Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Управляемый Azure набор правил по умолчанию (DRS) в брандмауэре веб-приложений (WAF) Шлюза приложений активно защищает веб-приложения от распространенных уязвимостей и эксплойтов. Эти наборы правил, управляемые Azure, получают обновления, необходимые для защиты от новых подписей атак. Набор правил по умолчанию также включает правила сбора данных Microsoft Threat Intelligence. Команда Microsoft Intelligence сотрудничает при написании этих правил, обеспечивая расширенное покрытие, конкретные исправления уязвимостей и снижение числа ложноположительных срабатываний.
Вы можете отключить правила по отдельности или задать определенные действия для каждого правила. В этой статье перечислены доступные текущие правила и наборы правил. Если для опубликованного набора правил требуется обновление, мы задокументируем его здесь.
Примечание.
При изменении версии набора правил в политике WAF необходимо передавать существующие действия правила, переопределения состояния и исключения, чтобы они были применены в новой версии набора правил. Дополнительные сведения см. в статье об обновлении или изменении версии набора правил.
Общие сведения о защите CVE
Как WAF защищает от CVEs
WAF шлюза приложений обеспечивает защиту от известных общих уязвимостей и экспозиций (CVE) с помощью сочетания:
- Набор правил OWASP Core (CRS): многие cvEs обнаруживаются с помощью универсальных правил CRS OWASP, которые определяют распространенные шаблоны атак (внедрение SQL, XSS, RCE и т. д.) без необходимости применения правил, относящихся к CVE.
- Правила CVE Microsoft Threat Intelligence: группа правил MS-ThreatIntel-CVEs содержит правила, специально предназначенные для обнаружения попыток эксплуатации высокопрофильных CVE. Эти правила разрабатываются и поддерживаются командой Microsoft Threat Intelligence.
- Непрерывные обновления: правила OWASP CRS и Microsoft Threat Intelligence регулярно обновляются по мере обнаружения новых уязвимостей и развития шаблонов атак.
Временные характеристики обнаружения CVE и связанные зависимости
Определяется ли определенный CVE WAF, зависит от нескольких факторов:
Обновления OWASP CRS: сообщество OWASP должно определить шаблон уязвимости и разработать правила обнаружения. Этот процесс может занять время в зависимости от сложности уязвимости и реагирования сообщества.
Ответ Microsoft Threat Intelligence: для критически важных и широко эксплойтированных CVEs корпорация Майкрософт может разработать определенные правила обнаружения и освободить их в составе группы правил MS-ThreatIntel-CVEs независимо от циклов обновления OWASP.
Версия набора правил: защита доступна только в том случае, если вы используете версию набора правил, содержащую соответствующие правила обнаружения. Регулярное обновление до последнего набора правил по умолчанию (DRS) гарантирует, что у вас есть самые текущие защиты.
Общее покрытие шаблонов: некоторые CVEs уже могут схватываться существующими общими правилами (например, внедрением SQL или правилами XSS), даже до публикации правил, специфичных для CVE.
Поиск сведений о охвате CVE
Чтобы определить, защищает ли WAF от определенного CVE:
Проверьте группу правил MS-ThreatIntel-CVEs: просмотрите правила MS-ThreatIntel-CVEs в разделе DRS 2.2 ниже. Каждое правило содержит определенный идентификатор CVE, который он обнаруживает в своем описании.
Описание правил проверки: правила, относящиеся к CVE, включают ссылки на официальную запись CVE (например, CVE-2022-22963) в их описаниях.
Рассмотрим универсальные правила: даже если CVE не указан явно, он может быть обнаружен универсальными правилами OWASP в других группах правил (SQLI, XSS, RCE и т. д.), которые соответствуют шаблону атаки уязвимости.
Проверьте наличие обновлений: корпорация Майкрософт обновляет группу правил MS-ThreatIntel-CVEs по мере появления новых уязвимостей с высоким приоритетом. Всегда используйте последнюю версию DRS для максимального покрытия.
В настоящее время рассматриваются CVEs
WAF включает определенные правила обнаружения для высокоприоритетных CVEs, таких как:
- Уязвимости Spring4Shell (CVE-2022-22963, CVE-2022-22965, CVE-2022-22947)
- Эксплойты Apache Struts (CVE-2017-5638, CVE-2023-50164)
- Уязвимости Citrix, Pulse Secure и F5
- SharePoint, Oracle WebLogic и другие корпоративные приложения CVEs
Полный список правил, относящихся к CVE и их идентификаторам, см. в разделе группы правил MS-ThreatIntel-CVEs ниже.
Подсказка
Если вам нужна защита от определенного CVE, который не указан явным образом:
- Обновите до последней версии DRS, чтобы убедиться, что у вас есть последние доступные правила.
- Проверка с помощью примера эксплойта, чтобы узнать, улавливают ли существующие универсальные правила шаблон атаки.
- Обратитесь в службу поддержки Azure, если требуется защита для конкретного высокоприоритетного CVE, не охваченного в настоящее время
Набор правил по умолчанию 2.2
Набор правил по умолчанию (DRS) 2.2 основан на Core Rule Set Open Web Application Security Project (OWASP) 3.3.4, что приводит к уточнениям существующих обнаружений и новых защит, включая правила, определяющие типы контента, объявленные вне фактического заголовка типа контента, и расширенные обнаружения удаленного выполнения кода (RCE). DRS 2.2 включает дополнительные проприетарные правила защиты, разработанные командой Microsoft Threat Intelligence, которые расширяют охват для атак типа SQL-инъекции, XSS и шаблонам атак на безопасность приложений.
DRS 2.2 предлагает новый механизм и новые наборы правил, защищающие от внедрения Java, начальный набор проверок отправки файлов и меньше ложных срабатываний по сравнению с более старыми версиями DRS и CRS. Вы можете также настроить правила в соответствии со своими потребностями. Узнайте больше о новой подсистеме Azure WAF.
DRS 2.2 содержит 18 групп правил, как показано в следующей таблице. Каждая группа содержит несколько правил, и вы можете настроить поведение для отдельных правил, групп правил или всего набора правил.
| Тип угрозы | Имя группы правил |
|---|---|
| Общие | Общие сведения |
| Методы блокировки (PUT, PATCH) | ПРИМЕНЕНИЕ МЕТОДА |
| Проблемы с протоколом и кодированием | ОБЕСПЕЧЕНИЕ СОБЛЮДЕНИЯ ПРОТОКОЛА |
| Внедрение заголовков, контрабанда запросов и разделение ответов | АТАКА ПРОТОКОЛА |
| Атаки на файлы и пути | ЛФИ |
| Атаки, связанные с дистанционным включением файлов | РЧИ |
| Атаки на удаленное выполнение кода | УДК |
| Атаки методом PHP-внедрения | PHP |
| Атаки Node JS | NodeJS |
| Атаки межсайтового скриптинга | XSS |
| атаки путем внедрения кода SQL; | SQLI |
| Атаки с фиксацией сеанса | СЕАНС-ФИКСАЦИЯ |
| JAVA-атаки | СЕАНС-JAVA |
| Атаки на веб-шеллы (MS) | MS-ThreatIntel-WebShells |
| Атаки AppSec (MS) | MS-ThreatIntel-AppSec |
| Атаки с использованием SQL-инъекций (MS) | MS-ThreatIntel-SQLI |
| Атаки CVE (MS) | MS-ThreatIntel-CVEs |
| Атаки XSS (MS) | MS-ThreatIntel-XSS |
Отключенные правила
Правила DRS 2.2, настроенные на уровне 2 Paranoia, отключены по умолчанию. Вы можете оставить их состояние отключенным, если хотите сохранить вашу политику WAF, настроенную на уровне паранойи 1. Если вы хотите увеличить уровень параноии политики, вы можете безопасно изменить состояние этих правил на включение и их действие в режим журнала. Проанализируйте журналы, выполните необходимую настройку и включите правила соответствующим образом. Дополнительные сведения см. на уровне Paranoia и настройке управляемых наборов правил.
Некоторые правила OWASP заменяются заменами, созданными корпорацией Майкрософт. Исходные правила отключены по умолчанию и их описания заканчиваются "(заменено ...)".
Набор правил по умолчанию 2.1
Хотя вы по-прежнему можете использовать набор правил по умолчанию (DRS) 2.1, рекомендуется использовать последнюю версию DRS 2.2.
Набор правил по умолчанию (DRS) 2.1 основан на основном наборе правил (CRS) Open Web Application Security Project (OWASP) 3.3.2 и включает дополнительные собственные правила защиты, разработанные группой Microsoft Threat Intelligence, и обновления сигнатур для уменьшения количества ложных срабатываний. Кроме того, эта версия поддерживает преобразования, помимо декодирования URL-адресов.
DRS 2.1 предлагает новый движок и новые наборы правил для защиты от внедрения Java, первоначальный набор проверок загрузки файлов и меньшее количество ложных срабатываний по сравнению с версиями CRS. Вы можете также настроить правила в соответствии со своими потребностями. Узнайте больше о новой подсистеме Azure WAF.
DRS 2.1 содержит 17 групп правил, как показано в следующей таблице. Каждая группа содержит несколько правил, и вы можете настроить поведение для отдельных правил, групп правил или всего набора правил.
| Тип угрозы | Имя группы правил |
|---|---|
| Общие | Общие сведения |
| Методы блокировки (PUT, PATCH) | ПРИМЕНЕНИЕ МЕТОДА |
| Проблемы с протоколом и кодированием | ОБЕСПЕЧЕНИЕ СОБЛЮДЕНИЯ ПРОТОКОЛА |
| Внедрение заголовков, контрабанда запросов и разделение ответов | АТАКА ПРОТОКОЛА |
| Атаки на файлы и пути | ЛФИ |
| Атаки, связанные с дистанционным включением файлов | РЧИ |
| Атаки на удаленное выполнение кода | УДК |
| Атаки методом PHP-внедрения | PHP |
| Атаки Node JS | NodeJS |
| Атаки межсайтового скриптинга | XSS |
| атаки путем внедрения кода SQL; | SQLI |
| Атаки с фиксацией сеанса | СЕАНС-ФИКСАЦИЯ |
| JAVA-атаки | СЕАНС-JAVA |
| Атаки на веб-шеллы (MS) | MS-ThreatIntel-WebShells |
| Атаки AppSec (MS) | MS-ThreatIntel-AppSec |
| Атаки с использованием SQL-инъекций (MS) | MS-ThreatIntel-SQLI |
| Атаки CVE (MS) | MS-ThreatIntel-CVEs |
Рекомендации по тонкой настройке для DRS 2.1
Используйте следующие рекомендации для настройки WAF при начале работы с DRS 2.1 в Шлюзе приложений WAF:
| Идентификатор правила | Группа правил | Описание | Рекомендация |
|---|---|---|---|
| 942110 | SQLI | Атака путем внедрения кода SQL: обнаружено общее тестирование внедрения | Отключите правило 942110, замененное на правило MSTIC 99031001 |
| 942150 | SQLI | Атака методом SQL-инъекции | Отключите правило 942150, замененное на правило MSTIC 99031003 |
| 942260 | SQLI | Обнаруживает основные попытки обхода аутентификации SQL 2/3 | Отключите правило 942260, замененное на правило MSTIC 99031004 |
| 942430 | SQLI | Обнаружение аномалий ограниченных символов SQL (args): превышено допустимое количество специальных символов (12) | Отключите правило 942430, оно вызывает слишком много ложных срабатываний |
| 942440 | SQLI | Обнаруженная последовательность комментариев SQL | Отключите правило 942440, замененное на правило MSTIC 99031002 |
| 99005006 | МС-ThreatIntel-WebShells | Попытка взаимодействия со Spring4Shell | Сохраните правило включено, чтобы предотвратить уязвимость SpringShell |
| 99001014 | MS-ThreatIntel-CVEs | Попытка инъекции выражений маршрутизации в Spring Cloud CVE-2022-22963 | Сохраните правило включено, чтобы предотвратить уязвимость SpringShell |
| 99001015 | MS-ThreatIntel-CVEs | Попытка использования небезопасных объектов класса Spring Framework CVE-2022-22965 | Сохраните правило включено, чтобы предотвратить уязвимость SpringShell |
| 99001016 | MS-ThreatIntel-CVEs | Попытка внедрения актуатора шлюза Spring Cloud CVE-2022-22947 | Сохраните правило включено, чтобы предотвратить уязвимость SpringShell |
| 99001017 | MS-ThreatIntel-CVEs | Попытка эксплуатации уязвимости загрузки файла в Apache Struts CVE-2023-50164 | Задайте для действия блокировку, чтобы предотвратить уязвимость Apache Struts. Оценка аномалий не поддерживается для этого правила |
Основные наборы правил (CRS) — устаревшая версия
Рекомендуемый набор управляемых правил — это новейший набор правил по умолчанию версии 2.2, сформированный на основе базового набора основных правил версии 3.3.4 от Open Web Application Security Project (OWASP) Core Rule Set (CRS), который включает в себя дополнительные фирменные правила защиты, разработанные командой Microsoft Threat Intelligence, а также обновления сигнатур для уменьшения количества ложных срабатываний. При создании новой политики WAF следует использовать последнюю рекомендуемую версию набора правил DRS 2.2. Если у вас есть политика WAF с помощью DRS 2.1, CRS 3.2 или CRS 3.1, рекомендуется обновить до DRS 2.2. Дополнительные сведения см. в разделе "Обновление CRS" или "Набор правил DRS".
Примечание.
CRS 3.2 доступен только в SKU WAF_v2. Вы не можете перейти с CRS 3.2 на CRS 3.1 или версии ниже, так как CRS 3.2 работает на новом движке Azure WAF. Рекомендуется обновить до последней версии DRS 2.1 напрямую и безопасно проверить новые правила, изменив действие новых правил в режим журнала. Дополнительные сведения см. в разделе "Проверка новых правил".
Брандмауэр веб-приложений (WAF), работающий на шлюзе приложений для контейнеров, не поддерживает набор основных правил (CRS).
Настройка управляемых наборов правил
DRS и CRS включены по умолчанию в режиме обнаружения в политике WAF. Вы можете отключить или включить отдельные правила в управляемом наборе правил в соответствии с требованиями приложения. Вы также можете установить определенные действия для каждого правила. DRS/CRS поддерживает действия по блокировке, ведению журналов и оценке аномалий. Набор правил Bot Manager поддерживает действия allow, block и log.
Иногда может потребоваться исключение определенных атрибутов запроса из оценки WAF. Распространенный пример — токены, вставленные в Active Directory, которые используются для проверки подлинности. Вы можете настроить исключения, которые будут применяться при оценке определенных правил WAF или применяться глобально к оценке всех правил WAF. Правила исключений применяются ко всему веб-приложению. Дополнительные сведения см. в разделе Брандмауэр веб-приложений (WAF) Шлюз приложений со списками исключений.
По умолчанию Azure WAF использует оценку аномалий при совпадении запроса с правилом. Кроме того, можно настроить пользовательские правила в той же политике WAF, если вы хотите обойти любые предварительно настроенные правила в наборе основных правил.
Пользовательские правила всегда применяются перед оценкой правил в основном наборе правил. Соответствующее действие правила применяется, если запрос соответствует пользовательскому правилу. Запрос будет либо заблокирован, либо передан на сервер. Никакие другие пользовательские правила или правила в наборе основных правил не обрабатываются.
Оценка аномалий
При использовании CRS или DRS 2.1 и более поздних версий WAF по умолчанию использует оценку аномалий. Трафик, соответствующий любому правилу, не блокируется сразу, даже если WAF находится в режиме предотвращения. Вместо этого наборы правил OWASP определяют значение серьезности для каждого правила: Критический, Ошибка, Предупреждение или Уведомление. Значение серьезности влияет на числовое значение запроса, которое называется оценка аномалии:
| Строгость правил | Значение способствовало оценке аномалий |
|---|---|
| Критически важно | 5 |
| Ошибка | 4 |
| Предупреждение | 3 |
| Примечание. | 2 |
Если оценка аномалий составляет 5 или больше, а WAF находится в режиме предотвращения, запрос блокируется. Если оценка аномалии составляет 5 или больше, а WAF находится в режиме обнаружения, запрос регистрируется, но не блокируется.
Например, достаточно одного совпадения с критически важным правилом, чтобы WAF блокировать запрос в режиме предотвращения, так как общая оценка аномалий составляет 5. Но одно совпадение с правилом уровня Предупреждение увеличивает оценку аномалии всего на 3, чего само по себе недостаточно для блокировки трафика. При активации правила аномалии в журналах отображается действие "Сопоставлено". Если оценка аномалии равна 5 или выше, активируется отдельное правило с действием "Заблокировано" или "Обнаружено" в зависимости от того, находится ли политика WAF в режиме предотвращения или обнаружения. Дополнительные сведения см. в режиме оценки аномалий.
Уровень паранойи
Каждому правилу присваивается определенный уровень паранойи (PL). Правила, настроенные в Paranoia Level 1 (PL1), менее агрессивны и редко приводят к ложным срабатываниям. Они обеспечивают базовую безопасность с минимальной потребностью в тонкой настройке. Правила в PL2 обнаруживают больше атак, но, как ожидается, они могут активировать ложные срабатывания (ложные тревоги), которые нужно точно настроить.
По умолчанию DRS 2.2 настраивается на уровне паранойи 1 (PL1), а все правила PL2 отключены. Чтобы запустить WAF в PL2, можно вручную включить любые или все правила PL2. Для более ранних наборов правил DRS 2.1 и CRS 3.2 включают правила, определенные для Уровня Паранойи 2, который охватывает правила PL1 и PL2. Если вы предпочитаете работать строго в PL1, вы можете отключить определенные правила PL2 или установить их действие на "Запись в журнал".
Уровни Паранои 3 и 4 в настоящее время не поддерживаются в Azure WAF.
Примечание.
Набор правил CRS 3.2 включает правила в PL3 и PL4, но эти правила всегда неактивны и не могут быть включены, независимо от их настроенного состояния или действия.
Обновление или изменение версии набора правил
Если вы обновляете или назначаете новую версию набора правил и хотите сохранить существующие переопределения и исключения правил, рекомендуется использовать PowerShell, CLI, REST API или шаблон для внесения изменений в версию набора правил. Новая версия набора правил может иметь более новые правила или дополнительные группы правил, которые могут потребоваться проверить безопасно. Рекомендуется проверить изменения в тестовой среде, при необходимости выполнить тонкую настройку, а затем развернуть их в рабочей среде. Дополнительные сведения см. в разделе «Обновление версии набора правил CRS или DRS»
Если вы используете портал Azure для назначения нового управляемого набора правил политике WAF, все предыдущие настройки из существующего управляемого набора правил, такие как состояние правила, действия правила и исключения на уровне правил, будут сброшены до значений по умолчанию нового управляемого набора правил. Однако все пользовательские правила, параметры политики и глобальные исключения останутся не затронуты во время назначения нового набора правил. Перед развертыванием в рабочей среде необходимо переопределить правила и утвердить изменения.
Менеджер ботов 1.0
Набор правил Bot Manager 1.0 обеспечивает защиту от вредоносных ботов и обнаружения хороших ботов. Правила обеспечивают детальный контроль над ботами, обнаруженными WAF, классифицируя трафик бота как "Хороший", "Плохой" или "Неизвестный".
| Группа правил | Описание |
|---|---|
| Бэдботы | Защита от недопустимых ботов |
| GoodBots | Идентифицируйте хороших ботов |
| НеизвестныеБоты | Определение неизвестных ботов |
Менеджер ботов 1.1
Набор правил Bot Manager 1.1 — это улучшение набора правил Bot Manager 1.0. Она обеспечивает расширенную защиту от вредоносных ботов и повышает уровень обнаружения ботов.
| Группа правил | Описание |
|---|---|
| Бэдботы | Защита от недопустимых ботов |
| GoodBots | Идентифицируйте хороших ботов |
| НеизвестныеБоты | Определение неизвестных ботов |
При использовании Брандмауэра веб-приложений в Шлюзе приложений доступны следующие группы правил и правила.
Наборы правил 2.2
Общие
| Идентификатор правила | Серьезность оценки аномалий | Уровень паранойи | Описание |
|---|---|---|---|
| 200002 | Критический - 5 | 1 | Не удалось проанализировать текст запроса. |
| 200003 | Критический - 5 | 1 | Неудачная строгая проверка текста составного запроса |
Принудительное применение метода
| Идентификатор правила | Серьезность оценки аномалий | Уровень паранойи | Описание |
|---|---|---|---|
| 911100 | Критический - 5 | 1 | Метод не разрешен политикой |
Применение протоколов
| Идентификатор правила | Серьезность оценки аномалий | Уровень паранойи | Описание |
|---|---|---|---|
| 920100 | Извещение - 2 | 1 | Недопустимая строка HTTP-запроса |
| 920120 | Критический - 5 | 1 | Попытки обхода составных данных или данных форм |
| 920121 | Критический - 5 | 2 | Попытки обхода составных данных или данных форм |
| 920160 | Критический - 5 | 1 | Заголовок HTTP Content-Length не является числовым. |
| 920170 | Критический - 5 | 1 | Запрос GET или HEAD с телом запроса. |
| 920171 | Критический - 5 | 1 | ЗАПРОС GET или HEAD с кодировкой передачи. |
| 920180 | Извещение - 2 | 1 | POST без заголовков Content-Length или Transfer-Encoding. |
| 920181 | Предупреждение - 3 | 1 | Заголовки Content-Length и Transfer-Encoding присутствуют |
| 920190 | Предупреждение - 3 | 1 | Диапазон: недопустимое значение последнего байта. |
| 920200 | Предупреждение - 3 | 2 | Диапазон: слишком много полей (6 или более) |
| 920201 | Предупреждение - 3 | 2 | Диапазон: слишком много полей для запроса pdf (63 или более) |
| 920210 | Предупреждение - 3 | 1 | Найдено несколько или конфликтующих данных заголовка подключения. |
| 920220 | Предупреждение - 3 | 1 | Попытка атаки с использованием злоупотребления кодированием URL-адреса |
| 920230 | Предупреждение - 3 | 2 | Обнаружено несколько типов кодирования URL-адресов |
| 920240 | Предупреждение - 3 | 1 | Попытка атаки с использованием злоупотребления кодированием URL-адреса |
| 920260 | Предупреждение - 3 | 1 | Попытка атаки с нарушением использования полных символов Юникода или символов Юникода половинной ширины |
| 920270 | Критический - 5 | 1 | Недопустимый символ в запросе (символ null) |
| 920271 | Критический - 5 | 2 | Недопустимый символ в запросе (непечатаемые символы) |
| 920280 | Предупреждение - 3 | 1 | В запросе отсутствует заголовок Host |
| 920290 | Предупреждение - 3 | 1 | Пустой заголовок хоста |
| 920300 | Извещение - 2 | 2 | В запросе отсутствует заголовок Accept |
| 920310 | Извещение - 2 | 1 | В запросе пустой заголовок Accept |
| 920311 | Извещение - 2 | 1 | В запросе пустой заголовок Accept |
| 920320 | Извещение - 2 | 2 | Заголовок агента пользователя отсутствует |
| 920330 | Извещение - 2 | 1 | Заголовок агента пользователя пустой |
| 920340 | Извещение - 2 | 1 | В запросе, содержащем данные, отсутствует заголовок Content-Type |
| 920341 | Критический - 5 | 2 | Запрос, который содержит данные, требует заголовка Content-Type |
| 920350 | Предупреждение - 3 | 1 | Заголовок узла является числовым IP-адресом |
| 920420 | Критический - 5 | 2 | Тип контента запроса не разрешен политикой |
| 920430 | Критический - 5 | 1 | Версия протокола HTTP не разрешена политикой |
| 920440 | Критический - 5 | 1 | Расширение файла URL-адреса ограничено политикой |
| 920450 | Критический - 5 | 1 | Заголовок HTTP ограничен в политике |
| 920470 | Критический - 5 | 1 | Недопустимый заголовок Content-Type |
| 920480 | Критический - 5 | 1 | Кодировка типа контента запроса не разрешена политикой |
| 920500 | Критический - 5 | 1 | Попытка получить доступ к резервному копированию или рабочему файлу |
| 920530 | Критический - 5 | 1 | Ограничить появление параметра charset внутри заголовка типа контента до одного раза. |
| 920620 | Критический - 5 | 1 | Несколько заголовков запросов типа контента |
Атака протокола
| Идентификатор правила | Серьезность оценки аномалий | Уровень паранойи | Описание |
|---|---|---|---|
| 921110 | Критический - 5 | 1 | Атака, использующая скрытые HTTP-запросы |
| 921120 | Критический - 5 | 1 | Атака типа "Разделение HTTP-ответа" |
| 921130 | Критический - 5 | 1 | Атака типа "Разделение HTTP-ответа" |
| 921140 | Критический - 5 | 1 | Атака типа "Инъекция заголовков HTTP" через заголовки |
| 921150 | Критический - 5 | 1 | Атака типа "Вставка заголовка HTTP" через полезную нагрузку (обнаружены CR/LF) |
| 921151 | Критический - 5 | 2 | Атака типа "Вставка заголовка HTTP" через полезную нагрузку (обнаружены CR/LF) |
| 921160 | Критический - 5 | 1 | Атака инъекции заголовков HTTP через полезную нагрузку (обнаружены CR/LF и имя заголовка) |
| 921190 | Критический - 5 | 1 | Разделение HTTP (CR/LF в имени файла запроса обнаружено) |
| 921200 | Критический - 5 | 1 | Атака инъекцией LDAP |
| 921422 | Критический - 5 | 2 | Обнаружение типов контента в заголовке Content-Type за пределами фактического объявления типа контента |
LFI: включение локального файла
| Идентификатор правила | Серьезность оценки аномалий | Уровень паранойи | Описание |
|---|---|---|---|
| 930100 | Критический - 5 | 1 | Атака с обходом пути (/../) |
| 930110 | Критический - 5 | 1 | Атака с обходом пути (/../) |
| 930120 | Критический - 5 | 1 | Попытка доступа к файлу ОС |
| 930130 | Критический - 5 | 1 | Попытка доступа к ограниченному файлу |
RFI: включение удаленного файла
| Идентификатор правила | Серьезность оценки аномалий | Уровень паранойи | Описание |
|---|---|---|---|
| 931100 | Критический - 5 | 2 | Возможная атака с включением удалённого файла (RFI): в параметре URL-адреса используется IP-адрес |
| 931110 | Критический - 5 | 1 | Возможная атака с внедрением удаленного файла (RFI): общее имя уязвимого параметра RFI используется с URL-адресом полезной нагрузки |
| 931120 | Критический - 5 | 1 | Возможная атака с включением удаленного файла (RFI): пейлоад URL-адреса использован с завершающим вопросительным знаком (?) |
| 931130 | Критический - 5 | 2 | Возможная атака с включением удаленного файла (RFI): ссылка вне домена |
RCE: удаленное выполнение команд
| Идентификатор правила | Серьезность оценки аномалий | Уровень паранойи | Описание |
|---|---|---|---|
| 932100 | Критический - 5 | 1 | Удаленное выполнение команд: инъекция команд Unix |
| 932105 | Критический - 5 | 1 | Удаленное выполнение команд: инъекция команд Unix |
| 932110 | Критический - 5 | 1 | Удаленное выполнение команд: инъекция команд Windows |
| 932115 | Критический - 5 | 1 | Удаленное выполнение команд: инъекция команд Windows |
| 932120 | Критический - 5 | 1 | Удаленное выполнение команд: обнаружена команда Windows PowerShell |
| 932130 | Критический - 5 | 1 | Удаленное выполнение команд: обнаружено выражение оболочки Unix или уязвимость Confluence (CVE-2022-26134). |
| 932140 | Критический - 5 | 1 | Удаленное выполнение команд: найдена команда Windows FOR/IF |
| 932150 | Критический - 5 | 1 | Удаленное выполнение команды: прямое выполнение команды UNIX |
| 932160 | Критический - 5 | 1 | Удаленное выполнение команд: обнаружен код оболочки Unix |
| 932170 | Критический - 5 | 1 | Удаленное выполнение команд: Shellshock (CVE-2014-6271) |
| 932171 | Критический - 5 | 1 | Удаленное выполнение команд: Shellshock (CVE-2014-6271) |
| 932180 | Критический - 5 | 1 | Попытка передачи файла с ограниченным доступом |
Атаки PHP
| Идентификатор правила | Серьезность оценки аномалий | Уровень паранойи | Описание |
|---|---|---|---|
| 933100 | Критический - 5 | 1 | Атака PHP-инъекция: найден открытый тег PHP |
| 933110 | Критический - 5 | 1 | Атака внедрением PHP-кода: обнаружена загрузка файла PHP-сценария |
| 933120 | Критический - 5 | 1 | Атака путем внедрения кода PHP: обнаружена директива конфигурации |
| 933130 | Критический - 5 | 1 | Атака путем внедрения кода PHP: обнаружены переменные |
| 933140 | Критический - 5 | 1 | Атака PHP-инъекцией: обнаружен поток ввода-вывода |
| 933150 | Критический - 5 | 1 | Атака путем внедрения кода PHP: обнаружено имя функции PHP с высоким уровнем риска |
| 933151 | Критический - 5 | 2 | Атака путем внедрения кода PHP: обнаружена функция PHP с именем, имеющим средний уровень риска |
| 933160 | Критический - 5 | 1 | Атака путем внедрения кода PHP: обнаружен вызов функции PHP с высоким уровнем риска |
| 933170 | Критический - 5 | 1 | Атака путем внедрения кода PHP: внедрение сериализованных объектов |
| 933180 | Критический - 5 | 1 | Атака путем внедрения кода PHP: обнаружен вызов функции переменной |
| 933200 | Критический - 5 | 1 | Атака путем внедрения кода PHP: обнаружена схема-оболочка |
| 933210 | Критический - 5 | 1 | Атака путем внедрения кода PHP: обнаружен вызов функции переменной |
Атаки Node JS
| Идентификатор правила | Серьезность оценки аномалий | Уровень паранойи | Описание |
|---|---|---|---|
| 934100 | Критический - 5 | 1 | Атака путем внедрения Node.js |
XSS: межсайтовые скрипты
| Идентификатор правила | Серьезность оценки аномалий | Уровень паранойи | Описание |
|---|---|---|---|
| 941100 | Критический - 5 | 1 | Атака XSS (межсайтовый скриптинг) обнаружена с помощью библиотеки libinjection |
| 941101 | Критический - 5 | 2 | Атака XSS (межсайтовый скриптинг) обнаружена с помощью библиотеки libinjection |
| 941110 | Критический - 5 | 1 | Фильтр XSS - Категория 1: Вектор тега script |
| 941120 | Критический - 5 | 2 | XSS фильтр - Категория 2: вектор обработчиков событий |
| 941130 | Критический - 5 | 1 | Фильтр межсайтового скриптинга (XSS) - Категория 3: атрибутный вектор |
| 941140 | Критический - 5 | 1 | Фильтр XSS категории 4: вектор JavaScript URI |
| 941150 | Критический - 5 | 2 | Фильтр XSS - категория 5: недопустимые атрибуты HTML |
| 941160 | Критический - 5 | 1 | NoScript XSS InjectionChecker: HTML-инъекция |
| 941170 | Критический - 5 | 1 | NoScript XSS InjectionChecker: внедрение атрибута |
| 941180 | Критический - 5 | 1 | Ключевые слова черного списка узлового валидатора |
| 941190 | Критический - 5 | 1 | Фильтры IE XSS — обнаружена атака. |
| 941200 | Критический - 5 | 1 | Фильтры IE XSS — обнаружена атака. |
| 941210 | Критический - 5 | 1 | Фильтры IE XSS — обнаружена атака. |
| 941220 | Критический - 5 | 1 | Фильтры IE XSS — обнаружена атака. |
| 941230 | Критический - 5 | 1 | Фильтры IE XSS — обнаружена атака. |
| 941240 | Критический - 5 | 1 | Фильтры IE XSS — обнаружена атака. |
| 941250 | Критический - 5 | 1 | Фильтры IE XSS — обнаружена атака. |
| 941260 | Критический - 5 | 1 | Фильтры IE XSS — обнаружена атака. |
| 941270 | Критический - 5 | 1 | Фильтры IE XSS — обнаружена атака. |
| 941280 | Критический - 5 | 1 | Фильтры IE XSS — обнаружена атака. |
| 941290 | Критический - 5 | 1 | Фильтры IE XSS — обнаружена атака. |
| 941300 | Критический - 5 | 1 | Фильтры IE XSS — обнаружена атака. |
| 941310 | Критический - 5 | 1 | Фильтр XSS для US-ASCII с искаженной кодировкой — обнаружена атака. |
| 941320 | Критический - 5 | 2 | Обнаружена возможная XSS-атака — обработчик тегов HTML |
| 941330 | Критический - 5 | 2 | Фильтры IE XSS — обнаружена атака. |
| 941340 | Критический - 5 | 2 | Фильтры IE XSS — обнаружена атака. |
| 941350 | Критический - 5 | 1 | Кодировка UTF-7 в IE XSS: обнаружена атака. |
| 941360 | Критический - 5 | 1 | JSFuck / Иероглифика: обнаружена маскировка |
| 941370 | Критический - 5 | 1 | Найдена глобальная переменная JavaScript |
| 941380 | Критический - 5 | 2 | Обнаружено внедрение шаблона на стороне клиента AngularJS |
SQLI: SQL-инъекция
| Идентификатор правила | Серьезность оценки аномалий | Уровень паранойи | Описание |
|---|---|---|---|
| 942100 | Критический - 5 | 1 | Обнаружена SQL-инъекция с использованием библиотеки libinjection |
| 942110 | Предупреждение - 3 | 2 | Атака путем внедрения кода SQL: обнаружено общее тестирование внедрения |
| 942120 | Критический - 5 | 2 | Атака SQL-инъекции: выявлен SQL-оператор |
| 942140 | Критический - 5 | 1 | Атака путем внедрения кода SQL: обнаружены общие имена базы данных |
| 942150 | Критический - 5 | 2 | Атака SQL-инъекции (заменена правилом #99031003) |
| 942160 | Критический - 5 | 1 | Обнаруживает слепые тесты SQLi, использующие sleep() или benchmark(). |
| 942170 | Критический - 5 | 1 | Выявление попыток внедрения SQL-инъекций через benchmark() и sleep(), включая условные запросы. |
| 942180 | Критический - 5 | 2 | Обнаружение основных попыток обхода проверки подлинности SQL 1/3 |
| 942190 | Критический - 5 | 1 | Обнаруживает выполнение кода MSSQL и попытки сбора информации |
| 942200 | Критический - 5 | 2 | Обнаруживает внедрения в MySQL, маскированные с использованием комментариев и пробелов, и завершение при использовании обратной кавычки. |
| 942210 | Критический - 5 | 2 | Обнаружение попыток цепных SQL-инъекций 1/2 |
| 942220 | Критический - 5 | 1 | Поиск атак путем переполнения целочисленных значений с использованием Skipfish, за исключением 3.0.00738585072007 E–308 (сбой "магического числа") |
| 942230 | Критический - 5 | 1 | Обнаруживает попытки условных внедрений SQL-кода |
| 942240 | Критический - 5 | 1 | Обнаружение переключения кодировки MySQL и попыток атаки "отказ в обслуживании" (DoS) на MSSQL |
| 942250 | Критический - 5 | 1 | Обнаруживает внедрения MATCH AGAINST, MERGE и EXECUTE IMMEDIATE |
| 942260 | Критический - 5 | 2 | Обнаруживает базовые попытки обхода проверки подлинности SQL 2/3 (заменены правилом #99031004) |
| 942270 | Критический - 5 | 1 | Ищете базовую SQL-инъекцию. Общая строка атаки для MySQL, Oracle и других. |
| 942280 | Критический - 5 | 1 | Обнаружение внедрения Postgres pg_sleep, атак WaitFor Delay и попыток завершения работы базы данных |
| 942290 | Критический - 5 | 1 | Поиск основных попыток внедрения SQL-кода в MongoDB |
| 942300 | Критический - 5 | 2 | Обнаруживает комментарии, условия и внедрения char MySQL |
| 942310 | Критический - 5 | 2 | Обнаруживает попытки цепочечных SQL-инъекций 2/2 |
| 942320 | Критический - 5 | 1 | Обнаружение вставки хранимой процедуры или функции в MySQL и PostgreSQL |
| 942330 | Критический - 5 | 2 | Обнаруживает классические попытки SQL-инъекций 1/3 |
| 942340 | Критический - 5 | 2 | Обнаруживает базовые попытки обхода проверки подлинности SQL 3/3 (заменены правилом #99031006) |
| 942350 | Критический - 5 | 1 | Обнаруживает инъекцию UDF (определяемой пользователем функции) и другие попытки манипуляции данными или структурой в MySQL. |
| 942360 | Критический - 5 | 1 | Обнаруживает объединенные базовые SQL-внедрения и попытки SQLLFI |
| 942361 | Критический - 5 | 2 | Обнаруживает базовые SQL-инъекции на основе ключевых слов alter или union |
| 942370 | Критический - 5 | 2 | Обнаруживает классические попытки SQL-инъекций 2/3 |
| 942380 | Критический - 5 | 2 | Атака методом SQL-инъекции |
| 942390 | Критический - 5 | 2 | Атака методом SQL-инъекции |
| 942400 | Критический - 5 | 2 | Атака методом SQL-инъекции |
| 942410 | Критический - 5 | 2 | Атака методом SQL-инъекции |
| 942430 | Предупреждение - 3 | 2 | Обнаружение аномалий с ограниченными символами SQL (args): # специальных символов превышен (12) (заменено правилом #99031005) |
| 942440 | Критический - 5 | 2 | Обнаруженная последовательность комментариев SQL (заменена правилом #99031002). |
| 942450 | Критический - 5 | 2 | Определена шестнадцатеричная кодировка SQL |
| 942470 | Критический - 5 | 2 | Атака методом SQL-инъекции |
| 942480 | Критический - 5 | 2 | Атака методом SQL-инъекции |
| 942500 | Критический - 5 | 1 | Обнаружен встроенный комментарий MySQL. |
| 942510 | Критический - 5 | 2 | Обнаружена попытка обхода SQLi с использованием кавычек или обратных апострофов. |
Фиксация сеансов
| Идентификатор правила | Серьезность оценки аномалий | Уровень паранойи | Описание |
|---|---|---|---|
| 943100 | Критический - 5 | 1 | Возможная атака с фиксацией сеанса: установка значений файла cookie в HTML |
| 943110 | Критический - 5 | 1 | Возможная атака с фиксацией сеанса: имя параметра SessionID с источником ссылки вне домена |
| 943120 | Критический - 5 | 1 | Возможная атака с фиксацией сеанса: имя параметра SessionID без источника ссылки |
Атаки Java.
| Идентификатор правила | Серьезность оценки аномалий | Уровень паранойи | Описание |
|---|---|---|---|
| 944100 | Критический - 5 | 1 | Удаленное выполнение команд: обнаружен подозрительный класс Java |
| 944110 | Критический - 5 | 1 | Удаленное выполнение команд: создание процесса Java (CVE-2017-9805) |
| 944120 | Критический - 5 | 1 | Удаленное выполнение команд: сериализация Java (CVE-2015-5842) |
| 944130 | Критический - 5 | 1 | Обнаружен подозрительный класс Java |
| 944200 | Критический - 5 | 2 | Обнаружены magic bytes, возможное использование сериализации Java |
| 944210 | Критический - 5 | 2 | Обнаружены магические байты в кодировке Base64, вероятно используется сериализация Java. |
| 944240 | Критический - 5 | 2 | Удаленное выполнение команд: сериализация Java и уязвимость Log4j (CVE-2021-44228, CVE-2021-45046) |
| 944250 | Критический - 5 | 2 | Удаленное выполнение команд: обнаружен подозрительный метод Java |
МС-ThreatIntel-WebShells
| Идентификатор правила | Серьезность оценки аномалий | Уровень паранойи | Описание |
|---|---|---|---|
| 99005002 | Критический - 5 | 2 | Попытка взаимодействия с веб-шеллом (POST) |
| 99005003 | Критический - 5 | 2 | Попытка загрузки веб-оболочки (POST) — CHOPPER PHP |
| 99005004 | Критический - 5 | 2 | Попытка загрузки веб-скрипта (POST) — CHOPPER ASPX |
| 99005005 | Критический - 5 | 2 | Попытка взаимодействия с веб-оболочкой |
| 99005006 | Критический - 5 | 2 | Попытка взаимодействия со Spring4Shell |
МС-ThreatIntel-AppSec
| Идентификатор правила | Серьезность оценки аномалий | Уровень паранойи | Описание |
|---|---|---|---|
| 99030001 | Критический - 5 | 2 | Внедрение обходного пути в заголовки (/.././../) |
| 99030002 | Критический - 5 | 2 | Внедрение обходного пути в текст запроса (/.././../) |
| 99030003 | Критический - 5 | 2 | Путь к файлу, закодированный в формате URL |
| 99030004 | Критический - 5 | 2 | Отсутствует поддержка кодировки Brotli в браузере с HTTPS-реферером. |
| 99030005 | Критический - 5 | 2 | Кодировка brotli отсутствует в поддерживаемых браузерах по протоколу HTTP/2. |
| 99030006 | Критический - 5 | 2 | Недопустимый символ в запрошенном имени файла |
МС-ThreatIntel-SQLI
| Идентификатор правила | Серьезность оценки аномалий | Уровень паранойи | Описание |
|---|---|---|---|
| 99031001 | Предупреждение - 3 | 2 | Атака SQL-инъекции: обнаружено стандартное тестирование на инъекцию (замена правила #942110) |
| 99031002 | Критический - 5 | 2 | Обнаружена последовательность комментариев SQL (замена правила #942440). |
| 99031003 | Критический - 5 | 2 | Атака SQL-инъекция (замена правила #942150) |
| 99031004 | Критический - 5 | 2 | Обнаруживает основные попытки обхода проверки подлинности SQL 2/3 (замена правила #942260) |
| 99031005 | Предупреждение - 3 | 2 | Обнаружение аномалии с ограничением по символам SQL (args): количество специальных символов превышает (12) (замена правила #942430) |
| 99031006 | Критический - 5 | 2 | Обнаруживает основные попытки обхода проверки подлинности SQL 3/3 (замена правила #942340) |
MS-ThreatIntel-CVEs
| Идентификатор правила | Серьезность оценки аномалий | Уровень паранойи | Описание |
|---|---|---|---|
| 99001001 | Критический - 5 | 2 | Попытка использования REST API F5 tmui (CVE-2020-5902) с известными учетными данными |
| 99001002 | Критический - 5 | 2 | Попытка обхода каталога Citrix NSC_USER CVE-2019-19781 |
| 99001003 | Критический - 5 | 2 | Попытка эксплуатации виджета соединителя Atlassian Confluence CVE-2019-3396 |
| 99001004 | Критический - 5 | 2 | Попытка эксплуатации пользовательского шаблона Pulse Secure в связи с уязвимостью CVE-2020-8243 |
| 99001005 | Критический - 5 | 2 | Попытка использования конвертера типов SharePoint CVE-2020-0932 |
| 99001006 | Критический - 5 | 2 | Попытка атаки обхода каталога в Pulse Connect CVE-2019-11510 |
| 99001007 | Критический - 5 | 2 | Попытка локального включения файла J-Web в Junos OS CVE-2020-1631 |
| 99001008 | Критический - 5 | 2 | Попытка перемещения по пути Fortinet CVE-2018-13379 |
| 99001009 | Критический - 5 | 2 | Попытка инъекции ognl в Apache Struts CVE-2017-5638 |
| 99001010 | Критический - 5 | 2 | Попытка внедрения ognl в Apache Struts CVE-2017-12611 |
| 99001011 | Критический - 5 | 2 | Попытка обхода пути в Oracle WebLogic CVE-2020-14882 |
| 99001012 | Критический - 5 | 2 | Попытка эксплуатации уязвимости небезопасной десериализации в Telerik WebUI CVE-2019-18935 |
| 99001013 | Критический - 5 | 2 | Попытка небезопасной десериализации XML в SharePoint CVE-2019-0604 |
| 99001014 | Критический - 5 | 2 | Попытка инъекции выражений маршрутизации в Spring Cloud CVE-2022-22963 |
| 99001015 | Критический - 5 | 2 | Попытка использования небезопасных объектов класса Spring Framework CVE-2022-22965 |
| 99001016 | Критический - 5 | 2 | Попытка внедрения актуатора шлюза Spring Cloud CVE-2022-22947 |
| 99001017 | Критический - 5 | 2 | Попытка эксплуатации уязвимости загрузки файла в Apache Struts CVE-2023-50164 |
| 99001018 | Критический - 5 | 1 | Попытка удаленного выполнения кода React2Shell CVE-2025-55182 |
MS-ThreatIntel-XSS
| Идентификатор правила | Серьезность оценки аномалий | Уровень паранойи | Описание |
|---|---|---|---|
| 99032001 | Критический - 5 | 1 | Фильтр XSS — категория 2: вектор обработчика событий (замена правила #941120) |
| 99032002 | Критический - 5 | 2 | Возможная атака на включение удаленных файлов (RFI): Off-Domain reference/Link (замена правила #931130) |
Примечание.
При просмотре журналов WAF может появиться идентификатор правила 949110. Описание правила может включать превышение оценки аномалий для входящих данных.
Это правило указывает, что общая оценка аномалий для запроса превысила максимальную допустимую оценку. Дополнительные сведения см. в разделе Оценка аномалий.
Ниже приведены предыдущие версии набора основных правил. Если вы используете CRS 3.2, CRS 3.1, CRS 3.0 или CRS 2.2.9, рекомендуется обновить до последней версии набора правил DRS 2.1. Дополнительные сведения см. в статье об обновлении или изменении версии набора правил.
- OWASP 3.2 (устаревшая версия)
- OWASP 3.1 (набор дат окончания поддержки)
- OWASP 3.0 (набор дат окончания поддержки)
- OWASP 2.2.9 - больше не поддерживается
Наборы правил 3.2
Общие
| Идентификатор правила | Серьезность оценки аномалий | Уровень паранойи | Описание |
|---|---|---|---|
| 200002 | Критический - 5 | ПЛ1 | Не удалось проанализировать тело запроса |
| 200003 | Критический - 5 | ПЛ1 | Строгая валидация составного тела запроса |
| 200004 | Критический - 5 | ПЛ1 | Возможная составная несопоставленная граница |
KNOWN-CVES
| Идентификатор правила | Серьезность оценки аномалий | Уровень паранойи | Описание |
|---|---|---|---|
| 800100 | Критический - 5 | ПЛ2 | Правило, помогающее обнаружить и устранить уязвимость log4j CVE-2021-44228, CVE-2021-45046 |
| 800110 | Критический - 5 | ПЛ2 | Попытка взаимодействия со Spring4Shell |
| 800111 | Критический - 5 | ПЛ2 | Попытка внедрения выражений маршрутизации Spring Cloud: CVE-2022-22963 |
| 800112 | Критический - 5 | ПЛ2 | Попытка использования небезопасных объектов класса Spring Framework: CVE-2022-22965 |
| 800113 | Критический - 5 | ПЛ2 | Попытка внедрения актуатора шлюза Spring Cloud: CVE-2022-22947 |
| 800114* | Критический - 5 | ПЛ2 | Попытка эксплуатации уязвимости загрузки файла в Apache Struts — CVE-2023-50164 |
| 800115 | Критический - 5 | ПЛ1 | Попытка удаленного выполнения кода React2Shell CVE-2025-55182 |
* Действие этого правила по умолчанию установлено на ведение журнала. Установите действие на блокировку, чтобы избежать использования уязвимости Apache Struts. Оценка аномалий не поддерживается для этого правила.
ЗАПРОС 911-METHOD-ENFORCEMENT
| Идентификатор правила | Серьезность оценки аномалий | Уровень паранойи | Описание |
|---|---|---|---|
| 911100 | Критический - 5 | ПЛ1 | Метод не разрешен политикой |
ЗАПРОС 913-SCANNER-DETECTION
| Идентификатор правила | Серьезность оценки аномалий | Уровень паранойи | Описание |
|---|---|---|---|
| 913100 | Критический - 5 | ПЛ1 | Найден агент пользователя, связанный со сканером системы безопасности |
| 913101 | Критический - 5 | ПЛ2 | Найден агент пользователя, связанный с клиентом HTTP для скриптов или с универсальным клиентом HTTP |
| 913102 | Критический - 5 | ПЛ2 | Найден агент пользователя, связанный с поисковым модулем или программой-роботом |
| 913110 | Критический - 5 | ПЛ1 | Найден заголовок запроса, связанный со сканером системы безопасности |
| 913120 | Критический - 5 | ПЛ1 | Найден аргумент или имя файла запроса, связанные со сканером системы безопасности |
ЗАПРОС 920-PROTOCOL-ENFORCEMENT
| Идентификатор правила | Серьезность оценки аномалий | Уровень паранойи | Описание |
|---|---|---|---|
| 920100 | Предупреждение - 3 | ПЛ1 | Недопустимая строка HTTP-запроса |
| 920120 | Критический - 5 | ПЛ1 | Попытки обхода составных данных или данных форм |
| 920121 | Критический - 5 | ПЛ2 | Попытки обхода составных данных или данных форм |
| 920160 | Критический - 5 | ПЛ1 | HTTP-заголовок Content-Length не является числовым |
| 920170 | Критический - 5 | ПЛ1 | Запрос GET или HEAD с содержимым тела запроса |
| 920171 | Критический - 5 | ПЛ1 | Запрос GET или HEAD с Transfer-Encoding |
| 920180 | Предупреждение - 3 | ПЛ1 | В POST-запросе отсутствует заголовок Content-Length. |
| 920190 | Предупреждение - 3 | ПЛ1 | Диапазон: недопустимое значение последнего байта данных |
| 920200 | Предупреждение - 3 | ПЛ2 | Диапазон: слишком много полей (6 или более) |
| 920201 | Предупреждение - 3 | ПЛ2 | Диапазон: слишком много полей для запроса в формате PDF (35 или более) |
| 920210 | Предупреждение - 3 | ПЛ1 | Найдены множественные/конфликтующие данные заголовка соединения |
| 920220 | Предупреждение - 3 | ПЛ1 | Попытка атаки с использованием злоупотребления кодированием URL-адреса |
| 920230 | Предупреждение - 3 | ПЛ2 | Обнаружено несколько типов кодирования URL-адресов |
| 920240 | Предупреждение - 3 | ПЛ1 | Попытка атаки с использованием злоупотребления кодированием URL-адреса |
| 920250 | Предупреждение - 3 | ПЛ1 | Попытка атаки с злоупотреблением кодировкой UTF8 |
| 920260 | Предупреждение - 3 | ПЛ1 | Попытка атаки с нарушением использования полных символов Юникода или символов Юникода половинной ширины |
| 920270 | Критический - 5 | ПЛ1 | Недопустимый символ в запросе (символ null) |
| 920271 | Критический - 5 | ПЛ2 | Недопустимый символ в запросе (непечатаемые символы) |
| 920280 | Предупреждение - 3 | ПЛ1 | В запросе отсутствует заголовок Host |
| 920290 | Предупреждение - 3 | ПЛ1 | Пустой заголовок хоста |
| 920300 | Извещение - 2 | ПЛ2 | В запросе отсутствует заголовок Accept |
| 920310 | Извещение - 2 | ПЛ1 | В запросе пустой заголовок Accept |
| 920311 | Извещение - 2 | ПЛ1 | В запросе пустой заголовок Accept |
| 920320 | Извещение - 2 | ПЛ2 | Заголовок агента пользователя отсутствует |
| 920330 | Извещение - 2 | ПЛ1 | Заголовок агента пользователя пустой |
| 920340 | Извещение - 2 | ПЛ1 | В запросе, содержащем данные, отсутствует заголовок Content-Type |
| 920341 | Критический - 5 | ПЛ2 | В запросе с содержимым необходим заголовок Content-Type |
| 920350 | Предупреждение - 3 | ПЛ1 | Заголовок узла является числовым IP-адресом |
| 920420 | Критический - 5 | ПЛ1 | Тип контента запроса не разрешен политикой |
| 920430 | Критический - 5 | ПЛ1 | Версия протокола HTTP не разрешена политикой |
| 920440 | Критический - 5 | ПЛ1 | Расширение файла URL-адреса ограничено политикой |
| 920450 | Критический - 5 | ПЛ1 | Заголовок HTTP ограничен политикой (%{MATCHED_VAR}) |
| 920470 | Критический - 5 | ПЛ1 | Недопустимый заголовок Content-Type |
| 920480 | Критический - 5 | ПЛ1 | Ограничение параметра набора символов в заголовке Content-Type |
ЗАПРОС 921 -PROTOCOL-ATTACK
| Идентификатор правила | Серьезность оценки аномалий | Уровень паранойи | Описание |
|---|---|---|---|
| 921110 | Критический - 5 | ПЛ1 | Атака, использующая скрытые HTTP-запросы |
| 921120 | Критический - 5 | ПЛ1 | Атака типа "Разделение HTTP-ответа" |
| 921130 | Критический - 5 | ПЛ1 | Атака типа "Разделение HTTP-ответа" |
| 921140 | Критический - 5 | ПЛ1 | Атака типа "Инъекция заголовков HTTP" через заголовки |
| 921150 | Критический - 5 | ПЛ1 | Атака типа "Вставка заголовка HTTP" через полезную нагрузку (обнаружены CR/LF) |
| 921151 | Критический - 5 | ПЛ2 | Атака типа "Вставка заголовка HTTP" через полезную нагрузку (обнаружены CR/LF) |
| 921160 | Критический - 5 | ПЛ1 | Атака инъекции заголовков HTTP через полезную нагрузку (обнаружены CR/LF и имя заголовка) |
ЗАПРОС-930-ЗАЯВЛЕНИЕ-ATTACK-LFI
| Идентификатор правила | Серьезность оценки аномалий | Уровень паранойи | Описание |
|---|---|---|---|
| 930100 | Критический - 5 | ПЛ1 | Атака с обходом пути (/../) |
| 930110 | Критический - 5 | ПЛ1 | Атака с обходом пути (/../) |
| 930120 | Критический - 5 | ПЛ1 | Попытка доступа к файлу ОС |
| 930130 | Критический - 5 | ПЛ1 | Попытка доступа к ограниченному файлу |
ЗАПРОС-931-ЗАЯВЛЕНИЕ-ATTACK-RFI
| Идентификатор правила | Серьезность оценки аномалий | Уровень паранойи | Описание |
|---|---|---|---|
| 931100 | Критический - 5 | ПЛ1 | Возможная атака с включением удалённого файла (RFI): в параметре URL-адреса используется IP-адрес |
| 931110 | Критический - 5 | ПЛ1 | Возможная атака с внедрением удаленного файла (RFI): общее имя уязвимого параметра RFI используется с URL-адресом полезной нагрузки |
| 931120 | Критический - 5 | ПЛ1 | Возможная атака с включением удаленного файла (RFI): пейлоад URL-адреса использован с завершающим вопросительным знаком (?) |
| 931130 | Критический - 5 | ПЛ2 | Возможная атака с включением удаленного файла (RFI): ссылка вне домена |
ЗАПРОС-932-ЗАЯВЛЕНИЕ-ATTACK-RCE
| Идентификатор правила | Серьезность оценки аномалий | Уровень паранойи | Описание |
|---|---|---|---|
| 932100 | Критический - 5 | ПЛ1 | Удаленное выполнение команд: инъекция команд Unix |
| 932105 | Критический - 5 | ПЛ1 | Удаленное выполнение команд: инъекция команд Unix |
| 932110 | Критический - 5 | ПЛ1 | Удаленное выполнение команд: инъекция команд Windows |
| 932115 | Критический - 5 | ПЛ1 | Удаленное выполнение команд: инъекция команд Windows |
| 932120 | Критический - 5 | ПЛ1 | Удаленное выполнение команд: обнаружена команда Windows PowerShell |
| 932130 | Критический - 5 | ПЛ1 | Удаленное выполнение команд: выражение оболочки Unix или уязвимость Confluence (CVE-2022-26134) или Text4Shell (CVE-2022-42889) |
| 932140 | Критический - 5 | ПЛ1 | Удаленное выполнение команд: найдена команда Windows FOR/IF |
| 932150 | Критический - 5 | ПЛ1 | Удаленное выполнение команды: прямое выполнение команды UNIX |
| 932160 | Критический - 5 | ПЛ1 | Удаленное выполнение команд: обнаружен код оболочки Unix |
| 932170 | Критический - 5 | ПЛ1 | Удаленное выполнение команд: Shellshock (CVE-2014-6271) |
| 932171 | Критический - 5 | ПЛ1 | Удаленное выполнение команд: Shellshock (CVE-2014-6271) |
| 932180 | Критический - 5 | ПЛ1 | Попытка передачи файла с ограниченным доступом |
ЗАПРОС-933-ЗАЯВЛЕНИЕ-ATTACK-PHP
| Идентификатор правила | Серьезность оценки аномалий | Уровень паранойи | Описание |
|---|---|---|---|
| 933100 | Критический - 5 | ПЛ1 | Атака путем внедрения кода PHP: обнаружен открывающий и закрывающий тег |
| 933110 | Критический - 5 | ПЛ1 | Атака внедрением PHP-кода: обнаружена загрузка файла PHP-сценария |
| 933120 | Критический - 5 | ПЛ1 | Атака путем внедрения кода PHP: обнаружена директива конфигурации |
| 933130 | Критический - 5 | ПЛ1 | Атака путем внедрения кода PHP: обнаружены переменные |
| 933140 | Критический - 5 | ПЛ1 | Атака PHP-инъекцией: обнаружен поток ввода-вывода |
| 933150 | Критический - 5 | ПЛ1 | Атака путем внедрения кода PHP: обнаружено имя функции PHP с высоким уровнем риска |
| 933151 | Критический - 5 | ПЛ2 | Атака путем внедрения кода PHP: обнаружена функция PHP с именем, имеющим средний уровень риска |
| 933160 | Критический - 5 | ПЛ1 | Атака путем внедрения кода PHP: обнаружен вызов функции PHP с высоким уровнем риска |
| 933170 | Критический - 5 | ПЛ1 | Атака путем внедрения кода PHP: внедрение сериализованных объектов |
| 933180 | Критический - 5 | ПЛ1 | Атака путем внедрения кода PHP: обнаружен вызов функции переменной |
| 933200 | Критический - 5 | ПЛ1 | Атака путем внедрения кода PHP: обнаружена схема-оболочка |
| 933210 | Критический - 5 | ПЛ1 | Атака путем внедрения кода PHP: обнаружен вызов функции переменной |
ЗАПРОС-941-ЗАЯВЛЕНИЕ-ATTACK-XSS
| Идентификатор правила | Серьезность оценки аномалий | Уровень паранойи | Описание |
|---|---|---|---|
| 941100 | Критический - 5 | ПЛ1 | Атака XSS (межсайтовый скриптинг) обнаружена с помощью библиотеки libinjection |
| 941101 | Критический - 5 | ПЛ2 | XSS-атака обнаружена с помощью libinjection Это правило обнаруживает запросы с заголовком Referer |
| 941110 | Критический - 5 | ПЛ1 | Фильтр XSS - Категория 1: Вектор тега script |
| 941120 | Критический - 5 | ПЛ1 | XSS фильтр - Категория 2: вектор обработчиков событий |
| 941130 | Критический - 5 | ПЛ1 | Фильтр межсайтового скриптинга (XSS) - Категория 3: атрибутный вектор |
| 941140 | Критический - 5 | ПЛ1 | Фильтр XSS категории 4: вектор JavaScript URI |
| 941150 | Критический - 5 | ПЛ2 | Фильтр XSS - категория 5: недопустимые атрибуты HTML |
| 941160 | Критический - 5 | ПЛ1 | NoScript XSS InjectionChecker: HTML-инъекция |
| 941170 | Критический - 5 | ПЛ1 | NoScript XSS InjectionChecker: внедрение атрибута |
| 941180 | Критический - 5 | ПЛ1 | Ключевые слова черного списка узлового валидатора |
| 941190 | Критический - 5 | ПЛ1 | Межсайтовый сценарий с использованием таблиц стилей |
| 941200 | Критический - 5 | ПЛ1 | XSS-атака с использованием VML-фреймов |
| 941210 | Критический - 5 | ПЛ1 | XSS с помощью обфусцированного JavaScript или Text4Shell (CVE-2022-42889) |
| 941220 | Критический - 5 | ПЛ1 | Межсайтовый сценарий с использованием обфусцированного скрипта VBScript |
| 941230 | Критический - 5 | ПЛ1 | Межсайтовый сценарий с использованием тега embed |
| 941240 | Критический - 5 | ПЛ1 | Межсайтовый сценарий с использованием атрибута import или implementation |
| 941250 | Критический - 5 | ПЛ1 | Фильтры XSS в IE — обнаружена атака |
| 941260 | Критический - 5 | ПЛ1 | Межсайтовый скриптинг (XSS) с использованием тега meta |
| 941270 | Критический - 5 | ПЛ1 | XSS с использованием 'link' href |
| 941280 | Критический - 5 | ПЛ1 | Межсайтовый сценарий с использованием тега base |
| 941290 | Критический - 5 | ПЛ1 | XSS с использованием тега applet |
| 941300 | Критический - 5 | ПЛ1 | Межсайтовый скриптинг (XSS) с использованием тега |
| 941310 | Критический - 5 | ПЛ1 | Фильтр XSS с некорректной кодировкой US-ASCII — выявлена атака |
| 941320 | Критический - 5 | ПЛ2 | Обнаружена возможная XSS-атака — обработчик тегов HTML |
| 941330 | Критический - 5 | ПЛ2 | Фильтры XSS в IE — обнаружена атака |
| 941340 | Критический - 5 | ПЛ2 | Фильтры XSS в IE — обнаружена атака |
| 941350 | Критический - 5 | ПЛ1 | Кодировка UTF-7 IE XSS — обнаружена атака |
| 941360 | Критический - 5 | ПЛ1 | Обнаружена обфускация JavaScript |
ЗАПРОС-942-ЗАЯВЛЕНИЕ-ATTACK-SQLI
| Идентификатор правила | Серьезность оценки аномалий | Уровень паранойи | Описание |
|---|---|---|---|
| 942100 | Критический - 5 | ПЛ1 | Обнаружена SQL-инъекция с использованием библиотеки libinjection |
| 942110 | Предупреждение - 3 | ПЛ2 | Атака путем внедрения кода SQL: обнаружено общее тестирование внедрения |
| 942120 | Критический - 5 | ПЛ2 | Атака SQL-инъекции: выявлен SQL-оператор |
| 942130 | Критический - 5 | ПЛ2 | Атака SQL-инъекции: обнаружена тавтология SQL |
| 942140 | Критический - 5 | ПЛ1 | Атака путем внедрения кода SQL: обнаружены общие имена базы данных |
| 942150 | Критический - 5 | ПЛ2 | Атака методом SQL-инъекции |
| 942160 | Критический - 5 | ПЛ1 | Обнаруживает слепые sqli тесты с помощью sleep() или benchmark() |
| 942170 | Критический - 5 | ПЛ1 | Выявление попыток внедрения SQL-инъекций через benchmark() и sleep(), включая условные запросы. |
| 942180 | Критический - 5 | ПЛ2 | Обнаружение основных попыток обхода проверки подлинности SQL 1/3 |
| 942190 | Критический - 5 | ПЛ1 | Обнаруживает выполнение кода MSSQL и попытки сбора информации |
| 942200 | Критический - 5 | ПЛ2 | Обнаруживает внедрения в MySQL, маскированные с использованием комментариев и пробелов, и завершение при использовании обратной кавычки. |
| 942210 | Критический - 5 | ПЛ2 | Обнаружение попыток цепных SQL-инъекций 1/2 |
| 942220 | Критический - 5 | ПЛ1 | Поиск атак путем переполнения целочисленных значений с использованием Skipfish, за исключением 3.0.00738585072007 E–308 (сбой "магического числа") |
| 942230 | Критический - 5 | ПЛ1 | Обнаруживает попытки условных внедрений SQL-кода |
| 942240 | Критический - 5 | ПЛ1 | Обнаружение переключения кодировки MySQL и попыток атаки "отказ в обслуживании" (DoS) на MSSQL |
| 942250 | Критический - 5 | ПЛ1 | Обнаруживает инъекции MATCH AGAINST, MERGE и EXECUTE IMMEDIATE |
| 942260 | Критический - 5 | ПЛ2 | Обнаруживает основные попытки обхода аутентификации SQL 2/3 |
| 942270 | Критический - 5 | ПЛ1 | Ищете базовую SQL-инъекцию. Общая строка атаки для MySQL, Oracle и других |
| 942280 | Критический - 5 | ПЛ1 | Обнаружение внедрения Postgres pg_sleep, атак WaitFor Delay и попыток завершения работы базы данных |
| 942290 | Критический - 5 | ПЛ1 | Поиск основных попыток внедрения SQL-кода в MongoDB |
| 942300 | Критический - 5 | ПЛ2 | Обнаруживает комментарии, условия и внедрения ch(a)r MySQL |
| 942310 | Критический - 5 | ПЛ2 | Обнаруживает попытки цепочечных SQL-инъекций 2/2 |
| 942320 | Критический - 5 | ПЛ1 | Обнаружение вставки хранимой процедуры или функции в MySQL и PostgreSQL |
| 942330 | Критический - 5 | ПЛ2 | Обнаруживает классические попытки SQL-внедрений 1/2 |
| 942340 | Критический - 5 | ПЛ2 | Обнаруживает основные попытки обхода проверки подлинности SQL 3/3 |
| 942350 | Критический - 5 | ПЛ1 | Обнаруживает инъекцию UDF (определяемой пользователем функции) и другие попытки манипуляции данными или структурой в MySQL. |
| 942360 | Критический - 5 | ПЛ1 | Обнаруживает объединенные базовые SQL-внедрения и попытки SQLLFI |
| 942361 | Критический - 5 | ПЛ2 | Обнаруживает базовые SQL-инъекции на основе ключевых слов alter или union |
| 942370 | Критический - 5 | ПЛ2 | Обнаруживает классические попытки SQL-инъекций 2/2 |
| 942380 | Критический - 5 | ПЛ2 | Атака методом SQL-инъекции |
| 942390 | Критический - 5 | ПЛ2 | Атака методом SQL-инъекции |
| 942400 | Критический - 5 | ПЛ2 | Атака методом SQL-инъекции |
| 942410 | Критический - 5 | ПЛ2 | Атака методом SQL-инъекции |
| 942430 | Предупреждение - 3 | ПЛ2 | Обнаружение аномалий ограниченных символов SQL (args): превышено допустимое количество специальных символов (12) |
| 942440 | Критический - 5 | ПЛ2 | Обнаруженная последовательность комментариев SQL |
| 942450 | Критический - 5 | ПЛ2 | Определена шестнадцатеричная кодировка SQL |
| 942470 | Критический - 5 | ПЛ2 | Атака методом SQL-инъекции |
| 942480 | Критический - 5 | ПЛ2 | Атака методом SQL-инъекции |
| 942500 | Критический - 5 | ПЛ1 | Обнаружен встроенный комментарий MySQL |
REQUEST-943-АТАКА НА ПРИЛОЖЕНИЕ-SESSION-FIXATION
| Идентификатор правила | Серьезность оценки аномалий | Уровень паранойи | Описание |
|---|---|---|---|
| 943100 | Критический - 5 | ПЛ1 | Возможная атака с фиксацией сеанса: установка значений файла cookie в HTML |
| 943110 | Критический - 5 | ПЛ1 | Возможная атака с фиксацией сеанса: имя параметра SessionID с источником ссылки вне домена |
| 943120 | Критический - 5 | ПЛ1 | Возможная атака с фиксацией сеанса: имя параметра SessionID без источника ссылки |
ЗАПРОС-944-ЗАЯВЛЕНИЕ-ATTACK-JAVA
| Идентификатор правила | Серьезность оценки аномалий | Уровень паранойи | Описание |
|---|---|---|---|
| 944100 | Критический - 5 | ПЛ1 | Удаленное выполнение команд: Apache Struts, Oracle WebLogic |
| 944110 | Критический - 5 | ПЛ1 | Обнаруживает потенциальное выполнение вредоносного кода |
| 944120 | Критический - 5 | ПЛ1 | Возможное выполнение полезной нагрузки и удаленное выполнение команд |
| 944130 | Критический - 5 | ПЛ1 | Подозрительные классы Java |
| 944200 | Критический - 5 | ПЛ2 | Эксплуатация десериализации Java в Apache Commons |
| 944210 | Критический - 5 | ПЛ2 | Возможное использование сериализации Java |
| 944240 | Критический - 5 | ПЛ1 | Удаленное выполнение команд: сериализация Java |
| 944250 | Критический - 5 | ПЛ1 | Удаленное выполнение команд: обнаружен подозрительный метод Java |
Неактивные правила
| Идентификатор правила | Серьезность оценки аномалий | Уровень паранойи | Описание |
|---|---|---|---|
| 920202 | Предупреждение - 3 | ПЛ4 | (Неактивное правило, следует игнорировать) Диапазон: Слишком много полей для запроса в формате pdf (6 или более) |
| 920272 | Критический - 5 | ПЛ3 | (Неактивное правило, следует игнорировать) Недопустимый символ в запросе (за пределами печатных символов ниже ascii 127) |
| 920273 | Критический - 5 | ПЛ4 | (Неактивное правило, следует игнорировать) Недопустимый символ в запросе (вне очень строгого набора) |
| 920274 | Критический - 5 | ПЛ4 | (Неактивное правило, следует игнорировать) Недопустимый символ в заголовках запросов (вне очень строгого набора) |
| 920460 | Критический - 5 | ПЛ4 | (Неактивное правило, следует игнорировать) Аномальные персонажи побега |
| 921170 | Не применимо | ПЛ3 | (Неактивное правило, следует игнорировать) Загрязнение HTTP-параметров |
| 921180 | Критический - 5 | ПЛ3 | (Неактивное правило, следует игнорировать) Загрязнение параметров HTTP (%{TX.1}) |
| 932106 | Критический - 5 | ПЛ3 | (Неактивное правило, следует игнорировать) Удаленное выполнение команд: внедрение команд UNIX |
| 932190 | Критический - 5 | ПЛ3 | (Неактивное правило, следует игнорировать) Удаленное выполнение команд: попытка обхода с использованием подстановочных знаков |
| 933111 | Критический - 5 | ПЛ3 | (Неактивное правило, следует игнорировать) Атака с внедрением PHP: обнаружена загрузка файла PHP-скрипта |
| 933131 | Критический - 5 | ПЛ3 | (Неактивное правило, следует игнорировать) Атака PHP-с-внедрением: найдены переменные |
| 933161 | Критический - 5 | ПЛ3 | (Неактивное правило, следует игнорировать) Атака с внедрением PHP: найден вызов функции PHP Low-Value |
| 933190 | Критический - 5 | ПЛ3 | (Неактивное правило, следует игнорировать) Атака PHP-инъекцией: найден закрывающий тег PHP |
| 942251 | Критический - 5 | ПЛ3 | (Неактивное правило, следует игнорировать) Обнаруживает инъекции HAVING |
| 942420 | Предупреждение - 3 | ПЛ3 | (Неактивное правило, следует игнорировать) Ограниченное обнаружение аномалии символов SQL (cookies): # превышено количество специальных символов (8) |
| 942421 | Предупреждение - 3 | ПЛ4 | (Неактивное правило, следует игнорировать) Ограниченное обнаружение аномалии символов SQL (cookies): # превышено количество специальных символов (3) |
| 942431 | Предупреждение - 3 | ПЛ3 | (Неактивное правило, следует игнорировать) Ограниченное обнаружение аномалий в символах SQL (аргументы): № специальных символов превышено (6) |
| 942432 | Предупреждение - 3 | ПЛ4 | (Неактивное правило, следует игнорировать) Ограниченное обнаружение аномалии символов SQL (args): # превышено количество специальных символов (2) |
| 942460 | Предупреждение - 3 | ПЛ3 | (Неактивное правило, следует игнорировать) Meta-Character Предупреждение об обнаружении аномалий - повторяющиеся символы, не являющиеся словами |
| 942490 | Критический - 5 | ПЛ3 | (Неактивное правило, следует игнорировать) Обнаружение классических попыток SQL-инъекций 3/3 |