你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure Front Door 上的 Azure Web 应用程序防火墙可保护 Web 应用程序免受常见漏洞和攻击影响。 Azure 托管的规则集可轻松针对一组常见的安全威胁来部署保护。 由于规则集由 Azure 管理,因此这些规则会根据需要进行更新以防范新的攻击签名。
默认规则集 (DRS) 还包含由 Microsoft 情报团队合作编写的 Microsoft 威胁情报收集规则,可以提供更大的覆盖范围、针对特定漏洞的补丁,并更好地减少误报。
注意
当 WAF 策略中的规则集版本发生更改时,对规则集所做的任何现有自定义都将重置为新规则集的默认值。 请参阅:升级或更改规则集版本。
默认规则集
Azure 托管的 DRS 包含针对以下威胁类别的规则:
- 跨站点脚本
- Java 攻击
- 本地文件包含
- PHP 注入攻击
- 远程命令执行
- 远程文件包含
- 会话固定
- SQL 注入保护
- 协议攻击者
将新的攻击签名添加到规则集时,DRS 的版本号将递增。
DRS 在 WAF 策略的检测模式下默认启用。 可以禁用或启用 DRS 内的各个规则以满足应用程序要求。 还可以根据规则设置特定操作。 可采取的操作包括允许、阻止、记录和重定向。
有时你可能需要忽略 Web 应用程序防火墙 (WAF) 评估中的某些请求属性。 一个常见的例子是用于身份验证的 Active Directory 插入令牌。 可以为托管规则、规则组或整个规则集配置排除列表。 有关详细信息,请参阅 Azure Front Door 上的 Web 应用程序防火墙排除列表。
默认情况下,当请求与规则匹配时,DRS 2.0 及更高版本会使用异常评分。 早于 2.0 的 DRS 版本会阻止触发规则的请求。 此外,如果想要绕过 DRS 中的任何预配置规则,可以在同一 WAF 策略中配置自定义规则。
在评估 DRS 中的规则之前,自定义规则始终适用。 如果请求与某个自定义规则相匹配,将应用相应的规则操作。 请求将被阻止,或通过后端传递。 不会处理任何其他自定义规则或 DRS 中的规则。 还可以从 WAF 策略中删除 DRS。
Microsoft 威胁情报收集规则
Microsoft 威胁情报收集规则由 Microsoft 威胁情报团队合作编写,以提供更高的覆盖范围、针对特定漏洞的补丁,并更好地减少误报。
默认情况下,Microsoft 威胁情报收集规则会替换部分内置 DRS 规则,导致它们被禁用。 例如,规则 ID 942440“检测到 SQL 注释序列”已被禁用,并被 Microsoft 威胁情报收集规则 99031002 取代。 替换的规则可降低合法请求的误报检测的风险。
异常评分
使用 DRS 2.0 或更高版本时,WAF 使用异常评分。 即使 WAF 处于防护模式,也不会立即阻止与任何规则匹配的流量。 相反,OWASP 规则集会为每个规则定义严重性:“严重”、“错误”、“警告”或“通知”。 这些严重性会影响请求的数值,该数值称为异常分数。 如果请求累积的异常分数为 5 或更高,则 WAF 会对该请求执行操作。
| 规则严重性 | 对异常分数的贡献值 |
|---|---|
| 严重 | 5 |
| 错误 | 4 |
| 警告 | 3 |
| 通知 | 2 |
配置 WAF 时,可以决定 WAF 如何处理超过异常分数阈值 5 的请求。 三个异常分数操作选项是阻止、记录或重定向。 配置时选择的异常分数操作将应用于超过异常分数阈值的所有请求。
例如,如果请求的异常分数为 5 或更高,WAF 处于“预防”模式,且异常分数操作设置为“阻止”,则会阻止该请求。 如果请求的异常分数为 5 或更高,并且 WAF 处于“检测”模式,则会记录请求,但不会阻止请求。
在预防模式下,若异常分数操作设置为“阻止”,一个“严重”规则匹配就足以让 WAF 阻止请求,因为总体异常分数为 5。 但一个“警告”规则匹配仅使异常分数增加 3,而这并不足以阻止流量。 触发异常规则时,它会在日志中显示“匹配”操作。 如果异常分数为 5 或更高,则会触发一个单独的规则,其中包含为规则集配置的异常分数操作。 默认异常分数操作为“阻止”,这会生成包含 blocked 操作的日志条目。
当 WAF 使用早期版本的默认规则集(低于 DRS 2.0 的版本)时,WAF 以传统模式运行。 与任何规则匹配的流量被视为独立于任何其他规则匹配。 在传统模式下,无法查看与特定请求匹配的完整规则集。
所用 DRS 版本还会确定请求正文检查支持哪些内容类型。 有关更多信息,请参阅常见问题中的 WAF 支持哪些内容类型 。
偏执狂级别
每条规则都分配在特定的偏执狂级别 (PL) 中。 在 Paranoia 级别 1 (PL1) 中配置的规则不太激进,并且几乎从不会触发误报。 它们提供基础安全性,几乎不需要进行微调。 PL2 中的规则检测到更多攻击,但预计会触发误报,应进行微调。
默认情况下,所有 DRS 规则版本都在 Paranoia Level 2 中预配置,包括在 PL1 和 PL2 中分配的规则。 如果希望在 WAF 仅使用 PL1,可以禁用任何或所有 PL2 规则,或者将其操作更改为“log”。 AZURE WAF 目前不支持 PL3 和 PL4。
升级或更改规则集版本
如果要升级或分配新的规则集版本,并且想要保留现有规则替代和排除项,建议使用 PowerShell、CLI、REST API 或模板进行规则集版本更改。 规则集的新版本可以有更新的规则、附加规则组,并可能对现有签名进行更新,以强制实施更好的安全性并减少误报。 建议验证测试环境中的更改,根据需要微调,然后在生产环境中部署。
注意
如果使用 Azure 门户将新的托管规则集分配给 WAF 策略,则现有托管规则集(如规则状态、规则作和规则级别排除)的所有以前的自定义都将重置为新的托管规则集的默认值。 但是,在分配新规则集期间,任何自定义规则或策略设置均不受影响。 在生产环境中部署之前,需要重新定义规则替代和验证更改。
DRS 2.1
DRS 2.1 规则可以比早期版本的 DRS 提供更好的保护。 它包括 Microsoft 威胁情报团队开发的其他规则和签名更新,因此可以减少误报。 它还支持 URL 解码以外的转换。
DRS 2.1 包括下表中所示的 17 个规则组。 每个组包含多个规则,你可以自定义各个规则、规则组或整个规则集的行为。 DRS 2.1 以 Open Web Application Security Project (OWASP) 核心规则集 (CRS) 3.3.2 为基准,包含由 Microsoft 威胁情报团队制定的其他专有保护规则。
有关详细信息,请参阅优化 Azure Front Door 的 Web 应用程序防火墙 (WAF)。
注意
DRS 2.1 仅在 Azure Front Door 高级版中可用。
| 规则组 | ruleGroupName (规则组名称) | 说明 |
|---|---|---|
| 常规 | 常规 | 常规组 |
| 方法强制 | METHOD-ENFORCEMENT | 锁定方法(PUT、PATCH) |
| 协议实施 | 协议执行 | 防范协议和编码问题 |
| 协议攻击 | PROTOCOL-ATTACK | 防范标头注入、请求走私和响应拆分 |
| 应用程序攻击 LFI | LFI | 防范文件和路径攻击 |
| 应用程序攻击 RFI | 射频 干扰 | 防范远程文件包含 (RFI) 攻击 |
| 应用程序攻击 - RCE | RCE | 防范远程代码执行攻击 |
| 应用程序攻击 PHP | PHP | 防范 PHP 注入攻击 |
| 应用程序攻击 NodeJS | 节点 | 防范 Node JS 攻击 |
| 应用程序攻击 XSS | XSS (XSS) | 防范跨站点脚本攻击 |
| 应用程序攻击 SQLI | SQLI | 防范 SQL 注入攻击 |
| 应用程序攻击会话固定 | 修复 | 防范会话固定攻击 |
| 应用程序攻击会话 JAVA | 爪哇岛 | 防范 JAVA 攻击 |
| MS-ThreatIntel-WebShells | MSThreatIntel-WebShells | 防范 Web shell 攻击 |
| MS-威胁Intel-AppSec | MSThreatIntel-AppSec | 防范 AppSec 攻击 |
| MS-威胁Intel-SQLI | MSThreatIntel-SQLI | 防范 SQLI 攻击 |
| MS-威胁Intel-CVE | MSThreatIntel-CVEs | 防范 CVE 攻击 |
禁用的规则
对于 DRS 2.1,默认情况下会禁用下列规则。
| 规则 ID | 规则组 | 说明 | 详细信息 |
|---|---|---|---|
| 942110 | SQLI | SQL 注入攻击:检测到常见注入测试 | 被 MSTIC 规则 99031001 替代 |
| 942150 | SQLI | SQL 注入攻击 | 被 MSTIC 规则 99031003 替代 |
| 942260 | SQLI | 检测到基本 SQL 身份验证绕过尝试 2/3 | 被 MSTIC 规则 99031004 替代 |
| 942430 | SQLI | 受限 SQL 字符异常情况检测 (args):已超出特殊字符数 (12) | 假正太多 |
| 942440 | SQLI | 检测到 SQL 注释序列 | 被 MSTIC 规则 99031002 替代 |
| 99005006 | MSThreatIntel-WebShells | Spring4Shell 交互尝试 | 启用规则以防止 SpringShell 漏洞 |
| 99001014 | MSThreatIntel-CVEs | 尝试使用 Spring Cloud 路由表达式注入 CVE-2022-22963 | 启用规则以防止 SpringShell 漏洞 |
| 99001015 | MSThreatIntel-WebShells | 尝试使用 Spring Framework 不安全类对象利用 CVE-2022-22965 | 启用规则以防止 SpringShell 漏洞 |
| 99001016 | MSThreatIntel-WebShells | 尝试 Spring Cloud 网关执行器注入 CVE-2022-22947 | 启用规则以防止 SpringShell 漏洞 |
| 99001017 | MSThreatIntel-CVEs | 尝试使用 Apache Struts 文件上传利用 CVE-2023-50164 | 启用规则来防止 Apache Struts 漏洞 |
DRS 2.0
DRS 2.0 规则能比早期版本的 DRS 提供更好的保护。 DRS 2.0 还支持 URL 解码以外的转换。
DRS 2.0 包含下表中所示的 17 个规则组。 每个组可包含多个规则。 可以禁用单个规则和整个规则组。
注意
DRS 2.0 仅在 Azure Front Door 高级版中可用。
| 规则组 | ruleGroupName (规则组名称) | 说明 |
|---|---|---|
| 常规 | 常规 | 常规组 |
| 方法强制 | METHOD-ENFORCEMENT | 锁定方法(PUT、PATCH) |
| 协议实施 | 协议执行 | 防范协议和编码问题 |
| 协议攻击 | PROTOCOL-ATTACK | 防范标头注入、请求走私和响应拆分 |
| 应用程序攻击 LFI | LFI | 防范文件和路径攻击 |
| 应用程序攻击 RFI | 射频 干扰 | 防范远程文件包含 (RFI) 攻击 |
| 应用程序攻击 - RCE | RCE | 防范远程代码执行攻击 |
| 应用程序攻击 PHP | PHP | 防范 PHP 注入攻击 |
| 应用程序攻击 NodeJS | 节点 | 防范 Node JS 攻击 |
| 应用程序攻击 XSS | XSS (XSS) | 防范跨站点脚本攻击 |
| 应用程序攻击 SQLI | SQLI | 防范 SQL 注入攻击 |
| 应用程序攻击会话固定 | 修复 | 防范会话固定攻击 |
| 应用程序攻击会话 JAVA | 爪哇岛 | 防范 JAVA 攻击 |
| MS-ThreatIntel-WebShells | MSThreatIntel-WebShells | 防范 Web shell 攻击 |
| MS-威胁Intel-AppSec | MSThreatIntel-AppSec | 防范 AppSec 攻击 |
| MS-威胁Intel-SQLI | MSThreatIntel-SQLI | 防范 SQLI 攻击 |
| MS-威胁Intel-CVE | MSThreatIntel-CVEs | 防范 CVE 攻击 |
DRS 1.1
| 规则组 | ruleGroupName (规则组名称) | 说明 |
|---|---|---|
| 协议攻击 | PROTOCOL-ATTACK | 防范标头注入、请求走私和响应拆分 |
| 应用程序攻击 LFI | LFI | 防范文件和路径攻击 |
| 应用程序攻击 RFI | 射频 干扰 | 防范远程文件包含攻击 |
| 应用程序攻击 - RCE | RCE | 防止远程命令执行 |
| 应用程序攻击 PHP | PHP | 防范 PHP 注入攻击 |
| 应用程序攻击 XSS | XSS (XSS) | 防范跨站点脚本攻击 |
| 应用程序攻击 SQLI | SQLI | 防范 SQL 注入攻击 |
| 应用程序攻击会话固定 | 修复 | 防范会话固定攻击 |
| 应用程序攻击会话 JAVA | 爪哇岛 | 防范 JAVA 攻击 |
| MS-ThreatIntel-WebShells | MSThreatIntel-WebShells | 防范 Web shell 攻击 |
| MS-威胁Intel-AppSec | MSThreatIntel-AppSec | 防范 AppSec 攻击 |
| MS-威胁Intel-SQLI | MSThreatIntel-SQLI | 防范 SQLI 攻击 |
| MS-威胁Intel-CVE | MSThreatIntel-CVEs | 防范 CVE 攻击 |
数据迁移服务 1.0
| 规则组 | ruleGroupName (规则组名称) | 说明 |
|---|---|---|
| 协议攻击 | PROTOCOL-ATTACK | 防范标头注入、请求走私和响应拆分 |
| 应用程序攻击 LFI | LFI | 防范文件和路径攻击 |
| 应用程序攻击 RFI | 射频 干扰 | 防范远程文件包含攻击 |
| 应用程序攻击 - RCE | RCE | 防止远程命令执行 |
| 应用程序攻击 PHP | PHP | 防范 PHP 注入攻击 |
| 应用程序攻击 XSS | XSS (XSS) | 防范跨站点脚本攻击 |
| 应用程序攻击 SQLI | SQLI | 防范 SQL 注入攻击 |
| 应用程序攻击会话固定 | 修复 | 防范会话固定攻击 |
| 应用程序攻击会话 JAVA | 爪哇岛 | 防范 JAVA 攻击 |
| MS-ThreatIntel-WebShells | MSThreatIntel-WebShells | 防范 Web shell 攻击 |
| MS-威胁Intel-CVE | MSThreatIntel-CVEs | 防范 CVE 攻击 |
机器人管理器 1.0
Bot Manager 1.0 规则集可防范恶意机器人并检测出善意机器人。 这些规则通过将机器人流量划分为“善意”、“恶意”或“未知”机器人,对 WAF 检测到的机器人进行精细控制。
| 规则组 | 说明 |
|---|---|
| 恶意机器人 | 防范恶意机器人 |
| GoodBots 机器人 | 识别善意机器人 |
| 未知机器人 | 标识未知机器人 |
机器人管理器 1.1
Bot Manager 1.1 规则集是 Bot Manager 1.0 规则集的增强版。 它增强了对恶意机器人的防范,并增加了善意机器人检测。
| 规则组 | 说明 |
|---|---|
| 恶意机器人 | 防范恶意机器人 |
| GoodBots 机器人 | 识别善意机器人 |
| 未知机器人 | 标识未知机器人 |
使用 Azure Front Door 上的 Azure Web 应用程序防火墙时,可以使用以下规则组和规则。
2.1 规则集
常规
| 规则 ID | 异常分数严重性 | 偏执狂级别 | 说明 |
|---|---|---|---|
| 200002 | 严重 - 5 | 1 | 未能分析请求正文 |
| 200003 | 严重 - 5 | 1 | 多部分请求正文无法通过严格的验证 |
方法强制实施
| 规则 ID | 异常分数严重性 | 偏执狂级别 | 说明 |
|---|---|---|---|
| 911100 | 严重 - 5 | 1 | 方法不被策略允许 |
协议执行
| 规则 ID | 异常分数严重性 | 偏执狂级别 | 说明 |
|---|---|---|---|
| 920100 | 通知 - 2 | 1 | 无效的 HTTP 请求行 |
| 920120 | 严重 - 5 | 1 | 尝试了多部分/表单数据绕过 |
| 920121 | 严重 - 5 | 2 | 尝试了多部分/表单数据绕过 |
| 920160 | 严重 - 5 | 1 | Content-Length HTTP 标头不是数值 |
| 920170 | 严重 - 5 | 1 | 包含正文内容的 GET 或 HEAD 请求 |
| 920171 | 严重 - 5 | 1 | 包含 Transfer-Encoding 的 GET 或 HEAD 请求 |
| 920180 | 通知 - 2 | 1 | POST 请求缺少 Content-Length 标头 |
| 920181 | 警告 - 3 | 1 | Content-Length 和 Transfer-Encoding 标头存在 99001003 |
| 920190 | 警告 - 3 | 1 | 范围:最后一个字节值无效 |
| 920200 | 警告 - 3 | 2 | 范围:字段太多(6 个或以上) |
| 920201 | 警告 - 3 | 2 | 范围:pdf 请求的字段太多(35 个或以上) |
| 920210 | 警告 - 3 | 1 | 找到了多个/有冲突的连接标头数据 |
| 920220 | 警告 - 3 | 1 | URL 编码滥用攻击尝试 |
| 920230 | 警告 - 3 | 2 | 检测到多个 URL 编码 |
| 920240 | 警告 - 3 | 1 | URL 编码滥用攻击尝试 |
| 920260 | 警告 - 3 | 1 | Unicode 全角/半角滥用攻击企图 |
| 920270 | 严重 - 5 | 1 | 请求中的字符无效(null 字符) |
| 920271 | 严重 - 5 | 2 | 请求中的字符无效(不可打印的字符) |
| 920280 | 警告 - 3 | 1 | 请求缺少 Host 标头 |
| 920290 | 警告 - 3 | 1 | Host 标头为空 |
| 920300 | 通知 - 2 | 2 | 请求缺少 Accept 标头 |
| 920310 | 通知 - 2 | 1 | 请求包含空的 Accept 标头 |
| 920311 | 通知 - 2 | 1 | 请求包含空的 Accept 标头 |
| 920320 | 通知 - 2 | 2 | 缺少用户代理标头 |
| 920330 | 通知 - 2 | 1 | 用户代理标头为空 |
| 920340 | 通知 - 2 | 1 | 请求中包含内容,但缺少 Content-Type 标头 |
| 920341 | 严重 - 5 | 2 | 包含内容的请求需要 Content-Type 标头 |
| 920350 | 警告 - 3 | 1 | Host 标头是数字 IP 地址 |
| 920420 | 严重 - 5 | 1 | 请求的内容类型被政策禁止 |
| 920430 | 严重 - 5 | 1 | HTTP 协议版本不受策略允许 |
| 920440 | 严重 - 5 | 1 | 策略限制了 URL 文件扩展名 |
| 920450 | 严重 - 5 | 1 | 策略限制了 HTTP 标头 |
| 920470 | 严重 - 5 | 1 | Content-Type 标头非法 |
| 920480 | 严重 - 5 | 1 | 请求内容类型字符集不受策略允许 |
| 920500 | 严重 - 5 | 1 | 尝试访问备份或正在工作的文件 |
协议攻击
| 规则 ID | 异常分数严重性 | 偏执狂级别 | 说明 |
|---|---|---|---|
| 921110 | 严重 - 5 | 1 | HTTP 请求走私攻击 |
| 921120 | 严重 - 5 | 1 | HTTP 响应拆分攻击 |
| 921130 | 严重 - 5 | 1 | HTTP 响应拆分攻击 |
| 921140 | 严重 - 5 | 1 | 通过标头展开的 HTTP 标头注入攻击 |
| 921150 | 严重 - 5 | 1 | 通过有效负载展开的 HTTP 标头注入攻击(检测到 CR/LF) |
| 921151 | 严重 - 5 | 2 | 通过有效负载展开的 HTTP 标头注入攻击(检测到 CR/LF) |
| 921160 | 严重 - 5 | 1 | 通过有效负载展开的 HTTP 标头注入攻击(检测到 CR/LF 和标头名称) |
| 921190 | 严重 - 5 | 1 | HTTP 拆分(在请求文件名中检测到 CR/LF) |
| 921200 | 严重 - 5 | 1 | LDAP 注入攻击 |
LFI:本地文件包含
| 规则 ID | 异常分数严重性 | 偏执狂级别 | 说明 |
|---|---|---|---|
| 930100 | 严重 - 5 | 1 | 路径遍历攻击 (/../) |
| 930110 | 严重 - 5 | 1 | 路径遍历攻击 (/../) |
| 930120 | 严重 - 5 | 1 | OS 文件访问企图 |
| 930130 | 严重 - 5 | 1 | 受限文件访问企图 |
RFI:远程文件包含
| 规则 ID | 异常分数严重性 | 偏执狂级别 | 说明 |
|---|---|---|---|
| 931100 | 严重 - 5 | 1 | 可能的远程文件包含 (RFI) 攻击:使用 IP 地址的 URL 参数 |
| 931110 | 严重 - 5 | 1 | 可能的远程文件包含 (RFI) 攻击:对 URL 有效负载使用常见 RFI 漏洞参数名 |
| 931120 | 严重 - 5 | 1 | 可能的远程文件包含 (RFI) 攻击:在 URL 有效负载中使用尾随问号 (?) |
| 931130 | 严重 - 5 | 2 | 可能的远程文件包含 (RFI) 攻击:域外引用/链接 |
RCE:远程命令执行
| 规则 ID | 异常分数严重性 | 偏执狂级别 | 说明 |
|---|---|---|---|
| 932100 | 严重 - 5 | 1 | 远程命令执行:Unix 命令注入 |
| 932105 | 严重 - 5 | 1 | 远程命令执行:Unix 命令注入 |
| 932110 | 严重 - 5 | 1 | 远程命令执行:Windows 命令注入 |
| 932115 | 严重 - 5 | 1 | 远程命令执行:Windows 命令注入 |
| 932120 | 严重 - 5 | 1 | 远程命令执行:找到 Windows PowerShell 命令 |
| 932130 | 严重 - 5 | 1 | 远程命令执行:找到了 Unix Shell 表达式或 Confluence 漏洞 (CVE-2022-26134) |
| 932140 | 严重 - 5 | 1 | 远程命令执行:找到 Windows FOR/IF 命令 |
| 932150 | 严重 - 5 | 1 | 远程命令执行:直接 Unix 命令执行 |
| 932160 | 严重 - 5 | 1 | 远程命令执行:找到 Unix Shell 代码 |
| 932170 | 严重 - 5 | 1 | 远程命令执行:Shellshock (CVE-2014-6271) |
| 932171 | 严重 - 5 | 1 | 远程命令执行:Shellshock (CVE-2014-6271) |
| 932180 | 严重 - 5 | 1 | 受限文件上传企图 |
PHP 攻击
| 规则 ID | 异常分数严重性 | 偏执狂级别 | 说明 |
|---|---|---|---|
| 933100 | 严重 - 5 | 1 | PHP 注入攻击:找到开始/结束标记 |
| 933110 | 严重 - 5 | 1 | PHP 注入攻击:找到 PHP 脚本文件上传 |
| 933120 | 严重 - 5 | 1 | PHP 注入攻击:找到配置指令 |
| 933130 | 严重 - 5 | 1 | PHP 注入攻击:找到变量 |
| 933140 | 严重 - 5 | 1 | PHP 注入攻击:找到 I/O 流 |
| 933150 | 严重 - 5 | 1 | PHP 注入攻击:找到高风险的 PHP 函数名称 |
| 933151 | 严重 - 5 | 2 | PHP 注入攻击:找到中等风险的 PHP 函数名称 |
| 933160 | 严重 - 5 | 1 | PHP 注入攻击:找到高风险的 PHP 函数调用 |
| 933170 | 严重 - 5 | 1 | PHP 注入攻击:序列化对象注入 |
| 933180 | 严重 - 5 | 1 | PHP 注入攻击:找到可变函数调用 |
| 933200 | 严重 - 5 | 1 | PHP 注入攻击:检测到包装器方案 |
| 933210 | 严重 - 5 | 1 | PHP 注入攻击:找到可变函数调用 |
Node JS 攻击
| 规则 ID | 异常分数严重性 | 偏执狂级别 | 说明 |
|---|---|---|---|
| 934100 | 严重 - 5 | 1 | Node.js 注入攻击 |
XSS:跨站脚本
| 规则 ID | 异常分数严重性 | 偏执狂级别 | 说明 |
|---|---|---|---|
| 941100 | 严重 - 5 | 1 | 检测到通过 libinjection 展开的 XSS 攻击 |
| 941101 | 严重 - 5 | 2 | 检测到通过 libinjection 展开的 XSS 攻击 规则检测到带有 Referer 标头的请求 |
| 941110 | 严重 - 5 | 1 | XSS 筛选器 - 类别 1:脚本标记向量 |
| 941120 | 严重 - 5 | 1 | XSS 筛选器 - 类别 2:事件处理程序向量 |
| 941130 | 严重 - 5 | 1 | XSS 筛选器 - 类别 3:属性向量 |
| 941140 | 严重 - 5 | 1 | XSS 筛选器 - 类别 4:Javascript URI 向量 |
| 941150 | 严重 - 5 | 2 | XSS 筛选器 - 类别 5:不允许的 HTML 属性 |
| 941160 | 严重 - 5 | 1 | NoScript XSS InjectionChecker:HTML 注入 |
| 941170 | 严重 - 5 | 1 | NoScript XSS InjectionChecker:属性注入 |
| 941180 | 严重 - 5 | 1 | 节点验证器阻止列表关键字 |
| 941190 | 严重 - 5 | 1 | 使用样式表的 XSS |
| 941200 | 严重 - 5 | 1 | 使用 VML 帧的 XSS |
| 941210 | 严重 - 5 | 1 | 使用经过模糊处理的 Javascript 的 XSS |
| 941220 | 严重 - 5 | 1 | 使用经过模糊处理的 VB Script 的 XSS |
| 941230 | 严重 - 5 | 1 | 使用 embed 标记的 XSS |
| 941240 | 严重 - 5 | 1 | 使用 import 或 implementation 属性的 XSS |
| 941250 | 严重 - 5 | 1 | IE XSS 筛选器 - 检测到攻击 |
| 941260 | 严重 - 5 | 1 | 使用 meta 标记的 XSS |
| 941270 | 严重 - 5 | 1 | 使用 link href 的 XSS |
| 941280 | 严重 - 5 | 1 | 使用 base 标记的 XSS |
| 941290 | 严重 - 5 | 1 | 使用 applet 标记的 XSS |
| 941300 | 严重 - 5 | 1 | 使用 object 标记的 XSS |
| 941310 | 严重 - 5 | 1 | US-ASCII 格式错误编码 XSS 筛选器 - 检测到攻击 |
| 941320 | 严重 - 5 | 2 | 检测到可能的 XSS 攻击 - HTML 标记处理程序 |
| 941330 | 严重 - 5 | 2 | IE XSS 筛选器 - 检测到攻击 |
| 941340 | 严重 - 5 | 2 | IE XSS 筛选器 - 检测到攻击 |
| 941350 | 严重 - 5 | 1 | UTF-7 编码 IE XSS - 检测到攻击 |
| 941360 | 严重 - 5 | 1 | 检测到 JavaScript 混淆 |
| 941370 | 严重 - 5 | 1 | 找到 JavaScript 全局变量 |
| 941380 | 严重 - 5 | 2 | 检测到 AngularJS 客户端模板注入 |
SQLI:SQL 注入
| 规则 ID | 异常分数严重性 | 偏执狂级别 | 说明 |
|---|---|---|---|
| 942100 | 严重 - 5 | 1 | 检测到通过 libinjection 展开的 SQL 注入攻击 |
| 942110 | 警告 - 3 | 2 | SQL 注入攻击:检测到常见注入测试 |
| 942120 | 严重 - 5 | 2 | SQL 注入攻击:检测到 SQL 运算符 |
| 942140 | 严重 - 5 | 1 | SQL 注入攻击:检测到常用 DB 名称 |
| 942150 | 严重 - 5 | 2 | SQL 注入攻击 |
| 942160 | 严重 - 5 | 1 | 使用 sleep() 或 benchmark() 检测盲 SQLI 测试 |
| 942170 | 严重 - 5 | 1 | 检测到包含条件查询的 SQL 基准和休眠注入企图 |
| 942180 | 严重 - 5 | 2 | 检测到基本 SQL 身份验证绕过尝试 1/3 |
| 942190 | 严重 - 5 | 1 | 检测到尝试进行 MSSQL 代码执行和信息收集的行为 |
| 942200 | 严重 - 5 | 2 | 检测到 MySQL 注释/空间经过模糊处理的注入和反引号终止 |
| 942210 | 严重 - 5 | 2 | 检测链式 SQL 注入尝试次数 1/2 |
| 942220 | 严重 - 5 | 1 | 查找整数溢出攻击,这些攻击来自 skipfish,但 3.0.00738585072007e-308 是“幻数”故障 |
| 942230 | 严重 - 5 | 1 | 检测条件式 SQL 注入企图 |
| 942240 | 严重 - 5 | 1 | 检测 MySQL 字符集切换和 MSSQL 拒绝服务攻击尝试 |
| 942250 | 严重 - 5 | 1 | 检测 MATCH AGAINST、MERGE 和 EXECUTE IMMEDIATE 注入 |
| 942260 | 严重 - 5 | 2 | 检测到基本 SQL 身份验证绕过尝试 2/3 |
| 942270 | 严重 - 5 | 1 | 正在查找基本 SQL 注入。 MySQL、Oracle 等的常见攻击字符串 |
| 942280 | 严重 - 5 | 1 | 检测 Postgres pg_sleep注入、等待延迟攻击和数据库关闭尝试 |
| 942290 | 严重 - 5 | 1 | 查找基本 MongoDB SQL 注入企图 |
| 942300 | 严重 - 5 | 2 | 检测到 MySQL 注释、条件和 ch(a)r 注入 |
| 942310 | 严重 - 5 | 2 | 检测链式 SQL 注入尝试次数 2/2 |
| 942320 | 严重 - 5 | 1 | 检测 MySQL 和 PostgreSQL 存储过程/函数注入 |
| 942330 | 严重 - 5 | 2 | 检测到经典 SQL 注入探测 1/2 |
| 942340 | 严重 - 5 | 2 | 检测到基本 SQL 身份验证绕过尝试 3/3 |
| 942350 | 严重 - 5 | 1 | 检测 MySQL UDF 注入和其他数据/结构操作企图 |
| 942360 | 严重 - 5 | 1 | 检测到连接的基本 SQL 注入和 SQLLFI 尝试 |
| 942361 | 严重 - 5 | 2 | 检测基于关键字 alter 或 union 的基本 SQL 注入 |
| 942370 | 严重 - 5 | 2 | 检测到经典 SQL 注入探测 2/2 |
| 942380 | 严重 - 5 | 2 | SQL 注入攻击 |
| 942390 | 严重 - 5 | 2 | SQL 注入攻击 |
| 942400 | 严重 - 5 | 2 | SQL 注入攻击 |
| 942410 | 严重 - 5 | 2 | SQL 注入攻击 |
| 942430 | 警告 - 3 | 2 | 受限 SQL 字符异常情况检测 (args):已超出特殊字符数 (12) |
| 942440 | 严重 - 5 | 2 | 检测到 SQL 注释序列 |
| 942450 | 严重 - 5 | 2 | 识别到 SQL 十六进制编码 |
| 942470 | 严重 - 5 | 2 | SQL 注入攻击 |
| 942480 | 严重 - 5 | 2 | SQL 注入攻击 |
| 942500 | 严重 - 5 | 1 | 检测到 MySQL 内联注释 |
| 942510 | 严重 - 5 | 2 | 检测到引号或反引号尝试 SQLi 绕过 |
会话固定
| 规则 ID | 异常分数严重性 | 偏执狂级别 | 说明 |
|---|---|---|---|
| 943100 | 严重 - 5 | 1 | 可能的会话固定攻击:在 HTML 中设置 Cookie 值 |
| 943110 | 严重 - 5 | 1 | 可能的会话固定攻击:包含域外引用方的 SessionID 参数名称 |
| 943120 | 严重 - 5 | 1 | 可能的会话固定攻击:不包含引用方的 SessionID 参数名称 |
Java 攻击
| 规则 ID | 异常分数严重性 | 偏执狂级别 | 说明 |
|---|---|---|---|
| 944100 | 严重 - 5 | 1 | 远程命令执行:Apache Struts、Oracle WebLogic |
| 944110 | 严重 - 5 | 1 | 检测潜在的有效负载执行 |
| 944120 | 严重 - 5 | 1 | 可能的有效负载执行和远程命令执行 |
| 944130 | 严重 - 5 | 1 | 可疑的 Java 类 |
| 944200 | 严重 - 5 | 2 | 利用 Java 反序列化 Apache Commons |
| 944210 | 严重 - 5 | 2 | 可能使用 Java 序列化 |
| 944240 | 严重 - 5 | 2 | 远程命令执行:Java 序列化和 Log4j 漏洞(CVE-2021-44228、CVE-2021-45046) |
| 944250 | 严重 - 5 | 2 | 远程命令执行:检测到可疑的 Java 方法 |
MSThreatIntel-WebShells
| 规则 ID | 异常分数严重性 | 偏执狂级别 | 说明 |
|---|---|---|---|
| 99005002 | 严重 - 5 | 2 | Web Shell 交互尝试 (POST) |
| 99005003 | 严重 - 5 | 2 | Web Shell 上传尝试 (POST) - CHOPPER PHP |
| 99005004 | 严重 - 5 | 2 | Web Shell 上传尝试 (POST) - CHOPPER ASPX |
| 99005005 | 严重 - 5 | 2 | Web Shell 交互尝试 |
| 99005006 | 严重 - 5 | 2 | Spring4Shell 交互尝试 |
MSThreatIntel-AppSec
| 规则 ID | 异常分数严重性 | 偏执狂级别 | 说明 |
|---|---|---|---|
| 99030001 | 严重 - 5 | 2 | 标头中的路径遍历规避 (/.././../) |
| 99030002 | 严重 - 5 | 2 | 请求正文中的路径遍历规避 (/.././../) |
MSThreatIntel-SQLI
| 规则 ID | 异常分数严重性 | 偏执狂级别 | 说明 |
|---|---|---|---|
| 99031001 | 警告 - 3 | 2 | SQL 注入攻击:检测到常见注入测试 |
| 99031002 | 严重 - 5 | 2 | 检测到 SQL 注释序列 |
| 99031003 | 严重 - 5 | 2 | SQL 注入攻击 |
| 99031004 | 严重 - 5 | 2 | 检测到基本 SQL 身份验证绕过尝试 2/3 |
MSThreatIntel-CVEs
| 规则 ID | 异常分数严重性 | 偏执狂级别 | 说明 |
|---|---|---|---|
| 99001001 | 严重 - 5 | 2 | 使用已知凭据尝试利用 F5 tmui (CVE-2020-5902) REST API |
| 99001002 | 严重 - 5 | 2 | 试图遍历 Citrix NSC_USER 目录 CVE-2019-19781 |
| 99001003 | 严重 - 5 | 2 | 试图利用 Atlassian Confluence 小组件连接器 CVE-2019-3396 |
| 99001004 | 严重 - 5 | 2 | 试图利用 Pulse Secure 自定义模板 CVE-2020-8243 |
| 99001005 | 严重 - 5 | 2 | 试图利用 SharePoint 类型转换器 CVE-2020-0932 |
| 99001006 | 严重 - 5 | 2 | 试图遍历 Pulse Connect 目录 CVE-2019-11510 |
| 99001007 | 严重 - 5 | 2 | 试图包含 Junos OS J-Web 本地文件 CVE-2020-1631 |
| 99001008 | 严重 - 5 | 2 | 试图遍历 Fortinet 路径 CVE-2018-13379 |
| 99001009 | 严重 - 5 | 2 | 试图进行 Apache struts ognl 注入 CVE-2017-5638 |
| 99001010 | 严重 - 5 | 2 | 试图进行 Apache struts ognl 注入 CVE-2017-12611 |
| 99001011 | 严重 - 5 | 2 | 试图遍历 Oracle WebLogic 路径 CVE-2020-14882 |
| 99001012 | 严重 - 5 | 2 | 试图利用 Telerik WebUI 不安全反序列化 CVE-2019-18935 |
| 99001013 | 严重 - 5 | 2 | 试图进行 SharePoint 不安全 XML 反序列化 CVE-2019-0604 |
| 99001014 | 严重 - 5 | 2 | 尝试使用 Spring Cloud 路由表达式注入 CVE-2022-22963 |
| 99001015 | 严重 - 5 | 2 | 尝试使用 Spring Framework 不安全类对象利用 CVE-2022-22965 |
| 99001016 | 严重 - 5 | 2 | 尝试 Spring Cloud 网关执行器注入 CVE-2022-22947 |
| 99001017 | 严重 - 5 | 2 | 尝试使用 Apache Struts 文件上传利用 CVE-2023-50164 |
注意
查看 WAF 的日志时,可能会看到规则 ID 949110。 规则说明中可能包括“入站异常分数超出阈值”。
此规则指示请求的总异常分数超出了允许的最大分数。 有关详细信息,请参阅异常评分。
优化 WAF 策略时,需要调查请求触发的其他规则,以便调整 WAF 的配置。 有关详细信息,请参阅优化 Azure Front Door 的 Azure Web 应用程序防火墙。