Pravidla a skupiny pravidel DRS Firewallu webových aplikací
Azure Web Application Firewall ve službě Azure Front Door chrání webové aplikace před běžnými ohroženími zabezpečení a zneužitím. Sady pravidel spravovaných Azure poskytují snadný způsob, jak nasadit ochranu před běžnou sadou bezpečnostních hrozeb. Vzhledem k tomu, že Azure tyto sady pravidel spravuje, pravidla se aktualizují podle potřeby, aby se chránila před novými podpisy útoků.
Výchozí sada pravidel (DRS) obsahuje také pravidla kolekce Microsoft Threat Intelligence, která jsou napsaná ve spolupráci s týmem Microsoft Intelligence, která poskytují zvýšené pokrytí, opravy konkrétních ohrožení zabezpečení a lepší snížení falešně pozitivních výsledků.
Poznámka:
Při změně verze sady pravidel v zásadách WAF se všechna existující přizpůsobení, která jste provedli v sadě pravidel, resetují na výchozí hodnoty nové sady pravidel. Viz: Upgrade nebo změna verze sady pravidel.
Výchozí sady pravidel
Služba DRS spravovaná v Azure zahrnuje pravidla pro následující kategorie hrozeb:
- Skriptování mezi weby
- Útoky v Javě
- Zahrnutí místních souborů
- Útoky prostřednictvím injektáže PHP
- Vzdálené spuštění příkazu
- Zahrnutí vzdálených souborů
- Fixace relace
- Ochrana před útoky prostřednictvím injektáže SQL.
- Útoky na protokol
Číslo verze drs se zvýší při přidání nových podpisů útoku do sady pravidel.
Služba DRS je ve výchozím nastavení povolená v režimu detekce ve vašich zásadách WAF. Můžete zakázat nebo povolit jednotlivá pravidla v rámci služby DRS tak, aby splňovala požadavky vaší aplikace. Pro každé pravidlo můžete také nastavit konkrétní akce. Dostupné akce jsou Povolit, Blokovat, Protokol a Přesměrování.
Někdy může být potřeba vynechat určité atributy požadavků z vyhodnocení firewallu webových aplikací (WAF). Běžným příkladem jsou tokeny vložené službou Active Directory, které se používají k ověřování. Můžete nakonfigurovat seznam vyloučení pro spravované pravidlo, skupinu pravidel nebo celou sadu pravidel. Další informace najdete v tématu Azure Web Application Firewall v seznamech vyloučení služby Azure Front Door.
Ve výchozím nastavení používají DRS verze 2.0 a vyšší skóre anomálií, když požadavek odpovídá pravidlu. Verze DRS starší než 2.0 blokují požadavky, které aktivují pravidla. Vlastní pravidla je také možné nakonfigurovat ve stejné zásadě WAF, pokud chcete obejít některá z předkonfigurovaných pravidel v DRS.
Vlastní pravidla se vždy použijí před vyhodnocením pravidel v DRS. Pokud požadavek odpovídá vlastnímu pravidlu, použije se odpovídající akce pravidla. Požadavek se buď zablokuje, nebo se předává do back-endu. Nezpracovávají se žádná jiná vlastní pravidla ani pravidla v DRS. DrS můžete také odebrat ze zásad WAF.
Pravidla kolekce Microsoft Threat Intelligence
Pravidla shromažďování hrozeb Společnosti Microsoft jsou napsána ve spolupráci s týmem Microsoft Threat Intelligence, která poskytují zvýšené pokrytí, opravy konkrétních ohrožení zabezpečení a lepší falešně pozitivní snížení.
Ve výchozím nastavení pravidla kolekce Microsoft Threat Intelligence Nahrazují některá předdefinovaná pravidla DRS, což způsobuje jejich zakázání. Například id pravidla 942440, zjištěná sekvence komentářů SQL, byla zakázána a nahrazena pravidlem kolekce Microsoft Threat Intelligence 99031002. Nahrazené pravidlo snižuje riziko falešně pozitivních detekcí z legitimních požadavků.
Bodování anomálií
Při použití DRS 2.0 nebo novější používá WAF bodování anomálií. Provoz, který odpovídá jakémukoli pravidlu, se okamžitě neblokuje, ani když je váš WAF v režimu prevence. Místo toho sady pravidel OWASP definují závažnost pro každé pravidlo: Kritické, Chyba, Upozornění nebo Oznámení. Závažnost ovlivňuje číselnou hodnotu požadavku, která se nazývá skóre anomálií. Pokud požadavek nahromáždí skóre anomálií 5 nebo vyšší, waF provede na požadavku akci.
| Závažnost pravidla | Hodnota přispěla ke skóre anomálií |
|---|---|
| Kritické | 5 |
| Chyba | 4 |
| Upozorňující | 3 |
| Upozornění: | 2 |
Při konfiguraci WAF můžete rozhodnout, jak WAF zpracovává požadavky, které překračují prahovou hodnotu skóre anomálií 5. Tři možnosti akce skóre anomálií jsou Blok, Protokol nebo Přesměrování. Akce skóre anomálií, kterou vyberete v době konfigurace, se použije u všech požadavků, které překračují prahovou hodnotu skóre anomálií.
Pokud je například skóre anomálií v požadavku 5 nebo vyšší a WAF je v režimu prevence s akcí skóre anomálií nastavenou na Hodnotu Blokovat, požadavek se zablokuje. Pokud je skóre anomálií v požadavku 5 nebo vyšší a WAF je v režimu detekce, požadavek se zaprotokoluje, ale není zablokovaný.
Jedna shoda kritických pravidel stačí, aby WAF zablokovala požadavek v režimu prevence s akcí skóre anomálií nastavenou na Blokovat, protože celkové skóre anomálií je 5. Jedno pravidlo upozornění ale pouze zvyšuje skóre anomálií o 3, což nestačí k blokování provozu. Při aktivaci pravidla anomálií se v protokolech zobrazí odpovídající akce. Pokud je skóre anomálií 5 nebo vyšší, aktivuje se samostatné pravidlo s akcí skóre anomálií nakonfigurovanou pro sadu pravidel. Výchozí akce skóre anomálií je Blok, což vede k položce protokolu s akcí blocked.
Pokud waf používá starší verzi výchozí sady pravidel (před DRS 2.0), spustí se waF v tradičním režimu. Provoz, který odpovídá jakémukoli pravidlu, se považuje za nezávislý na všech ostatních shodách pravidel. V tradičním režimu nemáte přehled o úplné sadě pravidel, která se konkrétní žádost shodovala.
Verze služby DRS, kterou používáte, také určuje, které typy obsahu jsou podporovány pro kontrolu těla žádosti. Další informace najdete v tématu Jaké typy obsahu WAF podporuje? v nejčastějších dotazech.
Upgrade nebo změna verze sady pravidel
Pokud upgradujete nebo přiřazujete novou verzi sady pravidel a chcete zachovat stávající přepsání a vyloučení pravidel, doporučujeme použít PowerShell, rozhraní příkazového řádku, rozhraní REST API nebo šablony k provádění změn verze sady pravidel. Nová verze sady pravidel může obsahovat novější pravidla, další skupiny pravidel a můžou mít aktualizace stávajících podpisů, které vynucují lepší zabezpečení a snižují falešně pozitivní výsledky. Doporučuje se ověřit změny v testovacím prostředí, vyladit je v případě potřeby a pak nasadit v produkčním prostředí.
Poznámka:
Pokud k přiřazení nové spravované sady pravidel k zásadám WAF používáte Azure Portal, všechny předchozí vlastní nastavení ze stávající sady spravovaných pravidel, jako je stav pravidla, akce pravidel a vyloučení na úrovni pravidel, se resetují na výchozí hodnoty nové sady spravovaných pravidel. Při přiřazování nové sady pravidel ale nebudou mít žádná vlastní pravidla nebo nastavení zásad vliv. Před nasazením v produkčním prostředí budete muset před nasazením pravidla předefinovat přepsání a ověřit změny.
DRS 2.1
Pravidla DRS 2.1 nabízejí lepší ochranu než starší verze DRS. Obsahuje další pravidla vyvinutá týmem Microsoft Threat Intelligence a aktualizacemi podpisů, aby se snížily falešně pozitivní výsledky. Podporuje také transformace nad rámec dekódování adresy URL.
DrS 2.1 obsahuje 17 skupin pravidel, jak je znázorněno v následující tabulce. Každá skupina obsahuje více pravidel a můžete přizpůsobit chování jednotlivých pravidel, skupin pravidel nebo celé sady pravidel. DrS 2.1 je směrný plán od základní sady základních pravidel OWASP (Open Web Application Security Project) 3.3.2 (CRS) a obsahuje další proprietární pravidla ochrany vyvinutá týmem Microsoft Threat Intelligence.
Další informace najdete v tématu Ladění firewallu webových aplikací (WAF) pro Službu Azure Front Door.
Poznámka:
DRS 2.1 je k dispozici pouze ve službě Azure Front Door Premium.
| Skupina pravidla | ruleGroupName | Popis |
|---|---|---|
| Obecné | Obecné | Obecná skupina |
| VYNUCENÍ METODY | METHOD-ENFORCEMENT | Metody uzamčení (PUT, PATCH) |
| VYNUCENÍ PROTOKOLU | PROTOCOL-ENFORCEMENT | Ochrana před problémy s protokolem a kódováním |
| ÚTOK PROTOKOLEM | PROTOCOL-ATTACK | Ochrana před vkládáním hlaviček, pašováním žádostí a rozdělením odpovědí |
| APPLICATION-ATTACK-LFI | LFI | Ochrana před útoky na soubory a cesty |
| APPLICATION-ATTACK-RFI | RFI | Ochrana před vzdálenými útoky na zahrnutí souborů (RFI) |
| APPLICATION-ATTACK-RCE | RCE | Ochrana znovu vzdálených útoků na spouštění kódu |
| APPLICATION-ATTACK-PHP | PHP | Ochrana před útoky prostřednictvím injektáže PHP |
| APPLICATION-ATTACK-NodeJS | NODEJS | Ochrana před útoky JS uzlu |
| APPLICATION-ATTACK-XSS | XSS | Ochrana před skriptovacími útoky mezi weby |
| APPLICATION-ATTACK-SQLI | SQLI | Ochrana před útoky prostřednictvím injektáže SQL |
| OPRAVA ÚTOKU NA APLIKACI | FIX | Ochrana před útoky na opravu relací |
| APPLICATION-ATTACK-SESSION-JAVA | JAVA | Ochrana před útoky JAVA |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Ochrana před útoky web shellu |
| MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | Ochrana před útoky AppSec |
| MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | Ochrana před útoky SQLI |
| MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Ochrana před útoky CVE |
Zakázaná pravidla
Následující pravidla jsou ve výchozím nastavení pro DRS 2.1 zakázaná.
| ID pravidla | Skupina pravidla | Popis | Detaily |
|---|---|---|---|
| 942110 | SQLI | Útok prostřednictvím injektáže SQL: Zjistilo se běžné testování injektáže | Nahrazeno pravidlem MSTIC 99031001 |
| 942150 | SQLI | Útok prostřednictvím injektáže SQL | Nahrazeno pravidlem MSTIC 99031003 |
| 942260 | SQLI | Zjistí pokusy o obejití základního ověřování SQL 2/3. | Nahrazeno pravidlem MSTIC 99031004 |
| 942430 | SQLI | Omezená detekce anomálií znaků SQL (args): počet překročení počtu speciálních znaků (12) | Příliš mnoho falešně pozitivních výsledků |
| 942440 | SQLI | Zjištěná sekvence komentářů SQL | Nahrazeno pravidlem MSTIC 99031002 |
| 99005006 | MS-ThreatIntel-WebShells | Pokus o interakci Spring4Shellu | Povolení pravidla, které brání ohrožení zabezpečení SpringShellu |
| 99001014 | MS-ThreatIntel-CVEs | Pokus o injektáže směrovacího výrazu Spring Cloudu CVE-2022-22963 | Povolení pravidla, které brání ohrožení zabezpečení SpringShellu |
| 99001015 | MS-ThreatIntel-WebShells | Pokus o zneužití objektu nebezpečné třídy Spring Framework CVE-2022-22965 | Povolení pravidla, které brání ohrožení zabezpečení SpringShellu |
| 99001016 | MS-ThreatIntel-WebShells | Pokus o injektáž ovladače brány Spring Cloud CVE-2022-22947 | Povolení pravidla, které brání ohrožení zabezpečení SpringShellu |
| 99001017 | MS-ThreatIntel-CVEs | Pokus o nahrání souboru Apache Struts zneužití CVE-2023-50164 | Povolení pravidla, které brání ohrožení zabezpečení Apache Struts |
DRS 2.0
Pravidla DRS 2.0 nabízejí lepší ochranu než starší verze DRS. DRS 2.0 také podporuje transformace nad rámec dekódování adresy URL.
DRS 2.0 obsahuje 17 skupin pravidel, jak je znázorněno v následující tabulce. Každá skupina obsahuje více pravidel. Můžete zakázat jednotlivá pravidla a celé skupiny pravidel.
Poznámka:
DRS 2.0 je k dispozici pouze ve službě Azure Front Door Premium.
| Skupina pravidla | ruleGroupName | Popis |
|---|---|---|
| Obecné | Obecné | Obecná skupina |
| VYNUCENÍ METODY | METHOD-ENFORCEMENT | Metody uzamčení (PUT, PATCH) |
| VYNUCENÍ PROTOKOLU | PROTOCOL-ENFORCEMENT | Ochrana před problémy s protokolem a kódováním |
| ÚTOK PROTOKOLEM | PROTOCOL-ATTACK | Ochrana před vkládáním hlaviček, pašováním žádostí a rozdělením odpovědí |
| APPLICATION-ATTACK-LFI | LFI | Ochrana před útoky na soubory a cesty |
| APPLICATION-ATTACK-RFI | RFI | Ochrana před vzdálenými útoky na zahrnutí souborů (RFI) |
| APPLICATION-ATTACK-RCE | RCE | Ochrana znovu vzdálených útoků na spouštění kódu |
| APPLICATION-ATTACK-PHP | PHP | Ochrana před útoky prostřednictvím injektáže PHP |
| APPLICATION-ATTACK-NodeJS | NODEJS | Ochrana před útoky JS uzlu |
| APPLICATION-ATTACK-XSS | XSS | Ochrana před skriptovacími útoky mezi weby |
| APPLICATION-ATTACK-SQLI | SQLI | Ochrana před útoky prostřednictvím injektáže SQL |
| OPRAVA ÚTOKU NA APLIKACI | FIX | Ochrana před útoky na opravu relací |
| APPLICATION-ATTACK-SESSION-JAVA | JAVA | Ochrana před útoky JAVA |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Ochrana před útoky web shellu |
| MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | Ochrana před útoky AppSec |
| MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | Ochrana před útoky SQLI |
| MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Ochrana před útoky CVE |
DRS 1.1
| Skupina pravidla | ruleGroupName | Popis |
|---|---|---|
| ÚTOK PROTOKOLEM | PROTOCOL-ATTACK | Ochrana před vkládáním hlaviček, pašováním žádostí a rozdělením odpovědí |
| APPLICATION-ATTACK-LFI | LFI | Ochrana před útoky na soubory a cesty |
| APPLICATION-ATTACK-RFI | RFI | Ochrana před vzdálenými útoky na zahrnutí souborů |
| APPLICATION-ATTACK-RCE | RCE | Ochrana před vzdáleným spuštěním příkazu |
| APPLICATION-ATTACK-PHP | PHP | Ochrana před útoky prostřednictvím injektáže PHP |
| APPLICATION-ATTACK-XSS | XSS | Ochrana před skriptovacími útoky mezi weby |
| APPLICATION-ATTACK-SQLI | SQLI | Ochrana před útoky prostřednictvím injektáže SQL |
| OPRAVA ÚTOKU NA APLIKACI | FIX | Ochrana před útoky na opravu relací |
| APPLICATION-ATTACK-SESSION-JAVA | JAVA | Ochrana před útoky JAVA |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Ochrana před útoky web shellu |
| MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | Ochrana před útoky AppSec |
| MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | Ochrana před útoky SQLI |
| MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Ochrana před útoky CVE |
DRS 1.0
| Skupina pravidla | ruleGroupName | Popis |
|---|---|---|
| ÚTOK PROTOKOLEM | PROTOCOL-ATTACK | Ochrana před vkládáním hlaviček, pašováním žádostí a rozdělením odpovědí |
| APPLICATION-ATTACK-LFI | LFI | Ochrana před útoky na soubory a cesty |
| APPLICATION-ATTACK-RFI | RFI | Ochrana před vzdálenými útoky na zahrnutí souborů |
| APPLICATION-ATTACK-RCE | RCE | Ochrana před vzdáleným spuštěním příkazu |
| APPLICATION-ATTACK-PHP | PHP | Ochrana před útoky prostřednictvím injektáže PHP |
| APPLICATION-ATTACK-XSS | XSS | Ochrana před skriptovacími útoky mezi weby |
| APPLICATION-ATTACK-SQLI | SQLI | Ochrana před útoky prostřednictvím injektáže SQL |
| OPRAVA ÚTOKU NA APLIKACI | FIX | Ochrana před útoky na opravu relací |
| APPLICATION-ATTACK-SESSION-JAVA | JAVA | Ochrana před útoky JAVA |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Ochrana před útoky web shellu |
| MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Ochrana před útoky CVE |
Bot Manager 1.0
Sada pravidel Bot Manageru 1.0 poskytuje ochranu před škodlivými roboty a detekcí dobrých robotů. Pravidla poskytují podrobnou kontrolu nad roboty zjištěnými WAF tím, že kategorizují provoz robota jako dobrý, chybný nebo neznámý robot.
| Skupina pravidla | Popis |
|---|---|
| BadBots | Ochrana před špatnými roboty |
| GoodBots | Identifikace vhodných robotů |
| Neznámé roboty | Identifikace neznámých robotů |
Bot Manager 1.1
Sada pravidel Bot Manageru 1.1 je vylepšení sady pravidel Bot Manageru 1.0. Poskytuje vylepšenou ochranu před škodlivými roboty a zvyšuje dobrou detekci robotů.
| Skupina pravidla | Popis |
|---|---|
| BadBots | Ochrana před špatnými roboty |
| GoodBots | Identifikace vhodných robotů |
| Neznámé roboty | Identifikace neznámých robotů |
Následující skupiny pravidel a pravidla jsou k dispozici při použití služby Azure Web Application Firewall ve službě Azure Front Door.
2.1 sady pravidel
OBECNÉ
| RuleId | Popis |
|---|---|
| 200002 | Analýza textu požadavku se nezdařila. |
| 200003 | Text žádosti s více částmi selhal s přísným ověřením. |
Vynucení metody
| RuleId | Popis |
|---|---|
| 911100 | Zásada nepovoluje metodu |
Vynucení protokolu
| RuleId | Popis |
|---|---|
| 920100 | Neplatný řádek požadavku HTTP. |
| 920120 | Došlo k pokusu o obejití více částí nebo dat formulářů. |
| 920121 | Došlo k pokusu o obejití více částí nebo dat formulářů. |
| 920160 | Hlavička HTTP pro délku obsahu není číselná. |
| 920170 | GET nebo HEAD Request with body content. |
| 920171 | GET nebo HEAD Request with Transfer-Encoding. |
| 920180 | Požadavek POST chybí hlavička Content-Length. |
| 920181 | Hlavičky Content-Length a Transfer-Encoding jsou k dispozici 99001003. |
| 920190 | Rozsah: Neplatná hodnota posledního bajtu. |
| 920200 | Rozsah: Příliš mnoho polí (6 nebo více). |
| 920201 | Rozsah: Příliš mnoho polí pro požadavek PDF (35 nebo více). |
| 920210 | Byla nalezena data záhlaví více nebo konfliktních připojení. |
| 920220 | Pokus o útok na zneužití kódování adresy URL. |
| 920230 | Bylo zjištěno více kódování adresy URL. |
| 920240 | Pokus o útok na zneužití kódování adresy URL. |
| 920260 | Pokus o útok na zneužití kódování Unicode s plnou šířkou nebo poloviční šířkou |
| 920270 | Neplatný znak v požadavku (znak null). |
| 920271 | Neplatný znak v požadavku (netisknutelné znaky) |
| 920280 | Požadavek chybí hlavička hostitele. |
| 920290 | Prázdná hlavička hostitele |
| 920300 | Požadavek chybí hlavička Accept. |
| 920310 | Požadavek má prázdnou hlavičku Accept. |
| 920311 | Požadavek má prázdnou hlavičku Accept. |
| 920320 | Chybí hlavička uživatelského agenta. |
| 920330 | Prázdná hlavička uživatelského agenta. |
| 920340 | Požadavek obsahující obsah, ale chybí hlavička Content-Type. |
| 920341 | Požadavek obsahující obsah vyžaduje hlavičku Content-Type. |
| 920350 | Hlavička hostitele je číselná IP adresa. |
| 920420 | Zásady nepovolují typ obsahu požadavku. |
| 920430 | Zásady nepovolují verzi protokolu HTTP. |
| 920440 | Přípona souboru ADRESY URL je omezena zásadami. |
| 920450 | Hlavička HTTP je omezena zásadami. |
| 920470 | Neplatná hlavička Content-Type |
| 920480 | Zásady nepovolují znakové sady typu obsahu. |
| 920500 | Pokus o přístup k záložnímu nebo pracovnímu souboru |
Útok na protokol
| RuleId | Popis |
|---|---|
| 921110 | Útok na pašování požadavků HTTP |
| 921120 | HTTP Response Splitting Attack |
| 921130 | HTTP Response Splitting Attack |
| 921140 | Útok prostřednictvím injektáže hlaviček HTTP prostřednictvím hlaviček |
| 921150 | Útok prostřednictvím injektáže hlaviček HTTP prostřednictvím datové části (zjištěný CR/LF) |
| 921151 | Útok prostřednictvím injektáže hlaviček HTTP prostřednictvím datové části (zjištěný CR/LF) |
| 921160 | Útok prostřednictvím injektáže hlaviček HTTP přes datovou část (zjištěný CR/LF a název hlavičky) |
| 921190 | Zjistilo se rozdělení HTTP (CR/LF v názvu souboru požadavku) |
| 921200 | Útok prostřednictvím injektáže LDAP |
LFI: Zahrnutí místního souboru
| RuleId | Popis |
|---|---|
| 930100 | Útok procházení cesty (/.). /) |
| 930110 | Útok procházení cesty (/.). /) |
| 930120 | Pokus o přístup k souborům operačního systému |
| 930130 | Pokus o přístup k souborům s omezeným přístupem |
RFI: Zahrnutí vzdáleného souboru
| RuleId | Popis |
|---|---|
| 931100 | Možný útok na zahrnutí vzdálených souborů (RFI): Parametr adresy URL s použitím IP adresy |
| 931110 | Možný útok na zahrnutí vzdálených souborů (RFI): Běžný název ohrožených parametrů RFI, který používá datovou část w/URL |
| 931120 | Možný útok na zahrnutí vzdálených souborů (RFI): Datová část adresy URL použitá pomocí znaku otazníku (?) |
| 931130 | Možný útok na zahrnutí vzdálených souborů (RFI): Odkaz na mimo doménu nebo odkaz |
RCE: Vzdálené spuštění příkazu
| RuleId | Popis |
|---|---|
| 932100 | Vzdálené spuštění příkazu: Injektáž příkazů systému Unix |
| 932105 | Vzdálené spuštění příkazu: Injektáž příkazů systému Unix |
| 932110 | Vzdálené spuštění příkazu: Injektáž příkazů systému Windows |
| 932115 | Vzdálené spuštění příkazu: Injektáž příkazů systému Windows |
| 932120 | Vzdálené spuštění příkazu: Byl nalezen příkaz Windows PowerShellu. |
| 932130 | Vzdálené spuštění příkazu: Byl nalezen výraz prostředí Unix shell nebo ohrožení zabezpečení confluence (CVE-2022-26134) |
| 932140 | Vzdálené spuštění příkazu: Byl nalezen příkaz Windows FOR/IF. |
| 932150 | Vzdálené spuštění příkazu: Přímé spouštění příkazů systému Unix |
| 932160 | Vzdálené spuštění příkazu: Byl nalezen kód prostředí Unix |
| 932170 | Vzdálené spouštění příkazů: Shellshock (CVE-2014-6271) |
| 932171 | Vzdálené spouštění příkazů: Shellshock (CVE-2014-6271) |
| 932180 | Omezený pokus o nahrání souboru |
Útoky PHP
| RuleId | Popis |
|---|---|
| 933100 | Útok prostřednictvím injektáže PHP: Nalezena levá/pravá značka |
| 933110 | Útok prostřednictvím injektáže PHP: Nalezen soubor skriptu PHP |
| 933120 | Útok prostřednictvím injektáže PHP: Nalezena direktiva konfigurace |
| 933130 | Útok prostřednictvím injektáže PHP: Nalezeny proměnné |
| 933140 | Útok prostřednictvím injektáže PHP: Nalezen vstupně-výstupní stream |
| 933150 | Útok prostřednictvím injektáže PHP: Byl nalezen název vysoce rizikové funkce PHP. |
| 933151 | Útok prostřednictvím injektáže PHP: Nalezen název středně rizikové funkce PHP |
| 933160 | Útok prostřednictvím injektáže PHP: Nalezeno volání vysoce rizikové funkce PHP |
| 933170 | Útok prostřednictvím injektáže PHP: Serializovaná injektáž objektů |
| 933180 | Útok prostřednictvím injektáže PHP: Nalezeno volání proměnné funkce |
| 933200 | Útok prostřednictvím injektáže PHP: Zjistilo se schéma obálky |
| 933210 | Útok prostřednictvím injektáže PHP: Nalezeno volání proměnné funkce |
Útoky JS uzlu
| RuleId | Popis |
|---|---|
| 934100 | útok prostřednictvím injektáže Node.js |
XSS: Skriptování mezi weby
| RuleId | Popis |
|---|---|
| 941100 | Útok XSS zjištěn prostřednictvím libinjection |
| 941101 | Útok XSS zjištěn prostřednictvím libinjection Pravidlo detekuje požadavky s hlavičkou Referer . |
| 941110 | Filtr XSS – kategorie 1: Vektor značky skriptu |
| 941120 | Filtr XSS – kategorie 2: Vektor obslužné rutiny události |
| 941130 | Filtr XSS – kategorie 3: Vektor atributu |
| 941140 | Filtr XSS – kategorie 4: Vektor URI JavaScriptu |
| 941150 | Filtr XSS – kategorie 5: Nepovolené atributy HTML |
| 941160 | NoScript XSS InjectionChecker: Injektáž HTML |
| 941170 | NoScript XSS InjectionChecker: Injektáž atributů |
| 941180 | Klíčová slova seznamu blokovaných uzlů |
| 941190 | XSS s využitím šablon stylů |
| 941200 | XSS s využitím rámců VML |
| 941210 | XSS s využitím obfuskovaného JavaScriptu |
| 941220 | XSS s využitím obfuskovaného skriptu VB |
| 941230 | XSS s využitím embed značky |
| 941240 | XSS s využitím import nebo implementation atributem |
| 941250 | Filtry IE XSS – zjištěný útok |
| 941260 | XSS s využitím meta značky |
| 941270 | XSS s využitím link href |
| 941280 | XSS s využitím base značky |
| 941290 | XSS s využitím applet značky |
| 941300 | XSS s využitím object značky |
| 941310 | Filtr XSS s poškozeným kódováním US-ASCII – zjištěný útok |
| 941320 | Zjištěný možný útok XSS – obslužná rutina značky HTML |
| 941330 | Filtry IE XSS – zjištěný útok |
| 941340 | Filtry IE XSS – zjištěný útok |
| 941350 | Kódování UTF-7 IE XSS – zjištěn útok |
| 941360 | Zjistilo se obfuskace JavaScriptu |
| 941370 | Byla nalezena globální proměnná JavaScriptu. |
| 941380 | Zjištěná injektáž šablony na straně klienta AngularJS |
SQLI: Injektáž SQL
| RuleId | Popis |
|---|---|
| 942100 | Útok prostřednictvím injektáže SQL Zjištěn prostřednictvím libinjection. |
| 942110 | Útok prostřednictvím injektáže SQL: Zjistilo se běžné testování injektáže. |
| 942120 | Útok prostřednictvím injektáže SQL: Zjistil se operátor SQL. |
| 942140 | Útok prostřednictvím injektáže SQL: Byly zjištěny běžné názvy databází. |
| 942150 | Útok prostřednictvím injektáže SQL |
| 942160 | Detekuje slepé testy SQLI pomocí sleep() nebo benchmark(). |
| 942170 | Detekuje srovnávací test SQL a pokusy o injektáž režimu spánku, včetně podmíněných dotazů. |
| 942180 | Detekuje pokusy o obejití základního ověřování SQL 1/3. |
| 942190 | Detekuje spuštění kódu MSSQL a pokusy o shromažďování informací. |
| 942200 | Detekuje injektáže komentáře MySQL /space-obfuscated injektáže a ukončení backtick. |
| 942210 | Detekuje zřetězený pokus o injektáž SQL 1/2. |
| 942220 | Hledáte celočíselné útoky přetečení, ty jsou převzaty z skipfish, s výjimkou 3.0.00738585072007e-308 je "kouzelné číslo". |
| 942230 | Detekuje pokusy o podmíněné injektáže SQL. |
| 942240 | Detekuje přepínač znakové sady MySQL a pokusy o MSSQL DoS. |
| 942250 | Detekuje injektáže POZVYHLEDAT PROTI, SLOUČIT a PROVÉST OKAMŽITÉ injektáže. |
| 942260 | Detekuje pokusy o obejití základního ověřování SQL 2/3. |
| 942270 | Hledáte základní injektáž SQL. Běžný řetězec útoku pro MySQL, Oracle a další. |
| 942280 | Detekuje injektáž pg_sleep Postgres, čekání na útoky zpoždění a pokusy o vypnutí databáze. |
| 942290 | Najde základní pokusy o injektáž MONgoDB SQL. |
| 942300 | Detekuje injektáže, podmínky a injektáže MySQL (a)r. |
| 942310 | Detekuje zřetězený pokus o injektáž SQL 2/2. |
| 942320 | Detekuje uložené procedury /injektáže funkcí MySQL a PostgreSQL. |
| 942330 | Detekuje klasické sondy injektáže SQL 1/2. |
| 942340 | Detekuje pokusy o obejití základního ověřování SQL 3/3. |
| 942350 | Detekuje injektáž definovanou uživatelem MySQL a další pokusy o manipulaci s daty a strukturou. |
| 942360 | Detekuje zřetězené základní injektáž SQL a pokusy SQLLFI. |
| 942361 | Detekuje základní injektáž SQL na základě změny nebo sjednocení klíčového slova. |
| 942370 | Detekuje klasické sondy injektáže SQL 2/2. |
| 942380 | Útok prostřednictvím injektáže SQL |
| 942390 | Útok prostřednictvím injektáže SQL |
| 942400 | Útok prostřednictvím injektáže SQL |
| 942410 | Útok prostřednictvím injektáže SQL |
| 942430 | Omezená detekce anomálií znaků SQL (args): počet překročení počtu speciálních znaků (12) |
| 942440 | Zjistilo se pořadí komentářů SQL. |
| 942450 | Identifikované šestnáctkové kódování SQL |
| 942460 | Upozornění na detekci anomálií metaznaku – opakující se neslovné znaky |
| 942470 | Útok prostřednictvím injektáže SQL |
| 942480 | Útok prostřednictvím injektáže SQL |
| 942500 | Zjistil se vložený komentář MySQL. |
| 942510 | Byl zjištěn pokus o obejití SQLi pomocí zjišťovaných záškrtů nebo zpětných znamétek. |
Fixace relace
| RuleId | Popis |
|---|---|
| 943100 | Možný útok na opravu relace: Nastavení hodnot souborů cookie v HTML |
| 943110 | Možný útok na opravu relace: Název parametru SessionID s refererem mimo doménu |
| 943120 | Možný útok na opravu relace: Název parametru SessionID bez referreru |
Útoky v Javě
| RuleId | Popis |
|---|---|
| 944100 | Vzdálené spouštění příkazů: Apache Struts, Oracle WebLogic |
| 944110 | Detekuje potenciální spuštění datové části. |
| 944120 | Možné spuštění datové části a vzdálené spuštění příkazu |
| 944130 | Podezřelé třídy Javy |
| 944200 | Využívání deserializace Javy Apache Commons |
| 944210 | Možné použití serializace Java |
| 944240 | Vzdálené spuštění příkazu: Serializace Java a chyba zabezpečení Log4j (CVE-2021-44228, CVE-2021-45046) |
| 944250 | Vzdálené spouštění příkazů: Zjištěna podezřelá metoda Java |
MS-ThreatIntel-WebShells
| RuleId | Popis |
|---|---|
| 99005002 | Pokus o interakci webového prostředí (POST) |
| 99005003 | Pokus o nahrání webového prostředí (POST) – CHOPPER PHP |
| 99005004 | Pokus o nahrání webového prostředí (POST) – SLUŽBA CHOPPER ASPX |
| 99005005 | Pokus o interakci s webovým prostředím |
| 99005006 | Pokus o interakci Spring4Shellu |
MS-ThreatIntel-AppSec
| RuleId | Popis |
|---|---|
| 99030001 | Cesta Procházení úniků v headers (/.. /./.. /) |
| 99030002 | Cesta procházení úniku v textu žádosti (/.). /./.. /) |
MS-ThreatIntel-SQLI
| RuleId | Popis |
|---|---|
| 99031001 | Útok prostřednictvím injektáže SQL: Zjistilo se běžné testování injektáže |
| 99031002 | Zjištěná sekvence komentářů SQL |
| 99031003 | Útok prostřednictvím injektáže SQL |
| 99031004 | Zjistí pokusy o obejití základního ověřování SQL 2/3. |
MS-ThreatIntel-CVEs
| RuleId | Popis |
|---|---|
| 99001001 | Pokus o zneužití rozhraní REST API s známými přihlašovacími údaji f5 tmui (CVE-2020-5902) |
| 99001002 | Pokus o procházení adresáře Citrix NSC_USER CVE-2019-19781 |
| 99001003 | Pokus o zneužití konektoru widgetu Atlassian Confluence CVE-2019-3396 |
| 99001004 | Pokus o zneužití vlastní šablony Pulse Secure CVE-2020-8243 |
| 99001005 | Pokus o zneužití převaděče typů SharePointu CVE-2020-0932 |
| 99001006 | Pokus o procházení adresáře Pulse Connect CVE-2019-11510 |
| 99001007 | Pokus o zahrnutí místního souboru Junos OS J-Web CVE-2020-1631 |
| 99001008 | Pokus o procházení cesty Fortinet CVE-2018-13379 |
| 99001009 | Pokus o injektáž Apache struts CVE-2017-5638 |
| 99001010 | Pokus o injektáž Apache struts CVE-2017-12611 |
| 99001011 | Pokus o procházení cesty Oracle WebLogic CVE-2020-14882 |
| 99001012 | Pokus o zneužití nezabezpečeného deserializace Telerik WebUI CVE-2019-18935 |
| 99001013 | Pokus o nezabezpečenou deserializaci XML SharePointu CVE-2019-0604 |
| 99001014 | Pokus o injektáže směrovacího výrazu Spring Cloudu CVE-2022-22963 |
| 99001015 | Pokus o zneužití objektu nebezpečné třídy Spring Framework CVE-2022-22965 |
| 99001016 | Pokus o injektáž ovladače brány Spring Cloud CVE-2022-22947 |
| 99001017 | Pokus o nahrání souboru Apache Struts – cve-2023-50164 |
Poznámka:
Při kontrole protokolů WAF se může zobrazit ID pravidla 949110. Popis pravidla může zahrnovat překročení skóre příchozí anomálie.
Toto pravidlo označuje, že celkové skóre anomálií požadavku překročilo maximální povolené skóre. Další informace najdete v tématu Bodování anomálií.
Při ladění zásad WAF je potřeba prozkoumat další pravidla aktivovaná požadavkem, abyste mohli upravit konfiguraci WAF. Další informace najdete v tématu Ladění firewallu webových aplikací Azure pro Azure Front Door.