Grupos de regras e regras do Web Application Firewall DRS e CRS
Artigo
Os conjuntos de regras gerenciados pelo Azure no firewall de aplicativo Web (WAF) do Gateway de Aplicativo protegem ativamente os aplicativos Web contra vulnerabilidades e explorações comuns. Esses conjuntos de regras, gerenciados pelo Azure, recebem atualizações conforme necessário para proteger contra novas assinaturas de ataque. O conjunto de regras padrão também incorpora as regras do Microsoft Threat Intelligence Collection. A equipe de inteligência da Microsoft colabora na redação dessas regras, garantindo cobertura aprimorada, patches de vulnerabilidade específicos e redução aprimorada de falsos positivos.
Você também tem a opção de usar regras definidas com base nos conjuntos de regras principais do OWASP 3.2, 3.1, 3.0 ou 2.2.9.
Você pode desabilitar regras individualmente ou definir ações específicas para cada regra. Este artigo lista as regras atuais e os conjuntos de regras disponíveis. Se um conjunto de regras publicado exigir uma atualização, iremos documentá-lo aqui.
Nota
Quando uma versão do conjunto de regras é alterada em uma Política WAF, todas as personalizações existentes feitas no conjunto de regras serão redefinidas para os padrões do novo conjunto de regras. Consulte: Atualizando ou alterando a versão do conjunto de regras.
Conjuntos de regras padrão
O DRS (Conjunto de Regras Padrão) gerenciado pelo Azure inclui regras contra as seguintes categorias de ameaça:
Scripting entre sites
Ataques Java
Inclusão de ficheiro local
Ataques de injeção PHP
Execução remota de comandos
Inclusão de ficheiro remoto
Fixação de sessão
Proteção contra injeção de SQL
Invasores de protocolo O número da versão do DRS aumenta quando novas assinaturas de ataque são adicionadas ao conjunto de regras.
Regras de Recolha de Informações sobre Ameaças da Microsoft
As regras da Coleta de Inteligência de Ameaças da Microsoft são escritas em parceria com a equipe de Inteligência de Ameaças da Microsoft para fornecer maior cobertura, patches para vulnerabilidades específicas e melhor redução de falsos positivos.
Nota
Use as orientações a seguir para ajustar o WAF enquanto você começa a usar o 2.1 no WAF do Application Gateway. Os detalhes das regras são descritos a seguir.
ID da Regra
Grupo de Regras
Description
Detalhes
942110
SQLI
Ataque de injeção de SQL: teste de injeção comum detetado
Desativar, substituído pela regra MSTIC 99031001
942150
SQLI
Ataque de Injeção do SQL
Desativar, substituído pela regra MSTIC 99031003
942260
SQLI
Deteta tentativas básicas de desvio de autenticação SQL 2/3
Desativar, substituído pela regra MSTIC 99031004
942430
SQLI
Deteção de anomalia de caracteres SQL restritos (args): # de caracteres especiais excedidos (12)
Desativar, Muitos falsos positivos.
942440
SQLI
Sequência de comentários SQL detetada
Desativar, substituído pela regra MSTIC 99031002
99005006
MS-ThreatIntel-WebShells
Tentativa de interação Spring4Shell
Mantenha a regra ativada para evitar a vulnerabilidade do SpringShell
Defina a ação como Bloquear para prevenir contra a vulnerabilidade do Apache Struts. Pontuação de anomalia não suportada para esta regra.
Conjuntos de regras principais
O WAF do Application Gateway vem pré-configurado com CRS 3.2 por padrão, mas você pode optar por usar qualquer outra versão CRS suportada.
O CRS 3.2 oferece um novo mecanismo e novos conjuntos de regras de defesa contra injeções Java, um conjunto inicial de verificações de upload de arquivos e menos falsos positivos em comparação com versões anteriores do CRS. Você também pode personalizar as regras para atender às suas necessidades. Saiba mais sobre o novo mecanismo WAF do Azure.
O WAF protege contra as seguintes vulnerabilidades da web:
Ataques de injeção de SQL
Ataques de script entre sites
Outros ataques comuns, como injeção de comando, contrabando de solicitação HTTP, divisão de resposta HTTP e inclusão remota de arquivos
Violações do protocolo HTTP
Anomalias do protocolo HTTP, como falta de agente do usuário do host e cabeçalhos de aceitação
Bots, crawlers e scanners
Erros comuns de configuração de aplicativos (por exemplo, Apache e IIS)
Ajuste de conjuntos de regras gerenciadas
O DRS e o CRS são habilitados por padrão no modo de deteção em suas políticas WAF. Você pode desabilitar ou habilitar regras individuais dentro do Conjunto de Regras Gerenciadas para atender aos requisitos do seu aplicativo. Você também pode definir ações específicas por regra. O DRS/CRS suporta ações de pontuação de bloco, log e anomalia. O conjunto de regras do Bot Manager suporta as ações de permissão, bloqueio e registro.
Às vezes, talvez seja necessário omitir certos atributos de solicitação de uma avaliação do WAF. Um exemplo comum são os tokens inseridos no Ative Directory que são usados para autenticação. Você pode configurar exclusões para serem aplicadas quando regras específicas do WAF forem avaliadas ou para serem aplicadas globalmente à avaliação de todas as regras do WAF. As regras de exclusão aplicam-se a toda a sua aplicação Web. Para obter mais informações, consulte Web Application Firewall (WAF) com listas de exclusão do Application Gateway.
Por padrão, o DRS versão 2.1 / CRS versão 3.2 e superior usa pontuação de anomalia quando uma solicitação corresponde a uma regra. O CRS 3.1 e inferior bloqueia pedidos correspondentes por predefinição. Além disso, as regras personalizadas podem ser configuradas na mesma política WAF se você quiser ignorar qualquer uma das regras pré-configuradas no Conjunto de Regras Principais.
As regras personalizadas são sempre aplicadas antes que as regras no Conjunto de Regras Principais sejam avaliadas. Se uma solicitação corresponder a uma regra personalizada, a ação de regra correspondente será aplicada. A solicitação é bloqueada ou passada para o back-end. Nenhuma outra regra personalizada ou as regras no Conjunto de Regras Principais são processadas.
Pontuação de anomalias
Quando você usa CRS ou DRS 2.1 e posterior, seu WAF é configurado para usar pontuação de anomalia por padrão. O tráfego que corresponde a qualquer regra não é imediatamente bloqueado, mesmo quando o WAF está no modo de prevenção. Em vez disso, os conjuntos de regras OWASP definem uma gravidade para cada regra: Crítica, Erro, Aviso ou Aviso. A gravidade afeta um valor numérico para a solicitação, que é chamado de pontuação de anomalia:
Severidade da regra
O valor contribuiu para a pontuação de anomalia
Crítico
5
Erro
4
Aviso
3
Aviso
2
Se a pontuação de anomalia for igual ou superior a 5 e o WAF estiver no modo de Prevenção, a solicitação será bloqueada. Se a pontuação de anomalia for 5 ou superior e o WAF estiver no modo de Deteção, a solicitação será registrada, mas não bloqueada.
Por exemplo, uma única correspondência de regra crítica é suficiente para o WAF bloquear uma solicitação quando estiver no modo de prevenção, porque a pontuação geral de anomalia é 5. No entanto, uma correspondência de regra de aviso só aumenta a pontuação de anomalia em 3, o que não é suficiente por si só para bloquear o tráfego. Quando uma regra de anomalia é acionada, ela mostra uma ação "Correspondido" nos logs. Se a pontuação de anomalia for 5 ou maior, há uma regra separada acionada com a ação "Bloqueado" ou "Detetado", dependendo se a política WAF está no modo de Prevenção ou Deteção. Para obter mais informações, consulte Modo de pontuação de anomalias.
Atualizando ou alterando a versão do conjunto de regras
Se você estiver atualizando ou atribuindo uma nova versão do conjunto de regras e quiser preservar substituições e exclusões de regras existentes, é recomendável usar PowerShell, CLI, REST API ou modelos para fazer alterações na versão do conjunto de regras. Uma nova versão de um conjunto de regras pode ter regras mais recentes, grupos de regras adicionais e pode ter atualizações para assinaturas existentes para impor melhor segurança e reduzir falsos positivos. Recomenda-se validar as alterações em um ambiente de teste, ajustar se necessário e, em seguida, implantar em um ambiente de produção.
Nota
Se você estiver usando o portal do Azure para atribuir um novo conjunto de regras gerenciado a uma política WAF, todas as personalizações anteriores do conjunto de regras gerenciado existente, como estado da regra, ações de regra e exclusões de nível de regra, serão redefinidas para os padrões do novo conjunto de regras gerenciado. No entanto, quaisquer regras personalizadas, configurações de política e exclusões globais permanecerão inalteradas durante a atribuição do novo conjunto de regras. Você precisará redefinir substituições de regras e validar alterações antes de implantar em um ambiente de produção.
DRS 2,1
As regras do DRS 2.1 oferecem melhor proteção do que as versões anteriores do DRS. Ele inclui mais regras desenvolvidas pela equipe de Inteligência de Ameaças da Microsoft e atualizações de assinaturas para reduzir falsos positivos. Ele também suporta transformações além da decodificação de URL.
O DRS 2.1 inclui 17 grupos de regras, conforme mostrado na tabela a seguir. Cada grupo contém várias regras e você pode personalizar o comportamento para regras individuais, grupos de regras ou conjunto de regras inteiro. O DRS 2.1 é baseado no Open Web Application Security Project (OWASP) Core Rule set (CRS) 3.3.2 e inclui regras de proteção proprietárias adicionais desenvolvidas pela equipe de Inteligência de Ameaças da Microsoft.
O CRS 3.2 inclui 14 grupos de regras, conforme mostrado na tabela a seguir. Cada grupo contém várias regras, que podem ser desativadas. O conjunto de regras é baseado na versão OWASP CRS 3.2.0.
Nota
O CRS 3.2 só está disponível no WAF_v2 SKU. Como o CRS 3.2 é executado no novo mecanismo WAF do Azure, não é possível fazer o downgrade para o CRS 3.1 ou anterior. Se precisar fazer o downgrade, entre em contato com o Suporte do Azure.
O CRS 3.1 inclui 14 grupos de regras, conforme mostrado na tabela a seguir. Cada grupo contém várias regras, que podem ser desativadas. O conjunto de regras é baseado na versão OWASP CRS 3.1.1.
O CRS 3.0 inclui 13 grupos de regras, conforme mostrado na tabela a seguir. Cada grupo contém várias regras, que podem ser desativadas. O conjunto de regras é baseado na versão OWASP CRS 3.0.0.
O CRS 2.2.9 inclui 10 grupos de regras, conforme mostrado na tabela a seguir. Cada grupo contém várias regras, que podem ser desativadas.
Nota
O CRS 2.2.9 não é mais suportado para novas políticas WAF. Recomendamos que você atualize para as versões mais recentes do CRS 3.2/DRS 2.1 e superiores.
O conjunto de regras do Bot Manager 1.0 fornece proteção contra bots mal-intencionados e deteção de bons bots. As regras fornecem controle granular sobre bots detetados pelo WAF, categorizando o tráfego de bots como Bom, Ruim ou Desconhecido.
O conjunto de regras do Bot Manager 1.1 é um aprimoramento do conjunto de regras do Bot Manager 1.0. Ele fornece proteção aprimorada contra bots mal-intencionados e aumenta a boa deteção de bots.
*A ação desta regra é definida como log por padrão. Defina a ação como Bloquear para prevenir contra a vulnerabilidade do Apache Struts. Pontuação de anomalia não suportada para esta regra.
Nota
Ao rever os registos do WAF, poderá ver o ID da regra 949110. A descrição da regra pode incluir Inbound Anomaly Score Exceeded.
Esta regra indica que a pontuação total de anomalia para o pedido excedeu a pontuação máxima permitida. Para obter mais informações, consulte Pontuação de anomalias.
3.2 Conjuntos de regras
Geral
RuleId
Description
200002
Falha ao analisar o corpo da solicitação.
200003
Validação rigorosa do corpo de solicitação de várias partes.
Tentativa de injeção de expressão de roteamento do Spring Cloud - CVE-2022-22963
800112
Tentativa de exploração de objeto de classe não segura do Spring Framework - CVE-2022-22965
800113
Tentativa de injeção do atuador do Spring Cloud Gateway - CVE-2022-22947
800114*
Tentativa de exploração de upload de arquivo Apache Struts - CVE-2023-50164
*A ação desta regra é definida como log por padrão. Defina a ação como Bloquear para prevenir contra a vulnerabilidade do Apache Struts. Pontuação de anomalia não suportada para esta regra.
REQUEST-911-METHOD-ENFORCEMENT
RuleId
Description
911100
O método não é permitido pela política
REQUEST-913-SCANNER-DETECTION
RuleId
Description
913100
Encontrado User-Agent associado ao verificador de segurança
913101
Encontrado User-Agent associado a scripting/cliente HTTP genérico
913102
Encontrado User-Agent associado ao rastreador/bot da Web
913110
Encontrado cabeçalho de solicitação associado ao verificador de segurança
913120
Nome de arquivo/argumento de solicitação encontrado associado ao verificador de segurança
REQUEST-920-PROTOCOL-ENFORCEMENT
RuleId
Description
920100
Linha de solicitação HTTP inválida
920120
Tentativa de desvio de várias partes/dados de formulário
920121
Tentativa de desvio de várias partes/dados de formulário
920160
O cabeçalho HTTP Content-Length não é numérico.
920170
Solicitação GET ou HEAD com conteúdo corporal.
920171
Solicitação GET ou HEAD com codificação de transferência.
920180
Solicitação POST ausente Content-Length Header.
920190
Intervalo: Valor do último byte inválido.
920200
Intervalo: Demasiados campos (6 ou mais)
920201
Intervalo: Demasiados campos para pedido pdf (35 ou mais)
920202
Intervalo: Demasiados campos para pedido pdf (6 ou mais)
920210
Dados de cabeçalho de conexão múltiplos/conflitantes encontrados.
920220
Tentativa de ataque de abuso de codificação de URL
920230
Codificação de URL múltipla detetada
920240
Tentativa de ataque de abuso de codificação de URL
920250
Tentativa de ataque de abuso de codificação UTF8
920260
Tentativa de ataque de abuso de largura total/meia Unicode
920270
Caractere inválido na solicitação (caractere nulo)
920271
Caractere inválido na solicitação (caracteres não imprimíveis)
920272
Caractere inválido na solicitação (fora dos caracteres imprimíveis abaixo de ascii 127)
920273
Caractere inválido na solicitação (fora do conjunto muito restrito)
920274
Caractere inválido em cabeçalhos de solicitação (fora do conjunto muito restrito)
920280
Solicitação faltando um cabeçalho de host
920290
Cabeçalho de host vazio
920300
Solicitar falta um cabeçalho de aceitação
920310
A solicitação tem um cabeçalho de aceitação vazio
920311
A solicitação tem um cabeçalho de aceitação vazio
920320
Cabeçalho do agente de usuário ausente
920330
Cabeçalho vazio do agente do usuário
920340
Solicitação contendo conteúdo, mas faltando cabeçalho de tipo de conteúdo
920341
A solicitação que contém conteúdo requer o cabeçalho Content-Type
920350
O cabeçalho do host é um endereço IP numérico
920420
O tipo de conteúdo de solicitação não é permitido pela política
920430
A versão do protocolo HTTP não é permitida pela política
920440
A extensão de arquivo URL é restrita pela política
920450
O cabeçalho HTTP é restrito pela política (%{MATCHED_VAR})
920460
Personagens de fuga anormais
920470
Cabeçalho de tipo de conteúdo ilegal
920480
Restringir parâmetro charset dentro do cabeçalho de tipo de conteúdo
REQUEST-921-PROTOCOL-ATTACK
RuleId
Description
921110
Ataque de contrabando de solicitação HTTP
921120
Ataque de divisão de resposta HTTP
921130
Ataque de divisão de resposta HTTP
921140
Ataque de injeção de cabeçalho HTTP via cabeçalhos
921150
Ataque de injeção de cabeçalho HTTP via carga útil (CR/LF detetado)
921151
Ataque de injeção de cabeçalho HTTP via carga útil (CR/LF detetado)
921160
Ataque de injeção de cabeçalho HTTP via carga útil (CR/LF e nome do cabeçalho detetados)
921170
Poluição por parâmetros HTTP
921180
Poluição por parâmetros HTTP (%{TX.1})
REQUEST-930-APPLICATION-ATTACK-LFI
RuleId
Description
930100
Ataque de Travessia de Caminho (/.. /)
930110
Ataque de Travessia de Caminho (/.. /)
930120
Tentativa de acesso a ficheiros do SO
930130
Tentativa de acesso restrito a arquivos
REQUEST-931-APPLICATION-ATTACK-RFI
RuleId
Description
931100
Possível ataque de inclusão remota de arquivos (RFI): parâmetro de URL usando endereço IP
931110
Possível ataque de inclusão remota de arquivos (RFI): nome de parâmetro vulnerável comum de RFI usado com carga útil de URL
931120
Possível ataque de inclusão remota de arquivos (RFI): carga útil de URL usada com caractere de ponto de interrogação à direita (?)
931130
Possível ataque de inclusão remota de arquivos (RFI): referência/link fora do domínio
REQUEST-932-APPLICATION-ATTACK-RCE
RuleId
Description
932100
Execução de Comando Remoto: Unix Command Injection
932105
Execução de Comando Remoto: Unix Command Injection
932106
Execução de Comando Remoto: Unix Command Injection
932110
Execução remota de comando: Windows Command Injection
932115
Execução remota de comando: Windows Command Injection
932120
Execução de comando remoto: comando do Windows PowerShell encontrado
932130
Execução remota de comando: Vulnerabilidade de expressão ou confluência do shell Unix (CVE-2022-26134) ou Text4Shell (CVE-2022-42889) encontrada
932140
Execução de comando remoto: Comando FOR/IF do Windows encontrado
932150
Execução de Comando Remoto: Execução Direta de Comandos Unix
932160
Execução de Comando Remoto: Código Unix Shell Encontrado
932170
Execução remota de comando: Shellshock (CVE-2014-6271)
932171
Execução remota de comando: Shellshock (CVE-2014-6271)
932180
Tentativa de carregamento de arquivo restrito
932190
Execução de comando remoto: tentativa da técnica de desvio curinga
REQUEST-933-APPLICATION-ATTACK-PHP
RuleId
Description
933100
PHP Injection Attack: Tag de abertura/fechamento encontrada
933110
Ataque de injeção de PHP: Upload de arquivo de script PHP encontrado
933111
Ataque de injeção de PHP: Upload de arquivo de script PHP encontrado
933120
PHP Injection Attack: Diretiva de configuração encontrada
933130
Ataque de injeção de PHP: variáveis encontradas
933131
Ataque de injeção de PHP: variáveis encontradas
933140
Ataque de injeção de PHP: fluxo de E/S encontrado
933150
Ataque de injeção de PHP: Nome da função PHP de alto risco encontrado
933151
Ataque de injeção de PHP: Nome da função PHP de médio risco encontrado
933160
Ataque de injeção de PHP: chamada de função PHP de alto risco encontrada
933161
Ataque de injeção de PHP: chamada de função PHP de baixo valor encontrada
933170
Ataque de injeção de PHP: injeção de objeto serializado
933180
Ataque de injeção de PHP: chamada de função variável encontrada
933190
Ataque de injeção de PHP: Tag de fechamento do PHP encontrada
933200
PHP Injection Attack: Esquema de wrapper detetado
933210
Ataque de injeção de PHP: chamada de função variável encontrada
REQUEST-941-APPLICATION-ATTACK-XSS
RuleId
Description
941100
Ataque XSS detetado via libinjection
941101
Ataque XSS detetado via libinjection. Esta regra deteta solicitações com um cabeçalho Referer .
941110
Filtro XSS - Categoria 1: Vetor de tag de script
941120
Filtro XSS - Categoria 2: Vetor do manipulador de eventos
941130
Filtro XSS - Categoria 3: Vetor de atributo
941140
Filtro XSS - Categoria 4: Vetor URI JavaScript
941150
Filtro XSS - Categoria 5: Atributos HTML não permitidos
941160
NoScript XSS InjectionChecker: Injeção de HTML
941170
NoScript XSS InjectionChecker: Injeção de atributos
941180
Palavras-chave da lista negra do validador de nós
941190
XSS Usando folhas de estilo
941200
XSS usando quadros VML
941210
XSS usando JavaScript ofuscado ou Text4Shell (CVE-2022-42889)
941220
XSS usando script VB ofuscado
941230
XSS usando a tag 'embed'
941240
XSS usando o atributo 'import' ou 'implementation'
Tentativa de injeção de expressão de roteamento do Spring Cloud - CVE-2022-22963
800112
Tentativa de exploração de objeto de classe não segura do Spring Framework - CVE-2022-22965
800113
Tentativa de injeção do atuador do Spring Cloud Gateway - CVE-2022-22947
800114*
Tentativa de exploração de upload de arquivo Apache Struts - CVE-2023-50164
*Os WAFs mais antigos que executam o CRS 3.1 suportam apenas o modo de registo para esta regra. Para habilitar o modo de bloqueio, você precisará atualizar para uma versão mais recente do conjunto de regras.
REQUEST-911-METHOD-ENFORCEMENT
RuleId
Description
911100
O método não é permitido pela política
REQUEST-913-SCANNER-DETECTION
RuleId
Description
913100
Encontrado User-Agent associado ao verificador de segurança
913101
Encontrado User-Agent associado a scripting/cliente HTTP genérico
913102
Encontrado User-Agent associado ao rastreador/bot da Web
913110
Encontrado cabeçalho de solicitação associado ao verificador de segurança
913120
Nome de arquivo/argumento de solicitação encontrado associado ao verificador de segurança
REQUEST-920-PROTOCOL-ENFORCEMENT
RuleId
Description
920100
Linha de solicitação HTTP inválida
920120
Tentativa de desvio de várias partes/dados de formulário
920121
Tentativa de desvio de várias partes/dados de formulário
920130
Falha ao analisar o corpo da solicitação.
920140
O corpo da solicitação de várias partes falhou na validação estrita
920160
O cabeçalho HTTP Content-Length não é numérico.
920170
Solicitação GET ou HEAD com conteúdo corporal.
920171
Solicitação GET ou HEAD com codificação de transferência.
920180
Solicitação POST ausente Content-Length Header.
920190
Intervalo = valor do último byte inválido.
920200
Intervalo = Demasiados campos (6 ou mais)
920201
Intervalo = Demasiados campos para pedido pdf (35 ou mais)
920202
Intervalo = Demasiados campos para pedido pdf (6 ou mais)
920210
Dados de cabeçalho de conexão múltiplos/conflitantes encontrados.
920220
Tentativa de ataque de abuso de codificação de URL
920230
Codificação de URL múltipla detetada
920240
Tentativa de ataque de abuso de codificação de URL
920250
Tentativa de ataque de abuso de codificação UTF8
920260
Tentativa de ataque de abuso de largura total/meia Unicode
920270
Caractere inválido na solicitação (caractere nulo)
920271
Caractere inválido na solicitação (caracteres não imprimíveis)
920272
Caractere inválido na solicitação (fora dos caracteres imprimíveis abaixo de ascii 127)
920273
Caractere inválido na solicitação (fora do conjunto muito restrito)
920274
Caractere inválido em cabeçalhos de solicitação (fora do conjunto muito restrito)
920280
Solicitação faltando um cabeçalho de host
920290
Cabeçalho de host vazio
920300
Solicitar falta um cabeçalho de aceitação
920310
A solicitação tem um cabeçalho de aceitação vazio
920311
A solicitação tem um cabeçalho de aceitação vazio
920320
Cabeçalho do agente de usuário ausente
920330
Cabeçalho vazio do agente do usuário
920340
Solicitação contendo conteúdo, mas cabeçalho de tipo de conteúdo ausente
920341
A solicitação que contém conteúdo requer o cabeçalho Content-Type
920350
O cabeçalho do host é um endereço IP numérico
920420
O tipo de conteúdo de solicitação não é permitido pela política
920430
A versão do protocolo HTTP não é permitida pela política
920440
A extensão de arquivo URL é restrita pela política
920450
O cabeçalho HTTP é restrito pela política (%@{MATCHED_VAR})
920460
Personagens de fuga anormais
920470
Cabeçalho de tipo de conteúdo ilegal
920480
Restringir parâmetro charset dentro do cabeçalho de tipo de conteúdo
REQUEST-921-PROTOCOL-ATTACK
RuleId
Description
921110
Ataque de contrabando de solicitação HTTP
921120
Ataque de divisão de resposta HTTP
921130
Ataque de divisão de resposta HTTP
921140
Ataque de injeção de cabeçalho HTTP via cabeçalhos
921150
Ataque de injeção de cabeçalho HTTP via carga útil (CR/LF detetado)
921151
Ataque de injeção de cabeçalho HTTP via carga útil (CR/LF detetado)
921160
Ataque de injeção de cabeçalho HTTP via carga útil (CR/LF e nome do cabeçalho detetados)
921170
Poluição por parâmetros HTTP
921180
Poluição por parâmetros HTTP (%{TX.1})
REQUEST-930-APPLICATION-ATTACK-LFI
RuleId
Description
930100
Ataque de Travessia de Caminho (/.. /)
930110
Ataque de Travessia de Caminho (/.. /)
930120
Tentativa de acesso a ficheiros do SO
930130
Tentativa de acesso restrito a arquivos
REQUEST-931-APPLICATION-ATTACK-RFI
RuleId
Description
931100
Possível ataque de inclusão remota de arquivos (RFI) = parâmetro de URL usando endereço IP
931110
Possível ataque de inclusão remota de arquivos (RFI) = Nome do parâmetro vulnerável comum da RFI usado com carga útil de URL
931120
Possível ataque de inclusão remota de arquivos (RFI) = carga útil de URL usada com caractere de ponto de interrogação à direita (?)
931130
Possível ataque de inclusão remota de arquivos (RFI) = referência/link fora do domínio
REQUEST-932-APPLICATION-ATTACK-RCE
RuleId
Description
932100
Execução de Comando Remoto: Unix Command Injection
932105
Execução de Comando Remoto: Unix Command Injection
932106
Execução de Comando Remoto: Unix Command Injection
932110
Execução remota de comando: Windows Command Injection
932115
Execução remota de comando: Windows Command Injection
932120
Execução de Comando Remoto = Comando do Windows PowerShell Encontrado
932130
Execução remota de comando: Vulnerabilidade de expressão ou confluência do shell Unix (CVE-2022-26134) ou Text4Shell (CVE-2022-42889) encontrada
932140
Execução de comando remoto = comando FOR/IF do Windows encontrado
932150
Execução de Comando Remoto: Execução Direta de Comandos Unix
932160
Execução remota de comandos = código shell Unix encontrado
932170
Execução remota de comandos = Shellshock (CVE-2014-6271)
932171
Execução remota de comandos = Shellshock (CVE-2014-6271)
932180
Tentativa de carregamento de arquivo restrito
932190
Execução de comando remoto: tentativa da técnica de desvio curinga
REQUEST-933-APPLICATION-ATTACK-PHP
RuleId
Description
933100
PHP Injection Attack = Tag de Abertura/Fechamento Encontrada
Tentativa de injeção de expressão de roteamento do Spring Cloud - CVE-2022-22963
800112
Tentativa de exploração de objeto de classe não segura do Spring Framework - CVE-2022-22965
800113
Tentativa de injeção do atuador do Spring Cloud Gateway - CVE-2022-22947
REQUEST-911-METHOD-ENFORCEMENT
RuleId
Description
911100
O método não é permitido pela política
REQUEST-913-SCANNER-DETECTION
RuleId
Description
913100
Encontrado User-Agent associado ao verificador de segurança
913110
Encontrado cabeçalho de solicitação associado ao verificador de segurança
913120
Nome de arquivo/argumento de solicitação encontrado associado ao verificador de segurança
913101
Encontrado User-Agent associado a scripting/cliente HTTP genérico
913102
Encontrado User-Agent associado ao rastreador/bot da Web
REQUEST-920-PROTOCOL-ENFORCEMENT
RuleId
Description
920100
Linha de solicitação HTTP inválida
920130
Falha ao analisar o corpo da solicitação.
920140
O corpo da solicitação de várias partes falhou na validação estrita
920160
O cabeçalho HTTP Content-Length não é numérico.
920170
Solicitação GET ou HEAD com conteúdo corporal.
920180
Solicitação POST ausente Content-Length Header.
920190
Intervalo = valor do último byte inválido.
920210
Dados de cabeçalho de conexão múltiplos/conflitantes encontrados.
920220
Tentativa de ataque de abuso de codificação de URL
920240
Tentativa de ataque de abuso de codificação de URL
920250
Tentativa de ataque de abuso de codificação UTF8
920260
Tentativa de ataque de abuso de largura total/meia Unicode
920270
Caractere inválido na solicitação (caractere nulo)
920280
Solicitação faltando um cabeçalho de host
920290
Cabeçalho de host vazio
920310
A solicitação tem um cabeçalho de aceitação vazio
920311
A solicitação tem um cabeçalho de aceitação vazio
920330
Cabeçalho vazio do agente do usuário
920340
Solicitação contendo conteúdo, mas cabeçalho de tipo de conteúdo ausente
920350
O cabeçalho do host é um endereço IP numérico
920380
Demasiados argumentos solicitados
920360
Nome do argumento muito longo
920370
Valor do argumento muito longo
920390
Tamanho total dos argumentos excedido
920400
Tamanho do ficheiro carregado demasiado grande
920410
Tamanho total dos ficheiros carregados demasiado grande
920420
O tipo de conteúdo de solicitação não é permitido pela política
920430
A versão do protocolo HTTP não é permitida pela política
920440
A extensão de arquivo URL é restrita pela política
920450
O cabeçalho HTTP é restrito pela política (%@{MATCHED_VAR})
920200
Intervalo = Demasiados campos (6 ou mais)
920201
Intervalo = Demasiados campos para pedido pdf (35 ou mais)
920230
Codificação de URL múltipla detetada
920300
Solicitar falta um cabeçalho de aceitação
920271
Caractere inválido na solicitação (caracteres não imprimíveis)
920320
Cabeçalho do agente de usuário ausente
920272
Caractere inválido na solicitação (fora dos caracteres imprimíveis abaixo de ascii 127)
920202
Intervalo = Demasiados campos para pedido pdf (6 ou mais)
920273
Caractere inválido na solicitação (fora do conjunto muito restrito)
920274
Caractere inválido em cabeçalhos de solicitação (fora do conjunto muito restrito)
920460
Caracteres de fuga anormais
REQUEST-921-PROTOCOL-ATTACK
RuleId
Description
921100
Ataque de contrabando de solicitação HTTP.
921110
Ataque de contrabando de solicitação HTTP
921120
Ataque de divisão de resposta HTTP
921130
Ataque de divisão de resposta HTTP
921140
Ataque de injeção de cabeçalho HTTP via cabeçalhos
921150
Ataque de injeção de cabeçalho HTTP via carga útil (CR/LF detetado)
921160
Ataque de injeção de cabeçalho HTTP via carga útil (CR/LF e nome do cabeçalho detetados)
921151
Ataque de injeção de cabeçalho HTTP via carga útil (CR/LF detetado)
921170
Poluição por parâmetros HTTP
921180
Poluição por parâmetros HTTP (%@{TX.1})
REQUEST-930-APPLICATION-ATTACK-LFI
RuleId
Description
930100
Ataque de Travessia de Caminho (/.. /)
930110
Ataque de Travessia de Caminho (/.. /)
930120
Tentativa de acesso a ficheiros do SO
930130
Tentativa de acesso restrito a arquivos
REQUEST-931-APPLICATION-ATTACK-RFI
RuleId
Description
931100
Possível ataque de inclusão remota de arquivos (RFI) = parâmetro de URL usando endereço IP
931110
Possível ataque de inclusão remota de arquivos (RFI) = Nome do parâmetro vulnerável comum da RFI usado com carga útil de URL
931120
Possível ataque de inclusão remota de arquivos (RFI) = carga útil de URL usada com caractere de ponto de interrogação à direita (?)
931130
Possível ataque de inclusão remota de arquivos (RFI) = referência/link fora do domínio
REQUEST-932-APPLICATION-ATTACK-RCE
RuleId
Description
932120
Execução de Comando Remoto = Comando do Windows PowerShell Encontrado
932130
Application Gateway WAF v2: Execução remota de comando: expressão de shell Unix ou vulnerabilidade de confluência (CVE-2022-26134) ou Text4Shell (CVE-2022-42889) encontrados
