRS 3.1.1.
Nota
O CRS 3.1 só está disponível no WAF_v2 SKU.
| Nome do grupo de regras | Descrição |
|---|---|
| Geral | Grupo geral |
| CVES CONHECIDOS | Ajudar a detetar CVEs novos e conhecidos |
| PEDIDO-911-MÉTODO-EXECUÇÃO | Métodos de bloqueio (PUT, PATCH) |
| REQUEST-913-SCANNER-DETECÇÃO | Proteja-se contra os escaneres de porta e ambiente |
| SOLICITAÇÃO-920-PROTOCOLO-EXECUÇÃO | Proteja-se contra problemas de protocolo e codificação |
| REQUEST-921-PROTOCOLO-ATAQUE | Proteja-se contra injeção de cabeçalho, manipulação de solicitações e fragmentação de respostas |
| REQUEST-930-APPLICATION-ATTACK-LFI | Proteja-se contra ataques de arquivos e caminhos |
| SOLICITAÇÃO-931-ATAQUE-DE-APLICAÇÃO-RFI | Proteja-se contra ataques de inclusão remota de arquivos (RFI) |
| REQUEST-932-APPLICATION-ATTACK-RCE | Proteja novamente ataques de execução remota de código |
| PEDIDO-933-APPLICATION-ATTACK-PHP | Proteja-se contra ataques de injeção de PHP |
| REQUEST-941-APPLICATION-ATTACK-XSS | Proteja-se contra ataques de script entre sites |
| REQUEST-942-APPLICATION-ATTACK-SQLI | Proteja-se contra ataques de injeção de SQL |
| REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION | Proteja-se contra ataques de fixação de sessão |
| REQUEST-944-APPLICATION-ATTACK-SESSION-JAVA | Proteja-se contra ataques JAVA |
Gerenciador de Bot 1.0
O conjunto de regras do Bot Manager 1.0 fornece proteção contra bots mal-intencionados e deteção de bons bots. As regras fornecem controle granular sobre bots detetados pelo WAF, categorizando o tráfego de bots como Bom, Ruim ou Desconhecido.
| Grupo de regras | Descrição |
|---|---|
| BadBots | Proteja-se contra bots maliciosos |
| GoodBots | Identifique bons bots |
| Bots Desconhecidos | Identificar bots desconhecidos |
Gerenciador de Bot 1.1
O conjunto de regras do Bot Manager 1.1 é um aprimoramento do conjunto de regras do Bot Manager 1.0. Ele fornece proteção aprimorada contra bots mal-intencionados e aumenta a boa deteção de bots.
| Grupo de regras | Descrição |
|---|---|
| BadBots | Proteja-se contra bots maliciosos |
| GoodBots | Identifique bons bots |
| Bots Desconhecidos | Identificar bots desconhecidos |
Os seguintes grupos de regras e regras estão disponíveis ao usar o Web Application Firewall no Application Gateway.
2.1 Conjuntos de regras
Geral
| ID da Regra | Gravidade da pontuação de anomalia | Nível de paranoia | Descrição |
|---|---|---|---|
| 200002 | Crítica - 5 | PL1 | Falha ao analisar o corpo da solicitação |
| 200003 | Crítica - 5 | PL1 | O corpo do pedido multipartes não passou na validação estrita |
IMPOSIÇÃO DO MÉTODO
| ID da Regra | Gravidade da pontuação de anomalia | Nível de paranoia | Descrição |
|---|---|---|---|
| 911100 | Crítica - 5 | PL1 | O método não é permitido pela política |
IMPOSIÇÃO DE PROTOCOLO
| ID da Regra | Gravidade da pontuação de anomalia | Nível de paranoia | Descrição |
|---|---|---|---|
| 920100 | Aviso - 2 | PL1 | Linha de solicitação HTTP inválida |
| 920120 | Crítica - 5 | PL1 | Tentativa de contornar multipart/form-data |
| 920121 | Crítica - 5 | PL2 | Tentativa de contornar multipart/form-data |
| 920160 | Crítica - 5 | PL1 | O cabeçalho HTTP Content-Length não é numérico |
| 920170 | Crítica - 5 | PL1 | Solicitação GET ou HEAD com conteúdo corporal |
| 920171 | Crítica - 5 | PL1 | Pedido GET ou HEAD com Transfer-Encoding |
| 920180 | Aviso - 2 | PL1 | Cabeçalho de comprimento de conteúdo ausente da solicitação POST |
| 920181 | Advertência - 3 | PL1 | Os cabeçalhos Content-Length e Transfer-Encoding apresentam 99001003 |
| 920190 | Advertência - 3 | PL1 | Intervalo: Valor do último byte inválido |
| 920200 | Advertência - 3 | PL2 | Intervalo: Demasiados campos (6 ou mais) |
| 920201 | Advertência - 3 | PL2 | Intervalo: Demasiados campos para pedido de PDF (35 ou mais) |
| 920210 | Crítica - 5 | PL1 | Dados de cabeçalho de conexão múltiplos/conflitantes encontrados |
| 920220 | Advertência - 3 | PL1 | Tentativa de ataque de abuso de codificação de URL |
| 920230 | Advertência - 3 | PL2 | Codificação de URL múltipla detetada |
| 920240 | Advertência - 3 | PL1 | Tentativa de ataque de abuso de codificação de URL |
| 920260 | Advertência - 3 | PL1 | Tentativa de ataque de abuso da largura completa/parcial do Unicode |
| 920270 | Erro - 4 | PL1 | Caractere inválido na solicitação (caractere nulo) |
| 920271 | Crítica - 5 | PL2 | Caractere inválido na solicitação (caracteres não imprimíveis) |
| 920280 | Advertência - 3 | PL1 | Solicitação faltando um cabeçalho de host |
| 920290 | Advertência - 3 | PL1 | Cabeçalho de host vazio |
| 920300 | Aviso - 2 | PL2 | Falta de um cabeçalho 'Accept' |
| 920310 | Aviso - 2 | PL1 | A solicitação tem um cabeçalho de aceitação vazio |
| 920311 | Aviso - 2 | PL1 | A solicitação tem um cabeçalho de aceitação vazio |
| 920320 | Aviso - 2 | PL2 | Cabeçalho do agente de usuário ausente |
| 920330 | Aviso - 2 | PL1 | Cabeçalho vazio do agente do usuário |
| 920340 | Aviso - 2 | PL1 | Solicitação contendo conteúdo, mas faltando cabeçalho de tipo de conteúdo |
| 920341 | Crítica - 5 | PL1 | A solicitação que contém conteúdo requer o cabeçalho Content-Type |
| 920350 | Advertência - 3 | PL1 | O cabeçalho do host é um endereço IP numérico |
| 920420 | Crítica - 5 | PL1 | O tipo de conteúdo de solicitação não é permitido pela política |
| 920430 | Crítica - 5 | PL1 | A versão do protocolo HTTP não é permitida pela política |
| 920440 | Crítica - 5 | PL1 | A extensão de arquivo URL é restrita pela política |
| 920450 | Crítica - 5 | PL1 | O cabeçalho HTTP é restrito pela política |
| 920470 | Crítica - 5 | PL1 | Cabeçalho de tipo de conteúdo ilegal |
| 920480 | Crítica - 5 | PL1 | O charset do tipo de conteúdo de solicitação não é permitido pela política |
| 920500 | Crítica - 5 | PL1 | Tentar aceder a uma cópia de segurança ou a um ficheiro de trabalho |
ATAQUE DE PROTOCOLO
| ID da Regra | Gravidade da pontuação de anomalia | Nível de paranoia | Descrição |
|---|---|---|---|
| 921110 | Crítica - 5 | PL1 | Ataque de Manipulação de Solicitação HTTP |
| 921120 | Crítica - 5 | PL1 | Ataque de divisão de resposta HTTP |
| 921130 | Crítica - 5 | PL1 | Ataque de divisão de resposta HTTP |
| 921140 | Crítica - 5 | PL1 | Ataque de injeção de cabeçalho HTTP via cabeçalhos |
| 921150 | Crítica - 5 | PL1 | Ataque de injeção de cabeçalho HTTP via payload (CR/LF detetado) |
| 921151 | Crítica - 5 | PL2 | Ataque de injeção de cabeçalho HTTP via payload (CR/LF detetado) |
| 921160 | Crítica - 5 | PL1 | Ataque de injeção de cabeçalho HTTP via carga útil (CR/LF e nome do cabeçalho detetados) |
| 921190 | Crítica - 5 | PL1 | Divisão HTTP (CR/LF no nome do arquivo de solicitação detetado) |
| 921200 | Crítica - 5 | PL1 | Ataque de injeção LDAP |
LFI – Inclusão de Ficheiro Local
| ID da Regra | Gravidade da pontuação de anomalia | Nível de paranoia | Descrição |
|---|---|---|---|
| 930100 | Crítica - 5 | PL1 | Ataque de Travessia de Caminho (/.. /) |
| 930110 | Crítica - 5 | PL1 | Ataque de Travessia de Caminho (/.. /) |
| 930120 | Crítica - 5 | PL1 | Tentativa de acesso a ficheiros do SO |
| 930130 | Crítica - 5 | PL1 | Tentativa de acesso restrito a arquivos |
RFI – Inclusão de Ficheiro Remoto
| ID da Regra | Gravidade da pontuação de anomalia | Nível de paranoia | Descrição |
|---|---|---|---|
| 931100 | Crítica - 5 | PL1 | Possível ataque de inclusão remota de arquivos (RFI): parâmetro de URL usando endereço IP |
| 931110 | Crítica - 5 | PL1 | Possível ataque de inclusão remota de arquivos (RFI): nome de parâmetro vulnerável comum de RFI usado com carga útil de URL |
| 931120 | Crítica - 5 | PL1 | Possível ataque de inclusão remota de ficheiros (RFI): URL com carga usada e terminada com o caractere ponto de interrogação (?) |
| 931130 | Crítica - 5 | PL2 | Possível ataque de inclusão remota de arquivos (RFI): referência/hiperligação externa ao domínio |
RCE - Execução de Comandos Remotos
| ID da Regra | Gravidade da pontuação de anomalia | Nível de paranoia | Descrição |
|---|---|---|---|
| 932100 | Crítica - 5 | PL1 | Execução de Comando Remoto: Unix Command Injection |
| 932105 | Crítica - 5 | PL1 | Execução de Comando Remoto: Unix Command Injection |
| 932110 | Crítica - 5 | PL1 | Execução remota de comando: Windows Command Injection |
| 932115 | Crítica - 5 | PL1 | Execução remota de comando: Windows Command Injection |
| 932120 | Crítica - 5 | PL1 | Execução de comando remoto: comando do Windows PowerShell encontrado |
| 932130 | Crítica - 5 | PL1 | Execução remota de comando: Vulnerabilidade de expressão ou confluência de shell Unix (CVE-2022-26134) encontrada |
| 932140 | Crítica - 5 | PL1 | Execução de comando remoto: Comando FOR/IF do Windows encontrado |
| 932150 | Crítica - 5 | PL1 | Execução de Comando Remoto: Execução Direta de Comandos Unix |
| 932160 | Crítica - 5 | PL1 | Execução de Comando Remoto: Código Unix Shell Encontrado |
| 932170 | Crítica - 5 | PL1 | Execução remota de comando: Shellshock (CVE-2014-6271) |
| 932171 | Crítica - 5 | PL1 | Execução remota de comando: Shellshock (CVE-2014-6271) |
| 932180 | Crítica - 5 | PL1 | Tentativa de carregamento de arquivo restrito |
Ataques PHP
| ID da Regra | Gravidade da pontuação de anomalia | Nível de paranoia | Descrição |
|---|---|---|---|
| 933100 | Crítica - 5 | PL1 | Ataque de Injeção PHP: Tag de abertura/fechamento encontrada |
| 933110 | Crítica - 5 | PL1 | Ataque de injeção de PHP: Upload de arquivo de script PHP encontrado |
| 933120 | Crítica - 5 | PL1 | PHP Injection Attack: Diretiva de configuração encontrada |
| 933130 | Crítica - 5 | PL1 | Ataque de injeção de PHP: variáveis encontradas |
| 933140 | Crítica - 5 | PL1 | Ataque de injeção de PHP: fluxo de E/S encontrado |
| 933150 | Crítica - 5 | PL1 | Ataque de Injeção de Código PHP: Nome da Função PHP de Alto Risco Encontrado |
| 933151 | Crítica - 5 | PL2 | Ataque de injeção PHP: Encontrado nome de função PHP de médio risco |
| 933160 | Crítica - 5 | PL1 | Ataque de injeção de PHP: chamada de função PHP de alto risco encontrada |
| 933170 | Crítica - 5 | PL1 | Ataque de Injeção de PHP: Injeção de Objeto Serializado |
| 933180 | Crítica - 5 | PL1 | Ataque de injeção de PHP: chamada de função variável encontrada |
| 933200 | Crítica - 5 | PL1 | Ataque de Injeção PHP: Esquema de wrapper detetado |
| 933210 | Crítica - 5 | PL1 | Ataque de injeção de PHP: chamada de função variável encontrada |
Ataques em Node JS
| ID da Regra | Gravidade da pontuação de anomalia | Nível de paranoia | Descrição |
|---|---|---|---|
| 934100 | Crítica - 5 | PL1 | Node.js Ataque de injeção |
XSS – Scripting Entre Sites
| ID da Regra | Gravidade da pontuação de anomalia | Nível de paranoia | Descrição |
|---|---|---|---|
| 941100 | Crítica - 5 | PL1 | Ataque XSS detetado via libinjection |
| 941101 | Crítica - 5 | PL2 | Ataque XSS detetado via libinjection. Esta regra deteta solicitações com um cabeçalho Referer |
| 941110 | Crítica - 5 | PL1 | Filtro XSS - Categoria 1: Vetor de tag de script |
| 941120 | Crítica - 5 | PL1 | Filtro XSS - Categoria 2: Vetor do manipulador de eventos |
| 941130 | Crítica - 5 | PL1 | Filtro XSS - Categoria 3: Vetor de atributo |
| 941140 | Crítica - 5 | PL1 | Filtro XSS - Categoria 4: Vetor URI JavaScript |
| 941150 | Crítica - 5 | PL2 | Filtro XSS - Categoria 5: Atributos HTML não permitidos |
| 941160 | Crítica - 5 | PL1 | NoScript XSS InjectionChecker: Injeção de HTML |
| 941170 | Crítica - 5 | PL1 | NoScript XSS InjectionChecker: Injeção de atributos |
| 941180 | Crítica - 5 | PL1 | Palavras-chave da lista de bloqueio do validador de nós |
| 941190 | Crítica - 5 | PL1 | XSS Usando folhas de estilo |
| 941200 | Crítica - 5 | PL1 | XSS usando quadros VML |
| 941210 | Crítica - 5 | PL1 | XSS usando JavaScript ofuscado |
| 941220 | Crítica - 5 | PL1 | XSS usando VBScript ofuscado |
| 941230 | Crítica - 5 | PL1 | XSS usando a tag 'embed' |
| 941240 | Crítica - 5 | PL1 | XSS usando o atributo 'import' ou 'implementation' |
| 941250 | Crítica - 5 | PL1 | Filtros XSS do IE - Ataque detetado |
| 941260 | Crítica - 5 | PL1 | XSS usando a tag 'meta' |
| 941270 | Crítica - 5 | PL1 | XSS usando 'link' href |
| 941280 | Crítica - 5 | PL1 | XSS usando a tag 'base' |
| 941290 | Crítica - 5 | PL1 | XSS usando a tag 'applet' |
| 941300 | Crítica - 5 | PL1 | XSS usando a tag 'object' |
| 941310 | Crítica - 5 | PL1 | Filtro XSS de codificação malformado US-ASCII - Ataque detetado |
| 941320 | Crítica - 5 | PL2 | Possível ataque XSS detetado - manipulador de tags HTML |
| 941330 | Crítica - 5 | PL2 | Filtros XSS do IE - Ataque detetado |
| 941340 | Crítica - 5 | PL2 | Filtros XSS do IE - Ataque detetado |
| 941350 | Crítica - 5 | PL1 | Codificação UTF-7 IE XSS - Ataque detetado |
| 941360 | Crítica - 5 | PL1 | Ofuscação de JavaScript detetada |
| 941370 | Crítica - 5 | PL1 | Variável global JavaScript encontrada |
| 941380 | Crítica - 5 | PL2 | Injeção de modelo AngularJS no cliente detetada |
SQLI - Ataque de Injeção de SQL
| ID da Regra | Gravidade da pontuação de anomalia | Nível de paranoia | Descrição |
|---|---|---|---|
| 942100 | Crítica - 5 | PL1 | Ataque de injeção de SQL detetado via libinjection |
| 942110 | Advertência - 3 | PL2 | Ataque de injeção de SQL: teste de injeção comum detetado |
| 942120 | Crítica - 5 | PL2 | Ataque de injeção de SQL: operador SQL detetado |
| 942130 | Crítica - 5 | PL2 | Ataque de injeção de SQL: Tautologia SQL detectada |
| 942140 | Crítica - 5 | PL1 | Ataque de injeção de SQL: nomes comuns de banco de dados detetados |
| 942150 | Crítica - 5 | PL2 | Ataque de Injeção do SQL |
| 942160 | Crítica - 5 | PL1 | Deteta testes sqli cegos usando sleep() ou benchmark() |
| 942170 | Crítica - 5 | PL1 | Deteta tentativas de injeção de padrões SQL e de sono, incluindo consultas condicionais |
| 942180 | Crítica - 5 | PL2 | Deteta tentativas básicas de desvio de autenticação SQL 1/3 |
| 942190 | Crítica - 5 | PL1 | Deteta a execução de código MSSQL e tentativas de coleta de informações |
| 942200 | Crítica - 5 | PL2 | Detecta injeções ofuscadas por comentários ou espaços no MySQL e terminação com backtick |
| 942210 | Crítica - 5 | PL2 | Deteta tentativas de injeção de SQL encadeadas 1/2 |
| 942220 | Crítica - 5 | PL1 | Procurando por ataques de estouro de inteiros, estes foram retirados do skipfish, exceto 3.0.00738585072007e-308, que é o "número mágico" que causa falha. |
| 942230 | Crítica - 5 | PL1 | Deteta tentativas condicionais de injeção de SQL |
| 942240 | Crítica - 5 | PL1 | Deteta a alteração do conjunto de caracteres MySQL e tentativas de Negação de Serviço MSSQL |
| 942250 | Crítica - 5 | PL1 | Deteta MATCH CONTRA, MERGE e EXECUTE injeções IMEDIATAS |
| 942260 | Crítica - 5 | PL2 | Deteta tentativas básicas de desvio de autenticação SQL 2/3 |
| 942270 | Crítica - 5 | PL1 | Procurando por uma injeção SQL básica. String de ataque comum para mysql, oracle e outros |
| 942280 | Crítica - 5 | PL1 | Deteta a injeção de pg_sleep Postgres, aguarda ataques de atraso e tentativas de desligamento do banco de dados |
| 942290 | Crítica - 5 | PL1 | Localiza tentativas básicas de injeção de SQL do MongoDB |
| 942300 | Crítica - 5 | PL2 | Deteta comentários, condições e injeções de ch(a)r do MySQL |
| 942310 | Crítica - 5 | PL2 | Deteta tentativas encadeadas de injeção de SQL 2/2 |
| 942320 | Crítica - 5 | PL1 | Deteta injeções de procedimento armazenado/função MySQL e PostgreSQL |
| 942330 | Crítica - 5 | PL2 | Deteta tentativas clássicas de injeção SQL 1/2 |
| 942340 | Crítica - 5 | PL2 | Deteta tentativas básicas de desvio de autenticação SQL 3/3 |
| 942350 | Crítica - 5 | PL1 | Deteta a injeção de UDF do MySQL e outras tentativas de manipulação de dados/estrutura |
| 942360 | Crítica - 5 | PL1 | Deteta injeção básica concatenada de SQL e tentativas de SQLLFI |
| 942361 | Crítica - 5 | PL2 | Deteta a injeção básica de SQL com base na alteração ou união de palavras-chave |
| 942370 | Crítica - 5 | PL2 | Deteta sondagens clássicas de injeção de SQL 2/2 |
| 942380 | Crítica - 5 | PL2 | Ataque de Injeção do SQL |
| 942390 | Crítica - 5 | PL2 | Ataque de Injeção do SQL |
| 942400 | Crítica - 5 | PL2 | Ataque de Injeção do SQL |
| 942410 | Crítica - 5 | PL2 | Ataque de Injeção do SQL |
| 942430 | Advertência - 3 | PL2 | Deteção de Anomalias de Carateres SQL Restritos (args): número de carateres especiais excedidos (12) |
| 942440 | Crítica - 5 | PL2 | Sequência de comentários SQL detetada |
| 942450 | Crítica - 5 | PL2 | Codificação SQL Hex Identificada |
| 942470 | Crítica - 5 | PL2 | Ataque de Injeção do SQL |
| 942480 | Crítica - 5 | PL2 | Ataque de Injeção do SQL |
| 942500 | Crítica - 5 | PL1 | Comentário in-line do MySQL detetado |
| 942510 | Crítica - 5 | PL2 | Tentativa de desvio SQLi por ticks ou backticks detetados |
FIXAÇÃO DE SESSÃO
| ID da Regra | Gravidade da pontuação de anomalia | Nível de paranoia | Descrição |
|---|---|---|---|
| 943100 | Crítica - 5 | PL1 | Possível ataque de fixação de sessão: definindo valores de cookie em HTML |
| 943110 | Crítica - 5 | PL1 | Possível ataque de fixação de sessão: nome do parâmetro SessionID com referenciador fora do domínio |
| 943120 | Crítica - 5 | PL1 | Possível ataque de fixação de sessão: nome do parâmetro SessionID sem referenciador |
Ataques JAVA
| ID da Regra | Gravidade da pontuação de anomalia | Nível de paranoia | Descrição |
|---|---|---|---|
| 944100 | Crítica - 5 | PL1 | Execução remota de comandos: Apache Struts, Oracle WebLogic |
| 944110 | Crítica - 5 | PL1 | Deteta a execução potencial de carga maliciosa |
| 944120 | Crítica - 5 | PL1 | Possível execução de carga maliciosa e execução remota de comandos |
| 944130 | Crítica - 5 | PL1 | Classes Java suspeitas |
| 944200 | Crítica - 5 | PL2 | Exploração da desserialização em Java no Apache Commons |
| 944210 | Crítica - 5 | PL2 | Possível uso da serialização Java |
| 944240 | Crítica - 5 | PL2 | Execução remota de comando: serialização Java e vulnerabilidade Log4j (CVE-2021-44228, CVE-2021-45046) |
| 944250 | Crítica - 5 | PL2 | Execução remota de comando: método Java suspeito detetado |
EM-ThreatIntel-WebShells
| ID da Regra | Gravidade da pontuação de anomalia | Nível de paranoia | Descrição |
|---|---|---|---|
| 99005002 | Crítica - 5 | PL2 | Tentativa de interação do Web Shell (POST) |
| 99005003 | Crítica - 5 | PL2 | Tentativa de Upload do Web Shell (POST) - CHOPPER PHP |
| 99005004 | Crítica - 5 | PL2 | Tentativa de carregamento do Web Shell (POST) - CHOPPER ASPX |
| 99005005 | Crítica - 5 | PL2 | Tentativa de interação do Web Shell |
| 99005006 | Crítica - 5 | PL2 | Tentativa de interação com Spring4Shell |
MS-ThreatIntel-AppSec (Inteligência de Ameaças e Segurança de Aplicações)
| ID da Regra | Gravidade da pontuação de anomalia | Nível de paranoia | Descrição |
|---|---|---|---|
| 99030001 | Crítica - 5 | PL2 | Evasão transversal de caminho em cabeçalhos (/.. /./.. /) |
| 99030002 | Crítica - 5 | PL2 | Evasão Transversal de Caminho no Corpo de Solicitação (/.. /./.. /) |
EM-ThreatIntel-SQLI
| ID da Regra | Gravidade da pontuação de anomalia | Nível de paranoia | Descrição |
|---|---|---|---|
| 99031001 | Advertência - 3 | PL2 | Ataque de injeção de SQL: teste de injeção comum detetado |
| 99031002 | Crítica - 5 | PL2 | Sequência de comentários SQL detetada |
| 99031003 | Crítica - 5 | PL2 | Ataque de Injeção do SQL |
| 99031004 | Crítica - 5 | PL2 | Deteta tentativas básicas de desvio de autenticação SQL 2/3 |
EM-ThreatIntel-CVEs
| ID da Regra | Gravidade da pontuação de anomalia | Nível de paranoia | Descrição |
|---|---|---|---|
| 99001001 | Crítica - 5 | PL2 | Tentativa de exploração da API REST F5 tmui (CVE-2020-5902) com credenciais conhecidas |
| 99001002 | Crítica - 5 | PL2 | Tentativa de travessia de diretório Citrix NSC_USER CVE-2019-19781 |
| 99001003 | Crítica - 5 | PL2 | Tentativa de exploração do Atlassian Confluence Widget Connector CVE-2019-3396 |
| 99001004 | Crítica - 5 | PL2 | Tentativa de exploração de um modelo personalizado do Pulse Secure CVE-2020-8243 |
| 99001005 | Crítica - 5 | PL2 | Tentativa de exploração do conversor de tipo do SharePoint CVE-2020-0932 |
| 99001006 | Crítica - 5 | PL2 | Tentativa de travessia de diretório Pulse Connect CVE-2019-11510 |
| 99001007 | Crítica - 5 | PL2 | Tentativa de inclusão de arquivo local Junos OS J-Web CVE-2020-1631 |
| 99001008 | Crítica - 5 | PL2 | Tentativa de travessia de diretórios na Fortinet CVE-2018-13379 |
| 99001009 | Crítica - 5 | PL2 | Tentativa de injeção de Apache Struts OGNL CVE-2017-5638 |
| 99001010 | Crítica - 5 | PL2 | Tentativa de injeção de ognl no Apache struts CVE-2017-12611 |
| 99001011 | Crítica - 5 | PL2 | Tentativa de traversão de diretório Oracle WebLogic CVE-2020-14882 |
| 99001012 | Crítica - 5 | PL2 | Tentativa de exploração de desserialização insegura Telerik WebUI CVE-2019-18935 |
| 99001013 | Crítica - 5 | PL2 | Tentativa de desserialização de XML não seguro do SharePoint CVE-2019-0604 |
| 99001014 | Crítica - 5 | PL2 | Tentativa de injeção de expressão de encaminhamento do Spring Cloud CVE-2022-22963 |
| 99001015 | Crítica - 5 | PL2 | Tentativa de exploração de objeto de classe não segura do Spring Framework CVE-2022-22965 |
| 99001016 | Crítica - 5 | PL2 | Tentativa de injeção no Spring Cloud Gateway Actuator CVE-2022-22947 |
| 99001017* | N/A | N/A | Tentativa de exploração de carregamento de ficheiros no Apache Struts CVE-2023-50164 |
* A ação desta regra está configurada para registar por padrão. Defina a ação para Bloquear para proteger contra a vulnerabilidade do Apache Struts. A pontuação de anomalia não é suportada para esta regra.
Nota
Ao rever os registos do WAF, poderá ver o ID da regra 949110. A descrição da regra pode incluir Inbound Anomaly Score Exceeded.
Esta regra indica que a pontuação total de anomalia para o pedido excedeu a pontuação máxima permitida. Para obter mais informações, consulte Pontuação de anomalias.
Os seguintes conjuntos de regras - grupos e regras CRS 3.0 e CRS 2.2.9 não são mais suportados no Firewall de Aplicativo Web do Azure no Gateway de Aplicativo. Recomendamos que você atualize para DRS 2.1 / CRS 3.2
3.0 Conjuntos de regras
Geral
| RuleId | Descrição |
|---|---|
| 200004 | Possível limite não correspondente de múltiplas partes |
CVES CONHECIDAS
| RuleId | Descrição |
|---|---|
| 800100 | Regra para ajudar a detetar e mitigar a vulnerabilidade de log4j CVE-2021-44228, CVE-2021-45046 |
| 800110 | Tentativa de interação com Spring4Shell |
| 800111 | Tentativa de injeção de expressão de roteamento do Spring Cloud - CVE-2022-22963 |
| 800112 | Tentativa de exploração de objeto de classe não segura do Spring Framework - CVE-2022-22965 |
| 800113 | Tentativa de injeção do atuador do Spring Cloud Gateway - CVE-2022-22947 |
PEDIDO-911-METHOD-ENFORCEMENT
| RuleId | Descrição |
|---|---|
| 911100 | O método não é permitido pela política |
PEDIDO-913-SCANNER-DETECTION
| RuleId | Descrição |
|---|---|
| 913100 | Encontrado User-Agent associado ao verificador de segurança |
| 913110 | Encontrado cabeçalho de solicitação associado ao verificador de segurança |
| 913120 | Nome de arquivo/argumento de solicitação encontrado associado ao verificador de segurança |
| 913101 | Encontrado User-Agent associado a scripting/cliente HTTP genérico |
| 913102 | Encontrado um User-Agent associado a um rastreador da Web |
PEDIDO-920-PROTOCOL-ENFORCEMENT
| RuleId | Descrição |
|---|---|
| 920100 | Linha de solicitação HTTP inválida |
| 920130 | Falha ao analisar o corpo da solicitação |
| 920140 | O corpo do pedido multipartes não passou na validação estrita |
| 920160 | O cabeçalho HTTP Content-Length não é numérico |
| 920170 | Solicitação GET ou HEAD com conteúdo corporal |
| 920180 | Cabeçalho de comprimento de conteúdo ausente da solicitação POST |
| 920190 | Intervalo = Valor inválido do último byte |
| 920210 | Dados de cabeçalho de conexão múltiplos/conflitantes encontrados |
| 920220 | Tentativa de ataque de abuso de codificação de URL |
| 920240 | Tentativa de ataque de abuso de codificação de URL |
| 920250 | Tentativa de ataque de abuso de codificação UTF8 |
| 920260 | Tentativa de ataque de abuso da largura completa/parcial do Unicode |
| 920270 | Caractere inválido na solicitação (caractere nulo) |
| 920280 | Solicitação faltando um cabeçalho de host |
| 920290 | Cabeçalho de host vazio |
| 920310 | A solicitação tem um cabeçalho de aceitação vazio |
| 920311 | A solicitação tem um cabeçalho de aceitação vazio |
| 920330 | Cabeçalho vazio do agente do usuário |
| 920340 | Solicitação contendo conteúdo, mas cabeçalho de tipo de conteúdo ausente |
| 920350 | O cabeçalho do host é um endereço IP numérico |
| 920380 | Demasiados argumentos solicitados |
| 920360 | Nome do argumento muito longo |
| 920370 | Valor do argumento muito longo |
| 920390 | Tamanho total dos argumentos excedido |
| 920400 | Tamanho do ficheiro carregado demasiado grande |
| 920410 | Tamanho total dos ficheiros carregados demasiado grande |
| 920420 | O tipo de conteúdo de solicitação não é permitido pela política |
| 920430 | A versão do protocolo HTTP não é permitida pela política |
| 920440 | A extensão de arquivo URL é restrita pela política |
| 920450 | O cabeçalho HTTP é restrito pela política (%@{MATCHED_VAR}) |
| 920200 | Intervalo = Demasiados campos (6 ou mais) |
| 920201 | Intervalo = Demasiados campos para pedido de PDF (35 ou mais) |
| 920230 | Codificação de URL múltipla detetada |
| 920300 | Falta de um cabeçalho 'Accept' |
| 920271 | Caractere inválido na solicitação (caracteres não imprimíveis) |
| 920320 | Cabeçalho do agente de usuário ausente |
| 920272 | Caractere inválido na solicitação (fora dos caracteres imprimíveis abaixo de ascii 127) |
| 920202 | Intervalo = Demasiados campos para a solicitação de PDF (6 ou mais) |
| 920273 | Caractere inválido na solicitação (fora do conjunto muito restrito) |
| 920274 | Caractere inválido em cabeçalhos de solicitação (fora do conjunto muito restrito) |
| 920460 | Caracteres de fuga anormais |
PEDIDO-921-PROTOCOL-ATTACK
| RuleId | Descrição |
|---|---|
| 921100 | Ataque de Manipulação de Solicitação HTTP |
| 921110 | Ataque de Manipulação de Solicitação HTTP |
| 921120 | Ataque de divisão de resposta HTTP |
| 921130 | Ataque de divisão de resposta HTTP |
| 921140 | Ataque de injeção de cabeçalho HTTP via cabeçalhos |
| 921150 | Ataque de injeção de cabeçalho HTTP via payload (CR/LF detetado) |
| 921160 | Ataque de injeção de cabeçalho HTTP via carga útil (CR/LF e nome do cabeçalho detetados) |
| 921151 | Ataque de injeção de cabeçalho HTTP via payload (CR/LF detetado) |
| 921170 | Poluição por parâmetros HTTP |
| 921180 | Poluição por parâmetros HTTP (%@{TX.1}) |
PEDIDO-930-APLICAÇÃO-ATTACK-LFI
| RuleId | Descrição |
|---|---|
| 930100 | Ataque de Travessia de Caminho (/.. /) |
| 930110 | Ataque de Travessia de Caminho (/.. /) |
| 930120 | Tentativa de acesso a ficheiros do SO |
| 930130 | Tentativa de acesso restrito a arquivos |
REQUEST-931-APPLICATION-ATTACK-RFI
| RuleId | Descrição |
|---|---|
| 931100 | Possível ataque de inclusão remota de arquivos (RFI) = parâmetro de URL usando endereço IP |
| 931110 | Possível ataque de inclusão remota de ficheiros (RFI) = Parâmetro vulnerável de RFI comum usado com carga de URL |
| 931120 | Possível ataque de inclusão remota de ficheiros (RFI) = URL usada com o caractere de ponto de interrogação no final (?) |
| 931130 | Possível ataque de inclusão remota de arquivos (RFI) = referência/link fora do domínio |
REQUEST-932-APPLICATION-ATTACK-RCE
| RuleId | Descrição |
|---|---|
| 932120 | Execução de Comando Remoto = Comando do Windows PowerShell Encontrado |
| 932130 |
Application Gateway WAF v2: Execução remota de comando: expressão de shell Unix ou vulnerabilidade de confluência (CVE-2022-26134) ou Text4Shell (CVE-2022-42889) encontrados Application Gateway WAF v1: Execução de comando remoto: Unix Shell Expression |
| 932140 | Execução de comando remoto = comando FOR/IF do Windows encontrado |
| 932160 | Execução remota de comandos = código shell Unix encontrado |
| 932170 | Execução remota de comandos = Shellshock (CVE-2014-6271) |
| 932171 | Execução remota de comandos = Shellshock (CVE-2014-6271) |
SOLICITAÇÃO-933-APLICAÇÃO-ATTACK-PHP
| RuleId | Descrição |
|---|---|
| 933100 | Ataque de Injeção PHP – Tag de Abertura/Fechamento Encontrada |
| 933110 | Ataque de Injeção PHP = Carregamento de Ficheiro de Script PHP Encontrado |
| 933120 | PHP Injection Attack = Diretiva de configuração encontrada |
| 933130 | Ataque de Injeção de PHP = Variáveis Encontradas |
| 933150 | PHP Injection Attack = Nome da função PHP de alto risco encontrado |
| 933160 | Ataque de Injeção PHP = Chamada de função PHP de alto risco encontrada |
| 933180 | Ataque de Injeção PHP: Chamada de Função Variável Detetada |
| 933151 | PHP Injection Attack = Nome da função PHP de médio risco encontrado |
| 933131 | Ataque de Injeção de PHP = Variáveis Encontradas |
| 933161 | Ataque de injeção de PHP = chamada de função PHP de baixo valor encontrada |
| 933111 | Ataque de Injeção PHP = Carregamento de Ficheiro de Script PHP Encontrado |
REQUEST-941-APPLICATION-ATTACK-XSS
| RuleId | Descrição |
|---|---|
| 941100 | Ataque XSS detetado via libinjection |
| 941110 | Filtro XSS - Categoria 1 = Vetor de Etiqueta de Script |
| 941130 | Filtro XSS - Categoria 3 = Vetor de Atributo |
| 941140 | Filtro XSS - Categoria 4: Vetor de URI JavaScript |
| 941150 | Filtro XSS - Categoria 5 = Atributos HTML não permitidos |
| 941180 | Palavras-chave da lista de bloqueio do validador de nós |
| 941190 | XSS usando folhas de estilo |
| 941200 | XSS usando quadros VML |
| 941210 | XSS usando JavaScript ofuscado ou Text4Shell (CVE-2022-42889) |
| 941220 | XSS usando VBScript ofuscado |
| 941230 | XSS usando a tag 'embed' |
| 941240 | XSS usando o atributo 'import' ou 'implementation' |
| 941260 | XSS usando a tag 'meta' |
| 941270 | XSS usando 'link' href |
| 941280 | XSS usando a tag 'base' |
| 941290 | XSS usando a tag 'applet' |
| 941300 | XSS usando a tag 'object' |
| 941310 | Filtro XSS de codificação malformado US-ASCII - Ataque detetado |
| 941330 | Filtros XSS do IE - Ataque detetado |
| 941340 | Filtros XSS do IE - Ataque detetado |
| 941350 | Codificação UTF-7 IE XSS - Ataque detetado |
| 941320 | Possível ataque XSS detetado - manipulador de tags HTML |
REQUEST-942-APPLICATION-ATTACK-SQLI
| RuleId | Descrição |
|---|---|
| 942100 | Ataque de injeção de SQL detetado via libinjection |
| 942110 | Ataque de injeção de SQL: teste de injeção comum detetado |
| 942130 | Ataque de injeção de SQL: Tautologia SQL detectada |
| 942140 | Ataque de injeção de SQL = nomes comuns de banco de dados detetados |
| 942160 | Deteta testes sqli cegos usando sleep() ou benchmark() |
| 942170 | Deteta tentativas de injeção de padrões SQL e de sono, incluindo consultas condicionais |
| 942190 | Deteta a execução de código MSSQL e tentativas de coleta de informações |
| 942200 | Detecta injeções ofuscadas por comentários ou espaços no MySQL e terminação com backtick |
| 942230 | Deteta tentativas condicionais de injeção de SQL |
| 942260 | Deteta tentativas básicas de desvio de autenticação SQL 2/3 |
| 942270 | Procurando por uma injeção SQL básica. String de ataque comum para MySQL, Oracle e outros |
| 942290 | Localiza tentativas básicas de injeção de SQL do MongoDB |
| 942300 | Deteta comentários, condições e injeções de ch(a)r no MySQL |
| 942310 | Deteta tentativas encadeadas de injeção de SQL 2/2 |
| 942320 | Deteta injeções de procedimento armazenado/função MySQL e PostgreSQL |
| 942330 | Deteta tentativas clássicas de injeção SQL 1/2 |
| 942340 | Deteta tentativas básicas de desvio de autenticação SQL 3/3 |
| 942350 | Deteta a injeção de UDF do MySQL e outras tentativas de manipulação de dados/estrutura |
| 942360 | Deteta injeção básica concatenada de SQL e tentativas de SQLLFI |
| 942370 | Deteta sondagens clássicas de injeção de SQL 2/2 |
| 942150 | Ataque de Injeção do SQL |
| 942410 | Ataque de Injeção do SQL |
| 942430 | Deteção de Anomalias de Carateres SQL Restritos (args): número de carateres especiais excedidos (12) |
| 942440 | Sequência de comentários SQL detetada |
| 942450 | Codificação SQL Hex Identificada |
| 942251 | Deteta TER injeções |
| 942460 | Alerta de Deteção de Anomalias de Meta-caracteres - Caracteres repetitivos não textuais |
PEDIDO-943-ATAQUE-DE-APLICAÇÃO-FIXAÇÃO-DE-SESSÃO
| RuleId | Descrição |
|---|---|
| 943100 | Possível ataque de fixação de sessão = Definindo valores de cookie em HTML |
| 943110 | Possível ataque de fixação de sessão = nome do parâmetro SessionID com referência fora do domínio |
| 943120 | Possível ataque de fixação de sessão = Nome do parâmetro SessionID sem referenciador |