Web Application Firewall DRS-regelgrupper och regler
Brandväggen för Azure Front Door-webbprogram (WAF) skyddar webbprogram mot vanliga sårbarheter och sårbarheter. Azure-hanterade regeluppsättningar är ett enkelt sätt att distribuera skydd mot en gemensam uppsättning säkerhetshot. Eftersom sådana regeluppsättningar hanteras av Azure uppdateras reglerna efter behov för att skydda mot nya attacksignaturer. Standardregeluppsättningen innehåller även de Microsoft Threat Intelligence Collection-regler som är skrivna i samarbete med Microsoft Intelligence-teamet för att ge ökad täckning, korrigeringar för specifika sårbarheter och bättre falsk positiv minskning.
Standardregeluppsättningar
Den Azure-hanterade standardregeluppsättningen (DRS) innehåller regler mot följande hotkategorier:
- Skriptkörning över flera webbplatser
- Java-attacker
- Lokal filinkludering
- PHP-inmatningsattacker
- Fjärrkommandokörning
- Införande av fjärrfil
- Sessionskorrigering
- Skydd mot SQL-inmatning
- Protokollanfallare
Versionsnumret för DRS ökar när nya attacksignaturer läggs till i regeluppsättningen.
DRS är aktiverat som standard i identifieringsläge i dina WAF-principer. Du kan inaktivera eller aktivera enskilda regler i standardregeluppsättningen för att uppfylla dina programkrav. Du kan också ange specifika åtgärder per regel. De tillgängliga åtgärderna är: Tillåt, Blockera, Logga och Omdirigera.
Ibland kan du behöva utelämna vissa begärandeattribut från en WAF-utvärdering. Ett vanligt exempel är Active Directory-infogade token som används för autentisering. Du kan konfigurera en undantagslista för en hanterad regel, regelgrupp eller för hela regeluppsättningen. Mer information finns i Web Application Firewall (WAF) med Undantagslistor för Front Door.
Som standard använder DRS version 2.0 och senare avvikelsebedömning när en begäran matchar en regel, DRS-versioner tidigare än 2.0 blockerar begäranden som utlöser reglerna. Dessutom kan anpassade regler konfigureras i samma WAF-princip om du vill kringgå någon av de förkonfigurerade reglerna i standardregeluppsättningen.
Anpassade regler tillämpas alltid innan regler i standardregeluppsättningen utvärderas. Om en begäran matchar en anpassad regel tillämpas motsvarande regelåtgärd. Begäran blockeras eller skickas till serverdelen. Inga andra anpassade regler eller reglerna i standardregeluppsättningen bearbetas. Du kan också ta bort standardregeluppsättningen från dina WAF-principer.
Microsoft Threat Intelligence Collection-regler
Microsoft Threat Intelligence Collection-reglerna är skrivna i samarbete med Microsoft Threat Intelligence-teamet för att ge ökad täckning, korrigeringar för specifika sårbarheter och bättre falska positiva minskningar.
Vissa av de inbyggda DRS-reglerna är inaktiverade som standard eftersom de har ersatts av nyare regler i Microsoft Threat Intelligence Collection. Till exempel har regel-ID 942440, SQL Comment Sequence Detected., inaktiverats och ersatts av Microsoft Threat Intelligence Collection-regeln 99031002. Den ersatta regeln minskar risken för falska positiva identifieringar från legitima begäranden.
Avvikelsebedömning
När du använder DRS 2.0 eller senare använder din WAF avvikelsebedömning. Trafik som matchar en regel blockeras inte omedelbart, även om din WAF är i förebyggande läge. I stället definierar OWASP-regeluppsättningarna en allvarlighetsgrad för varje regel: Kritisk, Fel, Varning eller Meddelande. Allvarlighetsgraden påverkar ett numeriskt värde för begäran, som kallas avvikelsepoäng. Om en begäran ackumulerar en avvikelsepoäng på 5 eller högre vidtar WAF åtgärden för begäran.
| Regel allvarlighetsgrad | Värde som har bidragit till avvikelsepoäng |
|---|---|
| Kritiskt | 5 |
| Fel | 4 |
| Varning | 3 |
| anslagstavlan, | 2 |
När du konfigurerar din WAF kan du bestämma hur WAF hanterar begäranden som överskrider tröskelvärdet för avvikelsepoäng på 5. De tre alternativen för avvikelsepoäng är block, logg eller omdirigering. Åtgärden för avvikelsepoäng som du väljer vid tidpunkten för konfigurationen tillämpas på alla begäranden som överskrider tröskelvärdet för avvikelsepoäng.
Om till exempel avvikelsepoängen är 5 eller högre för en begäran och WAF är i förebyggande läge med åtgärden för avvikelsepoäng inställd på att blockera, blockeras begäran. Om avvikelsepoängen är 5 eller högre för en begäran och WAF är i identifieringsläge loggas begäran men blockeras inte.
En enda kritisk regelmatchning räcker för att WAF ska blockera en begäran i förebyggande läge med åtgärden för avvikelsepoäng inställd på att blockera, eftersom den övergripande avvikelsepoängen är 5. En varningsregelmatchning ökar dock bara avvikelsepoängen med 3, vilket inte räcker för att blockera trafiken. När en avvikelseregel utlöses visas en "matchad" åtgärd i loggarna. Om anomlypoängen är 5 eller högre utlöses en separat regel med åtgärden för avvikelsepoäng konfigurerad för regeluppsättningen. Standardåtgärden för avvikelsepoäng är blockering som resulterar i loggpost med åtgärden "blockerad".
När din WAF använder äldre version av standardregeluppsättningen (före DRS 2.0) körs din WAF i traditionellt läge. Trafik som matchar en regel betraktas oberoende av andra regelmatchningar. I traditionellt läge har du inte insyn i den fullständiga uppsättningen regler som en specifik begäran matchade.
Den version av drs som du använder avgör också vilka innehållstyper som stöds för kontroll av begärandetext. Mer information finns i Vilka innehållstyper stöder WAF? i vanliga frågor och svar.
DRS 2.1
DRS 2.1-regler ger bättre skydd än tidigare versioner av DRS. Den innehåller ytterligare regler som utvecklats av Microsoft Threat Intelligence-teamet och uppdateringar av signaturer för att minska falska positiva identifieringar. Det stöder även transformeringar utöver bara URL-avkodning.
DRS 2.1 innehåller 17 regelgrupper, enligt följande tabell. Varje grupp innehåller flera regler och du kan anpassa beteendet för enskilda regler, regelgrupper eller hela regeluppsättningen. Mer information finns i Justera Web Application Firewall (WAF) för Azure Front Door.
Anteckning
DRS 2.1 är endast tillgängligt i Azure Front Door Premium.
| Regelgrupp | Beskrivning |
|---|---|
| Allmänt | Allmän grupp |
| METODFRAMTVINGANDE | Låsningsmetoder (PUT, PATCH) |
| PROTOKOLLTILLÄMPNING | Skydda mot protokoll- och kodningsproblem |
| PROTOKOLLATTACK | Skydda mot rubrikinmatning, smuggling av begäranden och delning av svar |
| APPLICATION-ATTACK-LFI | Skydda mot fil- och sökvägsattacker |
| APPLICATION-ATTACK-RFI | Skydda mot RFI-attacker (remote file inclusion) |
| APPLICATION-ATTACK-RCE | Skydda fjärrkodkörningsattacker igen |
| APPLICATION-ATTACK-PHP | Skydda mot PHP-inmatningsattacker |
| APPLICATION-ATTACK-NodeJS | Skydda mot Node JS-attacker |
| APPLICATION-ATTACK-XSS | Skydda mot skriptattacker mellan webbplatser |
| APPLICATION-ATTACK-SQLI | Skydda mot SQL-inmatningsattacker |
| APPLICATION-ATTACK-SESSION-FIXATION | Skydda mot sessionskorrigeringsattacker |
| APPLICATION-ATTACK-SESSION-JAVA | Skydda mot JAVA-attacker |
| MS-ThreatIntel-WebShells | Skydda mot Web Shell-attacker |
| MS-ThreatIntel-AppSec | Skydda mot AppSec-attacker |
| MS-ThreatIntel-SQLI | Skydda mot SQLI-attacker |
| MS-ThreatIntel-CVEs | Skydda mot CVE-attacker |
Inaktiverade regler
Följande regler är inaktiverade som standard för DRS 2.1:
| Regel-ID | Regelgrupp | Beskrivning | Information |
|---|---|---|---|
| 942110 | SQLI | SQL-inmatningsattack: Vanliga inmatningstester har identifierats | Ersatt av MSTIC-regel 99031001 |
| 942150 | SQLI | SQL-inmatningsattack | Ersatt av MSTIC-regel 99031003 |
| 942260 | SQLI | Identifierar grundläggande försök att kringgå SQL-autentisering 2/3 | Ersätts av MSTIC-regel 99031004 |
| 942430 | SQLI | Begränsad SQL-teckenavvikelseidentifiering (args): antal specialtecken överskreds (12) | För många falska positiva identifieringar. |
| 942440 | SQLI | SQL-kommentarssekvens identifierad | Ersatt av MSTIC-regel 99031002 |
| 99005006 | MS-ThreatIntel-WebShells | Spring4Shell-interaktionsförsök | Aktivera regel för att förhindra SpringShell-sårbarhet |
| 99001014 | MS-ThreatIntel-CVEs | Provad Spring Cloud-routningsuttryckinmatning CVE-2022-22963 | Aktivera regel för att förhindra SpringShell-sårbarhet |
| 99001015 | MS-ThreatIntel-WebShells | Försök till Spring Framework osäker klassobjekt utnyttjande CVE-2022-22965 | Aktivera regel för att förhindra SpringShell-sårbarhet |
| 99001016 | MS-ThreatIntel-WebShells | Provat Spring Cloud Gateway-aktuatorinmatning CVE-2022-22947 | Aktivera regel för att förhindra SpringShell-sårbarhet |
DRS 2.0
DRS 2.0-regler ger bättre skydd än tidigare versioner av DRS. Det stöder också transformeringar utöver bara URL-avkodning.
DRS 2.0 innehåller 17 regelgrupper, enligt följande tabell. Varje grupp innehåller flera regler och du kan inaktivera enskilda regler och hela regelgrupper.
Anteckning
DRS 2.0 är endast tillgängligt på Azure Front Door Premium.
| Regelgrupp | Beskrivning |
|---|---|
| Allmänt | Allmän grupp |
| METODTILLÄMPNING | Låsningsmetoder (PUT, PATCH) |
| PROTOKOLLTILLÄMPNING | Skydda mot protokoll- och kodningsproblem |
| PROTOKOLLATTACK | Skydda mot rubrikinmatning, smuggling av begäranden och delning av svar |
| APPLICATION-ATTACK-LFI | Skydda mot fil- och sökvägsattacker |
| APPLICATION-ATTACK-RFI | Skydda mot RFI-attacker (remote file inclusion) |
| APPLICATION-ATTACK-RCE | Skydda igen fjärranslutna kodkörningsattacker |
| APPLICATION-ATTACK-PHP | Skydda mot PHP-inmatningsattacker |
| APPLICATION-ATTACK-NodeJS | Skydda mot Node JS-attacker |
| APPLICATION-ATTACK-XSS | Skydda mot skriptattacker mellan webbplatser |
| APPLICATION-ATTACK-SQLI | Skydda mot SQL-inmatningsattacker |
| APPLICATION-ATTACK-SESSION-FIXATION | Skydda mot sessionskorrigeringsattacker |
| APPLICATION-ATTACK-SESSION-JAVA | Skydda mot JAVA-attacker |
| MS-ThreatIntel-WebShells | Skydda mot Web Shell-attacker |
| MS-ThreatIntel-AppSec | Skydda mot AppSec-attacker |
| MS-ThreatIntel-SQLI | Skydda mot SQLI-attacker |
| MS-ThreatIntel-CVEs | Skydda mot CVE-attacker |
DRS 1.1
| Regelgrupp | Beskrivning |
|---|---|
| PROTOKOLLATTACK | Skydda mot rubrikinmatning, smuggling av begäranden och delning av svar |
| APPLICATION-ATTACK-LFI | Skydda mot fil- och sökvägsattacker |
| APPLICATION-ATTACK-RFI | Skydd mot fjärranslutna filinkluderingsattacker |
| APPLICATION-ATTACK-RCE | Skydd mot fjärrkommandokörning |
| APPLICATION-ATTACK-PHP | Skydda mot PHP-inmatningsattacker |
| APPLICATION-ATTACK-XSS | Skydda mot skriptattacker mellan webbplatser |
| APPLICATION-ATTACK-SQLI | Skydda mot SQL-inmatningsattacker |
| APPLICATION-ATTACK-SESSION-FIXATION | Skydda mot sessionskorrigeringsattacker |
| APPLICATION-ATTACK-SESSION-JAVA | Skydda mot JAVA-attacker |
| MS-ThreatIntel-WebShells | Skydda mot Web Shell-attacker |
| MS-ThreatIntel-AppSec | Skydda mot AppSec-attacker |
| MS-ThreatIntel-SQLI | Skydda mot SQLI-attacker |
| MS-ThreatIntel-CVEs | Skydda mot CVE-attacker |
DRS 1.0
| Regelgrupp | Beskrivning |
|---|---|
| PROTOKOLLATTACK | Skydda mot rubrikinmatning, smuggling av begäranden och delning av svar |
| APPLICATION-ATTACK-LFI | Skydda mot fil- och sökvägsattacker |
| APPLICATION-ATTACK-RFI | Skydd mot fjärranslutna filinkluderingsattacker |
| APPLICATION-ATTACK-RCE | Skydd mot fjärrkommandokörning |
| APPLICATION-ATTACK-PHP | Skydda mot PHP-inmatningsattacker |
| APPLICATION-ATTACK-XSS | Skydda mot skriptattacker mellan webbplatser |
| APPLICATION-ATTACK-SQLI | Skydda mot SQL-inmatningsattacker |
| APPLICATION-ATTACK-SESSION-FIXATION | Skydda mot sessionskorrigeringsattacker |
| APPLICATION-ATTACK-SESSION-JAVA | Skydda mot JAVA-attacker |
| MS-ThreatIntel-WebShells | Skydda mot Web Shell-attacker |
| MS-ThreatIntel-CVEs | Skydda mot CVE-attacker |
Robotregler
| Regelgrupp | Beskrivning |
|---|---|
| BadBots | Skydda mot dåliga robotar |
| GoodBots | Identifiera bra robotar |
| UnknownBots | Identifiera okända robotar |
Följande regelgrupper och regler är tillgängliga när du använder Web Application Firewall på Azure Front Door.
2.1 regeluppsättningar
Allmänt
| RuleId | Beskrivning |
|---|---|
| 200002 | Det gick inte att parsa begärandetexten. |
| 200003 | Begärandetexten i flera delar misslyckades med strikt validering |
METODTILLÄMPNING
| RuleId | Beskrivning |
|---|---|
| 911100 | Metoden tillåts inte av principen |
PROTOKOLLTILLÄMPNING
| RuleId | Beskrivning |
|---|---|
| 920100 | Ogiltig HTTP-begäranderad |
| 920120 | Försök till förbikoppling av flera delar/formulärdata |
| 920121 | Försök till förbikoppling av flera delar/formulärdata |
| 920160 | HTTP-huvudet för innehållslängd är inte numeriskt. |
| 920170 | GET- eller HEAD-begäran med brödtextinnehåll. |
| 920171 | GET- eller HEAD-begäran med Transfer-Encoding. |
| 920180 | POST-begäran saknar content-length-huvud. |
| 920181 | Innehållslängd och Transfer-Encoding rubriker finns 99001003 |
| 920190 | Intervall: Ogiltigt värde för senaste byte. |
| 920200 | Intervall: För många fält (6 eller fler) |
| 920201 | Intervall: För många fält för pdf-begäran (35 eller mer) |
| 920210 | Flera/motstridiga anslutningshuvuddata hittades. |
| 920220 | Försök till url-kodning av missbruksattack |
| 920230 | Flera URL-kodning har identifierats |
| 920240 | Försök till url-kodning av missbruksattack |
| 920260 | Unicode Full/Half Width Abuse Attack Attempt |
| 920270 | Ogiltigt tecken i begäran (null-tecken) |
| 920271 | Ogiltigt tecken i begäran (icke utskrivbara tecken) |
| 920280 | Begäran saknar ett värdhuvud |
| 920290 | Tomt värdhuvud |
| 920300 | Begäran saknar ett accepthuvud |
| 920310 | Begäran har ett tomt accepthuvud |
| 920311 | Begäran har ett tomt accepthuvud |
| 920320 | Användaragenthuvud saknas |
| 920330 | Tomt användaragenthuvud |
| 920340 | Begäran som innehåller innehåll, men innehållstypsrubrik saknas |
| 920341 | Begäran som innehåller innehåll kräver innehållstyprubrik |
| 920350 | Värdrubrik är en numerisk IP-adress |
| 920420 | Innehållstyp för begäran tillåts inte av principen |
| 920430 | HTTP-protokollversion tillåts inte av principen |
| 920440 | URL-filnamnstillägget begränsas av principen |
| 920450 | HTTP-huvudet begränsas av principen |
| 920470 | Ogiltig rubrik för innehållstyp |
| 920480 | Charset för begärandeinnehållstyp tillåts inte av principen |
| 920500 | Försök att komma åt en säkerhetskopia eller arbetsfil |
PROTOKOLLATTACK
| RuleId | Beskrivning |
|---|---|
| 921110 | HTTP-begärandesmugglingsattack |
| 921120 | HTTP-svarsdelningsattack |
| 921130 | HTTP-svarsdelningsattack |
| 921140 | HTTP-rubrikinmatningsattack via rubriker |
| 921150 | HTTP-rubrikinmatningsattack via nyttolast (CR/LF har identifierats) |
| 921151 | HTTP-rubrikinmatningsattack via nyttolast (CR/LF har identifierats) |
| 921160 | HTTP-rubrikinmatningsattack via nyttolast (CR/LF och rubriknamn har identifierats) |
| 921190 | HTTP-delning (CR/LF i begärandefilnamn har identifierats) |
| 921200 | LDAP-inmatningsattack |
LFI – lokal filinkludering
| RuleId | Beskrivning |
|---|---|
| 930100 | Väg bläddringsattack (/.. /) |
| 930110 | Väg bläddringsattack (/.. /) |
| 930120 | Försök att komma åt OS-fil |
| 930130 | Försök att begränsa filåtkomst |
RFI – Filinkludering med fjärranslutning
| RuleId | Beskrivning |
|---|---|
| 931100 | Möjlig RFI-attack (Remote File Inclusion): URL-parameter med IP-adress |
| 931110 | Möjlig RFI-attack (Remote File Inclusion): Common RFI Vulnerable Parameter Name used w/URL Payload |
| 931120 | Möjlig RFI-attack (Remote File Inclusion): URL Payload Used w/Trailing Question Mark Character (?) |
| 931130 | Möjlig RFI-attack (Remote File Inclusion): Off-Domain-referens/länk |
RCE – Körning av fjärrkommando
| RuleId | Beskrivning |
|---|---|
| 932100 | Fjärrkommandokörning: Unix-kommandoinmatning |
| 932105 | Fjärrkommandokörning: Unix-kommandoinmatning |
| 932110 | Fjärrkommandokörning: Windows-kommandoinmatning |
| 932115 | Fjärrkommandokörning: Windows-kommandoinmatning |
| 932120 | Fjärrkommandokörning: Windows PowerShell kommandot hittades |
| 932130 | Fjärrkommandokörning: Unix Shell-uttryck eller säkerhetsrisk för confluence (CVE-2022-26134) hittades |
| 932140 | Fjärrkommandokörning: Windows FOR/IF-kommandot hittades |
| 932150 | Fjärrkommandokörning: Direct Unix-kommandokörning |
| 932160 | Fjärrkommandokörning: Unix Shell-kod hittades |
| 932170 | Fjärrkommandokörning: Shellshock (CVE-2014-6271) |
| 932171 | Fjärrkommandokörning: Shellshock (CVE-2014-6271) |
| 932180 | Försök att ladda upp begränsad fil |
PHP-attacker
| RuleId | Beskrivning |
|---|---|
| 933100 | PHP-inmatningsattack: Öppna/stänga tagg hittades |
| 933110 | PHP-inmatningsattack: PHP-skriptfiluppladdning hittades |
| 933120 | PHP-inmatningsattack: Konfigurationsdirektiv hittades |
| 933130 | PHP-inmatningsattack: Variabler hittades |
| 933140 | PHP-inmatningsattack: I/O Stream hittades |
| 933150 | PHP-inmatningsattack: High-Risk PHP-funktionsnamn hittades |
| 933151 | PHP-inmatningsattack: Medium-Risk PHP-funktionsnamn hittades |
| 933160 | PHP-inmatningsattack: High-Risk PHP-funktionsanrop hittades |
| 933170 | PHP-inmatningsattack: Serialiserad objektinmatning |
| 933180 | PHP-inmatningsattack: Variabelfunktionsanrop hittades |
| 933200 | PHP-inmatningsattack: Wrapper-schema har identifierats |
| 933210 | PHP-inmatningsattack: Variabelfunktionsanrop hittades |
Node JS-attacker
| RuleId | Beskrivning |
|---|---|
| 934100 | Node.js inmatningsattack |
XSS – skript mellan webbplatser
| RuleId | Beskrivning |
|---|---|
| 941100 | XSS-attack identifierad via libinjection |
| 941101 | XSS-attack identifierad via libinjection. Den här regeln identifierar begäranden med ett referenshuvud . |
| 941110 | XSS-filter – kategori 1: Skripttaggvektor |
| 941120 | XSS-filter – kategori 2: Händelsehanterarvektor |
| 941130 | XSS-filter – Kategori 3: Attributvektor |
| 941140 | XSS-filter – kategori 4: JavaScript URI-vektor |
| 941150 | XSS-filter – Kategori 5: Otillåtna HTML-attribut |
| 941160 | NoScript XSS InjectionChecker: HTML-inmatning |
| 941170 | NoScript XSS InjectionChecker: Attributinmatning |
| 941180 | Node-Validator nyckelord för svarta listor |
| 941190 | XSS med formatmallar |
| 941200 | XSS med VML-ramar |
| 941210 | XSS med fördunklade JavaScript |
| 941220 | XSS med fördunklade VB-skript |
| 941230 | XSS med taggen "embed" |
| 941240 | XSS med attributet "import" eller "implementation" |
| 941250 | IE XSS-filter – Angrepp har identifierats. |
| 941260 | XSS med taggen "meta" |
| 941270 | XSS med hjälp av "link" href |
| 941280 | XSS med "base"-tagg |
| 941290 | XSS med taggen "applet" |
| 941300 | XSS med hjälp av objekttaggen |
| 941310 | US-ASCII Felformat XSS-kodningsfilter – attack har identifierats. |
| 941320 | Möjlig XSS-attack har identifierats – HTML-tagghanterare |
| 941330 | IE XSS-filter – angrepp har identifierats. |
| 941340 | IE XSS-filter – angrepp har identifierats. |
| 941350 | UTF-7 Kodnings-IE XSS – Attack identifierad. |
| 941360 | JavaScript-obfuscation har identifierats. |
| 941370 | Global JavaScript-variabel hittades |
| 941380 | AngularJS-mallinmatning på klientsidan har identifierats |
Anteckning
Den här artikeln innehåller referenser till termen svartlista, en term som Microsoft inte längre använder. När termen tas bort från programvaran tar vi bort den från den här artikeln.
SQLI – SQL-inmatning
| RuleId | Beskrivning |
|---|---|
| 942100 | SQL-inmatningsattack identifierad via libinjection |
| 942110 | SQL-inmatningsattack: Vanliga inmatningstester har identifierats |
| 942120 | SQL-inmatningsattack: SQL-operatör identifierad |
| 942140 | SQL-inmatningsattack: Vanliga databasnamn har identifierats |
| 942150 | SQL-inmatningsattack |
| 942160 | Identifierar blinda sqli-tester med hjälp av sleep() eller benchmark(). |
| 942170 | Identifierar SQL-benchmark- och vilolägesinmatningsförsök, inklusive villkorsstyrda frågor |
| 942180 | Identifierar grundläggande försök att kringgå SQL-autentisering 1/3 |
| 942190 | Identifierar MSSQL-kodkörning och insamling av informationsförsök |
| 942200 | Identifierar MySQL comment-/space-obfuscated inmatningar och backtick-avslutning |
| 942210 | Identifierar länkade SQL-inmatningsförsök 1/2 |
| 942220 | Letar du efter heltal spill attacker, dessa tas från skipfish, utom 3.0.00738585072007e-308 är den "magiska nummer" krasch |
| 942230 | Identifierar försök till villkorlig SQL-inmatning |
| 942240 | Identifierar MySQL-teckenuppsättningsväxel och MSSQL DoS-försök |
| 942250 | Identifierar MATCH AGAINST, MERGE och EXECUTE IMMEDIATE injections |
| 942260 | Identifierar grundläggande försök att kringgå SQL-autentisering 2/3 |
| 942270 | Letar efter grundläggande SQL-inmatning. Vanliga attacksträngar för mysql, oracle och andra. |
| 942280 | Identifierar Postgres pg_sleep inmatning, vänta på fördröjningsattacker och försök till databasavstängning |
| 942290 | Hittar grundläggande MongoDB SQL-inmatningsförsök |
| 942300 | Identifierar MySQL-kommentarer, villkor och ch(a)r-inmatningar |
| 942310 | Identifierar länkade SQL-inmatningsförsök 2/2 |
| 942320 | Identifierar lagrad procedur/funktionsinmatning i MySQL och PostgreSQL |
| 942330 | Identifierar klassiska SQL-inmatningssökningar 1/2 |
| 942340 | Identifierar grundläggande försök att kringgå SQL-autentisering 3/3 |
| 942350 | Identifierar MySQL UDF-inmatning och andra försök till data-/strukturmanipulering |
| 942360 | Identifierar sammanfogade grundläggande SQL-inmatnings- och SQLLFI-försök |
| 942361 | Identifierar grundläggande SQL-inmatning baserat på nyckelordsförändrande eller union |
| 942370 | Identifierar klassiska SQL-inmatningssökningar 2/2 |
| 942380 | SQL-inmatningsattack |
| 942390 | SQL-inmatningsattack |
| 942400 | SQL-inmatningsattack |
| 942410 | SQL-inmatningsattack |
| 942430 | Begränsad SQL-teckenavvikelseidentifiering (args): antal specialtecken överskreds (12) |
| 942440 | SQL-kommentarssekvens identifierad |
| 942450 | IDENTIFIERAD SQL Hex-kodning |
| 942460 | Meta-Character avisering om avvikelseidentifiering – repetitiva icke-ordtecken |
| 942470 | SQL-inmatningsattack |
| 942480 | SQL-inmatningsattack |
| 942500 | En infogad MySQL-kommentar har identifierats. |
| 942510 | SQLi bypass-försök av tick eller backticks har identifierats. |
SESSIONSKORRIGERING
| RuleId | Beskrivning |
|---|---|
| 943100 | Möjlig sessionsfixeringsattack: Ange cookievärden i HTML |
| 943110 | Möjlig sessionskorrigeringsattack: Parameternamn för SessionID med Off-Domain referent |
| 943120 | Möjlig sessionskorrigeringsattack: Parameternamn för SessionID utan referens |
JAVA-attacker
| RuleId | Beskrivning |
|---|---|
| 944100 | Fjärrkommandokörning: Apache Struts, Oracle WebLogic |
| 944110 | Identifierar potentiell nyttolastkörning |
| 944120 | Möjlig nyttolastkörning och fjärrkommandokörning |
| 944130 | Misstänkta Java-klasser |
| 944200 | Utnyttjande av Java-deserialisering Apache Commons |
| 944210 | Möjlig användning av Java-serialisering |
| 944240 | Fjärrkommandokörning: Java-serialisering och Log4j-sårbarhet (CVE-2021-44228, CVE-2021-45046) |
| 944250 | Fjärrkommandokörning: Misstänkt Java-metod har identifierats |
MS-ThreatIntel-WebShells
| RuleId | Beskrivning |
|---|---|
| 99005002 | Web Shell Interaction Attempt (POST) |
| 99005003 | Uppladdningsförsök för Web Shell (POST) – CHOPPER PHP |
| 99005004 | Uppladdningsförsök för Web Shell (POST) – CHOPPER ASPX |
| 99005005 | Web Shell-interaktionsförsök |
| 99005006 | Spring4Shell-interaktionsförsök |
MS-ThreatIntel-AppSec
| RuleId | Beskrivning |
|---|---|
| 99030001 | Path Traversal Evasion i Rubriker (/.. /./.. /) |
| 99030002 | Path Traversal Evasion i begärandetexten (/.. /./.. /) |
MS-ThreatIntel-SQLI
| RuleId | Beskrivning |
|---|---|
| 99031001 | SQL-inmatningsattack: Vanliga inmatningstester har identifierats |
| 99031002 | SQL-kommentarsekvens identifierad. |
| 99031003 | SQL-inmatningsattack |
| 99031004 | Identifierar grundläggande försök att kringgå SQL-autentisering 2/3 |
MS-ThreatIntel-CVEs
| RuleId | Beskrivning |
|---|---|
| 99001001 | F5 tmui-försök (CVE-2020-5902) REST API-utnyttjande med kända autentiseringsuppgifter |
| 99001002 | Citrix-försök NSC_USER katalogbläddrings-CVE-2019-19781 |
| 99001003 | Försök Atlassian Confluence Widget Connector utnyttjande CVE-2019-3396 |
| 99001004 | Försökte Pulse Secure anpassad mall utnyttjande CVE-2020-8243 |
| 99001005 | Försök till exploatering av SharePoint-typkonverterare CVE-2020-0932 |
| 99001006 | Försökte Pulse Connect-katalogbläddrings-CVE-2019-11510 |
| 99001007 | Försökte Junos OS J-Web lokal fil inkludering CVE-2020-1631 |
| 99001008 | Fortinet-sökvägsförsök genom bläddrings-CVE-2018-13379 |
| 99001009 | Försökte Apache struts ognl injektion CVE-2017-5638 |
| 99001010 | Försökte Apache struts ognl injektion CVE-2017-12611 |
| 99001011 | Försök till Oracle WebLogic-sökväg genom bläddrings-CVE-2020-14882 |
| 99001012 | Försökte Telerik WebUI osäker deserialisering utnyttjande CVE-2019-18935 |
| 99001013 | Försök till oskyddad XML-deserialisering i SharePoint CVE-2019-0604 |
| 99001014 | Provad Spring Cloud-routningsuttryckinmatning CVE-2022-22963 |
| 99001015 | Försök till Spring Framework osäker klassobjekt utnyttjande CVE-2022-22965 |
| 99001016 | Provad Spring Cloud Gateway-ställdoninmatning CVE-2022-22947 |
Anteckning
När du granskar waf-loggarna kan du se regel-ID 949110. Beskrivningen av regeln kan innehålla Inkommande avvikelsepoäng har överskridits.
Den här regeln anger att den totala avvikelsepoängen för begäran överskred den högsta tillåtna poängen. Mer information finns i Avvikelsebedömning.
När du finjusterar dina WAF-principer måste du undersöka de andra reglerna som utlöstes av begäran så att du kan justera waf-konfigurationen. Mer information finns i Justera Web Application Firewall (WAF) för Azure Front Door.