你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Web 应用程序防火墙 DRS 规则组和规则

Azure Front Door 上的 Azure Web 应用程序防火墙可保护 Web 应用程序免受常见漏洞和攻击影响。 Azure 托管的规则集可轻松针对一组常见的安全威胁来部署保护。 由于规则集由 Azure 管理,因此这些规则会根据需要进行更新以防范新的攻击签名。

默认规则集 (DRS) 还包含由 Microsoft 情报团队合作编写的 Microsoft 威胁情报收集规则,可以提供更大的覆盖范围、针对特定漏洞的补丁,并更好地减少误报。

注意

当 WAF 策略中的规则集版本发生更改时,对规则集所做的任何现有自定义都将重置为新规则集的默认值。 请参阅:升级或更改规则集版本

默认规则集

Azure 托管的 DRS 包含针对以下威胁类别的规则:

  • 跨站点脚本
  • Java 攻击
  • 本地文件包含
  • PHP 注入攻击
  • 远程命令执行
  • 远程文件包含
  • 会话固定
  • SQL 注入保护
  • 协议攻击者

将新的攻击签名添加到规则集时,DRS 的版本号将递增。

DRS 在 WAF 策略的检测模式下默认启用。 可以禁用或启用 DRS 内的各个规则以满足应用程序要求。 还可以根据规则设置特定操作。 可采取的操作包括允许、阻止、记录和重定向

有时你可能需要忽略 Web 应用程序防火墙 (WAF) 评估中的某些请求属性。 一个常见的例子是用于身份验证的 Active Directory 插入令牌。 可以为托管规则、规则组或整个规则集配置排除列表。 有关详细信息,请参阅 Azure Front Door 上的 Web 应用程序防火墙排除列表

默认情况下,当请求与规则匹配时,DRS 2.0 及更高版本会使用异常评分。 早于 2.0 的 DRS 版本会阻止触发规则的请求。 此外,如果想要绕过 DRS 中的任何预配置规则,可以在同一 WAF 策略中配置自定义规则。

在评估 DRS 中的规则之前,自定义规则始终适用。 如果请求与某个自定义规则相匹配,将应用相应的规则操作。 请求将被阻止,或通过后端传递。 不会处理任何其他自定义规则或 DRS 中的规则。 还可以从 WAF 策略中删除 DRS。

Microsoft 威胁情报收集规则

Microsoft 威胁情报收集规则由 Microsoft 威胁情报团队合作编写,以提供更高的覆盖范围、针对特定漏洞的补丁,并更好地减少误报。

默认情况下,Microsoft 威胁情报收集规则会替换部分内置 DRS 规则,导致它们被禁用。 例如,规则 ID 942440“检测到 SQL 注释序列”已被禁用,并被 Microsoft 威胁情报收集规则 99031002 取代。 替换的规则可降低合法请求的误报检测的风险。

异常评分

使用 DRS 2.0 或更高版本时,WAF 使用异常评分。 即使 WAF 处于防护模式,也不会立即阻止与任何规则匹配的流量。 相反,OWASP 规则集会为每个规则定义严重性:“严重”、“错误”、“警告”或“通知”。 这些严重性会影响请求的数值,该数值称为异常分数。 如果请求累积的异常分数为 5 或更高,则 WAF 会对该请求执行操作。

规则严重性 对异常分数的贡献值
严重 5
错误 4
警告 3
通知 2

配置 WAF 时,可以决定 WAF 如何处理超过异常分数阈值 5 的请求。 三个异常分数操作选项是阻止、记录或重定向。 配置时选择的异常分数操作将应用于超过异常分数阈值的所有请求。

例如,如果请求的异常分数为 5 或更高,WAF 处于“预防”模式,且异常分数操作设置为“阻止”,则会阻止该请求。 如果请求的异常分数为 5 或更高,并且 WAF 处于“检测”模式,则会记录请求,但不会阻止请求。

在预防模式下,若异常分数操作设置为“阻止”,一个“严重”规则匹配就足以让 WAF 阻止请求,因为总体异常分数为 5。 但一个“警告”规则匹配仅使异常分数增加 3,而这并不足以阻止流量。 触发异常规则时,它会在日志中显示“匹配”操作。 如果异常分数为 5 或更高,则会触发一个单独的规则,其中包含为规则集配置的异常分数操作。 默认异常分数操作为“阻止”,这会生成包含 blocked 操作的日志条目。

当 WAF 使用早期版本的默认规则集(低于 DRS 2.0 的版本)时,WAF 以传统模式运行。 与任何规则匹配的流量被视为独立于任何其他规则匹配。 在传统模式下,无法查看与特定请求匹配的完整规则集。

所用 DRS 版本还会确定请求正文检查支持哪些内容类型。 有关更多信息,请参阅常见问题中的 WAF 支持哪些内容类型

偏执狂级别

每条规则都分配在特定的偏执狂级别 (PL) 中。 在 Paranoia 级别 1 (PL1) 中配置的规则不太激进,并且几乎从不会触发误报。 它们提供基础安全性,几乎不需要进行微调。 PL2 中的规则检测到更多攻击,但预计会触发误报,应进行微调。

默认情况下,所有 DRS 规则版本都在 Paranoia Level 2 中预配置,包括在 PL1 和 PL2 中分配的规则。 如果希望在 WAF 仅使用 PL1,可以禁用任何或所有 PL2 规则,或者将其操作更改为“log”。 AZURE WAF 目前不支持 PL3 和 PL4。

升级或更改规则集版本

如果要升级或分配新的规则集版本,并且想要保留现有规则替代和排除项,建议使用 PowerShell、CLI、REST API 或模板进行规则集版本更改。 规则集的新版本可以有更新的规则、附加规则组,并可能对现有签名进行更新,以强制实施更好的安全性并减少误报。 建议验证测试环境中的更改,根据需要微调,然后在生产环境中部署。

注意

如果使用 Azure 门户将新的托管规则集分配给 WAF 策略,则现有托管规则集(如规则状态、规则作和规则级别排除)的所有以前的自定义都将重置为新的托管规则集的默认值。 但是,在分配新规则集期间,任何自定义规则或策略设置均不受影响。 在生产环境中部署之前,需要重新定义规则替代和验证更改。

DRS 2.1

DRS 2.1 规则可以比早期版本的 DRS 提供更好的保护。 它包括 Microsoft 威胁情报团队开发的其他规则和签名更新,因此可以减少误报。 它还支持 URL 解码以外的转换。

DRS 2.1 包括下表中所示的 17 个规则组。 每个组包含多个规则,你可以自定义各个规则、规则组或整个规则集的行为。 DRS 2.1 以 Open Web Application Security Project (OWASP) 核心规则集 (CRS) 3.3.2 为基准,包含由 Microsoft 威胁情报团队制定的其他专有保护规则。

有关详细信息,请参阅优化 Azure Front Door 的 Web 应用程序防火墙 (WAF)

注意

DRS 2.1 仅在 Azure Front Door 高级版中可用。

规则组 ruleGroupName (规则组名称) 说明
常规 常规 常规组
方法强制 METHOD-ENFORCEMENT 锁定方法(PUT、PATCH)
协议实施 协议执行 防范协议和编码问题
协议攻击 PROTOCOL-ATTACK 防范标头注入、请求走私和响应拆分
应用程序攻击 LFI LFI 防范文件和路径攻击
应用程序攻击 RFI 射频 干扰 防范远程文件包含 (RFI) 攻击
应用程序攻击 - RCE RCE 防范远程代码执行攻击
应用程序攻击 PHP PHP 防范 PHP 注入攻击
应用程序攻击 NodeJS 节点 防范 Node JS 攻击
应用程序攻击 XSS XSS (XSS) 防范跨站点脚本攻击
应用程序攻击 SQLI SQLI 防范 SQL 注入攻击
应用程序攻击会话固定 修复 防范会话固定攻击
应用程序攻击会话 JAVA 爪哇岛 防范 JAVA 攻击
MS-ThreatIntel-WebShells MSThreatIntel-WebShells 防范 Web shell 攻击
MS-威胁Intel-AppSec MSThreatIntel-AppSec 防范 AppSec 攻击
MS-威胁Intel-SQLI MSThreatIntel-SQLI 防范 SQLI 攻击
MS-威胁Intel-CVE MSThreatIntel-CVEs 防范 CVE 攻击

禁用的规则

对于 DRS 2.1,默认情况下会禁用下列规则。

规则 ID 规则组 说明 详细信息
942110 SQLI SQL 注入攻击:检测到常见注入测试 被 MSTIC 规则 99031001 替代
942150 SQLI SQL 注入攻击 被 MSTIC 规则 99031003 替代
942260 SQLI 检测到基本 SQL 身份验证绕过尝试 2/3 被 MSTIC 规则 99031004 替代
942430 SQLI 受限 SQL 字符异常情况检测 (args):已超出特殊字符数 (12) 假正太多
942440 SQLI 检测到 SQL 注释序列 被 MSTIC 规则 99031002 替代
99005006 MSThreatIntel-WebShells Spring4Shell 交互尝试 启用规则以防止 SpringShell 漏洞
99001014 MSThreatIntel-CVEs 尝试使用 Spring Cloud 路由表达式注入 CVE-2022-22963 启用规则以防止 SpringShell 漏洞
99001015 MSThreatIntel-WebShells 尝试使用 Spring Framework 不安全类对象利用 CVE-2022-22965 启用规则以防止 SpringShell 漏洞
99001016 MSThreatIntel-WebShells 尝试 Spring Cloud 网关执行器注入 CVE-2022-22947 启用规则以防止 SpringShell 漏洞
99001017 MSThreatIntel-CVEs 尝试使用 Apache Struts 文件上传利用 CVE-2023-50164 启用规则来防止 Apache Struts 漏洞

DRS 2.0

DRS 2.0 规则能比早期版本的 DRS 提供更好的保护。 DRS 2.0 还支持 URL 解码以外的转换。

DRS 2.0 包含下表中所示的 17 个规则组。 每个组可包含多个规则。 可以禁用单个规则和整个规则组。

注意

DRS 2.0 仅在 Azure Front Door 高级版中可用。

规则组 ruleGroupName (规则组名称) 说明
常规 常规 常规组
方法强制 METHOD-ENFORCEMENT 锁定方法(PUT、PATCH)
协议实施 协议执行 防范协议和编码问题
协议攻击 PROTOCOL-ATTACK 防范标头注入、请求走私和响应拆分
应用程序攻击 LFI LFI 防范文件和路径攻击
应用程序攻击 RFI 射频 干扰 防范远程文件包含 (RFI) 攻击
应用程序攻击 - RCE RCE 防范远程代码执行攻击
应用程序攻击 PHP PHP 防范 PHP 注入攻击
应用程序攻击 NodeJS 节点 防范 Node JS 攻击
应用程序攻击 XSS XSS (XSS) 防范跨站点脚本攻击
应用程序攻击 SQLI SQLI 防范 SQL 注入攻击
应用程序攻击会话固定 修复 防范会话固定攻击
应用程序攻击会话 JAVA 爪哇岛 防范 JAVA 攻击
MS-ThreatIntel-WebShells MSThreatIntel-WebShells 防范 Web shell 攻击
MS-威胁Intel-AppSec MSThreatIntel-AppSec 防范 AppSec 攻击
MS-威胁Intel-SQLI MSThreatIntel-SQLI 防范 SQLI 攻击
MS-威胁Intel-CVE MSThreatIntel-CVEs 防范 CVE 攻击

DRS 1.1

规则组 ruleGroupName (规则组名称) 说明
协议攻击 PROTOCOL-ATTACK 防范标头注入、请求走私和响应拆分
应用程序攻击 LFI LFI 防范文件和路径攻击
应用程序攻击 RFI 射频 干扰 防范远程文件包含攻击
应用程序攻击 - RCE RCE 防止远程命令执行
应用程序攻击 PHP PHP 防范 PHP 注入攻击
应用程序攻击 XSS XSS (XSS) 防范跨站点脚本攻击
应用程序攻击 SQLI SQLI 防范 SQL 注入攻击
应用程序攻击会话固定 修复 防范会话固定攻击
应用程序攻击会话 JAVA 爪哇岛 防范 JAVA 攻击
MS-ThreatIntel-WebShells MSThreatIntel-WebShells 防范 Web shell 攻击
MS-威胁Intel-AppSec MSThreatIntel-AppSec 防范 AppSec 攻击
MS-威胁Intel-SQLI MSThreatIntel-SQLI 防范 SQLI 攻击
MS-威胁Intel-CVE MSThreatIntel-CVEs 防范 CVE 攻击

数据迁移服务 1.0

规则组 ruleGroupName (规则组名称) 说明
协议攻击 PROTOCOL-ATTACK 防范标头注入、请求走私和响应拆分
应用程序攻击 LFI LFI 防范文件和路径攻击
应用程序攻击 RFI 射频 干扰 防范远程文件包含攻击
应用程序攻击 - RCE RCE 防止远程命令执行
应用程序攻击 PHP PHP 防范 PHP 注入攻击
应用程序攻击 XSS XSS (XSS) 防范跨站点脚本攻击
应用程序攻击 SQLI SQLI 防范 SQL 注入攻击
应用程序攻击会话固定 修复 防范会话固定攻击
应用程序攻击会话 JAVA 爪哇岛 防范 JAVA 攻击
MS-ThreatIntel-WebShells MSThreatIntel-WebShells 防范 Web shell 攻击
MS-威胁Intel-CVE MSThreatIntel-CVEs 防范 CVE 攻击

机器人管理器 1.0

Bot Manager 1.0 规则集可防范恶意机器人并检测出善意机器人。 这些规则通过将机器人流量划分为“善意”、“恶意”或“未知”机器人,对 WAF 检测到的机器人进行精细控制。

规则组 说明
恶意机器人 防范恶意机器人
GoodBots 机器人 识别善意机器人
未知机器人 标识未知机器人

机器人管理器 1.1

Bot Manager 1.1 规则集是 Bot Manager 1.0 规则集的增强版。 它增强了对恶意机器人的防范,并增加了善意机器人检测。

规则组 说明
恶意机器人 防范恶意机器人
GoodBots 机器人 识别善意机器人
未知机器人 标识未知机器人

使用 Azure Front Door 上的 Azure Web 应用程序防火墙时,可以使用以下规则组和规则。

2.1 规则集

常规

规则 ID 异常分数严重性 偏执狂级别 说明
200002 严重 - 5 1 未能分析请求正文
200003 严重 - 5 1 多部分请求正文无法通过严格的验证

方法强制实施

规则 ID 异常分数严重性 偏执狂级别 说明
911100 严重 - 5 1 方法不被策略允许

协议执行

规则 ID 异常分数严重性 偏执狂级别 说明
920100 通知 - 2 1 无效的 HTTP 请求行
920120 严重 - 5 1 尝试了多部分/表单数据绕过
920121 严重 - 5 2 尝试了多部分/表单数据绕过
920160 严重 - 5 1 Content-Length HTTP 标头不是数值
920170 严重 - 5 1 包含正文内容的 GET 或 HEAD 请求
920171 严重 - 5 1 包含 Transfer-Encoding 的 GET 或 HEAD 请求
920180 通知 - 2 1 POST 请求缺少 Content-Length 标头
920181 警告 - 3 1 Content-Length 和 Transfer-Encoding 标头存在 99001003
920190 警告 - 3 1 范围:最后一个字节值无效
920200 警告 - 3 2 范围:字段太多(6 个或以上)
920201 警告 - 3 2 范围:pdf 请求的字段太多(35 个或以上)
920210 警告 - 3 1 找到了多个/有冲突的连接标头数据
920220 警告 - 3 1 URL 编码滥用攻击尝试
920230 警告 - 3 2 检测到多个 URL 编码
920240 警告 - 3 1 URL 编码滥用攻击尝试
920260 警告 - 3 1 Unicode 全角/半角滥用攻击企图
920270 严重 - 5 1 请求中的字符无效(null 字符)
920271 严重 - 5 2 请求中的字符无效(不可打印的字符)
920280 警告 - 3 1 请求缺少 Host 标头
920290 警告 - 3 1 Host 标头为空
920300 通知 - 2 2 请求缺少 Accept 标头
920310 通知 - 2 1 请求包含空的 Accept 标头
920311 通知 - 2 1 请求包含空的 Accept 标头
920320 通知 - 2 2 缺少用户代理标头
920330 通知 - 2 1 用户代理标头为空
920340 通知 - 2 1 请求中包含内容,但缺少 Content-Type 标头
920341 严重 - 5 2 包含内容的请求需要 Content-Type 标头
920350 警告 - 3 1 Host 标头是数字 IP 地址
920420 严重 - 5 1 请求的内容类型被政策禁止
920430 严重 - 5 1 HTTP 协议版本不受策略允许
920440 严重 - 5 1 策略限制了 URL 文件扩展名
920450 严重 - 5 1 策略限制了 HTTP 标头
920470 严重 - 5 1 Content-Type 标头非法
920480 严重 - 5 1 请求内容类型字符集不受策略允许
920500 严重 - 5 1 尝试访问备份或正在工作的文件

协议攻击

规则 ID 异常分数严重性 偏执狂级别 说明
921110 严重 - 5 1 HTTP 请求走私攻击
921120 严重 - 5 1 HTTP 响应拆分攻击
921130 严重 - 5 1 HTTP 响应拆分攻击
921140 严重 - 5 1 通过标头展开的 HTTP 标头注入攻击
921150 严重 - 5 1 通过有效负载展开的 HTTP 标头注入攻击(检测到 CR/LF)
921151 严重 - 5 2 通过有效负载展开的 HTTP 标头注入攻击(检测到 CR/LF)
921160 严重 - 5 1 通过有效负载展开的 HTTP 标头注入攻击(检测到 CR/LF 和标头名称)
921190 严重 - 5 1 HTTP 拆分(在请求文件名中检测到 CR/LF)
921200 严重 - 5 1 LDAP 注入攻击

LFI:本地文件包含

规则 ID 异常分数严重性 偏执狂级别 说明
930100 严重 - 5 1 路径遍历攻击 (/../)
930110 严重 - 5 1 路径遍历攻击 (/../)
930120 严重 - 5 1 OS 文件访问企图
930130 严重 - 5 1 受限文件访问企图

RFI:远程文件包含

规则 ID 异常分数严重性 偏执狂级别 说明
931100 严重 - 5 1 可能的远程文件包含 (RFI) 攻击:使用 IP 地址的 URL 参数
931110 严重 - 5 1 可能的远程文件包含 (RFI) 攻击:对 URL 有效负载使用常见 RFI 漏洞参数名
931120 严重 - 5 1 可能的远程文件包含 (RFI) 攻击:在 URL 有效负载中使用尾随问号 (?)
931130 严重 - 5 2 可能的远程文件包含 (RFI) 攻击:域外引用/链接

RCE:远程命令执行

规则 ID 异常分数严重性 偏执狂级别 说明
932100 严重 - 5 1 远程命令执行:Unix 命令注入
932105 严重 - 5 1 远程命令执行:Unix 命令注入
932110 严重 - 5 1 远程命令执行:Windows 命令注入
932115 严重 - 5 1 远程命令执行:Windows 命令注入
932120 严重 - 5 1 远程命令执行:找到 Windows PowerShell 命令
932130 严重 - 5 1 远程命令执行:找到了 Unix Shell 表达式或 Confluence 漏洞 (CVE-2022-26134)
932140 严重 - 5 1 远程命令执行:找到 Windows FOR/IF 命令
932150 严重 - 5 1 远程命令执行:直接 Unix 命令执行
932160 严重 - 5 1 远程命令执行:找到 Unix Shell 代码
932170 严重 - 5 1 远程命令执行:Shellshock (CVE-2014-6271)
932171 严重 - 5 1 远程命令执行:Shellshock (CVE-2014-6271)
932180 严重 - 5 1 受限文件上传企图

PHP 攻击

规则 ID 异常分数严重性 偏执狂级别 说明
933100 严重 - 5 1 PHP 注入攻击:找到开始/结束标记
933110 严重 - 5 1 PHP 注入攻击:找到 PHP 脚本文件上传
933120 严重 - 5 1 PHP 注入攻击:找到配置指令
933130 严重 - 5 1 PHP 注入攻击:找到变量
933140 严重 - 5 1 PHP 注入攻击:找到 I/O 流
933150 严重 - 5 1 PHP 注入攻击:找到高风险的 PHP 函数名称
933151 严重 - 5 2 PHP 注入攻击:找到中等风险的 PHP 函数名称
933160 严重 - 5 1 PHP 注入攻击:找到高风险的 PHP 函数调用
933170 严重 - 5 1 PHP 注入攻击:序列化对象注入
933180 严重 - 5 1 PHP 注入攻击:找到可变函数调用
933200 严重 - 5 1 PHP 注入攻击:检测到包装器方案
933210 严重 - 5 1 PHP 注入攻击:找到可变函数调用

Node JS 攻击

规则 ID 异常分数严重性 偏执狂级别 说明
934100 严重 - 5 1 Node.js 注入攻击

XSS:跨站脚本

规则 ID 异常分数严重性 偏执狂级别 说明
941100 严重 - 5 1 检测到通过 libinjection 展开的 XSS 攻击
941101 严重 - 5 2 检测到通过 libinjection 展开的 XSS 攻击
规则检测到带有 Referer 标头的请求
941110 严重 - 5 1 XSS 筛选器 - 类别 1:脚本标记向量
941120 严重 - 5 1 XSS 筛选器 - 类别 2:事件处理程序向量
941130 严重 - 5 1 XSS 筛选器 - 类别 3:属性向量
941140 严重 - 5 1 XSS 筛选器 - 类别 4:Javascript URI 向量
941150 严重 - 5 2 XSS 筛选器 - 类别 5:不允许的 HTML 属性
941160 严重 - 5 1 NoScript XSS InjectionChecker:HTML 注入
941170 严重 - 5 1 NoScript XSS InjectionChecker:属性注入
941180 严重 - 5 1 节点验证器阻止列表关键字
941190 严重 - 5 1 使用样式表的 XSS
941200 严重 - 5 1 使用 VML 帧的 XSS
941210 严重 - 5 1 使用经过模糊处理的 Javascript 的 XSS
941220 严重 - 5 1 使用经过模糊处理的 VB Script 的 XSS
941230 严重 - 5 1 使用 embed 标记的 XSS
941240 严重 - 5 1 使用 importimplementation 属性的 XSS
941250 严重 - 5 1 IE XSS 筛选器 - 检测到攻击
941260 严重 - 5 1 使用 meta 标记的 XSS
941270 严重 - 5 1 使用 link href 的 XSS
941280 严重 - 5 1 使用 base 标记的 XSS
941290 严重 - 5 1 使用 applet 标记的 XSS
941300 严重 - 5 1 使用 object 标记的 XSS
941310 严重 - 5 1 US-ASCII 格式错误编码 XSS 筛选器 - 检测到攻击
941320 严重 - 5 2 检测到可能的 XSS 攻击 - HTML 标记处理程序
941330 严重 - 5 2 IE XSS 筛选器 - 检测到攻击
941340 严重 - 5 2 IE XSS 筛选器 - 检测到攻击
941350 严重 - 5 1 UTF-7 编码 IE XSS - 检测到攻击
941360 严重 - 5 1 检测到 JavaScript 混淆
941370 严重 - 5 1 找到 JavaScript 全局变量
941380 严重 - 5 2 检测到 AngularJS 客户端模板注入

SQLI:SQL 注入

规则 ID 异常分数严重性 偏执狂级别 说明
942100 严重 - 5 1 检测到通过 libinjection 展开的 SQL 注入攻击
942110 警告 - 3 2 SQL 注入攻击:检测到常见注入测试
942120 严重 - 5 2 SQL 注入攻击:检测到 SQL 运算符
942140 严重 - 5 1 SQL 注入攻击:检测到常用 DB 名称
942150 严重 - 5 2 SQL 注入攻击
942160 严重 - 5 1 使用 sleep() 或 benchmark() 检测盲 SQLI 测试
942170 严重 - 5 1 检测到包含条件查询的 SQL 基准和休眠注入企图
942180 严重 - 5 2 检测到基本 SQL 身份验证绕过尝试 1/3
942190 严重 - 5 1 检测到尝试进行 MSSQL 代码执行和信息收集的行为
942200 严重 - 5 2 检测到 MySQL 注释/空间经过模糊处理的注入和反引号终止
942210 严重 - 5 2 检测链式 SQL 注入尝试次数 1/2
942220 严重 - 5 1 查找整数溢出攻击,这些攻击来自 skipfish,但 3.0.00738585072007e-308 是“幻数”故障
942230 严重 - 5 1 检测条件式 SQL 注入企图
942240 严重 - 5 1 检测 MySQL 字符集切换和 MSSQL 拒绝服务攻击尝试
942250 严重 - 5 1 检测 MATCH AGAINST、MERGE 和 EXECUTE IMMEDIATE 注入
942260 严重 - 5 2 检测到基本 SQL 身份验证绕过尝试 2/3
942270 严重 - 5 1 正在查找基本 SQL 注入。 MySQL、Oracle 等的常见攻击字符串
942280 严重 - 5 1 检测 Postgres pg_sleep注入、等待延迟攻击和数据库关闭尝试
942290 严重 - 5 1 查找基本 MongoDB SQL 注入企图
942300 严重 - 5 2 检测到 MySQL 注释、条件和 ch(a)r 注入
942310 严重 - 5 2 检测链式 SQL 注入尝试次数 2/2
942320 严重 - 5 1 检测 MySQL 和 PostgreSQL 存储过程/函数注入
942330 严重 - 5 2 检测到经典 SQL 注入探测 1/2
942340 严重 - 5 2 检测到基本 SQL 身份验证绕过尝试 3/3
942350 严重 - 5 1 检测 MySQL UDF 注入和其他数据/结构操作企图
942360 严重 - 5 1 检测到连接的基本 SQL 注入和 SQLLFI 尝试
942361 严重 - 5 2 检测基于关键字 alter 或 union 的基本 SQL 注入
942370 严重 - 5 2 检测到经典 SQL 注入探测 2/2
942380 严重 - 5 2 SQL 注入攻击
942390 严重 - 5 2 SQL 注入攻击
942400 严重 - 5 2 SQL 注入攻击
942410 严重 - 5 2 SQL 注入攻击
942430 警告 - 3 2 受限 SQL 字符异常情况检测 (args):已超出特殊字符数 (12)
942440 严重 - 5 2 检测到 SQL 注释序列
942450 严重 - 5 2 识别到 SQL 十六进制编码
942470 严重 - 5 2 SQL 注入攻击
942480 严重 - 5 2 SQL 注入攻击
942500 严重 - 5 1 检测到 MySQL 内联注释
942510 严重 - 5 2 检测到引号或反引号尝试 SQLi 绕过

会话固定

规则 ID 异常分数严重性 偏执狂级别 说明
943100 严重 - 5 1 可能的会话固定攻击:在 HTML 中设置 Cookie 值
943110 严重 - 5 1 可能的会话固定攻击:包含域外引用方的 SessionID 参数名称
943120 严重 - 5 1 可能的会话固定攻击:不包含引用方的 SessionID 参数名称

Java 攻击

规则 ID 异常分数严重性 偏执狂级别 说明
944100 严重 - 5 1 远程命令执行:Apache Struts、Oracle WebLogic
944110 严重 - 5 1 检测潜在的有效负载执行
944120 严重 - 5 1 可能的有效负载执行和远程命令执行
944130 严重 - 5 1 可疑的 Java 类
944200 严重 - 5 2 利用 Java 反序列化 Apache Commons
944210 严重 - 5 2 可能使用 Java 序列化
944240 严重 - 5 2 远程命令执行:Java 序列化和 Log4j 漏洞(CVE-2021-44228CVE-2021-45046
944250 严重 - 5 2 远程命令执行:检测到可疑的 Java 方法

MSThreatIntel-WebShells

规则 ID 异常分数严重性 偏执狂级别 说明
99005002 严重 - 5 2 Web Shell 交互尝试 (POST)
99005003 严重 - 5 2 Web Shell 上传尝试 (POST) - CHOPPER PHP
99005004 严重 - 5 2 Web Shell 上传尝试 (POST) - CHOPPER ASPX
99005005 严重 - 5 2 Web Shell 交互尝试
99005006 严重 - 5 2 Spring4Shell 交互尝试

MSThreatIntel-AppSec

规则 ID 异常分数严重性 偏执狂级别 说明
99030001 严重 - 5 2 标头中的路径遍历规避 (/.././../)
99030002 严重 - 5 2 请求正文中的路径遍历规避 (/.././../)

MSThreatIntel-SQLI

规则 ID 异常分数严重性 偏执狂级别 说明
99031001 警告 - 3 2 SQL 注入攻击:检测到常见注入测试
99031002 严重 - 5 2 检测到 SQL 注释序列
99031003 严重 - 5 2 SQL 注入攻击
99031004 严重 - 5 2 检测到基本 SQL 身份验证绕过尝试 2/3

MSThreatIntel-CVEs

规则 ID 异常分数严重性 偏执狂级别 说明
99001001 严重 - 5 2 使用已知凭据尝试利用 F5 tmui (CVE-2020-5902) REST API
99001002 严重 - 5 2 试图遍历 Citrix NSC_USER 目录 CVE-2019-19781
99001003 严重 - 5 2 试图利用 Atlassian Confluence 小组件连接器 CVE-2019-3396
99001004 严重 - 5 2 试图利用 Pulse Secure 自定义模板 CVE-2020-8243
99001005 严重 - 5 2 试图利用 SharePoint 类型转换器 CVE-2020-0932
99001006 严重 - 5 2 试图遍历 Pulse Connect 目录 CVE-2019-11510
99001007 严重 - 5 2 试图包含 Junos OS J-Web 本地文件 CVE-2020-1631
99001008 严重 - 5 2 试图遍历 Fortinet 路径 CVE-2018-13379
99001009 严重 - 5 2 试图进行 Apache struts ognl 注入 CVE-2017-5638
99001010 严重 - 5 2 试图进行 Apache struts ognl 注入 CVE-2017-12611
99001011 严重 - 5 2 试图遍历 Oracle WebLogic 路径 CVE-2020-14882
99001012 严重 - 5 2 试图利用 Telerik WebUI 不安全反序列化 CVE-2019-18935
99001013 严重 - 5 2 试图进行 SharePoint 不安全 XML 反序列化 CVE-2019-0604
99001014 严重 - 5 2 尝试使用 Spring Cloud 路由表达式注入 CVE-2022-22963
99001015 严重 - 5 2 尝试使用 Spring Framework 不安全类对象利用 CVE-2022-22965
99001016 严重 - 5 2 尝试 Spring Cloud 网关执行器注入 CVE-2022-22947
99001017 严重 - 5 2 尝试使用 Apache Struts 文件上传利用 CVE-2023-50164

注意

查看 WAF 的日志时,可能会看到规则 ID 949110。 规则说明中可能包括“入站异常分数超出阈值”。

此规则指示请求的总异常分数超出了允许的最大分数。 有关详细信息,请参阅异常评分

优化 WAF 策略时,需要调查请求触发的其他规则,以便调整 WAF 的配置。 有关详细信息,请参阅优化 Azure Front Door 的 Azure Web 应用程序防火墙