Regole e gruppi di regole DRS di Web Application Firewall
Web application firewall di Azure in Frontdoor di Azure protegge le applicazioni Web da vulnerabilità e exploit comuni. I set di regole gestiti da Azure consentono di distribuire in modo semplice la protezione da un set comune di minacce alla sicurezza. Poiché Azure gestisce questi set di regole, le regole vengono aggiornate in base alle esigenze per proteggersi dalle nuove firme di attacco.
Il set di regole predefinito include anche le regole della raccolta di Intelligence sulle minacce Microsoft scritte in collaborazione con il team di Intelligence Microsoft per fornire una maggiore copertura, patch per vulnerabilità specifiche e una migliore riduzione dei falsi positivi.
Nota
Quando una versione del set di regole viene modificata in un criterio WAF, tutte le personalizzazioni esistenti apportate al set di regole verranno reimpostate sulle impostazioni predefinite per il nuovo set di regole. Vedere: Aggiornamento o modifica della versione del set di regole.
Set di regole predefinite
Il servizio di ripristino di emergenza gestito da Azure include regole per le categorie di minacce seguenti:
- Scripting intersito
- Attacchi Java
- Inclusione di file locali
- Attacchi PHP injection
- Attacchi di tipo Remote Command Execution
- Inclusione di file remoti
- Fissazione sessione
- Protezione dagli attacchi SQL injection
- Aggressori protocollo
Il numero di versione del ripristino di emergenza aumenta quando vengono aggiunte nuove firme di attacco al set di regole.
DrS è abilitato per impostazione predefinita in modalità rilevamento nei criteri WAF. È possibile disabilitare o abilitare singole regole all'interno del servizio ripristino di emergenza per soddisfare i requisiti dell'applicazione. È anche possibile impostare azioni specifiche per ogni regola. Le azioni disponibili sono Consenti, Blocca, Log e Reindirizzamento.
In alcuni casi potrebbe essere necessario omettere determinati attributi di richiesta da una valutazione web application firewall (WAF). Un esempio comune è rappresentato dai token inseriti in Active Directory che vengono usati per l'autenticazione. È possibile configurare un elenco di esclusione per una regola gestita, un gruppo di regole o l'intero set di regole. Per altre informazioni, vedere Web application firewall di Azure in elenchi di esclusione di Frontdoor di Azure.
Per impostazione predefinita, drS versioni 2.0 e successive usano l'assegnazione dei punteggi anomalie quando una richiesta corrisponde a una regola. Le versioni di DRS precedenti alla 2.0 bloccano le richieste che attivano le regole. Inoltre, le regole personalizzate possono essere configurate nello stesso criterio WAF se si vuole ignorare una delle regole preconfigurate nel servizio ripristino di emergenza.
Le regole personalizzate vengono sempre applicate prima che vengano valutate le regole nel servizio di ripristino di emergenza. Se una richiesta corrisponde a una regola personalizzata, viene applicata l'azione della regola corrispondente. La richiesta viene bloccata o passata al back-end. Non vengono elaborate altre regole personalizzate o le regole nel servizio ripristino di emergenza. È anche possibile rimuovere il ripristino di emergenza dai criteri WAF.
Regole di Raccolta di Microsoft Threat Intelligence
regole di Raccolta di Microsoft Threat Intelligence sono scritte in collaborazione con il team di Microsoft Threat Intelligence per fornire una maggiore copertura, patch per vulnerabilità specifiche e una migliore riduzione dei falsi positivi.
Per impostazione predefinita, le regole della raccolta di Intelligence sulle minacce di Microsoft sostituiscono alcune delle regole predefinite del servizio di ripristino di emergenza, causandone la disabilitazioni. Ad esempio, l'ID regola 942440, la sequenza di commenti SQL rilevata, è stata disabilitata e sostituita dalla regola raccolta di intelligence sulle minacce Microsoft 99031002. La regola sostituita riduce il rischio di rilevamenti falsi positivi da richieste legittime.
Assegnazione di punteggi anomalie
Quando si usa DRS 2.0 o versione successiva, il WAF usa l'assegnazione dei punteggi anomalie. Il traffico che corrisponde a qualsiasi regola non viene bloccato immediatamente, anche quando WAF è in modalità prevenzione. I set di regole OWASP definiscono invece una gravità per ogni regola: Critico, Errore, Avviso o Avviso. La gravità influisce su un valore numerico per la richiesta, denominato punteggio anomalie. Se una richiesta accumula un punteggio di anomalia pari o superiore a 5, il WAF esegue un'azione sulla richiesta.
| Gravità della regola | Valore che ha contribuito al punteggio anomalie |
|---|---|
| Critico | 5 |
| Error | 4 |
| Avviso | 3 |
| Preavviso | 2 |
Quando si configura waf, è possibile decidere come il WAF gestisce le richieste che superano la soglia di punteggio anomalie di 5. Le tre opzioni di azione punteggio anomalie sono Blocca, Log o Reindirizzamento. L'azione punteggio anomalie selezionata al momento della configurazione viene applicata a tutte le richieste che superano la soglia del punteggio anomalie.
Ad esempio, se il punteggio di anomalia è 5 o superiore in una richiesta e WAF è in modalità prevenzione con l'azione punteggio anomalie impostata su Blocca, la richiesta viene bloccata. Se il punteggio di anomalia è 5 o maggiore per una richiesta e WAF è in modalità rilevamento, la richiesta viene registrata ma non bloccata.
Una singola corrispondenza di regola critica è sufficiente per waf per bloccare una richiesta in modalità prevenzione con l'azione punteggio anomalie impostata su Blocca perché il punteggio complessivo delle anomalie è 5. Tuttavia, una singola corrispondenza di regola di tipo Avviso si limita a incrementare di 3 il punteggio anomalie, che non è sufficiente per bloccare il traffico. Quando viene attivata una regola di anomalie, nei log viene visualizzata un'azione "corrispondente". Se il punteggio di anomalia è 5 o superiore, viene attivata una regola separata con l'azione di punteggio anomalie configurata per il set di regole. L'azione di punteggio anomalie predefinita è Blocca, che genera una voce di log con l'azione blocked.
Quando WAF usa una versione precedente del set di regole predefinito (prima di DRS 2.0), il WAF viene eseguito in modalità tradizionale. Il traffico che corrisponde a qualsiasi regola viene considerato indipendentemente da qualsiasi altra regola corrispondente. In modalità tradizionale non si ha visibilità sul set completo di regole corrispondenti a una richiesta specifica.
La versione del servizio di ripristino di emergenza usata determina anche quali tipi di contenuto sono supportati per l'ispezione del corpo della richiesta. Per altre informazioni, vedere Quali tipi di contenuto supporta WAF? nelle domande frequenti.
Aggiornamento o modifica della versione del set di regole
Se si esegue l'aggiornamento o si assegna una nuova versione del set di regole e si vuole mantenere le sostituzioni ed esclusioni esistenti, è consigliabile usare PowerShell, l'interfaccia della riga di comando, l'API REST o un modello per apportare modifiche alla versione del set di regole. Una nuova versione di un set di regole può avere regole più recenti, gruppi di regole aggiuntivi e potrebbe avere aggiornamenti alle firme esistenti per applicare una maggiore sicurezza e ridurre i falsi positivi. È consigliabile convalidare le modifiche in un ambiente di test, ottimizzare, se necessario, e quindi distribuire in un ambiente di produzione.
Nota
Se si usa il portale di Azure per assegnare un nuovo set di regole gestite a un criterio WAF, tutte le personalizzazioni precedenti del set di regole gestite esistente, ad esempio lo stato della regola, le azioni delle regole e le esclusioni a livello di regola verranno reimpostate sulle impostazioni predefinite del nuovo set di regole gestite. Tuttavia, tutte le regole personalizzate o le impostazioni dei criteri rimarranno invariate durante la nuova assegnazione del set di regole. Sarà necessario ridefinire le sostituzioni delle regole e convalidare le modifiche prima della distribuzione in un ambiente di produzione.
DRS 2.1
Le regole DRS 2.1 offrono una protezione migliore rispetto alle versioni precedenti di DRS. Include altre regole sviluppate dal team di Microsoft Threat Intelligence e gli aggiornamenti alle firme per ridurre i falsi positivi. Supporta anche trasformazioni oltre la semplice decodifica URL.
DRS 2.1 include 17 gruppi di regole, come illustrato nella tabella seguente. Ogni gruppo contiene più regole ed è possibile personalizzare il comportamento per singole regole, gruppi di regole o un intero set di regole. DRS 2.1 è previsto dal Open Web Application Security Project (OWASP) Core Rule Set (CRS) 3.3.2 e include regole di protezione proprietarie aggiuntive sviluppate dal team di Microsoft Threat Intelligence.
Per altre informazioni, vedere Ottimizzazione di Web Application Firewall (WAF) per Frontdoor di Azure.
Nota
DRS 2.1 è disponibile solo in Frontdoor di Azure Premium.
| Gruppo di regole | ruleGroupName | Descrizione |
|---|---|---|
| Generali | Generali | Gruppo generale |
| APPLICAZIONE DEL METODO | APPLICAZIONE METODO | Metodi di blocco (PUT, PATCH) |
| APPLICAZIONE DEL PROTOCOLLO | APPLICAZIONE PROTOCOLLO | Protezione da problemi di protocollo e codifica |
| ATTACCO DEL PROTOCOLLO | ATTACCO PROTOCOLLO | Protegge da header injection, request smuggling e response splitting |
| APPLICAZIONE-ATTACCO-LFI | LFI | Protezione da attacchi a file e percorsi |
| APPLICAZIONE-ATTACCO-RFI | RFI | Protezione da attacchi RFI (inclusione file remoti) |
| APPLICAZIONE-ATTACCO-RCE | RCE | Protezione da attacchi di esecuzione del codice remoto |
| APPLICAZIONE-ATTACCO-PHP | PHP | Protezione da attacchi PHP injection |
| APPLICAZIONE-ATTACCO-NodeJS | NODEJS | Protezione da attacchi Node JS |
| APPLICAZIONE-ATTACCO-XSS | XSS | Protezione da attacchi di scripting intersito |
| APPLICAZIONE-ATTACCO-SQLI | SQLI | Protezione da attacchi SQL injection |
| APPLICAZIONE-ATTACCO-SESSIONE-CORREZIONE | FIX | Protezione da attacchi di correzione della sessione |
| APPLICAZIONE-ATTACCO-SESSIONE-JAVA | JAVA | Protezione dagli attacchi JAVA |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Protezione da attacchi web shell |
| MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | Protezione dagli attacchi AppSec |
| MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | Protezione da attacchi SQLI |
| MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Protezione da attacchi CVE |
Regole disabilitate
Le regole seguenti sono disabilitate per impostazione predefinita per DRS 2.1.
| ID regola | Gruppo di regole | Descrizione | Dettagli |
|---|---|---|---|
| 942110 | SQLI | Attacco SQL Injection: rilevati test di inserimento comune | Sostituito dalla regola MSTIC 99031001 |
| 942150 | SQLI | Attacco SQL injection | Sostituito dalla regola MSTIC 99031003 |
| 942260 | SQLI | Rileva tentativi di ignorare l'autenticazione SQL di base (2/3) | Sostituito dalla regola MSTIC 99031004 |
| 942430 | SQLI | Rilevamento anomalie caratteri SQL con restrizioni (args): n. di caratteri speciali in eccesso (12) | Troppi falsi positivi |
| 942440 | SQLI | Rilevata sequenza commenti SQL | Sostituito dalla regola MSTIC 99031002 |
| 99005006 | MS-ThreatIntel-WebShells | Tentativo di interazione di Spring4Shell | Abilitare la regola per evitare la vulnerabilità di SpringShell |
| 99001014 | MS-ThreatIntel-CVEs | Tentativo di inserimento di routing-espressione Spring Cloud CVE-2022-22963 | Abilitare la regola per evitare la vulnerabilità di SpringShell |
| 99001015 | MS-ThreatIntel-WebShells | Tentativo di sfruttamento di oggetti della classe Spring Framework unsafe CVE-2022-22965 | Abilitare la regola per evitare la vulnerabilità di SpringShell |
| 99001016 | MS-ThreatIntel-WebShells | Tentativo di inserimento dell'attuatore Spring Cloud Gateway CVE-2022-22947 | Abilitare la regola per evitare la vulnerabilità di SpringShell |
| 99001017 | MS-ThreatIntel-CVEs | Tentativo di caricamento del file Apache Struts CVE-2023-50164. | Abilitare la regola per evitare la vulnerabilità di Apache Struts |
DRS 2.0
Le regole drs 2.0 offrono una protezione migliore rispetto alle versioni precedenti del servizio di ripristino di emergenza. DrS 2.0 supporta anche trasformazioni oltre la semplice decodifica url.
DrS 2.0 include 17 gruppi di regole, come illustrato nella tabella seguente. Ogni gruppo contiene più regole. È possibile disabilitare singole regole e interi gruppi di regole.
Nota
DRS 2.0 è disponibile solo in Frontdoor di Azure Premium.
| Gruppo di regole | ruleGroupName | Descrizione |
|---|---|---|
| Generali | Generali | Gruppo generale |
| APPLICAZIONE DEL METODO | APPLICAZIONE METODO | Metodi di blocco (PUT, PATCH) |
| APPLICAZIONE DEL PROTOCOLLO | APPLICAZIONE PROTOCOLLO | Protezione da problemi di protocollo e codifica |
| ATTACCO DEL PROTOCOLLO | ATTACCO PROTOCOLLO | Protegge da header injection, request smuggling e response splitting |
| APPLICAZIONE-ATTACCO-LFI | LFI | Protezione da attacchi a file e percorsi |
| APPLICAZIONE-ATTACCO-RFI | RFI | Protezione da attacchi RFI (inclusione file remoti) |
| APPLICAZIONE-ATTACCO-RCE | RCE | Protezione da attacchi di esecuzione del codice remoto |
| APPLICAZIONE-ATTACCO-PHP | PHP | Protezione da attacchi PHP injection |
| APPLICAZIONE-ATTACCO-NodeJS | NODEJS | Protezione da attacchi Node JS |
| APPLICAZIONE-ATTACCO-XSS | XSS | Protezione da attacchi di scripting intersito |
| APPLICAZIONE-ATTACCO-SQLI | SQLI | Protezione da attacchi SQL injection |
| APPLICAZIONE-ATTACCO-SESSIONE-CORREZIONE | FIX | Protezione da attacchi di correzione della sessione |
| APPLICAZIONE-ATTACCO-SESSIONE-JAVA | JAVA | Protezione dagli attacchi JAVA |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Protezione da attacchi web shell |
| MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | Protezione dagli attacchi AppSec |
| MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | Protezione da attacchi SQLI |
| MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Protezione da attacchi CVE |
DRS 1.1
| Gruppo di regole | ruleGroupName | Descrizione |
|---|---|---|
| ATTACCO DEL PROTOCOLLO | ATTACCO PROTOCOLLO | Protegge da header injection, request smuggling e response splitting |
| APPLICAZIONE-ATTACCO-LFI | LFI | Protezione da attacchi a file e percorsi |
| APPLICAZIONE-ATTACCO-RFI | RFI | Protezione dagli attacchi di inclusione di file remoti |
| APPLICAZIONE-ATTACCO-RCE | RCE | Protezione dall'esecuzione di comandi remoti |
| APPLICAZIONE-ATTACCO-PHP | PHP | Protezione da attacchi PHP injection |
| APPLICAZIONE-ATTACCO-XSS | XSS | Protezione da attacchi di scripting intersito |
| APPLICAZIONE-ATTACCO-SQLI | SQLI | Protezione da attacchi SQL injection |
| APPLICAZIONE-ATTACCO-SESSIONE-CORREZIONE | FIX | Protezione da attacchi di correzione della sessione |
| APPLICAZIONE-ATTACCO-SESSIONE-JAVA | JAVA | Protezione dagli attacchi JAVA |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Protezione da attacchi web shell |
| MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | Protezione dagli attacchi AppSec |
| MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | Protezione da attacchi SQLI |
| MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Protezione da attacchi CVE |
DRS 1.0
| Gruppo di regole | ruleGroupName | Descrizione |
|---|---|---|
| ATTACCO DEL PROTOCOLLO | ATTACCO PROTOCOLLO | Protegge da header injection, request smuggling e response splitting |
| APPLICAZIONE-ATTACCO-LFI | LFI | Protezione da attacchi a file e percorsi |
| APPLICAZIONE-ATTACCO-RFI | RFI | Protezione dagli attacchi di inclusione di file remoti |
| APPLICAZIONE-ATTACCO-RCE | RCE | Protezione dall'esecuzione di comandi remoti |
| APPLICAZIONE-ATTACCO-PHP | PHP | Protezione da attacchi PHP injection |
| APPLICAZIONE-ATTACCO-XSS | XSS | Protezione da attacchi di scripting intersito |
| APPLICAZIONE-ATTACCO-SQLI | SQLI | Protezione da attacchi SQL injection |
| APPLICAZIONE-ATTACCO-SESSIONE-CORREZIONE | FIX | Protezione da attacchi di correzione della sessione |
| APPLICAZIONE-ATTACCO-SESSIONE-JAVA | JAVA | Protezione dagli attacchi JAVA |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Protezione da attacchi web shell |
| MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Protezione da attacchi CVE |
Bot Manager 1.0
Il set di regole di Bot Manager 1.0 offre protezione dai bot dannosi e dal rilevamento di bot validi. Le regole forniscono un controllo granulare sui bot rilevati da WAF tramite la categorizzazione del traffico del bot come bot buono, non valido o sconosciuto.
| Gruppo di regole | Descrizione |
|---|---|
| BadBots | Protezione da bot non validi |
| GoodBots | Identificare bot validi |
| UnknownBots | Identificare bot sconosciuti |
Bot Manager 1.1
Il set di regole di Bot Manager 1.1 è un miglioramento del set di regole di Bot Manager 1.0. Offre una protezione avanzata contro i bot dannosi e aumenta il corretto rilevamento dei bot.
| Gruppo di regole | Descrizione |
|---|---|
| BadBots | Protezione da bot non validi |
| GoodBots | Identificare bot validi |
| UnknownBots | Identificare bot sconosciuti |
Quando si usa Web Application Firewall di Azure in Frontdoor di Azure, sono disponibili i gruppi di regole e le regole seguenti.
Set di regole 2.1
Generali
| ID regola | Descrizione |
|---|---|
| 200002 | Impossibile analizzare il corpo della richiesta |
| 200003 | Il corpo della richiesta multipart non ha superato la convalida rigorosa |
Imposizione del metodo
| ID regola | Descrizione |
|---|---|
| 911100 | Il metodo non è consentito dai criteri |
Applicazione protocollo
| ID regola | Descrizione |
|---|---|
| 920100 | Riga di richiesta HTTP non valida. |
| 920120 | Tentativo di bypass multipart/form-data. |
| 920121 | Tentativo di bypass multipart/form-data. |
| 920160 | L'intestazione HTTP Content-Length non è numerica. |
| 920170 | Richiesta GET o HEAD con contenuto del corpo |
| 920171 | Richiesta OTTIENI o INTESTAZIONE con Trasferimento-Codifica. |
| 920180 | Richiesta POST senza intestazione Content-Length |
| 920181 | Le intestazioni Content-Length e Transfer-Encoding presentano 99001003. |
| 920190 | Intervallo: valore ultimo byte non valido. |
| 920200 | Intervallo: troppi campi (6 o più). |
| 920201 | Intervallo: troppi campi per la richiesta pdf (35 o più). |
| 920210 | Trovati dati intestazione di connessione multipli/in conflitto |
| 920220 | Tentativo di attacco di abuso di codifica URL. |
| 920230 | È stata rilevata la codifica di più URL. |
| 920240 | Tentativo di attacco di abuso di codifica URL. |
| 920260 | Tentativo di attacco di uso improprio a larghezza intera/metà Unicode. |
| 920270 | Carattere non valido nella richiesta (carattere Null). |
| 920271 | Carattere non valido nella richiesta (caratteri non stampabili). |
| 920280 | Richiesta mancante di un'intestazione host. |
| 920290 | Intestazione host vuota. |
| 920300 | Richiesta mancante di un'intestazione Accept. |
| 920310 | Request ha un'intestazione Accept vuota. |
| 920311 | Request ha un'intestazione Accept vuota. |
| 920320 | Intestazione agente utente mancante. |
| 920330 | Intestazione agente utente vuota. |
| 920340 | Richiedi contenuto, ma intestazione Content-Type mancante. |
| 920341 | La richiesta contenente contenuto richiede l'intestazione Content-Type. |
| 920350 | L'intestazione host è un indirizzo IP numerico. |
| 920420 | Il tipo di contenuto della richiesta non è consentito dai criteri. |
| 920430 | La versione del protocollo HTTP non è consentita dai criteri. |
| 920440 | L'estensione del file URL è limitata dai criteri. |
| 920450 | L'intestazione HTTP è limitata dai criteri. |
| 920470 | Intestazione Content-Type non valida. |
| 920480 | Il set di caratteri del tipo di contenuto della richiesta non è consentito dai criteri. |
| 920500 | Tentare di accedere a un file di backup o di lavoro. |
Attacco al protocollo
| ID regola | Descrizione |
|---|---|
| 921110 | Attacco di tipo HTTP Request Smuggling |
| 921120 | Attacco di tipo HTTP Response Splitting |
| 921130 | Attacco di tipo HTTP Response Splitting |
| 921140 | Attacco di tipo HTTP Header Injection tramite intestazioni |
| 921150 | Attacco di tipo HTTP Header Injection tramite payload (rilevato CR/LF) |
| 921151 | Attacco di tipo HTTP Header Injection tramite payload (rilevato CR/LF) |
| 921160 | Attacco di tipo HTTP Header Injection tramite payload (rilevati CR/LF e nome intestazione) |
| 921190 | Separazione HTTP (CR/LF nel nome file della richiesta rilevato) |
| 921200 | Attacco LDAP injection |
LFI: inclusione di file locali
| ID regola | Descrizione |
|---|---|
| 930100 | Attacco di tipo Path Traversal (/../) |
| 930110 | Attacco di tipo Path Traversal (/../) |
| 930120 | Tentativo di accesso a file del sistema operativo |
| 930130 | Tentativo di accesso a file con restrizioni |
RFI: inclusione di file remoti
| ID regola | Descrizione |
|---|---|
| 931100 | Possibile attacco di inclusione file remota (RFI): parametro URL tramite indirizzo IP |
| 931110 | Possibile attacco RFI (inclusione file remoti): nome del parametro vulnerabile RFI comune utilizzato con payload URL |
| 931120 | Possibile attacco RFI (inclusione file remoti): payload URL usato con carattere di punto interrogativo (?) finale |
| 931130 | Possibile attacco RFI (inclusione file remoti): collegamento/riferimento fuori dominio |
RCE: esecuzione di comandi remoti
| ID regola | Descrizione |
|---|---|
| 932100 | Esecuzione comandi in remoto: inserimento di comandi Unix |
| 932105 | Esecuzione comandi in remoto: inserimento di comandi Unix |
| 932110 | Esecuzione comandi in remoto: inserimento di comandi Windows |
| 932115 | Esecuzione comandi in remoto: inserimento di comandi Windows |
| 932120 | Esecuzione comandi in remoto: trovato comando di Windows PowerShell |
| 932130 | Esecuzione comandi in remoto: Espressioni Shell Unix o vulnerabilità Confluence (CVE-2022-26134) Trovato |
| 932140 | Esecuzione comandi in remoto: trovato comando FOR/IF di Windows |
| 932150 | Esecuzione comandi in remoto: esecuzione di comandi Unix diretti |
| 932160 | Esecuzione comandi in remoto: trovato codice Shell Unix |
| 932170 | Esecuzione comandi in remoto: Shellshock (CVE-2014-6271) |
| 932171 | Esecuzione comandi in remoto: Shellshock (CVE-2014-6271) |
| 932180 | Tentativo di caricamento file con restrizioni |
Attacchi PHP
| ID regola | Descrizione |
|---|---|
| 933100 | Attacco PHP injection: trovato tag di apertura/chiusura |
| 933110 | Attacco PHP injection: trovato caricamento file di script PHP |
| 933120 | Attacco PHP injection: trovata direttiva di configurazione |
| 933130 | Attacco PHP injection: trovate variabili |
| 933140 | Attacco PHP injection: trovato flusso di I/O |
| 933150 | Attacco PHP injection: trovato nome funzione PHP ad alto rischio |
| 933151 | Attacco PHP injection: trovato nome funzione PHP a medio rischio |
| 933160 | Attacco PHP injection: trovata chiamata di funzione PHP ad alto rischio |
| 933170 | Attacco PHP injection: inserimento di oggetti serializzati |
| 933180 | Attacco PHP injection: trovata chiamata di funzione variabile |
| 933200 | Attacco PHP injection: rilevato schema wrapper |
| 933210 | Attacco PHP injection: trovata chiamata di funzione variabile |
Attacchi JS del nodo
| ID regola | Descrizione |
|---|---|
| 934100 | Attacco injection Node.js |
XSS: scripting tra siti
| ID regola | Descrizione |
|---|---|
| 941100 | Rilevato attacco XSS tramite libinjection |
| 941101 | Rilevato attacco XSS tramite libinjection La regola rileva le richieste con un'intestazione Referer |
| 941110 | Filtro XSS - Categoria 1: vettore tag script |
| 941120 | Filtro XSS - Categoria 2: vettore del gestore eventi |
| 941130 | Filtro XSS - Categoria 3: vettore attributi |
| 941140 | Filtro XSS - Categoria 4: vettore URI Javascript |
| 941150 | Filtro XSS - Categoria 5: attributi HTML non consentiti |
| 941160 | NoScript XSS InjectionChecker: inserimento HTML |
| 941170 | NoScript XSS InjectionChecker: inserimento attributo |
| 941180 | Parole chiave in blocklist convalida nodi |
| 941190 | XSS con fogli di stile |
| 941200 | XSS con frame VML |
| 941210 | XSS con JavaScript offuscato |
| 941220 | XSS con script VB offuscato |
| 941230 | XSS con embed tag |
| 941240 | XSS con import o implementation attributo |
| 941250 | Filtri XSS IE - rilevato attacco |
| 941260 | XSS con meta tag |
| 941270 | XSS con link href |
| 941280 | XSS con base tag |
| 941290 | XSS con applet tag |
| 941300 | XSS con object tag |
| 941310 | Filtro XSS di codifica US-ASCII non valido - Rilevato attacco |
| 941320 | Rilevato possibile attacco XSS: gestore tag HTML |
| 941330 | Filtri XSS IE - rilevato attacco |
| 941340 | Filtri XSS IE - rilevato attacco |
| 941350 | Codifica UTF-7 IE XSS - Rilevato attacco |
| 941360 | Rilevato offuscamento javaScript |
| 941370 | Trovata variabile globale JavaScript |
| 941380 | È stato rilevato l'inserimento di modelli sul lato client AngularJS |
SQLI: SQL injection
| ID regola | Descrizione |
|---|---|
| 942100 | Attacco SQL Injection rilevato tramite libinjection. |
| 942110 | Attacco SQL Injection: rilevato test di inserimento comuni. |
| 942120 | Attacco SQL Injection: rilevato operatore SQL. |
| 942140 | Attacco SQL Injection: sono stati rilevati nomi di database comuni. |
| 942150 | Attacco SQL injection |
| 942160 | Rileva i test SQLI non vedenti usando sleep() o benchmark(). |
| 942170 | Rileva il benchmark SQL e i tentativi di inserimento in sospensione, incluse le query condizionali. |
| 942180 | Rileva i tentativi di bypass dell'autenticazione SQL di base 1/3. |
| 942190 | Rileva l'esecuzione del codice MSSQL e i tentativi di raccolta delle informazioni. |
| 942200 | Rileva le iniezioni di commento/spaziatura offuscate di MySQL e la terminazione backtick. |
| 942210 | Rileva tentativi di inserimento SQL concatenati 1/2. |
| 942220 | Alla ricerca di attacchi di overflow integer, questi vengono presi da skipfish, ad eccezione di 3.0.007385072007e-308 è l'arresto anomalo del "numero magico". |
| 942230 | Rileva i tentativi di inserimento condizionale di SQL. |
| 942240 | Rileva l'opzione del set di caratteri MySQL e i tentativi di MSSQL DoS. |
| 942250 | Rileva le iniezioni MATCH AGAINST, MERGE ed EXECUTE IMMEDIATE. |
| 942260 | Rileva i tentativi di bypass dell'autenticazione SQL di base 2/3. |
| 942270 | Ricerca di sql injection di base. Stringa di attacco comune per MySQL, Oracle e altri. |
| 942280 | Rileva postgres pg_sleep injection, attende gli attacchi di ritardo e i tentativi di arresto del database. |
| 942290 | Trova i tentativi di inserimento SQL di MongoDB di base. |
| 942300 | Rileva commenti, condizioni e ch(a)r injection di MySQL. |
| 942310 | Rileva tentativi di inserimento SQL concatenati 2/2. |
| 942320 | Rileva le stored procedure/inserimenti di funzioni di MySQL e PostgreSQL. |
| 942330 | Rileva i probe sql injection classici 1/2. |
| 942340 | Rileva i tentativi di bypass dell'autenticazione SQL di base 3/3. |
| 942350 | Rileva l'inserimento della funzione definita dall'utente mySQL e altri tentativi di manipolazione di dati/struttura. |
| 942360 | Rileva tentativi di sql injection e SQLLFI di base concatenati. |
| 942361 | Rileva l'inserimento SQL di base in base alla modifica o all'unione delle parole chiave. |
| 942370 | Rileva i probe sql injection classici 2/2. |
| 942380 | Attacco SQL injection |
| 942390 | Attacco SQL injection |
| 942400 | Attacco SQL injection |
| 942410 | Attacco SQL injection |
| 942430 | Rilevamento anomalie dei caratteri SQL con restrizioni (arg): numero di caratteri speciali superati (12). |
| 942440 | Rilevata sequenza commenti SQL |
| 942450 | Codifica esadecimale SQL identificata. |
| 942460 | Avviso di rilevamento anomalie meta-carattere- Caratteri non ripetitivi di parole. |
| 942470 | Attacco SQL injection |
| 942480 | Attacco SQL injection |
| 942500 | Rilevato commento in linea di MySQL. |
| 942510 | Rilevato un tentativo di bypass di SQLi tramite tick o backtick. |
Fissazione sessione
| ID regola | Descrizione |
|---|---|
| 943100 | Possibile attacco di tipo correzione di sessione: impostazione valori cookie in HTML |
| 943110 | Possibile attacco di tipo correzione di sessione: nome parametro SessionID con referrer fuori dominio |
| 943120 | Possibile attacco di tipo correzione di sessione: nome parametro SessionID senza referrer |
Attacchi Java
| ID regola | Descrizione |
|---|---|
| 944100 | Esecuzione comandi in remoto: Apache Struts, Oracle WebLogic |
| 944110 | Rileva un'esecuzione potenziale del payload |
| 944120 | Possibile esecuzione del payload ed esecuzione comandi in remoto |
| 944130 | Classi Java sospette |
| 944200 | Sfruttamento della deserializzazione di Java Apache Commons |
| 944210 | Possibile uso della serializzazione Java |
| 944240 | Esecuzione comandi in remoto: vulnerabilità di serializzazione Java e Log4j (CVE-2021-44228, CVE-2021-45046) |
| 944250 | Esecuzione comandi in remoto: rilevato metodo Java sospetto |
MS-ThreatIntel-WebShells
| ID regola | Descrizione |
|---|---|
| 99005002 | Tentativo di interazione di Web Shell (POST) |
| 99005003 | Tentativo di caricamento di Web Shell (POST) - CHOPPER PHP |
| 99005004 | Tentativo di caricamento di Web Shell (POST) - CHOPPER ASPX |
| 99005005 | Tentativo di interazione di Web Shell |
| 99005006 | Tentativo di interazione di Spring4Shell |
MS-ThreatIntel-AppSec
| ID regola | Descrizione |
|---|---|
| 99030001 | Evasione attraversamento percorso nelle intestazioni (/.././../) |
| 99030002 | Evasione attraversamento percorso nel corpo della richiesta (/.././../) |
MS-ThreatIntel-SQLI
| ID regola | Descrizione |
|---|---|
| 99031001 | Attacco SQL Injection: rilevati test di inserimento comune |
| 99031002 | Rilevata sequenza commenti SQL |
| 99031003 | Attacco SQL injection |
| 99031004 | Rileva tentativi di ignorare l'autenticazione SQL di base (2/3) |
MS-ThreatIntel-CVEs
| ID regola | Descrizione |
|---|---|
| 99001001 | Tentativo di utilizzo dell'API REST F5 tmui (CVE-2020-5902) con credenziali note |
| 99001002 | Tentativo di attraversamento della directory Citrix NSC_USER CVE-2019-19781 |
| 99001003 | Tentativo di sfruttamento di Atlassian Confluence Widget Connector CVE-2019-3396 |
| 99001004 | Tentativo di sfruttamento del modello personalizzato Pulse Secure CVE-2020-8243 |
| 99001005 | Tentativo di sfruttamento del convertitore di tipi di SharePoint CVE-2020-0932 |
| 99001006 | Tentativo di attraversamento della directory Pulse Connect CVE-2019-11510 |
| 99001007 | Tentativo di inclusione del file locale J-Web del sistema operativo Junos CVE-2020-1631 |
| 99001008 | Tentativo di attraversamento del percorso fortinet CVE-2018-13379 |
| 99001009 | Tentativo di attacchi apache ognl injection CVE-2017-5638 |
| 99001010 | Tentativo di attacchi apache ognl injection CVE-2017-12611 |
| 99001011 | Tentativo di attraversamento del percorso Oracle WebLogic CVE-2020-14882 |
| 99001012 | Tentativo di sfruttamento della deserializzazione non sicura di Telerik WebUI CVE-2019-18935 |
| 99001013 | Tentativo di deserializzazione XML non sicura di CVE-2019-0604 |
| 99001014 | Tentativo di inserimento di routing-espressione Spring Cloud CVE-2022-22963 |
| 99001015 | Tentativo di sfruttamento di oggetti della classe Spring Framework unsafe CVE-2022-22965 |
| 99001016 | Tentativo di inserimento dell'attuatore Spring Cloud Gateway CVE-2022-22947 |
| 99001017 | Tentativo di sfruttamento del caricamento di file Apache Struts CVE-2023-50164 |
Nota
Quando si esaminano i log di WAF, è possibile che venga visualizzato l'ID regola 949110. La descrizione della regola potrebbe includere punteggio anomalie in ingresso superato.
Questa regola indica che il punteggio anomalie complessivo per la richiesta ha superato il punteggio massimo consentito. Per maggiori informazioni, vedere Assegnazione dei punteggi delle anomalie.
Quando si ottimizzano i criteri WAF, è necessario esaminare le altre regole attivate dalla richiesta in modo da poter modificare la configurazione di WAF. Per altre informazioni, vedere Ottimizzazione di Web application firewall di Azure per Frontdoor di Azure.