Web Uygulaması Güvenlik Duvarı DRS kural grupları ve kuralları
Azure Front Door'da Azure Web Uygulaması Güvenlik Duvarı, web uygulamalarını yaygın güvenlik açıklarından ve açıklardan yararlanmalardan korur. Azure tarafından yönetilen kural kümeleri, yaygın güvenlik tehditlerine karşı koruma dağıtmak için kolay bir yol sağlar. Azure bu kural kümelerini yönettiğinden, kurallar yeni saldırı imzalarına karşı korunmak için gerektiği şekilde güncelleştirilir.
Varsayılan Kural Kümesi (DRS), daha fazla kapsam, belirli güvenlik açıklarına yönelik düzeltme ekleri ve daha iyi hatalı pozitif azaltma sağlamak için Microsoft Intelligence ekibiyle ortaklaşa yazılmış Microsoft Tehdit Bilgileri Toplama kurallarını da içerir.
Varsayılan kural kümeleri
Azure tarafından yönetilen DRS, aşağıdaki tehdit kategorilerine karşı kurallar içerir:
- Siteler arası betik çalıştırma
- Java saldırıları
- Yerel dosya ekleme
- PHP ekleme saldırıları
- Uzaktan komut yürütme
- Uzak dosya ekleme
- Oturum sabitleme
- SQL ekleme koruması
- Protokol saldırıları
Kural kümesine yeni saldırı imzaları eklendiğinde DRS'nin sürüm numarası artar.
DRS, WAF ilkelerinizde Algılama modunda varsayılan olarak etkindir. Uygulama gereksinimlerinizi karşılamak için DRS'de tek tek kuralları devre dışı bırakabilir veya etkinleştirebilirsiniz. Kural başına belirli eylemleri de ayarlayabilirsiniz. Kullanılabilir eylemler İzin Ver, Engelle, Günlük ve Yeniden Yönlendirme'dir.
Bazen bir web uygulaması güvenlik duvarı (WAF) değerlendirmesinden bazı istek özniteliklerini atlamanız gerekebilir. Yaygın bir örnek, kimlik doğrulaması için kullanılan Active Directory tarafından eklenen belirteçlerdir. Yönetilen kural, kural grubu veya kural kümesinin tamamı için bir dışlama listesi yapılandırabilirsiniz. Daha fazla bilgi için bkz. Azure Front Door'da Azure Web Uygulaması Güvenlik Duvarı dışlama listeleri.
Varsayılan olarak, DRS sürüm 2.0 ve üzeri bir istek bir kuralla eşleştiğinde anomali puanlaması kullanır. 2.0'dan önceki DRS sürümleri, kuralları tetikleyen istekleri engeller. Ayrıca, DRS'de önceden yapılandırılmış kurallardan herhangi birini atlamak istiyorsanız, özel kurallar aynı WAF ilkesinde yapılandırılabilir.
DRS'deki kurallar değerlendirilmeden önce her zaman özel kurallar uygulanır. bir istek özel bir kuralla eşleşiyorsa, ilgili kural eylemi uygulanır. İstek engellenir veya arka uca geçirilir. DrS'deki başka hiçbir özel kural veya kural işlenmez. DRS'yi WAF ilkelerinizden de kaldırabilirsiniz.
Microsoft Threat Intelligence Toplama kuralları
Microsoft Tehdit Bilgileri Toplama kuralları, daha fazla kapsam, belirli güvenlik açıklarına yönelik düzeltme ekleri ve daha iyi hatalı pozitif azaltma sağlamak için Microsoft Tehdit Bilgileri ekibiyle ortaklaşa yazılır.
Varsayılan olarak, Microsoft Threat Intelligence Toplama kuralları bazı yerleşik DRS kurallarının yerini alarak devre dışı bırakılmasına neden olur. Örneğin, kural kimliği 942440, SQL Açıklama Sırası Algılandı, devre dışı bırakıldı ve 99031002 Microsoft Tehdit Bilgileri Koleksiyonu kuralıyla değiştirildi. Değiştirilen kural, meşru isteklerden hatalı pozitif algılama riskini azaltır.
Anomali puanlaması
DRS 2.0 veya sonraki bir sürümü kullandığınızda WAF'niz anomali puanlaması kullanır. WAF'niz önleme modundayken bile herhangi bir kuralla eşleşen trafik hemen engellenmez. Bunun yerine, OWASP kural kümeleri her kural için bir önem derecesi tanımlar: Kritik, Hata, Uyarı veya Bildirim. Önem derecesi, anomali puanı olarak adlandırılan istek için sayısal bir değeri etkiler. bir istek 5 veya daha büyük bir anomali puanı biriktirirse, WAF istek üzerinde eylemde bulunur.
| Kural önem derecesi | Anomali puanına katkıda bulunan değer |
|---|---|
| Kritik | 5 |
| Hata | 4 |
| Uyarı | 3 |
| Not | 2 |
WAF'nizi yapılandırırken, WAF'nin anomali puanı eşiği olan 5'i aşan istekleri nasıl işleyeceklerine karar vekleyebilirsiniz. Üç anomali puanı eylem seçeneği Engelle, Günlük veya Yeniden Yönlendirme'dir. Yapılandırma sırasında seçtiğiniz anomali puanı eylemi, anomali puanı eşiğini aşan tüm isteklere uygulanır.
Örneğin, bir istekte anomali puanı 5 veya daha büyükse ve WAF Anomali puanı eylemi Engelle olarak ayarlanmış önleme modundaysa istek engellenir. Bir istekte anomali puanı 5 veya daha büyükse ve WAF Algılama modundaysa istek günlüğe kaydedilir ancak engellenmez.
Genel anomali puanı 5 olduğundan, önleme modunda anomali puanı eylemi Engelle olarak ayarlandığında WAF'nin bir isteği engellemesi için tek bir Kritik kural eşleşmesi yeterlidir. Ancak, bir Uyarı kuralı eşleşmesi anomali puanını yalnızca 3 artırır ve bu da trafiği engellemek için tek başına yeterli değildir. Bir anomali kuralı tetiklendiğinde, günlüklerde "eşleştirildi" eylemi gösterilir. Anomali puanı 5 veya daha büyükse, kural kümesi için yapılandırılmış anomali puanı eylemiyle ayrı bir kural tetiklenmiş olur. Varsayılan anomali puan eylemi Engelle'dir ve bu da eylemiyle blockedbir günlük girişiyle sonuçlanır.
WAF'niz Varsayılan Kural Kümesi'nin eski bir sürümünü (DRS 2.0'dan önce) kullandığında, WAF'niz geleneksel modda çalışır. Herhangi bir kuralla eşleşen trafik, diğer kural eşleşmelerinden bağımsız olarak kabul edilir. Geleneksel modda, belirli bir isteğin eşleştirdiği kurallar kümesinin tamamını göremezsiniz.
Kullandığınız DRS sürümü, istek gövdesi denetimi için hangi içerik türlerinin destekleneceğini de belirler. Daha fazla bilgi için SSS bölümünde WAF hangi içerik türlerini destekler? bölümüne bakın.
DRS 2.1
DRS 2.1 kuralları, DRS'nin önceki sürümlerinden daha iyi koruma sağlar. Microsoft Threat Intelligence ekibi tarafından geliştirilen diğer kuralları ve hatalı pozitif sonuçları azaltmak için imzalarda yapılan güncelleştirmeleri içerir. Ayrıca yalnızca URL kodunu çözmenin ötesinde dönüştürmeleri de destekler.
DRS 2.1, aşağıdaki tabloda gösterildiği gibi 17 kural grubu içerir. Her grup birden çok kural içerir ve tek tek kurallar, kural grupları veya kural kümesinin tamamı için davranışı özelleştirebilirsiniz. Daha fazla bilgi için bkz. Azure Front Door için ayarlama Web Uygulaması Güvenlik Duvarı (WAF).
Not
DRS 2.1 yalnızca Azure Front Door Premium'da kullanılabilir.
| Kural grubu | Yönetilen kural grubu kimliği | Açıklama |
|---|---|---|
| Genel | Genel | Genel grup |
| YÖNTEM ZORLAMA | YÖNTEM-ZORLAMA | Kilitleme yöntemleri (PUT, PATCH) |
| PROTOKOL ZORLAMA | PROTOKOL-ZORLAMA | Protokol ve kodlama sorunlarına karşı koruma |
| PROTOKOL SALDıRıSı | PROTOKOL-SALDIRI | Üst bilgi ekleme, istek kaçakçılığı ve yanıt bölmeye karşı koruma |
| APPLICATION-ATTACK-LFI | SLP | Dosya ve yol saldırılarına karşı koruma |
| APPLICATION-ATTACK-RFI | RFI | Uzak dosya ekleme (RFI) saldırılarına karşı koruma |
| APPLICATION-ATTACK-RCE | RCE | Uzaktan kod yürütme saldırılarını yeniden koruma |
| APPLICATION-ATTACK-PHP | PHP | PHP ekleme saldırılarına karşı koruma |
| APPLICATION-ATTACK-NodeJS | NODEJS | Node JS saldırılarına karşı koruma |
| APPLICATION-ATTACK-XSS | XSS | Siteler arası betik saldırılarına karşı koruma |
| APPLICATION-ATTACK-SQLI | SQLI | SQL ekleme saldırılarına karşı koruma |
| APPLICATION-ATTACK-SESSION-FIXATION | FIX | Oturum düzeltme saldırılarına karşı koruma |
| APPLICATION-ATTACK-SESSION-JAVA | JAVA | JAVA saldırılarına karşı koruma |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Web kabuğu saldırılarına karşı koruma |
| MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | AppSec saldırılarına karşı koruma |
| MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | SQLI saldırılarına karşı koruma |
| MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | CVE saldırılarına karşı koruma |
Devre dışı bırakılan kurallar
Aşağıdaki kurallar DRS 2.1 için varsayılan olarak devre dışı bırakılmıştır.
| Kural Kimliği | Kural grubu | Açıklama | Ayrıntılar |
|---|---|---|---|
| 942110 | SQLI | SQL Ekleme Saldırısı: Yaygın Ekleme Testi Algılandı | yerine MSTIC kuralı 99031001 |
| 942150 | SQLI | SQL Kodu Ekleme Saldırısı | YERINE MSTIC kuralı 99031003 |
| 942260 | SQLI | 3/2'de temel SQL kimlik doğrulaması atlama girişimlerini algılar | YERINE MSTIC kuralı 99031004 |
| 942430 | SQLI | Kısıtlanmış SQL Karakter Anomalisi Algılama (args): Özel karakter sayısı aşıldı (12) | Çok fazla hatalı pozitif sonuç |
| 942440 | SQLI | SQL Açıklama Sırası Algılandı | yerine MSTIC kuralı 99031002 |
| 99005006 | MS-ThreatIntel-WebShells | Spring4Shell Etkileşim Girişimi | SpringShell güvenlik açığına karşı önlemek için kuralı etkinleştirme |
| 99001014 | MS-ThreatIntel-CVEs | Spring Cloud yönlendirme-ifadesi ekleme girişimi CVE-2022-22963 | SpringShell güvenlik açığına karşı önlemek için kuralı etkinleştirme |
| 99001015 | MS-ThreatIntel-WebShells | Spring Framework güvenli olmayan sınıf nesnesi yararlanma girişimi CVE-2022-22965 | SpringShell güvenlik açığına karşı önlemek için kuralı etkinleştirme |
| 99001016 | MS-ThreatIntel-WebShells | Spring Cloud Gateway Aktüatör ekleme girişimi CVE-2022-22947 | SpringShell güvenlik açığına karşı önlemek için kuralı etkinleştirme |
| 99001017 | MS-ThreatIntel-CVEs | Apache Struts dosyası karşıya yükleme açıklarından cve-2023-50164 denendi. | Apache Struts güvenlik açığına karşı önlemek için kuralı etkinleştirme |
DRS 2.0
DRS 2.0 kuralları, DRS'nin önceki sürümlerinden daha iyi koruma sağlar. DRS 2.0, yalnızca URL kodunu çözmenin ötesinde dönüştürmeleri de destekler.
DRS 2.0, aşağıdaki tabloda gösterildiği gibi 17 kural grubu içerir. Her grup birden çok kural içerir. Tek tek kuralları ve kural gruplarının tamamını devre dışı bırakabilirsiniz.
Not
DRS 2.0 yalnızca Azure Front Door Premium'da kullanılabilir.
| Kural grubu | Yönetilen kural grubu kimliği | Açıklama |
|---|---|---|
| Genel | Genel | Genel grup |
| YÖNTEM ZORLAMA | YÖNTEM-ZORLAMA | Kilitleme yöntemleri (PUT, PATCH) |
| PROTOKOL ZORLAMA | PROTOKOL-ZORLAMA | Protokol ve kodlama sorunlarına karşı koruma |
| PROTOKOL SALDıRıSı | PROTOKOL-SALDIRI | Üst bilgi ekleme, istek kaçakçılığı ve yanıt bölmeye karşı koruma |
| APPLICATION-ATTACK-LFI | SLP | Dosya ve yol saldırılarına karşı koruma |
| APPLICATION-ATTACK-RFI | RFI | Uzak dosya ekleme (RFI) saldırılarına karşı koruma |
| APPLICATION-ATTACK-RCE | RCE | Uzaktan kod yürütme saldırılarını yeniden koruma |
| APPLICATION-ATTACK-PHP | PHP | PHP ekleme saldırılarına karşı koruma |
| APPLICATION-ATTACK-NodeJS | NODEJS | Node JS saldırılarına karşı koruma |
| APPLICATION-ATTACK-XSS | XSS | Siteler arası betik saldırılarına karşı koruma |
| APPLICATION-ATTACK-SQLI | SQLI | SQL ekleme saldırılarına karşı koruma |
| APPLICATION-ATTACK-SESSION-FIXATION | FIX | Oturum düzeltme saldırılarına karşı koruma |
| APPLICATION-ATTACK-SESSION-JAVA | JAVA | JAVA saldırılarına karşı koruma |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Web kabuğu saldırılarına karşı koruma |
| MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | AppSec saldırılarına karşı koruma |
| MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | SQLI saldırılarına karşı koruma |
| MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | CVE saldırılarına karşı koruma |
DRS 1.1
| Kural grubu | Yönetilen kural grubu kimliği | Açıklama |
|---|---|---|
| PROTOKOL SALDıRıSı | PROTOKOL-SALDIRI | Üst bilgi ekleme, istek kaçakçılığı ve yanıt bölmeye karşı koruma |
| APPLICATION-ATTACK-LFI | SLP | Dosya ve yol saldırılarına karşı koruma |
| APPLICATION-ATTACK-RFI | RFI | Uzak dosya ekleme saldırılarına karşı koruma |
| APPLICATION-ATTACK-RCE | RCE | Uzaktan komut yürütmeye karşı koruma |
| APPLICATION-ATTACK-PHP | PHP | PHP ekleme saldırılarına karşı koruma |
| APPLICATION-ATTACK-XSS | XSS | Siteler arası betik saldırılarına karşı koruma |
| APPLICATION-ATTACK-SQLI | SQLI | SQL ekleme saldırılarına karşı koruma |
| APPLICATION-ATTACK-SESSION-FIXATION | FIX | Oturum düzeltme saldırılarına karşı koruma |
| APPLICATION-ATTACK-SESSION-JAVA | JAVA | JAVA saldırılarına karşı koruma |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Web kabuğu saldırılarına karşı koruma |
| MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | AppSec saldırılarına karşı koruma |
| MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | SQLI saldırılarına karşı koruma |
| MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | CVE saldırılarına karşı koruma |
DRS 1.0
| Kural grubu | Yönetilen kural grubu kimliği | Açıklama |
|---|---|---|
| PROTOKOL SALDıRıSı | PROTOKOL-SALDIRI | Üst bilgi ekleme, istek kaçakçılığı ve yanıt bölmeye karşı koruma |
| APPLICATION-ATTACK-LFI | SLP | Dosya ve yol saldırılarına karşı koruma |
| APPLICATION-ATTACK-RFI | RFI | Uzak dosya ekleme saldırılarına karşı koruma |
| APPLICATION-ATTACK-RCE | RCE | Uzaktan komut yürütmeye karşı koruma |
| APPLICATION-ATTACK-PHP | PHP | PHP ekleme saldırılarına karşı koruma |
| APPLICATION-ATTACK-XSS | XSS | Siteler arası betik saldırılarına karşı koruma |
| APPLICATION-ATTACK-SQLI | SQLI | SQL ekleme saldırılarına karşı koruma |
| APPLICATION-ATTACK-SESSION-FIXATION | FIX | Oturum düzeltme saldırılarına karşı koruma |
| APPLICATION-ATTACK-SESSION-JAVA | JAVA | JAVA saldırılarına karşı koruma |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Web kabuğu saldırılarına karşı koruma |
| MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | CVE saldırılarına karşı koruma |
Bot kuralları
| Kural grubu | Açıklama |
|---|---|
| BadBots | Kötü botlara karşı koruma |
| GoodBots | İyi botları belirleme |
| UnknownBots | Bilinmeyen botları tanımlama |
Azure Front Door'da Azure Web Uygulaması Güvenlik Duvarı kullandığınızda aşağıdaki kural grupları ve kuralları kullanılabilir.
2.1 kural kümeleri
Genel
| RuleId | Açıklama |
|---|---|
| Kategori 200002 | İstek gövdesi ayrıştırılamadı |
| 200003 | Çok parçalı istek gövdesi katı doğrulama başarısız oldu |
Yöntem zorlama
| RuleId | Açıklama |
|---|---|
| Kategori 911100 | yönteme ilke tarafından izin verilmiyor |
Protokol uygulama
| RuleId | Açıklama |
|---|---|
| 920100 | Geçersiz HTTP İstek Satırı. |
| 920120 | Çok parçalı/form-veri atlama girişiminde bulunu. |
| 920121 | Çok parçalı/form-veri atlama girişiminde bulunu. |
| 920160 | İçerik Uzunluğu HTTP üst bilgisi sayısal değildir. |
| 920170 | Gövde İçeriği ile GET veya HEAD İsteği. |
| 920171 | Aktarım Kodlama ile GET veya HEAD İsteği. |
| 920180 | POST isteğinde İçerik Uzunluğu Üst Bilgisi eksik. |
| 920181 | İçerik Uzunluğu ve Aktarım-Kodlama üst bilgileri 99001003. |
| 920190 | Aralık: Geçersiz Son Bayt Değeri. |
| 920200 | Aralık: Çok fazla alan (6 veya daha fazla). |
| 920201 | Aralık: Pdf isteği için çok fazla alan (35 veya daha fazla). |
| 920210 | Birden Çok/Çakışan Bağlan ion Üst Bilgi Verileri Bulundu. |
| 920220 | URL Kodlama Kötüye Kullanım Saldırısı Girişimi. |
| 920230 | Birden çok URL Kodlama algılandı. |
| 920240 | URL Kodlama Kötüye Kullanım Saldırısı Girişimi. |
| 920260 | Unicode Tam/Yarı Genişlikli Kötüye Kullanım Saldırı Girişimi. |
| 920270 | İstekte geçersiz karakter (null karakter). |
| 920271 | İstekte geçersiz karakter (yazdırılamayan karakterler). |
| 920280 | Ana Bilgisayar Üst Bilgisi Eksik İsteği. |
| 920290 | Boş Konak Üst Bilgisi. |
| 920300 | İstekTe Kabul Üst Bilgisi Eksik. |
| 920310 | İsteğin Kabul Üst Bilgisi Boş. |
| 920311 | İsteğin Kabul Üst Bilgisi Boş. |
| 920320 | Eksik Kullanıcı Aracısı Üst Bilgisi. |
| 920330 | Boş Kullanıcı Aracısı Üst Bilgisi. |
| 920340 | İçerik İçeren İstek, ancak İçerik Türü üst bilgisi eksik. |
| 920341 | İçerik içeren istek için content-Type üst bilgisi gerekir. |
| 920350 | Ana bilgisayar üst bilgisi sayısal bir IP adresidir. |
| 920420 | İstek içerik türüne ilke tarafından izin verilmez. |
| 920430 | http protokolü sürümüne ilke tarafından izin verilmez. |
| 920440 | URL dosya uzantısı ilke tarafından kısıtlandı. |
| 920450 | HTTP üst bilgisi ilkeyle kısıtlanmıştır. |
| 920470 | Geçersiz İçerik Türü üst bilgisi. |
| 920480 | İstek içerik türü karakter kümesine ilke tarafından izin verilmez. |
| 920500 | Bir yedekleme veya çalışma dosyasına erişmeyi deneme. |
Protokol saldırısı
| RuleId | Açıklama |
|---|---|
| 921110 | HTTP İstek Kaçakçılık Saldırısı |
| 921120 | HTTP Yanıt Bölme Saldırısı |
| 921130 | HTTP Yanıt Bölme Saldırısı |
| 921140 | Üst bilgiler aracılığıyla HTTP Üst Bilgi Ekleme Saldırısı |
| 921150 | Yük aracılığıyla HTTP Üst Bilgi Ekleme Saldırısı (CR/LF algılandı) |
| 921151 | Yük aracılığıyla HTTP Üst Bilgi Ekleme Saldırısı (CR/LF algılandı) |
| 921160 | Yük aracılığıyla HTTP Üst Bilgi Ekleme Saldırısı (CR/LF ve üst bilgi adı algılandı) |
| 921190 | HTTP Bölme (istek dosya adında CR/LF algılandı) |
| 921200 | LDAP Ekleme Saldırısı |
LFI: Yerel dosya ekleme
| RuleId | Açıklama |
|---|---|
| 930100 | Yol Geçişi Saldırısı (/.. /) |
| Kategori 930110 | Yol Geçişi Saldırısı (/.. /) |
| 930120 | İşletim Sistemi Dosya Erişim Denemesi |
| 930130 | Kısıtlanmış Dosya Erişimi Denemesi |
RFI: Uzak dosya ekleme
| RuleId | Açıklama |
|---|---|
| 931100 | Olası Uzak Dosya Ekleme (RFI) Saldırısı: IP adresini kullanarak URL Parametresi |
| 931110 | Olası Uzak Dosya Ekleme (RFI) Saldırısı: Url Yükünde Kullanılan Yaygın RFI Güvenlik Açığı Olan Parametre Adı |
| 931120 | Olası Uzak Dosya Ekleme (RFI) Saldırısı: Url Yükü Kullanılan W/Sondaki Soru İşareti Karakteri (?) |
| 931130 | Olası Uzak Dosya Ekleme (RFI) Saldırısı: Etki Alanı Dışı Başvuru/Bağlantı |
RCE: Uzaktan komut yürütme
| RuleId | Açıklama |
|---|---|
| 932100 | Uzaktan Komut Yürütme: Unix Komut Ekleme |
| 932105 | Uzaktan Komut Yürütme: Unix Komut Ekleme |
| 932110 | Uzaktan Komut Yürütme: Windows Komut Ekleme |
| 932115 | Uzaktan Komut Yürütme: Windows Komut Ekleme |
| 932120 | Uzaktan Komut Yürütme: Windows PowerShell Komutu Bulundu |
| 932130 | Uzaktan Komut Yürütme: Unix Kabuk İfadesi veya Confluence Güvenlik Açığı (CVE-2022-26134) Bulundu |
| 932140 | Uzaktan Komut Yürütme: Windows FOR/IF Komutu Bulundu |
| 932150 | Uzaktan Komut Yürütme: Doğrudan Unix Komut Yürütme |
| 932160 | Uzaktan Komut Yürütme: Unix Kabuk Kodu Bulundu |
| 932170 | Uzaktan Komut Yürütme: Shellshock (CVE-2014-6271) |
| 932171 | Uzaktan Komut Yürütme: Shellshock (CVE-2014-6271) |
| 932180 | Kısıtlanmış Dosya Karşıya Yükleme Denemesi |
PHP saldırıları
| RuleId | Açıklama |
|---|---|
| 933100 | PHP Ekleme Saldırısı: Açma/Kapatma Etiketi Bulundu |
| 933110 | PHP Ekleme Saldırısı: PHP Betik Dosyasını Karşıya Yükleme Bulundu |
| 933120 | PHP Ekleme Saldırısı: Yapılandırma Yönergesi Bulundu |
| 933130 | PHP Ekleme Saldırısı: Değişkenler Bulundu |
| 933140 | PHP Ekleme Saldırısı: G/Ç Akışı Bulundu |
| 933150 | PHP Ekleme Saldırısı: Yüksek Riskli PHP İşlev Adı Bulundu |
| 933151 | PHP Ekleme Saldırısı: Orta Riskli PHP İşlev Adı Bulundu |
| 933160 | PHP Ekleme Saldırısı: Yüksek Riskli PHP İşlev Çağrısı Bulundu |
| 933170 | PHP Ekleme Saldırısı: Serileştirilmiş Nesne Ekleme |
| 933180 | PHP Ekleme Saldırısı: Değişken İşlev Çağrısı Bulundu |
| 933200 | PHP Ekleme Saldırısı: Sarmalayıcı şeması algılandı |
| 933210 | PHP Ekleme Saldırısı: Değişken İşlev Çağrısı Bulundu |
Düğüm JS saldırıları
| RuleId | Açıklama |
|---|---|
| 934100 | Node.js Ekleme Saldırısı |
XSS: Siteler arası betik oluşturma
| RuleId | Açıklama |
|---|---|
| 941100 | Libinjection aracılığıyla XSS Saldırısı Algılandı |
| 941101 | Libinjection aracılığıyla XSS Saldırısı Algılandı Kural, istekleri üst Referer bilgiyle algılar |
| 941110 | XSS Filtresi - Kategori 1: Betik Etiketi Vektör |
| 941120 | XSS Filtresi - Kategori 2: Olay İşleyici Vektör |
| 941130 | XSS Filtresi - Kategori 3: Öznitelik Vektör |
| 941140 | XSS Filtresi - Kategori 4: JavaScript URI Vektör |
| 941150 | XSS Filtresi - Kategori 5: İzin Verilmeyen HTML Öznitelikleri |
| 941160 | NoScript XSS InjectionChecker: HTML Ekleme |
| 941170 | NoScript XSS InjectionChecker: Öznitelik Ekleme |
| 941180 | Node-Validator Blok Listesi Anahtar Sözcükleri |
| 941190 | Stil sayfalarını kullanan XSS |
| 941200 | VML çerçeveleri kullanan XSS |
| 941210 | Belirsiz JavaScript kullanan XSS |
| 941220 | Karartılmış VB Betiği kullanan XSS |
| 941230 | Etiketi kullanan embed XSS |
| 941240 | veya implementation özniteliğini kullanarak import XSS |
| 941250 | IE XSS Filtreleri - Saldırı Algılandı |
| 941260 | Etiketi kullanan meta XSS |
| 941270 | href kullanarak link XSS |
| 941280 | Etiketi kullanan base XSS |
| 941290 | Etiketi kullanan applet XSS |
| 941300 | Etiketi kullanan object XSS |
| 941310 | US-ASCII Hatalı Biçimlendirilmiş Kodlama XSS Filtresi - Saldırı Algılandı |
| 941320 | Olası XSS Saldırısı Algılandı - HTML Etiketi İşleyicisi |
| 941330 | IE XSS Filtreleri - Saldırı Algılandı |
| 941340 | IE XSS Filtreleri - Saldırı Algılandı |
| 941350 | UTF-7 Kodlama IE XSS - Saldırı Algılandı |
| 941360 | JavaScript gizleme algılandı |
| 941370 | JavaScript genel değişkeni bulundu |
| 941380 | AngularJS istemci tarafı şablonu ekleme algılandı |
SQLI: SQL ekleme
| RuleId | Açıklama |
|---|---|
| 942100 | SQL Ekleme Saldırısı libinjection yoluyla algılandı. |
| 942110 | SQL Ekleme Saldırısı: Yaygın Ekleme Testi Algılandı. |
| 942120 | SQL Ekleme Saldırısı: SQL İşleci Algılandı. |
| 942140 | SQL Ekleme Saldırısı: Ortak VERITABANı Adları Algılandı. |
| 942150 | SQL Ekleme Saldırısı. |
| 942160 | sleep() veya benchmark() kullanarak kör SQLI testlerini algılar. |
| 942170 | Koşullu sorgular dahil olmak üzere SQL karşılaştırma ve uyku ekleme girişimlerini algılar. |
| 942180 | Temel SQL kimlik doğrulama atlama girişimlerini 1/3 algılar. |
| 942190 | MSSQL kod yürütme ve bilgi toplama girişimlerini algılar. |
| 942200 | MySQL açıklama/boşluk karartılmış eklemeleri ve arka uç sonlandırmayı algılar. |
| 942210 | Zincirleme SQL ekleme denemelerini 1/2 algılar. |
| 942220 | Tamsayı taşması saldırıları aranıyorsa, bunlar skipfish'ten alınır, ancak 3.0.00738585072007e-308 "sihirli sayı" kilitlenmesidir. |
| 942230 | Koşullu SQL ekleme girişimlerini algılar. |
| 942240 | MySQL karakter kümesi anahtarını ve MSSQL DoS girişimlerini algılar. |
| 942250 | MATCH AGAINST, MERGE ve EXECUTE anında eklemeleri algılar. |
| 942260 | 3/2 temel SQL kimlik doğrulama atlama girişimlerini algılar. |
| 942270 | Temel SQL eklemesi aranıyor. MySQL, Oracle ve diğerleri için yaygın saldırı dizesi. |
| 942280 | Postgres pg_sleep ekleme işlemini algılar, gecikme saldırılarını bekler ve veritabanı kapatma girişimlerini bekler. |
| 942290 | Temel MongoDB SQL ekleme girişimlerini bulur. |
| 942300 | MySQL açıklamalarını, koşullarını ve ch(a)r eklemelerini algılar. |
| 942310 | Zincirleme SQL ekleme denemelerini 2/2 algılar. |
| 942320 | MySQL ve PostgreSQL saklı yordamını/işlev eklemelerini algılar. |
| 942330 | Klasik SQL ekleme yoklamalarını 1/2 algılar. |
| 942340 | 3/3 temel SQL kimlik doğrulama atlama girişimlerini algılar. |
| 942350 | MySQL UDF ekleme ve diğer veri/yapı işleme girişimlerini algılar. |
| 942360 | Birleştirilmiş temel SQL ekleme ve SQLLFI girişimlerini algılar. |
| 942361 | Anahtar sözcük değişikliğine veya birleşime göre temel SQL eklemeyi algılar. |
| 942370 | Klasik SQL ekleme yoklamalarını 2/2 algılar. |
| 942380 | SQL Ekleme Saldırısı. |
| 942390 | SQL Ekleme Saldırısı. |
| 942400 | SQL Ekleme Saldırısı. |
| 942410 | SQL Ekleme Saldırısı. |
| 942430 | Kısıtlanmış SQL Karakter AnomaliSi Algılama (args): Özel karakter sayısı aşıldı (12). |
| 942440 | SQL Açıklama Sırası Algılandı. |
| 942450 | SQL Onaltılık Kodlama tanımlandı. |
| 942460 | Meta Karakter Anomali Algılama Uyarısı - Yinelenen Sözcük Olmayan Karakterler. |
| 942470 | SQL Ekleme Saldırısı. |
| 942480 | SQL Ekleme Saldırısı. |
| 942500 | MySQL satır içi açıklama algılandı. |
| 942510 | Algılanan keneler veya ters bağlantılar tarafından SQLi atlama girişimi. |
Oturum sabitleme
| RuleId | Açıklama |
|---|---|
| 943100 | Olası Oturum Düzeltme Saldırısı: HTML'de Tanımlama Bilgisi Değerlerini Ayarlama |
| 943110 | Olası Oturum Düzeltme Saldırısı: Etki Alanı Dışı Başvuran ile SessionID Parametre Adı |
| 943120 | Olası Oturum Düzeltme Saldırısı: Başvuran Olmadan SessionID Parametre Adı |
Java saldırıları
| RuleId | Açıklama |
|---|---|
| 944100 | Uzaktan Komut Yürütme: Apache Struts, Oracle WebLogic |
| 944110 | Olası yük yürütmesini algılar |
| 944120 | Olası yük yürütme ve uzaktan komut yürütme |
| 944130 | Şüpheli Java sınıfları |
| 944200 | Java seri durumdan çıkarma Apache Commons'ın kötüye kullanımı |
| 944210 | Java serileştirmesinin olası kullanımı |
| 944240 | Uzaktan Komut Yürütme: Java serileştirme ve Log4j güvenlik açığı (CVE-2021-44228, CVE-2021-45046) |
| 944250 | Uzaktan Komut Yürütme: Şüpheli Java yöntemi algılandı |
MS-ThreatIntel-WebShells
| RuleId | Açıklama |
|---|---|
| 99005002 | Web Kabuğu Etkileşim Girişimi (POST) |
| 99005003 | Web Kabuğu Karşıya Yükleme Denemesi (POST) - CHOPPER PHP |
| 99005004 | Web Kabuğu Karşıya Yükleme Denemesi (POST) - CHOPPER ASPX |
| 99005005 | Web Kabuğu Etkileşim Girişimi |
| 99005006 | Spring4Shell Etkileşim Girişimi |
MS-ThreatIntel-AppSec
| RuleId | Açıklama |
|---|---|
| 99030001 | Üst Bilgilerde Yol Geçişi Kaçışı (/.. /./.. /) |
| 99030002 | İstek Gövdesinde Yol Geçişi Kaçışı (/.. /./.. /) |
MS-ThreatIntel-SQLI
| RuleId | Açıklama |
|---|---|
| 99031001 | SQL Ekleme Saldırısı: Yaygın Ekleme Testi Algılandı |
| 99031002 | SQL Açıklama Sırası Algılandı |
| 99031003 | SQL Kodu Ekleme Saldırısı |
| 99031004 | 3/2'de temel SQL kimlik doğrulaması atlama girişimlerini algılar |
MS-ThreatIntel-CVEs
| RuleId | Açıklama |
|---|---|
| 99001001 | Bilinen kimlik bilgileriyle F5 tmui (CVE-2020-5902) REST API yararlanma girişimi |
| 99001002 | Citrix NSC_USER dizin geçişi CVE-2019-19781 denendi |
| 99001003 | Atlassian Confluence Widget Bağlan veya yararlanma girişimi CVE-2019-3396 |
| 99001004 | Pulse Secure özel şablondan yararlanma girişimi CVE-2020-8243 |
| 99001005 | SharePoint türü dönüştürücü yararlanma girişimi CVE-2020-0932 |
| 99001006 | Pulse Bağlan dizin geçişi CVE-2019-11510 denendi |
| 99001007 | Junos OS J-Web yerel dosya ekleme girişimi CVE-2020-1631 |
| 99001008 | Fortinet yolu geçişi CVE-2018-13379 denendi |
| 99001009 | Apache struts ognl ekleme girişimi CVE-2017-5638 |
| 99001010 | Apache struts ognl ekleme girişimi CVE-2017-12611 |
| 99001011 | Oracle WebLogic yol geçişi CVE-2020-14882 denendi |
| 99001012 | Telerik WebUI güvenli olmayan seri durumdan çıkarma girişimi CVE-2019-18935 |
| 99001013 | SharePoint güvenli olmayan XML seri durumdan çıkarma CVE-2019-0604 denendi |
| 99001014 | Spring Cloud yönlendirme-ifadesi ekleme girişimi CVE-2022-22963 |
| 99001015 | Spring Framework güvenli olmayan sınıf nesnesi yararlanma girişimi CVE-2022-22965 |
| 99001016 | Spring Cloud Gateway Aktüatör ekleme girişimi CVE-2022-22947 |
| 99001017 | Apache Struts dosya karşıya yükleme açıklarından yararlanma girişimi CVE-2023-50164 |
Not
WAF günlüklerinizi gözden geçirirken kural kimliği 949110'ı görebilirsiniz. Kuralın açıklaması Gelen Anomali Puanı Aşıldı olabilir.
Bu kural, istek için toplam anomali puanının izin verilen maksimum puanı aştığını gösterir. Daha fazla bilgi için bkz . Anomali puanlaması.
WAF ilkelerinizi ayarlarken, WAF'nizin yapılandırmasını ayarlayabilmeniz için istek tarafından tetiklenen diğer kuralları araştırmanız gerekir. Daha fazla bilgi için bkz. Azure Front Door için Azure Web Uygulaması Güvenlik Duvarı ayarlama.