Web 應用程式防火牆 DRS 規則群組和群組
Azure Front Door 上的 Azure Web 應用程式防火牆 可保護 Web 應用程式免於常見的弱點和惡意探索。 Azure 管理的規則集可讓您以簡單的方式部署防護,以抵禦一組常見的安全性威脅。 由於 Azure 會管理這些規則集,因此會視需要更新規則,以防止新的攻擊簽章。
默認規則集 (DRS) 也包含與 Microsoft Intelligence 小組合作撰寫的 Microsoft 威脅情報收集規則,以提供更高的涵蓋範圍、特定弱點的修補程式,以及更好的誤判降低。
預設規則集
Azure 管理的 DRS 包含下列威脅類別的規則:
- 跨網站指令碼處理
- Java 攻擊
- 本機檔案包含
- PHP 插入式攻擊
- 遠端命令執行
- 遠端檔案包含
- 工作階段 Fixation
- SQL 插入式攻擊保護
- 通訊協定攻擊
當新的攻擊簽章新增至規則集時,DRS 的版本號碼將會遞增。
在 WAF 原則的偵測模式中,DRS 會預設為啟用。 您可以在 DRS 中停用或啟用個別規則,以符合您的應用程式需求。 您也可以根據每個規則設定特定動作。 可用的動作為 [允許]、[封鎖]、[記錄] 和 [重新導向]。
有時候您可能需要從 Web 應用程式防火牆 (WAF) 評估中省略特定要求屬性。 常見範例是用於驗證的 Active Directory 插入式權杖。 您可以設定受控規則、規則群組或整個規則集的排除清單。 如需詳細資訊,請參閱 Azure Front Door 排除清單中的 Azure Web 應用程式防火牆。
根據預設,DRS 2.0 版和更新版本會在要求符合規則時使用異常評分。 2.0 之前的 DRS 版本會觸發規則的封鎖要求。 此外,如果您想要略過 DRS 中任何預先設定的規則,可以在相同的 WAF 原則中設定自定義規則。
在評估 DRS 中的規則之前,一律會套用自定義規則。 如果要求符合自訂規則,則會套用對應的規則動作。 要求會遭到封鎖或傳遞至後端。 不會處理任何其他自定義規則或 DRS 中的規則。 您也可以從 WAF 原則中移除 DRS。
Microsoft 威脅情報收集規則
與 Microsoft 威脅情報小組合作撰寫的 Microsoft 威脅情報收集規則,可提供更高的涵蓋範圍、特定弱點的修補程式,以及更好的誤判降低。
根據預設,Microsoft 威脅情報收集規則會取代一些內建 DRS 規則,使其停用。 例如,規則標識碼 942440、 SQL 批注序列偵測到,已停用 Microsoft 威脅情報收集規則99031002取代。 已取代的規則可降低來自合法要求的誤判偵測風險。
異常評分
當您使用 DRS 2.0 或更新版本時,WAF 會使用異常評分。 符合任何規則的流量不會立即遭到封鎖,即使您的 WAF 處於預防模式也一樣。 相反地,OWASP 規則集會為每個規則定義嚴重性:重大、錯誤、警告或通知。 嚴重性會影響要求的數值,稱為 異常分數。 如果要求累積 5 或更新版本的異常分數,WAF 就會對要求採取動作。
規則嚴重性 | 造成異常評分的值 |
---|---|
重大 | 5 |
錯誤 | 4 |
警告 | 3 |
注意事項 | 2 |
當您設定 WAF 時,您可以決定 WAF 如何處理超過異常分數閾值 5 的要求。 三個異常分數動作選項為 [封鎖]、[記錄] 或 [重新導向]。 您在設定時選取的異常分數動作會套用至超過異常分數閾值的所有要求。
例如,如果要求的異常分數為5或更高,且WAF處於 [預防] 模式,且異常分數動作設定為 [封鎖],則會封鎖要求。 如果異常分數在要求上為5或更高,且WAF處於偵測模式,則會記錄要求,但不會遭到封鎖。
當在 [預防] 模式中,將異常分數動作設定為 [封鎖] 時,單一 [重大規則比對] 就足以讓 WAF 封鎖要求,因為整體異常分數為 5。 但是符合警告規則只會將異常評分提高 3 分,其本身並不足以封鎖流量。 觸發異常規則時,它會在記錄中顯示「相符」動作。 如果異常分數為5或更高,則會觸發個別規則,並針對規則集設定異常分數動作。 預設異常分數動作為 Block,這會導致記錄項目與動作 blocked
。
當您的 WAF 使用舊版的預設規則集時(在 DRS 2.0 之前),您的 WAF 會以傳統模式執行。 符合任何規則的流量都視為獨立於任何其他規則相符項目。 在傳統模式中,您不會看到符合特定要求的完整規則集。
您所使用的 DRS 版本也會決定要求本文檢查支援哪些內容類型。 如需詳細資訊,請參閱常見問題集中的 WAF 支援哪些內容類型?。
DRS 2.1
DRS 2.1 規則提供比舊版 DRS 更好的保護。 其中包含 Microsoft 威脅情報小組所開發的其他規則,以及簽章的更新,以減少誤判。 其也支援不僅僅是 URL 解碼的轉換。
DRS 2.1 包含 17 個規則群組,如下表所示。 每個群組都包含多個規則,而且您可以自定義個別規則、規則群組或整個規則集的行為。 如需詳細資訊,請參閱為 Azure Front Door 調整 Web 應用程式防火牆 (WAF)。
注意
DRS 2.1 僅適用於 Azure Front Door 進階版。
規則群組 | 受控規則群組標識碼 | 描述 |
---|---|---|
一般 | 一般 | 一般群組 |
METHOD-ENFORCEMENT | METHOD-ENFORCEMENT | 鎖定方法 (PUT、PATCH) |
PROTOCOL-ENFORCEMENT | PROTOCOL-ENFORCEMENT | 可防範通訊協定和編碼問題 |
PROTOCOL-ATTACK | PROTOCOL-ATTACK | 防止標頭插入、要求走私和回應分割 |
APPLICATION-ATTACK-LFI | LFI | 防止檔案和路徑攻擊 |
APPLICATION-ATTACK-RFI | 射頻干擾 | 防止遠端檔案包含 (RFI) 攻擊 |
APPLICATION-ATTACK-RCE | RCE | 防止遠端程式碼執行攻擊 |
APPLICATION-ATTACK-PHP | PHP | 防止 PHP 插入式攻擊 |
APPLICATION-ATTACK-NodeJS | NODEJS | 防止 Node JS 攻擊 |
APPLICATION-ATTACK-XSS | XSS | 防止跨網站指令碼攻擊 |
APPLICATION-ATTACK-SQLI | SQLI | 防止 SQL 插入式攻擊 |
APPLICATION-ATTACK-SESSION-FIXATION | FIX | 防止工作階段固定攻擊 |
APPLICATION-ATTACK-SESSION-JAVA | Java | 防止 JAVA 攻擊 |
MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | 防止網頁殼層攻擊 |
MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | 防止應用程式安全攻擊 |
MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | 防止 SQLI 攻擊 |
MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | 防止 CVE 攻擊 |
已停用的規則
DRS 2.1 預設會停用下列規則。
規則識別碼 | 規則群組 | 描述 | 詳細資料 |
---|---|---|---|
942110 | SQLI | SQL插入式攻擊:偵測到常見的插入測試 | 由 MSTIC 規則99031001取代 |
942150 | SQLI | SQL 插入式攻擊 | 由 MSTIC 規則99031003取代 |
942260 | SQLI | 偵測到基本 SQL 驗證略過嘗試 2/3 | 由 MSTIC 規則99031004取代 |
942430 | SQLI | 受限制的 SQL 字元異常偵測 (args):超出的特殊字元數目 (12) | 太多誤判 |
942440 | SQLI | 偵測到 SQL 批注序列 | 由 MSTIC 規則99031002取代 |
99005006 | MS-ThreatIntel-WebShells | Spring4Shell 互動嘗試 | 啟用規則以防止 SpringShell 弱點 |
99001014 | MS-ThreatIntel-CVEs | 嘗試 Spring Cloud routing-expression 插入 CVE-2022-22963 | 啟用規則以防止 SpringShell 弱點 |
99001015 | MS-ThreatIntel-WebShells | 嘗試使用 Spring Framework 不安全類別物件惡意探索 CVE-2022-22965 | 啟用規則以防止 SpringShell 弱點 |
99001016 | MS-ThreatIntel-WebShells | 嘗試 Spring Cloud 閘道傳動器插入 CVE-2022-22947 | 啟用規則以防止 SpringShell 弱點 |
99001017 | MS-ThreatIntel-CVEs | 嘗試 Apache Struts 檔案上傳惡意探索 CVE-2023-50164。 | 啟用規則以防止 Apache Struts 弱點 |
DRS 2.0
DRS 2.0 規則提供比舊版 DRS 更好的保護。 DRS 2.0 也支援 URL 譯碼以外的轉換。
DRS 2.0 包含 17 個規則群組,如下表所示。 每個群組都包含多個規則。 您可以停用個別規則和整個規則群組。
注意
DRS 2.0 僅適用於 Azure Front Door 進階版。
規則群組 | 受控規則群組標識碼 | 描述 |
---|---|---|
一般 | 一般 | 一般群組 |
METHOD-ENFORCEMENT | METHOD-ENFORCEMENT | 鎖定方法 (PUT、PATCH) |
PROTOCOL-ENFORCEMENT | PROTOCOL-ENFORCEMENT | 可防範通訊協定和編碼問題 |
PROTOCOL-ATTACK | PROTOCOL-ATTACK | 防止標頭插入、要求走私和回應分割 |
APPLICATION-ATTACK-LFI | LFI | 防止檔案和路徑攻擊 |
APPLICATION-ATTACK-RFI | 射頻干擾 | 防止遠端檔案包含 (RFI) 攻擊 |
APPLICATION-ATTACK-RCE | RCE | 防止遠端程式碼執行攻擊 |
APPLICATION-ATTACK-PHP | PHP | 防止 PHP 插入式攻擊 |
APPLICATION-ATTACK-NodeJS | NODEJS | 防止 Node JS 攻擊 |
APPLICATION-ATTACK-XSS | XSS | 防止跨網站指令碼攻擊 |
APPLICATION-ATTACK-SQLI | SQLI | 防止 SQL 插入式攻擊 |
APPLICATION-ATTACK-SESSION-FIXATION | FIX | 防止工作階段固定攻擊 |
APPLICATION-ATTACK-SESSION-JAVA | Java | 防止 JAVA 攻擊 |
MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | 防止網頁殼層攻擊 |
MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | 防止應用程式安全攻擊 |
MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | 防止 SQLI 攻擊 |
MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | 防止 CVE 攻擊 |
DRS 1.1
規則群組 | 受控規則群組標識碼 | 描述 |
---|---|---|
PROTOCOL-ATTACK | PROTOCOL-ATTACK | 防止標頭插入、要求走私和回應分割 |
APPLICATION-ATTACK-LFI | LFI | 防止檔案和路徑攻擊 |
APPLICATION-ATTACK-RFI | 射頻干擾 | 防止遠端檔案包含攻擊 |
APPLICATION-ATTACK-RCE | RCE | 防止遠端命令執行 |
APPLICATION-ATTACK-PHP | PHP | 防止 PHP 插入式攻擊 |
APPLICATION-ATTACK-XSS | XSS | 防止跨網站指令碼攻擊 |
APPLICATION-ATTACK-SQLI | SQLI | 防止 SQL 插入式攻擊 |
APPLICATION-ATTACK-SESSION-FIXATION | FIX | 防止工作階段固定攻擊 |
APPLICATION-ATTACK-SESSION-JAVA | Java | 防止 JAVA 攻擊 |
MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | 防止網頁殼層攻擊 |
MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | 防止應用程式安全攻擊 |
MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | 防止 SQLI 攻擊 |
MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | 防止 CVE 攻擊 |
DRS 1.0
規則群組 | 受控規則群組標識碼 | 描述 |
---|---|---|
PROTOCOL-ATTACK | PROTOCOL-ATTACK | 防止標頭插入、要求走私和回應分割 |
APPLICATION-ATTACK-LFI | LFI | 防止檔案和路徑攻擊 |
APPLICATION-ATTACK-RFI | 射頻干擾 | 防止遠端檔案包含攻擊 |
APPLICATION-ATTACK-RCE | RCE | 防止遠端命令執行 |
APPLICATION-ATTACK-PHP | PHP | 防止 PHP 插入式攻擊 |
APPLICATION-ATTACK-XSS | XSS | 防止跨網站指令碼攻擊 |
APPLICATION-ATTACK-SQLI | SQLI | 防止 SQL 插入式攻擊 |
APPLICATION-ATTACK-SESSION-FIXATION | FIX | 防止工作階段固定攻擊 |
APPLICATION-ATTACK-SESSION-JAVA | Java | 防止 JAVA 攻擊 |
MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | 防止網頁殼層攻擊 |
MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | 防止 CVE 攻擊 |
Bot 規則
規則群組 | 描述 |
---|---|
BadBots | 防止有害 Bot |
GoodBots | 識別無害 Bot |
UnknownBots | 識別未知 Bot |
當您在 Azure Front Door 上使用 Azure Web 應用程式防火牆 時,可以使用下列規則群組和規則。
2.1 規則集
一般
RuleId | Description |
---|---|
200002 | 無法剖析要求本文 |
200003 | multipart 要求本文失敗嚴格驗證 |
強制方法
RuleId | Description |
---|---|
911100 | 原則不允許方法 |
通訊協定強制
RuleId | Description |
---|---|
920100 | 無效的 HTTP 要求行。 |
920120 | 嘗試多部分/表單數據略過。 |
920121 | 嘗試多部分/表單數據略過。 |
920160 | 內容長度 HTTP 標頭不是數值。 |
920170 | 具有內文內容的 GET 或 HEAD 要求。 |
920171 | 使用移轉編碼的 GET 或 HEAD 要求。 |
920180 | POST 要求遺失 Content-Length 標頭。 |
920181 | 內容長度和傳輸編碼標頭呈現99001003。 |
920190 | 範圍:無效的最後一個位元組值。 |
920200 | 範圍:太多欄位(6 個以上)。 |
920201 | 範圍:PDF 要求太多欄位(35 個以上)。 |
920210 | 找到多個/衝突連接標頭資料。 |
920220 | URL 編碼濫用攻擊嘗試。 |
920230 | 偵測到多個 URL 編碼。 |
920240 | URL 編碼濫用攻擊嘗試。 |
920260 | Unicode 全半角濫用攻擊嘗試。 |
920270 | 要求中無效的字元(Null 字元)。 |
920271 | 要求中無效的字元(不可列印的字元)。 |
920280 | 要求遺漏主機標頭。 |
920290 | 空白主機標頭。 |
920300 | 要求遺漏 Accept 標頭。 |
920310 | 要求具有空的 Accept 標頭。 |
920311 | 要求具有空的 Accept 標頭。 |
920320 | 遺漏使用者代理程序標頭。 |
920330 | 空白使用者代理程序標頭。 |
920340 | 要求包含內容,但遺漏 Content-Type 標頭。 |
920341 | 要求包含內容需要 Content-Type 標頭。 |
920350 | 主機標頭是數值IP位址。 |
920420 | 原則不允許要求內容類型。 |
920430 | 原則不允許 HTTP 通訊協定版本。 |
920440 | URL 擴展名受限於原則。 |
920450 | HTTP 標頭受限於原則。 |
920470 | 不合法的 Content-Type 標頭。 |
920480 | 原則不允許要求內容類型字元集。 |
920500 | 嘗試存取備份或工作檔案。 |
通訊協議攻擊
RuleId | Description |
---|---|
921110 | HTTP 要求走私攻擊 |
921120 | HTTP 回應分割攻擊 |
921130 | HTTP 回應分割攻擊 |
921140 | 透過標頭的 HTTP 標頭插入式攻擊 |
921150 | 透過承載 (偵測到 CR/LF) 的 HTTP 標頭插入式攻擊 |
921151 | 透過承載 (偵測到 CR/LF) 的 HTTP 標頭插入式攻擊 |
921160 | 透過承載 (偵測到 CR/LF 和 header-name) 的 HTTP 標頭插入式攻擊 |
921190 | HTTP 分割 (偵測到要求檔名中的 CR/LF) |
921200 | LDAP 插入式攻擊 |
LFI:本機檔案包含
RuleId | Description |
---|---|
930100 | 路徑周遊攻擊 (/../) |
930110 | 路徑周遊攻擊 (/../) |
930120 | 作業系統檔案存取嘗試 |
930130 | 受限制檔案存取嘗試 |
RFI:遠端檔案包含
RuleId | Description |
---|---|
931100 | 可能的遠端檔案包含 (RFI) 攻擊:使用IP位址的URL參數 |
931110 | 可能的遠端檔案包含 (RFI) 攻擊:與 URL 承載搭配使用的一般 RFI 易受攻擊參數名稱 |
931120 | 可能的遠端檔案包含 (RFI) 攻擊:與結尾問號字元 (?) 搭配使用 URL 承載 |
931130 | 可能的遠端檔案包含 (RFI) 攻擊:關閉網域參考/連結 |
RCE:遠端命令執行
RuleId | Description |
---|---|
932100 | 遠端命令執行:Unix 命令插入 |
932105 | 遠端命令執行:Unix 命令插入 |
932110 | 遠端命令執行:Windows 命令插入 |
932115 | 遠端命令執行:Windows 命令插入 |
932120 | 遠端命令執行:找到 Windows PowerShell 命令 |
932130 | 遠端命令執行:找到 UNIX Shell 運算式或 Confluence 弱點 (CVE-2022-26134) |
932140 | 遠端命令執行:找到 Windows FOR/IF 命令 |
932150 | 遠端命令執行:直接 Unix 命令執行 |
932160 | 遠端命令執行:找到 Unix 殼層程式碼 |
932170 | 遠端命令執行:Shellshock (CVE-2014-6271) |
932171 | 執行遠端命令:Shellshock (CVE-2014-6271) |
932180 | 受限制檔案上傳嘗試 |
PHP 攻擊
RuleId | Description |
---|---|
933100 | PHP 插入式攻擊:找到開頭/結尾標記 |
933110 | PHP 插入式攻擊:找到 PHP 指令碼檔案上傳 |
933120 | PHP 插入式攻擊:找到設定指示詞 |
933130 | PHP 插入式攻擊:找到變數 |
933140 | PHP 插入式攻擊:找到 I/O 資料流 |
933150 | PHP 插入式攻擊:找到高風險 PHP 函式名稱 |
933151 | PHP 插入式攻擊:找到中度風險 PHP 函式名稱 |
933160 | PHP 插入式攻擊:找到高風險 PHP 函式呼叫 |
933170 | PHP 插入式攻擊:序列化物件插入 |
933180 | PHP 插入式攻擊:找到變數函式呼叫 |
933200 | PHP 插入式攻擊:偵測到包裝函式配置 |
933210 | PHP 插入式攻擊:找到變數函式呼叫 |
節點 JS 攻擊
RuleId | Description |
---|---|
934100 | Node.js 插入式攻擊 |
XSS:跨網站腳本
RuleId | Description |
---|---|
941100 | 透過 libinjection 偵測到的 XSS 攻擊 |
941101 | 透過 libinjection 偵測到的 XSS 攻擊 規則會偵測具有 Referer 標頭的要求 |
941110 | XSS 篩選 - 類別 1:指令碼標記向量 |
941120 | XSS 篩選 - 類別 2:事件處理常式向量 |
941130 | XSS 篩選 - 類別 3:屬性向量 |
941140 | XSS 篩選 - 類別 4:JavaScript URI 向量 |
941150 | XSS 篩選 - 類別 5:不允許的 HTML 屬性 |
941160 | NoScript XSS InjectionChecker:HTML 插入 |
941170 | NoScript XSS InjectionChecker:屬性插入 |
941180 | Node-Validator 封鎖清單關鍵詞 |
941190 | 使用樣式表單的 XSS |
941200 | 使用 VML 框架的 XSS |
941210 | 使用混淆處理 JavaScript 的 XSS |
941220 | 使用混淆處理 VB 指令碼的 XSS |
941230 | 使用標記的 embed XSS |
941240 | 使用或 implementation 屬性的 import XSS |
941250 | IE XSS 篩選器 - 偵測到攻擊 |
941260 | 使用標記的 meta XSS |
941270 | 使用 href 的 link XSS |
941280 | 使用標記的 base XSS |
941290 | 使用標記的 applet XSS |
941300 | 使用標記的 object XSS |
941310 | US-ASCII 格式不正確的編碼 XSS 篩選器 - 偵測到攻擊 |
941320 | 偵測到可能的 XSS 攻擊 - HTML 標記處理常式 |
941330 | IE XSS 篩選器 - 偵測到攻擊 |
941340 | IE XSS 篩選器 - 偵測到攻擊 |
941350 | UTF-7 編碼 IE XSS - 偵測到攻擊 |
941360 | 偵測到 JavaScript 混淆 |
941370 | 找到 JavaScript 全域變數 |
941380 | 偵測到 AngularJS 用戶端範本插入 |
SQLI:SQL 插入
RuleId | Description |
---|---|
942100 | 透過 libinjection 偵測到的 SQL 插入式攻擊。 |
942110 | SQL 插入式攻擊:偵測到常見的插入式測試。 |
942120 | SQL 插入式攻擊:偵測到 SQL 運算符。 |
942140 | SQL 插入式攻擊:偵測到的常見資料庫名稱。 |
942150 | SQL 插入式攻擊。 |
942160 | 使用睡眠() 或效能評定來偵測盲目的 SQLI 測試。 |
942170 | 偵測 SQL 效能評定和睡眠插入嘗試,包括條件式查詢。 |
942180 | 偵測基本 SQL 驗證略過嘗試 1/3。 |
942190 | 偵測 MSSQL 程式代碼執行和收集嘗試的資訊。 |
942200 | 偵測 MySQL 批注/space-obfuscated 插入和反引號終止。 |
942210 | 偵測鏈結的 SQL 插入式嘗試 1/2。 |
942220 | 尋找整數溢位攻擊,這些攻擊取自 skipfish,但 3.0.00738585072007e-308 是「魔術數位」當機。 |
942230 | 偵測條件式 SQL 插入式嘗試。 |
942240 | 偵測 MySQL charset 參數和 MSSQL DoS 嘗試。 |
942250 | 偵測 MATCHST、MERGE 和 EXECUTE IMMEDIATE 插入。 |
942260 | 偵測基本 SQL 驗證略過嘗試 2/3。 |
942270 | 尋找基本 SQL 插入。 MySQL、Oracle 和其他專案的常見攻擊字串。 |
942280 | 偵測 Postgres pg_sleep插入、等待延遲攻擊,以及資料庫關機嘗試。 |
942290 | 尋找基本的 MongoDB SQL 插入嘗試。 |
942300 | 偵測 MySQL 批注、條件和 ch(a)r 插入。 |
942310 | 偵測鏈結的 SQL 插入式嘗試 2/2。 |
942320 | 偵測 MySQL 和 PostgreSQL 預存程式/函式插入。 |
942330 | 偵測傳統 SQL 插入式探查 1/2。 |
942340 | 偵測基本 SQL 驗證略過嘗試 3/3。 |
942350 | 偵測 MySQL UDF 插入和其他資料/結構操作嘗試。 |
942360 | 偵測串連的基本 SQL 插入和 SQLLFI 嘗試。 |
942361 | 根據關鍵詞改變或等位來偵測基本 SQL 插入。 |
942370 | 偵測傳統 SQL 插入式探查 2/2。 |
942380 | SQL 插入式攻擊。 |
942390 | SQL 插入式攻擊。 |
942400 | SQL 插入式攻擊。 |
942410 | SQL 插入式攻擊。 |
942430 | 限制的 SQL 字元異常偵測 (args): 超過特殊字元 #12。 |
942440 | 偵測到 SQL 註解順序。 |
942450 | 已識別 SQL 十六進位編碼。 |
942460 | 中繼字元異常偵測警示 - 重複的非文字字元。 |
942470 | SQL 插入式攻擊。 |
942480 | SQL 插入式攻擊。 |
942500 | 偵測到 MySQL 內嵌註解。 |
942510 | 偵測到依刻度或倒引號的 SQLi 略過嘗試。 |
工作階段固定
RuleId | Description |
---|---|
943100 | 可能的工作階段固定攻擊:在 HTML 中設定 Cookie 值 |
943110 | 可能的工作階段 Fixation 攻擊:具有關閉網域參考者的工作階段識別碼參數名稱 |
943120 | 可能的工作階段 Fixation 攻擊:沒有參考者的工作階段識別碼參數名稱 |
Java 攻擊
RuleId | Description |
---|---|
944100 | 遠端命令執行:Apache Struts、Oracle WebLogic |
944110 | 偵測到潛在的承載執行 |
944120 | 可能的承載執行和遠端命令執行 |
944130 | 可疑的 JAVA 類別 |
944200 | JAVA 還原序列化 Apache Commons 的惡意探索 |
944210 | 可能使用 JAVA 序列化 |
944240 | 遠端命令執行:JAVA 序列化和 Log4j 弱點 (CVE-2021-44228、CVE-2021-45046) |
944250 | 遠端命令執行:偵測到可疑的 JAVA 方法 |
MS-ThreatIntel-WebShells
RuleId | Description |
---|---|
99005002 | 網頁殼層互動嘗試 (POST) |
99005003 | 網頁殼層上傳嘗試 (POST) - CHOPPER PHP |
99005004 | 網頁殼層上傳嘗試 (POST) - CHOPPER ASPX |
99005005 | Web Shell 互動嘗試 |
99005006 | Spring4Shell 互動嘗試 |
MS-ThreatIntel-AppSec
RuleId | Description |
---|---|
99030001 | 標頭中的路徑周遊規避 (/.././../) |
99030002 | 要求本文中的路徑周遊規避 (/.././../) |
MS-ThreatIntel-SQLI
RuleId | Description |
---|---|
99031001 | SQL插入式攻擊:偵測到常見的插入測試 |
99031002 | 偵測到 SQL 批注序列 |
99031003 | SQL 插入式攻擊 |
99031004 | 偵測到基本 SQL 驗證略過嘗試 2/3 |
MS-ThreatIntel-CVEs
RuleId | Description |
---|---|
99001001 | 嘗試使用已知認證進行 F5 tmui (CVE-2020-5902) REST API 惡意探索 |
99001002 | 嘗試的 Citrix NSC_USER目錄周遊 CVE-2019-19781 |
99001003 | 嘗試的 Atlassian Confluence Widget 連線 or 惡意探索 CVE-2019-3396 |
99001004 | 已嘗試 Pulse Secure 自定義範本惡意探索 CVE-2020-8243 |
99001005 | 嘗試 SharePoint 類型轉換器惡意探索 CVE-2020-0932 |
99001006 | 嘗試的 Pulse 連線 目錄周遊 CVE-2019-11510 |
99001007 | 嘗試使用 Junos OS J-Web 本機檔案包含 CVE-2020-1631 |
99001008 | 嘗試使用 Fortinet 路徑周遊 CVE-2018-13379 |
99001009 | 嘗試 Apache struts ognl 插入 CVE-2017-5638 |
99001010 | 嘗試 Apache struts ognl 插入 CVE-2017-12611 |
99001011 | 嘗試的 Oracle WebLogic 路徑周遊 CVE-2020-14882 |
99001012 | 嘗試 Telerik WebUI 不安全還原串行化惡意探索 CVE-2019-18935 |
99001013 | 嘗試 SharePoint 不安全的 XML 還原串行化 CVE-2019-0604 |
99001014 | 嘗試 Spring Cloud routing-expression 插入 CVE-2022-22963 |
99001015 | 嘗試使用 Spring Framework 不安全類別物件惡意探索 CVE-2022-22965 |
99001016 | 嘗試 Spring Cloud 閘道傳動器插入 CVE-2022-22947 |
99001017 | 嘗試 Apache Struts 檔案上傳惡意探索 CVE-2023-50164 |
注意
當您檢閱 WAF 的記錄時,您可能會看到規則識別碼 949110。 規則的描述可能包括超過輸入異常評分。
此規則表示要求的異常評分總計超過允許的評分上限。 如需詳細資訊,請參閱異常評分。
當您調整 WAF 原則時,您必須調查要求所觸發的其他規則,以便調整 WAF 的組態。 如需詳細資訊,請參閱調整 Azure Front Door 的 Azure Web 應用程式防火牆。