共用方式為

Web 應用程式防火牆 DRS 和 CRS 規則群組和規則

  • 發行項

應用程式閘道 Web 應用程式防火牆 (WAF) 中的 Azure 受控規則集會主動保護 Web 應用程式免於常見的弱點和惡意探索。 這些規則集由 Azure 管理,會視需要接收更新,以防範新的攻擊簽章。 默認規則集也會納入 Microsoft 威脅情報收集規則。 Microsoft Intelligence 小組會共同撰寫這些規則、確保增強涵蓋範圍、特定弱點修補程式,以及改善誤判降低。

您也可以選擇使用以 OWASP 核心規則集 3.2、3.1、3.0 或 2.2.9 為基礎的規則。

您可以個別停用規則,或為每個規則設定特定動作。 本文列出可用的目前規則和規則集。 如果已發佈的規則集需要更新,我們會在這裡記載。

注意

當WAF原則中變更規則集版本時,您對規則集所做的任何現有自定義都會重設為新規則集的預設值。 請參閱: 升級或變更規則集版本

預設規則集

Azure 管理的預設規則集 (DRS) 包含可防範下列威脅類別的規則:

  • 跨網站指令碼處理
  • Java 攻擊
  • 本機檔案包含
  • PHP 插入式攻擊
  • 遠端命令執行
  • 遠端檔案包含
  • 工作階段 Fixation
  • SQL 插入式攻擊保護
  • 通訊協定攻擊 當新的攻擊簽章新增至規則集時,DRS 的版本號碼將會遞增。

Microsoft 威脅情報收集規則

與 Microsoft 威脅情報小組合作撰寫的 Microsoft 威脅情報收集規則,可提供更高的涵蓋範圍、特定弱點的修補程式,以及更好的誤判降低。

注意

當您在應用程式閘道 WAF 上開始使用 2.1 時,請使用下列指引來微調 WAF。 規則的詳細資料如下所述。

規則識別碼 規則群組 描述 詳細資料
942110 SQLI SQL插入式攻擊:偵測到常見的插入測試 停用,由 MSTIC 規則 99031001 取代
942150 SQLI SQL 插入式攻擊 停用,由 MSTIC 規則 99031003 取代
942260 SQLI 偵測到基本 SQL 驗證略過嘗試 2/3 停用,由 MSTIC 規則 99031004 取代
942430 SQLI 受限制的 SQL 字元異常偵測 (args):超出的特殊字元數目 (12) 停用,誤判太多。
942440 SQLI 偵測到 SQL 註解順序 停用,由 MSTIC 規則 99031002 取代
99005006 MS-ThreatIntel-WebShells Spring4Shell 互動嘗試 讓規則保持啟用以防止 SpringShell 弱點
99001014 MS-ThreatIntel-CVEs 嘗試 Spring Cloud routing-expression 插入 CVE-2022-22963 讓規則保持啟用以防止 SpringShell 弱點
99001015 MS-ThreatIntel-WebShells 嘗試使用 Spring Framework 不安全類別物件惡意探索 CVE-2022-22965 讓規則保持啟用以防止 SpringShell 弱點
99001016 MS-ThreatIntel-WebShells 嘗試 Spring Cloud 閘道傳動器插入 CVE-2022-22947 讓規則保持啟用以防止 SpringShell 弱點
99001017 MS-ThreatIntel-CVEs 嘗試 Apache Struts 檔案上傳惡意探索 CVE-2023-50164 將動作設定為 [封鎖] 以防止 Apache Struts 弱點。 此規則不支持異常分數。

核心規則集

應用程式閘道 WAF 會預設為 CRS 3.2,但是您可以選擇使用任何其他支援的 CRS 版本。

CRS 3.2 提供新的引擎和新的規則集,可抵禦 JAVA 感染、一組初始檔案上傳檢查,以及與舊版 CRS 相較之下更少的誤判為真。 您也可以自訂規則以符合您的需求。 深入了解新的 Azure WAF 引擎

管理規則

WAF 可防禦下列 Web 弱點:

  • SQL 插入式攻擊
  • Cross site scripting attacks (跨網站指令碼攻擊)
  • 其他常見攻擊,例如命令插入、HTTP 要求走私、HTTP 回應分割和遠端檔案包含
  • HTTP 通訊協定違規
  • HTTP 通訊協定異常 (例如遺漏主機使用者代理程式和接受標頭)
  • Bot、編目程式及掃描程式攻擊
  • 一般應用程式錯誤設定 (例如 Apache 和 IIS)

微調受控規則集

在 WAF 原則的偵測模式中,預設會啟用 DRS 和 CRS。 您可以停用或啟用受控規則集內的個別規則,以符合您的應用程式需求。 您也可以根據每個規則設定特定動作。 DRS/CRS 可支援區塊、記錄和異常評分等動作。 Bot Manager 規則集可允許、封鎖和記錄動作。

有時您可能需要在 WAF 評估中略過特定要求屬性。 常見範例是用於驗證的 Active Directory 插入式權杖。 您可以在評估特定 WAF 規則時設定要套用的排除項目,或全域套用所有 WAF 規則的評估。 排除項目規則會套用至整個 Web 應用程式。 如需詳細資訊,請參閱具有應用程式閘道排除清單的 Web 應用程式防火牆 (WAF)

根據預設,DRS 2.1 版/ CRS 3.2 版和更新版本會在要求符合規則時使用異常評分。 CRS 3.1 和以下版本預設會封鎖比對要求。 此外,如果您想要略過核心規則集中任何預先設定的規則,可以在相同的 WAF 原則中設定自訂規則。

在評估核心規則集內的規則之前,一律會套用自訂規則。 如果要求符合自訂規則,則會套用對應的規則動作。 要求會遭到封鎖,或是傳遞至後端。 系統不會處理任何其他的自訂規則,或核心規則集內的規則。

異常評分

當您使用 CRS 或 DRS 2.1 和更新版本時,WAF 預設會設定為使用異常評分。 符合任何規則的流量不會立即遭到封鎖,即使您的 WAF 處於預防模式也一樣。 相反地,OWASP 規則集會為每個規則定義嚴重性:重大、錯誤、警告或通知。 該嚴重性會影響要求的數值,此值稱為異常評分:

規則嚴重性 造成異常評分的值
重大 5
錯誤 4
警告 3
注意事項 2

如果異常分數為 5 或更高,且 WAF 處於預防模式,則會封鎖要求。 如果異常分數為 5 或更高,且 WAF 處於偵測模式,則會記錄要求,但不會封鎖要求。

例如,單一重大規則符合足以讓 WAF 封鎖要求,因為整體異常分數為 5。 但是符合警告規則只會將異常評分提高 3 分,其本身並不足以封鎖流量。 觸發異常規則時,它會在記錄中顯示「相符」動作。 如果異常分數為 5 或更高,則會根據 WAF 原則是否處於預防或偵測模式,使用「封鎖」或「偵測」動作來觸發個別的規則。 如需詳細資訊,請參閱異常評分模式

升級或變更規則集版本

如果您要升級或指派新的規則集版本,而且想要保留現有的規則覆寫和排除專案,建議您使用 PowerShell、CLI、REST API 或範本進行規則集版本變更。 新版的規則集可以有較新的規則、其他規則群組,而且可能會有現有簽章的更新,以強制執行更佳的安全性並減少誤判。 建議您驗證測試環境中的變更、視需要微調,然後在生產環境中部署。

注意

如果您使用 Azure 入口網站 將新的 Managed 規則集指派給 WAF 原則,則來自現有 Managed 規則集的所有先前自定義專案,例如規則狀態、規則動作和規則層級排除,都會重設為新的 Managed 規則集預設值。 不過,在新的規則集指派期間,任何自定義規則、原則設定和全域排除專案都不會受到影響。 在生產環境中部署之前,您必須重新定義規則覆寫和驗證變更。

DRS 2.1

DRS 2.1 規則提供比舊版 DRS 更好的保護。 它包含 Microsoft 威脅情報小組所開發的其他規則,以及簽章的更新,以減少誤判。 其也支援不僅僅是 URL 解碼的轉換。

DRS 2.1 包含 17 個規則群組,如下表所示。 每個群組都包含多個規則,您可以自訂個別規則、規則群組或整個規則集的行為。 DRS 2.1 已根據 Open Web Application Security Project (OWASP) 核心規則集 (CRS) 3.3.2 進行基準,並包含由Microsoft威脅情報小組開發的其他專屬保護規則。

規則群組 ruleGroupName 描述
一般 一般 一般群組
METHOD-ENFORCEMENT METHOD-ENFORCEMENT 鎖定方法 (PUT、PATCH)
PROTOCOL-ENFORCEMENT PROTOCOL-ENFORCEMENT 可防範通訊協定和編碼問題
PROTOCOL-ATTACK PROTOCOL-ATTACK 防止標頭插入、要求走私和回應分割
APPLICATION-ATTACK-LFI LFI 防止檔案和路徑攻擊
APPLICATION-ATTACK-RFI RFI 防止遠端檔案包含 (RFI) 攻擊
APPLICATION-ATTACK-RCE RCE 防止遠端程式碼執行攻擊
APPLICATION-ATTACK-PHP PHP 防止 PHP 插入式攻擊
APPLICATION-ATTACK-NodeJS NODEJS 防止 Node JS 攻擊
APPLICATION-ATTACK-XSS XSS 防止跨網站指令碼攻擊
APPLICATION-ATTACK-SQLI SQLI 防止 SQL 插入式攻擊
APPLICATION-ATTACK-SESSION-FIXATION FIX 防止工作階段固定攻擊
APPLICATION-ATTACK-SESSION-JAVA Java 防止 JAVA 攻擊
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells 防止網頁殼層攻擊
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec 防止應用程式安全攻擊
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI 防止 SQLI 攻擊
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs 防止 CVE 攻擊

OWASP CRS 3.2

CRS 3.2 包括 14 個規則群組,如下表所示。 每個群組包含多個規則 (可加以停用)。 此規則集是基於 OWASP CRS 3.2.0 版本。

注意

CRS 3.2 僅適用於 WAF_v2 SKU。 由於 CRS 3.2 會在新的 Azure WAF 引擎上執行,因此您無法降級為 CRS 3.1 或更早版本。 如果您需要降級,請連絡 Azure 支援

規則群組名稱 描述
一般 一般群組
KNOWN-CVES 協助偵測新的和已知的 CVE
REQUEST-911-METHOD-ENFORCEMENT 鎖定方法 (PUT、PATCH)
REQUEST-913-SCANNER-DETECTION 防禦連接埠和環境掃描器
REQUEST-920-PROTOCOL-ENFORCEMENT 可防範通訊協定和編碼問題
REQUEST-921-PROTOCOL-ATTACK 防止標頭插入、要求走私和回應分割
REQUEST-930-APPLICATION-ATTACK-LFI 防止檔案和路徑攻擊
REQUEST-931-APPLICATION-ATTACK-RFI 防止遠端檔案包含 (RFI) 攻擊
REQUEST-932-APPLICATION-ATTACK-RCE 防止遠端程式碼執行攻擊
REQUEST-933-APPLICATION-ATTACK-PHP 防止 PHP 插入式攻擊
REQUEST-941-APPLICATION-ATTACK-XSS 防止跨網站指令碼攻擊
REQUEST-942-APPLICATION-ATTACK-SQLI 防止 SQL 插入式攻擊
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION 防止工作階段固定攻擊
REQUEST-944-APPLICATION-ATTACK-JAVA 防止 JAVA 攻擊

OWASP CRS 3.1

CRS 3.1 包括 14 個規則群組,如下表所示。 每個群組包含多個規則 (可加以停用)。 此規則集是基於 OWASP CRS 3.1.1 版本。

注意

CRS 3.1 僅適用於 WAF_v2 SKU。

規則群組名稱 描述
一般 一般群組
KNOWN-CVES 協助偵測新的和已知的 CVE
REQUEST-911-METHOD-ENFORCEMENT 鎖定方法 (PUT、PATCH)
REQUEST-913-SCANNER-DETECTION 防禦連接埠和環境掃描器
REQUEST-920-PROTOCOL-ENFORCEMENT 可防範通訊協定和編碼問題
REQUEST-921-PROTOCOL-ATTACK 防止標頭插入、要求走私和回應分割
REQUEST-930-APPLICATION-ATTACK-LFI 防止檔案和路徑攻擊
REQUEST-931-APPLICATION-ATTACK-RFI 防止遠端檔案包含 (RFI) 攻擊
REQUEST-932-APPLICATION-ATTACK-RCE 防止遠端程式碼執行攻擊
REQUEST-933-APPLICATION-ATTACK-PHP 防止 PHP 插入式攻擊
REQUEST-941-APPLICATION-ATTACK-XSS 防止跨網站指令碼攻擊
REQUEST-942-APPLICATION-ATTACK-SQLI 防止 SQL 插入式攻擊
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION 防止工作階段固定攻擊
REQUEST-944-APPLICATION-ATTACK-SESSION-JAVAN 防止 JAVA 攻擊

OWASP CRS 3.0

CRS 3.0 包括 13 個規則群組,如下表所示。 每個群組包含多個規則 (可加以停用)。 此規則集是基於 OWASP CRS 3.0.0 版本。

規則群組名稱 描述
一般 一般群組
KNOWN-CVES 協助偵測新的和已知的 CVE
REQUEST-911-METHOD-ENFORCEMENT 鎖定方法 (PUT、PATCH)
REQUEST-913-SCANNER-DETECTION 防禦連接埠和環境掃描器
REQUEST-920-PROTOCOL-ENFORCEMENT 可防範通訊協定和編碼問題
REQUEST-921-PROTOCOL-ATTACK 防止標頭插入、要求走私和回應分割
REQUEST-930-APPLICATION-ATTACK-LFI 防止檔案和路徑攻擊
REQUEST-931-APPLICATION-ATTACK-RFI 防止遠端檔案包含 (RFI) 攻擊
REQUEST-932-APPLICATION-ATTACK-RCE 防止遠端程式碼執行攻擊
REQUEST-933-APPLICATION-ATTACK-PHP 防止 PHP 插入式攻擊
REQUEST-941-APPLICATION-ATTACK-XSS 防止跨網站指令碼攻擊
REQUEST-942-APPLICATION-ATTACK-SQLI 防止 SQL 插入式攻擊
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION 防止工作階段固定攻擊

OWASP CRS 2.2.9

CRS 2.2.9 包括 10 個規則群組,如下表所示。 每個群組包含多個規則 (可加以停用)。

注意

新的 WAF 原則已不再支援 CRS 2.2.9。 建議您升級至最新 CRS 版本 3.2/DRS 2.1 和更新版本。

規則群組名稱 描述
crs_20_protocol_violations 防禦通訊協定違規 (例如無效的字元,或具有要求本文的 GET)
crs_21_protocol_anomalies 防禦不正確的標頭資訊
crs_23_request_limits 防禦超出限制的引數或檔案
crs_30_http_policy 防禦限制的方法、標頭和檔案類型
crs_35_bad_robots 防禦 Web 編目程式和掃描器
crs_40_generic_attacks 防禦一般攻擊 (例如,工作階段固定、遠端檔案引入 和 PHP 插入)
crs_41_sql_injection_attacks 防止 SQL 插入式攻擊
crs_41_xss_attacks 防止跨網站指令碼攻擊
crs_42_tight_security 防禦路徑周遊攻擊
crs_45_trojans 防禦特洛伊木馬後門程式

Bot Manager 1.0

Bot Manager 1.0 規則集可保護惡意 Bot,以及偵測良好的 Bot。 這些規則會將 Bot 流量分類為「良好」、「不良」或「未知」Bot,藉此對 WAF 偵測到的 Bot 提供細微的控制。

規則群組 描述
BadBots 防止有害 Bot
GoodBots 識別無害 Bot
UnknownBots 識別未知 Bot

Bot Manager 1.1

Bot Manager 1.1 規則集是 Bot Manager 1.0 規則集的增強功能。 它提供對惡意 Bot 的增強保護,並增加良好的 Bot 偵測。

規則群組 描述
BadBots 防止有害 Bot
GoodBots 識別無害 Bot
UnknownBots 識別未知 Bot

在應用程式閘道上使用 Web 應用程式防火牆時,可以使用下列規則群組和規則。

2.1 規則集

一般

RuleId Description
200002 無法剖析要求內文。
200003 multipart 要求本文失敗嚴格驗證

方法強制執行

RuleId Description
911100 原則不允許方法

通訊協定強制執行

RuleId Description
920100 無效的 HTTP 要求列
920120 已嘗試 multipart/form-data 略過
920121 已嘗試 multipart/form-data 略過
920160 內容長度 HTTP 標頭不是數值。
920170 具有內文內容的 GET 或 HEAD 要求。
920171 使用移轉編碼的 GET 或 HEAD 要求。
920180 POST 要求遺失 Content-Length 標頭。
920181 內容長度和 Transfer-Encoding 標頭會呈現 99001003
920190 範圍:無效的最後一個位元組值。
920200 範圍:太多欄位 (6 個或以上)
920201 範圍:太多 PDF 要求的欄位 (6 個或以上)
920210 找到多個/衝突連接標頭資料。
920220 URL 編碼濫用攻擊嘗試
920230 偵測到多個 URL 編碼
920240 URL 編碼濫用攻擊嘗試
920260 Unicode 全/半寬度濫用攻擊嘗試
920270 要求 (null 字元) 中的字元無效
920271 要求 (非可列印的字元) 中的字元無效
920280 要求遺失主機標頭
920290 空白的主機標頭
920300 要求遺失 Accept 標頭
920310 要求具有空白的 Accept 標頭
920311 要求具有空白的 Accept 標頭
920320 遺失使用者代理程式標頭
920330 空白的使用者代理程式標頭
920340 要求包含內容,但遺漏 Content-Type 標頭
920341 要求包含內容,需要 Content-Type 標頭
920350 主機標頭是數字的 IP 位址
920420 原則不允許要求內容類型
920430 原則不允許 HTTP 通訊協定版本
920440 原則會限制 URL 的副檔名
920450 原則會限制 HTTP 標頭
920470 非法 Content-Type 標頭
920480 原則不允許要求內容類型字元集
920500 嘗試存取備份或工作檔案

通訊協定攻擊

RuleId Description
921110 HTTP 要求走私攻擊
921120 HTTP 回應分割攻擊
921130 HTTP 回應分割攻擊
921140 透過標頭的 HTTP 標頭插入式攻擊
921150 透過承載 (偵測到 CR/LF) 的 HTTP 標頭插入式攻擊
921151 透過承載 (偵測到 CR/LF) 的 HTTP 標頭插入式攻擊
921160 透過承載 (偵測到 CR/LF 和 header-name) 的 HTTP 標頭插入式攻擊
921190 HTTP 分割 (偵測到要求檔案名稱中的 CR/LF)
921200 LDAP 插入式攻擊

LFI - 本機檔案包含

RuleId Description
930100 路徑周遊攻擊 (/../)
930110 路徑周遊攻擊 (/../)
930120 作業系統檔案存取嘗試
930130 受限制檔案存取嘗試

RFI - 遠端檔案包含

RuleId Description
931100 可能的遠端檔案包含 (RFI) 攻擊:使用 IP 位址的 URL 參數
931110 可能的遠端檔案包含 (RFI) 攻擊:與 URL 承載搭配使用的一般 RFI 易受攻擊參數名稱
931120 可能的遠端檔案包含 (RFI) 攻擊:與結尾問號字元 (?) 搭配使用 URL 承載
931130 可能的遠端檔案包含 (RFI) 攻擊:關閉網域參考/連結

RCE - 遠端命令執行

RuleId Description
932100 遠端命令執行:Unix 命令插入
932105 遠端命令執行:Unix 命令插入
932110 遠端命令執行:Windows 命令插入
932115 遠端命令執行:Windows 命令插入
932120 遠端命令執行:找到 Windows PowerShell 命令
932130 遠端命令執行:找到 UNIX Shell 運算式或 Confluence 弱點 (CVE-2022-26134)
932140 遠端命令執行:找到 Windows FOR/IF 命令
932150 遠端命令執行:直接 Unix 命令執行
932160 遠端命令執行:找到 Unix 殼層程式碼
932170 遠端命令執行:Shellshock (CVE-2014-6271)
932171 執行遠端命令:Shellshock (CVE-2014-6271)
932180 受限制檔案上傳嘗試

PHP 攻擊

RuleId Description
933100 PHP 插入式攻擊:找到開頭/結尾標記
933110 PHP 插入式攻擊:找到 PHP 指令碼檔案上傳
933120 PHP 插入式攻擊:找到設定指示詞
933130 PHP 插入式攻擊:找到變數
933140 PHP 插入式攻擊:找到 I/O 資料流
933150 PHP 插入式攻擊:找到高風險 PHP 函式名稱
933151 PHP 插入式攻擊:找到中度風險 PHP 函式名稱
933160 PHP 插入式攻擊:找到高風險 PHP 函式呼叫
933170 PHP 插入式攻擊:序列化物件插入
933180 PHP 插入式攻擊:找到變數函式呼叫
933200 PHP 插入式攻擊:偵測到包裝函式配置
933210 PHP 插入式攻擊:找到變數函式呼叫

Node JS 攻擊

RuleId Description
934100 Node.js 插入式攻擊

XSS - 跨網站指令碼處理

RuleId Description
941100 透過 libinjection 偵測到的 XSS 攻擊
941101 透過 libinjection 偵測到的 XSS 攻擊。
此規則會偵測具有 Referer 標頭的要求。
941110 XSS 篩選 - 類別 1:指令碼標記向量
941120 XSS 篩選 - 類別 2:事件處理常式向量
941130 XSS 篩選 - 類別 3:屬性向量
941140 XSS 篩選 - 類別 4:JavaScript URI 向量
941150 XSS 篩選 - 類別 5:不允許的 HTML 屬性
941160 NoScript XSS InjectionChecker:HTML 插入
941170 NoScript XSS InjectionChecker:屬性插入
941180 節點驗證程式封鎖清單關鍵字
941190 使用樣式表的 XSS
941200 使用 VML 框架的 XSS
941210 使用混淆處理 JavaScript 的 XSS
941220 使用混淆處理 VB 指令碼的 XSS
941230 使用 'embed' 標記的 XSS
941240 使用 'import' 或 'implementation' 屬性的 XSS
941250 IE XSS 篩選器 - 偵測到攻擊。
941260 使用 'meta' 標記的 XSS
941270 使用 'link' href 的 XSS
941280 使用 'base' 標記的 XSS
941290 使用 'applet' 標記的 XSS
941300 使用 'object' 標記的 XSS
941310 US-ASCII 格式不正確編碼 XSS 篩選器 - 偵測到攻擊。
941320 偵測到可能的 XSS 攻擊 - HTML 標記處理常式
941330 IE XSS 篩選器 - 偵測到攻擊。
941340 IE XSS 篩選器 - 偵測到攻擊。
941350 UTF-7 編碼 IE XSS - 偵測到攻擊。
941360 偵測到 JavaScript 混淆處理。
941370 找到 JavaScript 全域變數
941380 偵測到 AngularJS 用戶端範本插入

SQLI - SQL 插入

RuleId Description
942100 透過 libinjection 偵測到的 SQL 插入式攻擊
942110 SQL插入式攻擊:偵測到常見的插入測試
942120 SQL插入式攻擊:偵測到 SQL 運算子
942130 SQL 插入式攻擊:檢測到 SQL 恆真式。
942140 SQL 插入式攻擊:偵測到常用的 DB 名稱
942150 SQL 插入式攻擊
942160 偵測到使用 sleep() 或 benchmark() 的盲人 sqli 測試。
942170 偵測到 SQL 基準測試與睡眠插入式嘗試包括條件式查詢
942180 偵測到基本 SQL 驗證略過嘗試 1/3
942190 偵測到 MSSQL 程式碼執行和資訊收集嘗試次數
942200 偵測到 MySQL 註解/空間模糊化的插入和反引號終止
942210 偵測到鏈結 SQL 插入嘗試 1/2
942220 由 skipfish 尋找整數溢位攻擊,除了 3.0.00738585072007e-308 屬於「魔術數字」損毀
942230 偵測到條件式 SQL 插入嘗試
942240 偵測到 MySQL 字元集切換和 MSSQL DoS 嘗試
942250 偵測到 MATCHST、MERGE 和 EXECUTE IMMEDIATE 插入
942260 偵測到基本 SQL 驗證略過嘗試 2/3
942270 尋找基本的 SQL 插入。 MySQL Oracle 和其他的常見攻擊字串。
942280 偵測到 Postgres pg_sleep 插入、waitfor 延遲攻擊和資料庫關機嘗試
942290 尋找基本 MongoDB SQL 插入嘗試
942300 偵測到 MySQL 註解、條件和 ch(a)r 插入
942310 偵測到鏈結 SQL 插入嘗試 2/2
942320 偵測到 MySQL 與 PostgreSQL 預存程序/函式插入
942330 偵測到傳統 SQL 插入探測 1/2
942340 偵測到基本 SQL 驗證略過嘗試 3/3
942350 偵測到 MySQL UDF 插入和其他資料/結構操作嘗試
942360 偵測到連續的基本 SQL 插入和 SQLLFI 嘗試次數
942361 偵測到以關鍵字變更或集合聯集為基礎的基本 SQL 插入
942370 偵測到傳統 SQL 插入探測 2/2
942380 SQL 插入式攻擊
942390 SQL 插入式攻擊
942400 SQL 插入式攻擊
942410 SQL 插入式攻擊
942430 受限制的 SQL 字元異常偵測 (args):超出的特殊字元數目 (12)
942440 偵測到 SQL 註解順序
942450 識別到 SQL 十六進位編碼
942460 中繼字元異常偵測警示 - 重複性的非文字字元
942470 SQL 插入式攻擊
942480 SQL 插入式攻擊
942500 偵測到 MySQL 內嵌註解。
942510 偵測到依刻度或倒引號的 SQLi 略過嘗試。

SESSION-FIXATION

RuleId Description
943100 可能的工作階段固定攻擊:在 HTML 中設定 Cookie 值
943110 可能的工作階段 Fixation 攻擊:具有關閉網域參考者的工作階段識別碼參數名稱
943120 可能的工作階段 Fixation 攻擊:沒有參考者的工作階段識別碼參數名稱

JAVA 攻擊

RuleId Description
944100 遠端命令執行:Apache Struts、Oracle WebLogic
944110 偵測到潛在的承載執行
944120 可能的承載執行和遠端命令執行
944130 可疑的 JAVA 類別
944200 JAVA 還原序列化 Apache Commons 的惡意探索
944210 可能使用 JAVA 序列化
944240 遠端命令執行:JAVA 序列化和 Log4j 弱點 (CVE-2021-44228CVE-2021-45046)
944250 遠端命令執行:偵測到可疑的 JAVA 方法

MS-ThreatIntel-WebShells

RuleId Description
99005002 網頁殼層互動嘗試 (POST)
99005003 網頁殼層上傳嘗試 (POST) - CHOPPER PHP
99005004 網頁殼層上傳嘗試 (POST) - CHOPPER ASPX
99005005 網頁殼層互動嘗試
99005006 Spring4Shell 互動嘗試

MS-ThreatIntel-AppSec

RuleId Description
99030001 標頭中的路徑周遊規避 (/.././../)
99030002 要求本文中的路徑周遊規避 (/.././../)

MS-ThreatIntel-SQLI

RuleId Description
99031001 SQL插入式攻擊:偵測到常見的插入測試
99031002 偵測到 SQL 註解順序。
99031003 SQL 插入式攻擊
99031004 偵測到基本 SQL 驗證略過嘗試 2/3

MS-ThreatIntel-CVEs

RuleId Description
99001001 使用已知認證嘗試 F5 tmui (CVE-2020-5902) REST API 惡意探索
99001002 嘗試 NSC_USER 目錄周遊 CVE-2019-19781
99001003 嘗試使用 Atlassian Confluence 小工具連接器惡意探索 CVE-2019-3396
99001004 嘗試使用 Pulse Secure 自訂範本惡意探索 CVE-2020-8243
99001005 嘗試 SharePoint 類型轉換器惡意探索 CVE-2020-0932
99001006 嘗試使用 Pulse Connect 目錄周遊 CVE-2019-11510
99001007 嘗試使用 Junos OS J-Web 本機檔案包含 CVE-2020-1631
99001008 嘗試 Fortinet 路徑周遊 CVE-2018-13379
99001009 嘗試使用 Apache struts ognl 插入 CVE-2017-5638
99001010 嘗試使用 Apache struts ognl 插入 CVE-2017-12611
99001011 嘗試 Oracle WebLogic 路徑周遊 CVE-2020-14882
99001012 嘗試 Telerik WebUI 不安全的還原序列化惡意探索 CVE-2019-18935
99001013 嘗試 SharePoint 不安全的 XML 還原序列化 CVE-2019-0604
99001014 嘗試 Spring Cloud routing-expression 插入 CVE-2022-22963
99001015 嘗試使用 Spring Framework 不安全類別物件惡意探索 CVE-2022-22965
99001016 嘗試 Spring Cloud 閘道傳動器插入 CVE-2022-22947
99001017* 嘗試 Apache Struts 檔案上傳惡意探索 CVE-2023-50164

*此規則的動作預設會設定為記錄。將動作設定為 [封鎖] 以防止 Apache Struts 弱點。此規則不支持異常分數。

注意

檢閱 WAF 的記錄時,您可能會看到規則識別碼 949110。 規則的描述可能包括超過輸入異常評分

此規則表示要求的異常評分總計超過允許的評分上限。 如需詳細資訊,請參閱異常評分

下一步