共用方式為


Web 應用程式防火牆 DRS 規則群組和群組

Azure Front Door 上的 Azure Web 應用程式防火牆可保護 Web 應用程式免於常見的弱點和惡意探索。 Azure 管理的規則集可讓您以簡單的方式部署防護,以抵禦一組常見的安全性威脅。 因為 Azure 會管理這些規則集,所以會視需要更新規則,以防止新的攻擊簽章。

預設規則集 (DRS) 也包含與 Microsoft Intelligence 小組合作撰寫的 Microsoft 威脅情報收集規則,以提供更高的涵蓋範圍、特定弱點的修補程式,以及更好的誤判降低。

注意

當WAF原則中變更規則集版本時,您對規則集所做的任何現有自定義都會重設為新規則集的預設值。 請參閱: 升級或變更規則集版本

預設規則集

Azure 管理的 DRS 包含可防範下列威脅類別的規則:

  • 跨網站指令碼處理
  • Java 攻擊
  • 本機檔案包含
  • PHP 插入式攻擊
  • 遠端命令執行
  • 遠端檔案包含
  • 工作階段 Fixation
  • SQL 插入式攻擊保護
  • 通訊協定攻擊

當新的攻擊簽章新增至規則集時,DRS 的版本號碼將會遞增。

在 WAF 原則的偵測模式中,DRS 會預設為啟用。 您可以停用或啟用 DRS 內的個別規則,以符合您的應用程式需求。 您也可以根據每個規則設定特定動作。 可用的動作為 [允許]、[封鎖]、[記錄] 和 [重新導向]。

有時您可能需要在 Web 應用程式防火牆 (WAF) 評估中略過特定要求屬性。 常見範例是用於驗證的 Active Directory 插入式權杖。 您可以設定受控規則、規則群組或整個規則集的排除清單。 如需詳細資訊,請參閱 Azure Front Door 排除清單中的 Azure Web 應用程式防火牆

根據預設,DRS 2.0 版和更新版本會在要求符合規則時使用異常評分。 2.0 版之前的 DRS 會觸發規則的封鎖要求。 此外,如果您想要略過 DRS 中任何預先設定的規則,可以在相同的 WAF 原則中設定自訂規則。

在評估 DRS 內的規則之前,一律會套用自訂規則。 如果要求符合自訂規則,則會套用對應的規則動作。 要求會遭到封鎖,或是傳遞至後端。 系統不會處理任何其他的自訂規則,或 DRS 內的規則。 您也可以從 WAF 原則中移除 DRS。

Microsoft 威脅情報收集規則

與 Microsoft 威脅情報小組合作撰寫的 Microsoft 威脅情報收集規則,可提供更高的涵蓋範圍、特定弱點的修補程式,以及更好的誤判降低。

根據預設,Microsoft威脅情報收集規則會取代一些內建 DRS 規則,使其停用。 例如,規則標識碼 942440、偵測到 SQL 註解順序,已停用並取代 Microsoft 威脅情報收集規則 99031002。 取代的規則可降低對合法要求偵的測誤報風險。

異常評分

當您使用 DRS 2.0 或更新版本時,WAF 會使用 異常評分。 符合任何規則的流量不會立即遭到封鎖,即使您的 WAF 處於預防模式也一樣。 相反地,OWASP 規則集會為每個規則定義嚴重性: 重大錯誤警告通知。 嚴重性會影響要求的數值,稱為 異常分數。 如果要求累積的異常分數達到或超過 5,則 WAF 就會對要求採取動作。

規則嚴重性 造成異常評分的值
重大 5
錯誤 4
警告 3
注意事項 2

設定 WAF 時,您可以決定 WAF 如何處理異常分數閾值超過 5 的請求。 三個異常分數動作選項為「封鎖」、「記錄」或「重新導向」。 您在設定時選取的異常分數動作會套用至所有超過異常分數閾值的要求。

例如,如果要求的異常分數為 5 或更高,且 WAF 處於 [預防] 模式,且異常分數動作設定為 [封鎖],則會封鎖要求。 如果異常分數在要求上為 5 或更高,且 WAF 處於偵測模式,則會記錄要求,但不會封鎖要求。

當 WAF 處於 [預防] 模式且異常分數動作設為 [封鎖] 時,只要有單一 重要的 規則符合即可封鎖請求,因為整體異常分數為 5。 不過,一個 警告 規則比對只會將異常分數增加 3,這本身不足以封鎖流量。 觸發異常規則時,它會在記錄中顯示「相符」動作。 如果異常分數為5或更高,則會觸發個別規則,並針對規則集設定異常分數動作。 預設異常分數動作為「封鎖」,這會產生動作為 blocked 的記錄輸入。

當您的 WAF 使用舊版的預設規則集 (DRS 2.0 以前版本),您的 WAF 會在傳統模式中執行。 符合任何規則的流量都視為獨立於任何其他規則相符項目。 在傳統模式中,您不會看到符合特定要求的完整規則集。

您所使用的 DRS 版本也會決定要求本文檢查支援哪些內容類型。 如需詳細資訊,請參閱常見問題中的 WAF 支援哪些內容類型

偏執狂等級

每個規則都會在特定的偏執狂等級 (PL) 中指派。 Paranoia Level 1 (PL1) 中設定的規則較不咄咄逼人,而且幾乎不會觸發誤判。 它們提供基準安全性,只需進行極少的微調。 PL2 中的規則會偵測更多的攻擊,但也可能會觸發需要微調的誤報。

根據預設,所有 DRS 規則版本都會在 Paranoia Level 2 中預先設定,包括 PL1 和 PL2 中指派的規則。 如果您想要以獨佔方式搭配 PL1 使用 WAF,您可以停用任何或所有 PL2 規則,或將其動作變更為 「記錄」。 Azure WAF 目前不支援 PL3 和 PL4。

升級或變更規則集版本

如果您要升級或指派新的規則集版本,而且想要保留現有的規則覆寫和排除專案,建議您使用 PowerShell、CLI、REST API 或範本進行規則集版本變更。 新版的規則集可以有較新的規則、其他規則群組,而且可能會有現有簽章的更新,以強制執行更佳的安全性並減少誤判。 建議您驗證測試環境中的變更、視需要微調,然後在生產環境中部署。

注意

如果您使用 Azure 入口網站將新的受控規則集指派給 WAF 原則,則來自現有受控規則集的所有先前自定義,例如規則狀態、規則動作和規則層級排除,都會重設為新的受控規則集預設值。 不過,在新的規則集指派期間,任何自定義規則或原則設定都不會受到影響。 在將系統部署到生產環境之前,您需要重新定義規則覆寫並驗證所有變更。

DRS 2.1

DRS 2.1 規則提供比舊版 DRS 更好的保護。 它包含 Microsoft 威脅情報小組所開發的其他規則,以及簽章的更新,以減少誤判。 其也支援不僅僅是 URL 解碼的轉換。

DRS 2.1 包含 17 個規則群組,如下表所示。 每個群組都包含多個規則,您可以自訂個別規則、規則群組或整個規則集的行為。 DRS 2.1 已根據 Open Web Application Security Project (OWASP) 核心規則集 (CRS) 3.3.2 進行基準,並包含由Microsoft威脅情報小組開發的其他專屬保護規則。

如需詳細資訊,請參閱 調整 Azure Front Door 的 Web 應用程式防火牆 (WAF)。

注意

DRS 2.1 僅適用於 Azure Front Door 進階版。

規則群組 規則群組名稱 描述
一般 一般 一般群組
METHOD-ENFORCEMENT 方法強制 鎖定方法 (PUT、PATCH)
協定強制執行 PROTOCOL-ENFORCEMENT 可防範通訊協定和編碼問題
通訊協議攻擊 PROTOCOL-ATTACK 防止標頭插入、要求走私和回應分割
APPLICATION-ATTACK-LFI LFI 防止檔案和路徑攻擊
應用程式攻擊-RFI 射頻干擾 防止遠端檔案包含 (RFI) 攻擊
APPLICATION-ATTACK-RCE RCE 防止遠端程式碼執行攻擊
APPLICATION-ATTACK-PHP PHP 防止 PHP 插入式攻擊
Node.js應用程式攻擊 NODEJS 防止 Node JS 攻擊
APPLICATION-ATTACK-XSS
(應用程式攻擊-XSS)
XSS 防止跨網站指令碼攻擊
APPLICATION-ATTACK-SQLI SQLI 防止 SQL 插入式攻擊
應用程序攻擊-會話固定 修復 防止工作階段固定攻擊
APPLICATION-ATTACK-SESSION-JAVA Java 防止 JAVA 攻擊
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells 防止網頁殼層攻擊
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec 防止應用程式安全攻擊
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI 防止 SQLI 攻擊
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs 防止 CVE 攻擊

已停用的規則

DRS 2.1 的下列規則預設為停用。

規則識別碼 規則群組 描述 詳細資料
942110 SQLI SQL插入式攻擊:偵測到常見的插入測試 由 MSTIC 規則 99031001 取代
942150 SQLI SQL 插入式攻擊 由 MSTIC 規則 99031003 取代
942260 SQLI 偵測到基本 SQL 驗證略過嘗試 2/3 由 MSTIC 規則 99031004 取代
942430 SQLI 受限制的 SQL 字元異常偵測 (args):超出的特殊字元數目 (12) 過多誤報
942440 SQLI 偵測到 SQL 註解順序 由 MSTIC 規則 99031002 取代
99005006 MS-ThreatIntel-WebShells Spring4Shell 互動嘗試 啟用規則以防止 SpringShell 弱點
99001014 MS-ThreatIntel-CVEs 嘗試 Spring Cloud 路由表達式插入 CVE-2022-22963 啟用規則以防止 SpringShell 弱點
99001015 MS-ThreatIntel-WebShells 嘗試使用 Spring Framework 不安全的類別對象進行利用 CVE-2022-22965 啟用規則以防止 SpringShell 弱點
99001016 MS-ThreatIntel-WebShells 嘗試 Spring Cloud Gateway 執行器注入 CVE-2022-22947 啟用規則以防止 SpringShell 弱點
99001017 MS-ThreatIntel-CVEs 企圖進行 Apache Struts 檔案上傳漏洞利用 CVE-2023-50164 啟用規則以防止 Apache Struts 弱點

DRS 2.0

DRS 2.0 規則提供比舊版 DRS 更好的保護。 DRS 2.0 也支援不僅僅是 URL 解碼的轉換。

DRS 2.0 包含 17 個規則群組,如下表所示。 每個群組包含多個規則。 您可以停用個別規則和整個規則群組。

注意

DRS 2.0 僅適用於 Azure Front Door 進階版。

規則群組 規則群組名稱 描述
一般 一般 一般群組
方法執行 方法強制 鎖定方法 (PUT、PATCH)
協定規範 PROTOCOL-ENFORCEMENT 可防範通訊協定和編碼問題
通訊協議攻擊 PROTOCOL-ATTACK 防止標頭插入、要求走私和回應分割
APPLICATION-ATTACK-LFI LFI 防止檔案和路徑攻擊
應用程式攻擊-RFI 資訊請求 防止遠端檔案包含 (RFI) 攻擊
APPLICATION-ATTACK-RCE RCE 防止遠端程式碼執行攻擊
APPLICATION-ATTACK-PHP PHP 防止 PHP 插入式攻擊
APPLICATION-ATTACK-NodeJS NODEJS 防止 Node JS 攻擊
APPLICATION-ATTACK-XSS XSS 防止跨網站指令碼攻擊
APPLICATION-ATTACK-SQLI SQLI 防止 SQL 插入式攻擊
應用程式攻擊-會話固定 修復 防止工作階段固定攻擊
APPLICATION-ATTACK-SESSION-JAVA Java 防止 JAVA 攻擊
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells 防止網頁殼層攻擊
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec 防止應用程式安全攻擊
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI 防止 SQLI 攻擊
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs 防止 CVE 攻擊

DRS 1.1

規則群組 規則群組名稱 描述
通訊協議攻擊 PROTOCOL-ATTACK 防止標頭插入、要求走私和回應分割
APPLICATION-ATTACK-LFI LFI 防止檔案和路徑攻擊
應用程式攻擊-RFI 徵求資訊 防止遠端檔案包含攻擊
APPLICATION-ATTACK-RCE RCE 防止遠端命令執行
APPLICATION-ATTACK-PHP PHP 防止 PHP 插入式攻擊
應用程式攻擊-XSS XSS 防止跨網站指令碼攻擊
APPLICATION-ATTACK-SQLI SQLI 防止 SQL 插入式攻擊
應用程式攻擊-會話固定 修復 防止工作階段固定攻擊
應用攻擊會話-JAVA Java 防止 JAVA 攻擊
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells 防止網頁殼層攻擊
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec 防止應用程式安全攻擊
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI 防止 SQLI 攻擊
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs 防止 CVE 攻擊

DRS 1.0

規則群組 規則群組名稱 描述
通訊協議攻擊 PROTOCOL-ATTACK 防止標頭插入、要求走私和回應分割
應用程式攻擊-LFI LFI 防止檔案和路徑攻擊
應用程式攻擊-RFI 資訊請求 (if "RFI" means "Request for Information") 防止遠端檔案包含攻擊
APPLICATION-ATTACK-RCE RCE 防止遠端命令執行
APPLICATION-ATTACK-PHP PHP 防止 PHP 插入式攻擊
APPLICATION-ATTACK-XSS XSS 防止跨網站指令碼攻擊
APPLICATION-ATTACK-SQLI SQLI 防止 SQL 插入式攻擊
應用程式攻擊-會話固定 修復 防止工作階段固定攻擊
APPLICATION-ATTACK-SESSION-JAVA Java 防止 JAVA 攻擊
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells 防止網頁殼層攻擊
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs 防止 CVE 攻擊

Bot Manager 1.0

Bot Manager 1.0 規則集可保護惡意 Bot,以及偵測良好的 Bot。 這些規則會將 Bot 流量分類為「良好」、「不良」或「未知」Bot,藉此對 WAF 偵測到的 Bot 提供細微的控制。

規則群組 描述
BadBots 防止有害 Bot
GoodBots 識別無害 Bot
UnknownBots 識別未知 Bot

Bot Manager 1.1

Bot Manager 1.1 規則集是 Bot Manager 1.0 規則集的增強功能。 它提供對惡意 Bot 的增強保護,並增加良好的 Bot 偵測。

規則群組 描述
BadBots 防止有害 Bot
GoodBots 識別無害 Bot
UnknownBots 識別未知 Bot

在 Azure Front Door 上使用 Azure Web 應用程式防火牆時,可以使用下列規則群組和規則。

2.1 規則集

一般

規則識別碼 異常分數嚴重性 偏執狂等級 描述
200002 重大 - 5 1 無法剖析要求內文
200003 重大 - 5 1 multipart 要求本文失敗嚴格驗證

方法強制執行

規則識別碼 異常分數嚴重性 偏執狂等級 描述
911100 重大 - 5 1 原則不允許方法

通訊協定強制

規則識別碼 異常分數嚴重性 偏執狂等級 描述
920100 注意 - 2 1 無效的 HTTP 要求列
920120 重大 - 5 1 已嘗試 multipart/form-data 略過
920121 重大 - 5 2 已嘗試 multipart/form-data 略過
920160 重大 - 5 1 內容長度 HTTP 標頭不是數值
920170 重大 - 5 1 具有本文內容的 GET 或 HEAD 要求
920171 重大 - 5 1 具有 Transfer-Encoding 的 GET 或 HEAD 請求
920180 注意 - 2 1 POST 請求缺少 Content-Length 標頭
920181 警告 - 3 1 內容長度和 Transfer-Encoding 標頭會呈現 99001003
920190 警告 - 3 1 範圍:無效的最後一個字節值
920200 警告 - 3 2 範圍:太多欄位 (6 個或以上)
920201 警告 - 3 2 範圍:太多 PDF 要求的欄位 (6 個或以上)
920210 警告 - 3 1 找到多個/衝突的連接標頭數據
920220 警告 - 3 1 URL 編碼濫用攻擊嘗試
920230 警告 - 3 2 偵測到多個 URL 編碼
920240 警告 - 3 1 URL 編碼濫用攻擊嘗試
920260 警告 - 3 1 Unicode 全/半寬度濫用攻擊嘗試
920270 重大 - 5 1 要求 (null 字元) 中的字元無效
920271 重大 - 5 2 要求中無效的字元(不可列印的字元)
920280 警告 - 3 1 要求遺失主機標頭
920290 警告 - 3 1 空白的主機標頭
920300 注意 - 2 2 要求遺失 Accept 標頭
920310 注意 - 2 1 要求具有空白的 Accept 標頭
920311 注意 - 2 1 要求具有空白的 Accept 標頭
920320 注意 - 2 2 遺失使用者代理程式標頭
920330 注意 - 2 1 空白的使用者代理程式標頭
920340 注意 - 2 1 要求包含內容,但遺漏 Content-Type 標頭
920341 重大 - 5 2 要求包含內容,需要 Content-Type 標頭
920350 警告 - 3 1 主機標頭是數字的 IP 位址
920420 重大 - 5 1 原則不允許要求內容類型
920430 重大 - 5 1 原則不允許 HTTP 通訊協定版本
920440 重大 - 5 1 原則會限制 URL 的副檔名
920450 重大 - 5 1 原則會限制 HTTP 標頭
920470 重大 - 5 1 非法 Content-Type 標頭
920480 重大 - 5 1 原則不允許要求內容類型字元集
920500 重大 - 5 1 嘗試存取備份或工作檔案

通訊協定攻擊

規則識別碼 異常分數的嚴重程度 偏執狂等級 描述
921110 重大 - 5 1 HTTP 要求走私攻擊
921120 重大 - 5 1 HTTP 回應分割攻擊
921130 重大 - 5 1 HTTP 回應分割攻擊
921140 重大 - 5 1 透過標頭的 HTTP 標頭插入式攻擊
921150 重大 - 5 1 透過承載 (偵測到 CR/LF) 的 HTTP 標頭插入式攻擊
921151 重大 - 5 2 透過承載 (偵測到 CR/LF) 的 HTTP 標頭插入式攻擊
921160 重大 - 5 1 透過承載 (偵測到 CR/LF 和 header-name) 的 HTTP 標頭插入式攻擊
921190 重大 - 5 1 HTTP 分割 (偵測到要求檔案名稱中的 CR/LF)
921200 重大 - 5 1 LDAP 插入式攻擊

LFI:本機檔案包含

規則識別碼 異常分數的嚴重性 偏執狂等級 描述
930100 重大 - 5 1 路徑周遊攻擊 (/../)
930110 重大 - 5 1 路徑周遊攻擊 (/../)
930120 重大 - 5 1 作業系統檔案存取嘗試
930130 重大 - 5 1 受限制檔案存取嘗試

RFI:遠端檔案包含

規則識別碼 異常評分的嚴重性 偏執狂等級 描述
931100 重大 - 5 1 可能的遠端檔案包含 (RFI) 攻擊:使用 IP 位址的 URL 參數
931110 重大 - 5 1 可能的遠端檔案包含 (RFI) 攻擊:與 URL 承載搭配使用的一般 RFI 易受攻擊參數名稱
931120 重大 - 5 1 可能的遠端檔案包含 (RFI) 攻擊:與結尾問號字元 (?) 搭配使用 URL 承載
931130 重大 - 5 2 可能的遠端檔案包含 (RFI) 攻擊:關閉網域參考/連結

RCE:遠端命令執行

規則識別碼 異常分數嚴重性 偏執狂等級 描述
932100 重大 - 5 1 遠端命令執行:Unix 命令插入
932105 重大 - 5 1 遠端命令執行:Unix 命令插入
932110 重大 - 5 1 遠端命令執行:Windows 命令插入
932115 重大 - 5 1 遠端命令執行:Windows 命令插入
932120 重大 - 5 1 遠端命令執行:找到 Windows PowerShell 命令
932130 重大 - 5 1 遠端命令執行:找到 UNIX Shell 運算式或 Confluence 弱點 (CVE-2022-26134)
932140 重大 - 5 1 遠端命令執行:找到 Windows FOR/IF 命令
932150 重大 - 5 1 遠端命令執行:直接 Unix 命令執行
932160 重大 - 5 1 遠端命令執行:找到 Unix 殼層程式碼
932170 重大 - 5 1 遠端命令執行:Shellshock (CVE-2014-6271)
932171 重大 - 5 1 遠端命令執行:Shellshock (CVE-2014-6271)
932180 重大 - 5 1 受限制檔案上傳嘗試

PHP 攻擊

規則識別碼 異常分數嚴重性 偏執狂等級 描述
933100 重大 - 5 1 PHP 插入式攻擊:找到開頭/結尾標記
933110 重大 - 5 1 PHP 插入式攻擊:找到 PHP 指令碼檔案上傳
933120 重大 - 5 1 PHP 插入式攻擊:找到設定指示詞
933130 重大 - 5 1 PHP 插入式攻擊:找到變數
933140 重大 - 5 1 PHP 插入式攻擊:找到 I/O 資料流
933150 重大 - 5 1 PHP 插入式攻擊:找到高風險 PHP 函式名稱
933151 重大 - 5 2 PHP 插入式攻擊:找到中度風險 PHP 函式名稱
933160 重大 - 5 1 PHP 插入式攻擊:找到高風險 PHP 函式呼叫
933170 重大 - 5 1 PHP 插入式攻擊:序列化物件插入
933180 重大 - 5 1 PHP 插入式攻擊:找到變數函式呼叫
933200 重大 - 5 1 PHP 插入式攻擊:偵測到包裝函式配置
933210 危急 - 5 1 PHP 插入式攻擊:找到變數函式呼叫

Node JS 攻擊

規則識別碼 異常分數嚴重性 偏執狂等級 描述
934100 重大 - 5 1 Node.js 插入式攻擊

XSS:跨網站指令碼處理

規則識別碼 異常分數的嚴重程度 偏執狂等級 描述
941100 重大 - 5 1 透過 libinjection 偵測到的 XSS 攻擊
941101 重大 - 5 2 透過 libinjection 偵測到的 XSS 攻擊
規則會偵測具有 Referer 標頭的要求
941110 重大 - 5 1 XSS 篩選 - 類別 1:指令碼標記向量
941120 重大 - 5 1 XSS 篩選 - 類別 2:事件處理常式向量
941130 重大 - 5 1 XSS 篩選 - 類別 3:屬性向量
941140 重大 - 5 1 XSS 篩選 - 類別 4:JavaScript URI 向量
941150 重大 - 5 2 XSS 篩選 - 類別 5:不允許的 HTML 屬性
941160 重大 - 5 1 NoScript XSS InjectionChecker:HTML 插入
941170 重大 - 5 1 NoScript XSS InjectionChecker:屬性插入
941180 重大 - 5 1 節點驗證程式封鎖清單關鍵字
941190 重大 - 5 1 使用樣式表的 XSS
941200 重大 - 5 1 使用 VML 框架的 XSS
941210 重大 - 5 1 使用混淆處理 JavaScript 的 XSS
941220 重大 - 5 1 使用混淆處理 VB 指令碼的 XSS
941230 重大 - 5 1 使用 embed 標記的 XSS
941240 重大 - 5 1 使用 importimplementation 屬性的 XSS
941250 嚴重 - 5 1 IE XSS 篩選 - 偵測到攻擊
941260 重大 - 5 1 使用 meta 標記的 XSS
941270 重大 - 5 1 使用 link HREF 的 XSS
941280 重大 - 5 1 使用 base 標記的 XSS
941290 重大 - 5 1 使用 applet 標記的 XSS
941300 重大 - 5 1 使用 object 標記的 XSS
941310 重大 - 5 1 US-ASCII 格式不正確編碼 XSS 篩選器 - 偵測到攻擊
941320 重大 - 5 2 偵測到可能的 XSS 攻擊 - HTML 標記處理常式
941330 重大 - 5 2 IE XSS 篩選 - 偵測到攻擊
941340 重大 - 5 2 IE XSS 篩選 - 偵測到攻擊
941350 重大 - 5 1 UTF-7 編碼 IE XSS - 偵測到攻擊
941360 重大 - 5 1 偵測到 JavaScript 混淆處理
941370 重大 - 5 1 找到 JavaScript 全域變數
941380 重大 - 5 2 偵測到 AngularJS 用戶端範本插入

SQLI:SQL 插入

規則識別碼 異常分數的嚴重程度 偏執狂等級 描述
942100 重大 - 5 1 透過 libinjection 偵測到的 SQL 插入式攻擊
942110 警告 - 3 2 SQL插入式攻擊:偵測到常見的插入測試
942120 重大 - 5 2 SQL插入式攻擊:偵測到 SQL 運算子
942140 重大 - 5 1 SQL 插入式攻擊:偵測到常用的 DB 名稱
942150 重大 - 5 2 SQL 插入式攻擊
942160 重大 - 5 1 使用 sleep() 函數或 benchmark() 函數來偵測盲目 SQL 注入測試
942170 重大 - 5 1 偵測到 SQL 基準測試與睡眠插入式嘗試包括條件式查詢
942180 重大 - 5 2 偵測到基本 SQL 驗證略過嘗試 1/3
942190 重大 - 5 1 偵測到 MSSQL 程式碼執行和資訊收集嘗試次數
942200 重大 - 5 2 偵測到 MySQL 註解/空間模糊化的插入和反引號終止
942210 重大 - 5 2 偵測到鏈結 SQL 插入嘗試 1/2
942220 重大 - 5 1 由 skipfish 尋找整數溢位攻擊,除了 3.0.00738585072007e-308 屬於「魔術數字」損毀
942230 重大 - 5 1 偵測到條件式 SQL 插入嘗試
942240 重大 - 5 1 偵測到 MySQL 字元集切換和 MSSQL DoS 嘗試
942250 重大 - 5 1 偵測 MATCH AGAINST、MERGE 和 EXECUTE IMMEDIATE 注入
942260 重大 - 5 2 偵測到基本 SQL 驗證略過嘗試 2/3
942270 重大 - 5 1 尋找基本的 SQL 插入。 MySQL、Oracle 和其他專案的常見攻擊字串
942280 重大 - 5 1 偵測 Postgres pg_sleep插入、等待延遲攻擊,以及資料庫關機嘗試
942290 重大 - 5 1 尋找基本 MongoDB SQL 插入嘗試
942300 重大 - 5 2 偵測到 MySQL 註解、條件和 ch(a)r 插入
942310 重大 - 5 2 偵測到鏈結 SQL 插入嘗試 2/2
942320 重大 - 5 1 偵測到 MySQL 與 PostgreSQL 預存程序/函式插入
942330 重大 - 5 2 偵測到傳統 SQL 插入探測 1/2
942340 重大 - 5 2 偵測到基本 SQL 驗證略過嘗試 3/3
942350 重大 - 5 1 偵測到 MySQL UDF 插入和其他資料/結構操作嘗試
942360 重大 - 5 1 偵測到連續的基本 SQL 插入和 SQLLFI 嘗試次數
942361 重大 - 5 2 偵測到以關鍵字變更或集合聯集為基礎的基本 SQL 插入
942370 重大 - 5 2 偵測到傳統 SQL 插入探測 2/2
942380 重大 - 5 2 SQL 插入式攻擊
942390 重大 - 5 2 SQL 插入式攻擊
942400 重大 - 5 2 SQL 插入式攻擊
942410 重大 - 5 2 SQL 插入式攻擊
942430 警告 - 3 2 受限制的 SQL 字元異常偵測 (args):超出的特殊字元數目 (12)
942440 重大 - 5 2 偵測到 SQL 註解順序
942450 重大 - 5 2 識別到 SQL 十六進位編碼
942470 重大 - 5 2 SQL 插入式攻擊
942480 重大 - 5 2 SQL 插入式攻擊
942500 重大 - 5 1 偵測到 MySQL 內嵌註釋
942510 重大 - 5 2 偵測到嘗試使用引號或倒引號來繞過 SQLi 的行為

工作階段 Fixation

規則識別碼 異常分數的嚴重性 偏執狂等級 描述
943100 重大 - 5 1 可能的工作階段固定攻擊:在 HTML 中設定 Cookie 值
943110 重大 - 5 1 可能的工作階段 Fixation 攻擊:具有關閉網域參考者的工作階段識別碼參數名稱
943120 重大 - 5 1 可能的工作階段 Fixation 攻擊:沒有參考者的工作階段識別碼參數名稱

Java 攻擊

規則識別碼 異常分數嚴重性 偏執狂等級 描述
944100 重大 - 5 1 遠端命令執行:Apache Struts、Oracle WebLogic
944110 重大 - 5 1 偵測到潛在的承載執行
944120 重大 - 5 1 可能的承載執行和遠端命令執行
944130 重大 - 5 1 可疑的 JAVA 類別
944200 重大 - 5 2 JAVA 還原序列化 Apache Commons 的惡意探索
944210 重大 - 5 2 可能使用 JAVA 序列化
944240 重大 - 5 2 遠端命令執行:Java 串行化和 Log4j 弱點 (CVE-2021-44228CVE-2021-45046
944250 重大 - 5 2 遠端命令執行:偵測到可疑的 JAVA 方法

MS-ThreatIntel-WebShells

規則識別碼 異常評分嚴重程度 偏執狂等級 描述
99005002 重大 - 5 2 網頁殼層互動嘗試 (POST)
99005003 危急 - 5 2 網頁殼層上傳嘗試 (POST) - CHOPPER PHP
99005004 重大 - 5 2 網頁殼層上傳嘗試 (POST) - CHOPPER ASPX
99005005 重大 - 5 2 網頁殼層互動嘗試
99005006 重大 - 5 2 Spring4Shell 互動嘗試

MS-ThreatIntel-AppSec

規則識別碼 異常分數的嚴重程度 偏執狂等級 描述
99030001 重大 - 5 2 標頭中的路徑周遊規避 (/.././../)
99030002 重大 - 5 2 要求本文中的路徑周遊規避 (/.././../)

MS-ThreatIntel-SQLI

規則識別碼 異常評分嚴重性 偏執狂等級 描述
99031001 警告 - 3 2 SQL插入式攻擊:偵測到常見的插入測試
99031002 重大 - 5 2 偵測到 SQL 註解順序
99031003 重大 - 5 2 SQL 插入式攻擊
99031004 重大 - 5 2 偵測到基本 SQL 驗證略過嘗試 2/3

MS-ThreatIntel-CVEs

規則識別碼 異常分數嚴重性 偏執狂等級 描述
99001001 重大 - 5 2 使用已知認證嘗試 F5 tmui (CVE-2020-5902) REST API 惡意探索
99001002 重大 - 5 2 嘗試 Citrix NSC_USER 目錄遍歷 CVE-2019-19781
99001003 重大 - 5 2 嘗試使用 Atlassian Confluence Widget 連接器漏洞利用 CVE-2019-3396
99001004 重大 - 5 2 試圖利用 Pulse Secure 自定義範本漏洞 CVE-2020-8243
99001005 重大 - 5 2 嘗試利用 SharePoint 類型轉換器漏洞 CVE-2020-0932
99001006 關鍵 - 5 2 嘗試進行 Pulse Connect 目錄遍歷 CVE-2019-11510
99001007 嚴重 - 5 2 嘗試使用 Junos OS J-Web 本地文件夾入漏洞 CVE-2020-1631
99001008 重大 - 5 2 嘗試使用 Fortinet 路徑遍歷 CVE-2018-13379
99001009 重大 - 5 2 嘗試 Apache Struts OGNL 注入 CVE-2017-5638
99001010 重大 - 5 2 嘗試 Apache Struts OGNL 注入 CVE-2017-12611
99001011 重大 - 5 2 嘗試的 Oracle WebLogic 路徑周遊 CVE-2020-14882
99001012 重大 - 5 2 嘗試利用 Telerik WebUI 不安全反序列化漏洞 CVE-2019-18935
99001013 重大 - 5 2 嘗試對 SharePoint 的不安全 XML 進行反序列化 CVE-2019-0604
99001014 重大 - 5 2 嘗試 Spring Cloud 路由表達式插入 CVE-2022-22963
99001015 重大 - 5 2 試圖利用 Spring Framework 不安全類別物件攻擊 CVE-2022-22965
99001016 重大 - 5 2 嘗試 Spring Cloud Gateway 執行器插入 CVE-2022-22947
99001017 重大 - 5 2 企圖利用 Apache Struts 檔案上傳漏洞 CVE-2023-50164

注意

檢閱 WAF 的記錄時,您可能會看到規則識別碼 949110。 規則的描述可能包括 超過輸入異常分數

此規則表示要求的異常評分總計超過允許的評分上限。 如需詳細資訊,請參閱 異常評分

當您調整 WAF 原則時,您必須調查要求所觸發的其他規則,以便調整 WAF 的組態。 如需詳細資訊,請參閱 調整 Azure Front Door 的 Azure Web 應用程式防火牆