Брандмауэр веб-приложений группы правил и правила CRS DRS и CRS

  • Статья

Управляемые Azure наборы правил в брандмауэре веб-приложений Шлюз приложений (WAF) активно защищают веб-приложения от распространенных уязвимостей и эксплойтов. Эти наборы правил, управляемые Azure, получают обновления, необходимые для защиты от новых подписей атак. Набор правил по умолчанию также включает правила сбора данных Microsoft Threat Intelligence. Команда Microsoft Intelligence сотрудничает с этими правилами, обеспечивая расширенное покрытие, конкретные исправления уязвимостей и улучшенное снижение ложноположительных срабатываний.

Вы также можете использовать правила, определенные на основе основных наборов правил OWASP 3.2, 3.1, 3.0 или 2.2.9.

Вы можете отключить правила по отдельности или задать определенные действия для каждого правила. В этой статье перечислены доступные текущие правила и наборы правил. Если для опубликованного набора правил требуется обновление, мы задокументируем его здесь.

Примечание.

При изменении версии набора правил в политике WAF все существующие настройки, внесенные в набор правил, будут сбрасываться в значения по умолчанию для нового набора правил. См. статью об обновлении или изменении версии набора правил.

Наборы правил по умолчанию

Набор правил по умолчанию (DRS), управляемый Azure, включает правила против следующих категорий угроз:

  • Межсайтовые сценарии
  • Атаки Java.
  • Включение локальных файлов
  • Атака путем внедрения кода PHP.
  • Удаленное выполнение команд.
  • Включение удаленных файлов
  • Фиксация сеансов
  • Защита от внедрения кода SQL.
  • Злоумышленники протокола: номер версии аварийного восстановления увеличивается при добавлении новых подписей атаки в набор правил.

Правила сбора аналитики угроз (Майкрософт)

Правила сбора аналитики угроз (Майкрософт) записываются совместно с командой аналитиков угроз Майкрософт, чтобы обеспечить расширенный охват, исправления для конкретных уязвимостей и более эффективное сокращение ложноположительных результатов.

Примечание.

Воспользуйтесь приведенными ниже рекомендациями по настройке WAF при начале работы с 2.1 на Шлюз приложений WAF. Далее описаны сведения о правилах.

Идентификатор правила Группа правил Description Сведения
942110 SQLI Атака путем внедрения кода SQL: обнаружено общее тестирование внедрения Отключение, заменяемое правилом MSTIC 99031001
942150 SQLI Атака путем внедрения кода SQL Отключение, замененное правилом MSTIC 99031003
942260 SQLI Обнаруживает основные попытки обхода аутентификации SQL 2/3 Отключение, замененное правилом MSTIC 99031004
942430 SQLI Ограниченный доступ аномалий обнаруженного символа SQL (аргументы): # превышено количество специальных символов (12) Отключите слишком много ложных срабатываний.
942440 SQLI Обнаруженная последовательность комментариев SQL Отключение, замененное правилом MSTIC 99031002
99005006 MS-ThreatIntel-WebShells Попытка взаимодействия со Spring4Shell Сохраните правило включено, чтобы предотвратить уязвимость SpringShell
99001014 MS-ThreatIntel-CVEs Попытка внедрения выражений маршрутизации Spring Cloud CVE-2022-22963 Сохраните правило включено, чтобы предотвратить уязвимость SpringShell
99001015 MS-ThreatIntel-WebShells Попытка использования небезопасных объектов класса Spring Framework CVE-2022-22965 Сохраните правило включено, чтобы предотвратить уязвимость SpringShell
99001016 MS-ThreatIntel-WebShells Попытка внедрения актуатора шлюза Spring Cloud CVE-2022-22947 Сохраните правило включено, чтобы предотвратить уязвимость SpringShell
99001017 MS-ThreatIntel-CVEs Попытка отправки файла Apache Struts CVE-2023-50164 Задайте для действия блокировку, чтобы предотвратить уязвимость Apache Struts. Оценка аномалий не поддерживается для этого правила.

Основные наборы правил

Шлюз приложений WAF предварительно настроен с CRS 3.2 по умолчанию, но вы можете использовать любую другую поддерживаемую версию CRS.

CRS 3.2 предлагает новый механизм и новые наборы правил, защищающие от внедрения Java, начальный набор проверок отправки файлов и меньше ложных срабатываний по сравнению с более ранними версиями CRS. Вы можете также настроить правила в соответствии со своими потребностями. Узнайте больше о новой подсистеме Azure WAF.

Управляемые правила

WAF защищает от следующих веб-уязвимостей:

  • атаки путем внедрения кода SQL;
  • Атаки с использованием межузловых сценариев
  • другие распространенные атаки, в том числе внедрение команд, несанкционированные HTTP-запросы, разделение HTTP-запросов и включение удаленного файла;
  • нарушения протокола HTTP;
  • аномалии протокола HTTP, например отсутствие агента пользователя узла и заголовков accept;
  • Боты, программы-обходчики и сканеры
  • распространенные неправильные конфигурации приложений (например, Apache и IIS).

Настройка управляемых наборов правил

DrS и CRS включены по умолчанию в режиме обнаружения в политиках WAF. Вы можете отключить или включить отдельные правила в управляемом наборе правил в соответствии с требованиями приложения. Вы также можете установить определенные действия для каждого правила. DrS/CRS поддерживает действия оценки блоков, журналов и аномалий. Набор правил Bot Manager поддерживает действия разрешений, блоков и журналов.

Иногда может потребоваться исключение определенных атрибутов запроса из оценки WAF. Распространенный пример — дополнительные токены Active Directory, которые используются для проверки подлинности. Вы можете настроить исключения, которые будут применяться при оценке определенных правил WAF или применяться глобально к оценке всех правил WAF. Правила исключений применяются ко всему веб-приложению. Дополнительные сведения см. в разделе Брандмауэр веб-приложений (WAF) со списками исключений Шлюз приложений.

По умолчанию DRS версии 2.1 / CRS версии 3.2 и выше использует оценку аномалий, когда запрос соответствует правилу. CRS 3.1 и ниже блокируют соответствующие запросы по умолчанию. Кроме того, настраиваемые правила можно настроить в той же политике WAF, если вы хотите обойти любые предварительно настроенные правила в наборе основных правил.

Пользовательские правила всегда применяются перед вычислением правил в наборе основных правил. Соответствующее действие правила применяется, если запрос соответствует пользовательскому правилу. Запрос будет либо заблокирован, либо передан на сервер. Никакие другие пользовательские правила или правила в наборе основных правил не обрабатываются.

Оценка аномалий

При использовании CRS или DRS 2.1 и более поздних версий WAF по умолчанию использует оценку аномалий. Трафик, соответствующий любому правилу, не блокируется сразу, даже если WAF находится в режиме предотвращения. Вместо этого наборы правил OWASP определяют значение серьезности для каждого правила: Критический, Ошибка, Предупреждение или Уведомление. Значение серьезности влияет на числовое значение запроса, которое называется оценка аномалии:

Важность правил Значение способствовало оценке аномалий
Критически важно 5
Ошибка 4
Предупреждение 3
Примечание. 2

Если оценка аномалий составляет 5 или больше, а WAF находится в режиме предотвращения, запрос блокируется. Если оценка аномалии составляет 5 или больше, а WAF находится в режиме обнаружения, запрос регистрируется, но не блокируется.

Например, достаточно одного совпадения с критически важным правилом, чтобы WAF блокировать запрос в режиме предотвращения, так как общая оценка аномалий составляет 5. Но одно совпадение с правилом уровня Предупреждение увеличивает оценку аномалии только на 3, и этого недостаточно для блокировки трафика. При активации правила аномалии в журналах отображается действие "Сопоставлено". Если оценка аномалий составляет 5 или больше, существует отдельное правило, активированное с действием "Заблокировано" или "Обнаружено", в зависимости от того, находится ли политика WAF в режиме предотвращения или обнаружения. Дополнительные сведения см. в режиме оценки аномалий.

Обновление или изменение версии набора правил

Если вы обновляете или назначаете новую версию набора правил и хотите сохранить существующие переопределения и исключения правил, рекомендуется использовать PowerShell, CLI, REST API или шаблоны для внесения изменений в версию набора правил. Новая версия набора правил может иметь более новые правила, дополнительные группы правил и могут иметь обновления существующих подписей, чтобы обеспечить более высокую безопасность и уменьшить ложные срабатывания. Рекомендуется проверить изменения в тестовой среде, точно настроить при необходимости, а затем развернуть в рабочей среде.

Примечание.

Если вы используете портал Azure для назначения нового управляемого набора правил политике WAF, все предыдущие настройки из существующего управляемого набора правил, такие как состояние правила, действия правил и исключения уровня правил, будут сброшены на новые значения по умолчанию управляемого набора правил. Однако все пользовательские правила, параметры политики и глобальные исключения останутся не затронуты во время назначения нового набора правил. Перед развертыванием в рабочей среде необходимо переопределить правила и проверить изменения.

DRS 2.1

Правила DRS 2.1 обеспечивают лучшую защиту, чем более ранние версии DRS. Он включает в себя дополнительные правила, разработанные командой Microsoft Threat Intelligence, и обновления подписей для уменьшения ложных срабатываний. Кроме того, эта версия поддерживает преобразования, помимо декодирования URL-адресов.

DRS 2.1 содержит 17 групп правил, как показано в следующей таблице. Каждая группа содержит несколько правил, и вы можете настроить поведение для отдельных правил, групп правил или всего набора правил. DRS 2.1 базовый набор правил Open Web Application Security Project (OWASP) (CRS) 3.3.2 и включает дополнительные правила защиты, разработанные командой Microsoft Threat Intelligence.

Группа правил ruleGroupName Description
Общие сведения Общие Общая группа
METHOD-ENFORCEMENT METHOD-ENFORCEMENT Методы блокировки (PUT, PATCH)
PROTOCOL-ENFORCEMENT PROTOCOL-ENFORCEMENT Защита от проблем с протоколами и кодированием
PROTOCOL-ATTACK PROTOCOL-ATTACK Защита от внедрения заголовка, несанкционированных запросов и разделения ответа
APPLICATION-ATTACK-LFI LFI Защита от атак, направленных на путь и файлы
APPLICATION-ATTACK-RFI RFI Защита от атак включения удаленного файла (RFI)
APPLICATION-ATTACK-RCE RCE Защита от атак удаленного выполнения кода
APPLICATION-ATTACK-PHP PHP Защита от атак путем внедрения кода PHP
APPLICATION-ATTACK-NodeJS NODEJS Защита от атак Node.js
APPLICATION-ATTACK-XSS Атака Защита от атак с использованием межсайтовых сценариев
APPLICATION-ATTACK-SQLI SQLI Защита от атак путем внедрения кода SQL
APPLICATION-ATTACK-SESSION-FIXATION ИСПРАВЛЕНИЕ Защита от атак с фиксацией сеанса
APPLICATION-ATTACK-SESSION-JAVA Java Защита от атак Java
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Защита от атак веб-оболочки
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec Защита от атак AppSec
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI Защита от атак SQLI
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs Защита от атак CVE

OWASP CRS 3.2

CRS 3.2 включает в себя 14 групп правил, как показано в таблице ниже. Каждая группа содержит несколько правил, которые можно отключить. Набор правил основан на версии OWASP CRS 3.2.0.

Примечание.

CRS 3.2 есть только в номере SKU WAF_v2. Так как CRS 3.2 работает на основе новой подсистемы Azure WAF, вы не можете перейти на использование CRS версии 3.1 или более ранней версии. Если вам нужно перейти на более раннюю версию, обратитесь в Службу поддержки Azure.

Имя группы правил Description
Общие сведения Общая группа
KNOWN-CVES Помощь в обнаружении новых и известных CVE
REQUEST-911-METHOD-ENFORCEMENT Методы блокировки (PUT, PATCH)
REQUEST-913-SCANNER-DETECTION Защита от сканеров портов и окружения
REQUEST-920-PROTOCOL-ENFORCEMENT Защита от проблем с протоколами и кодированием
REQUEST-921-PROTOCOL-ATTACK Защита от внедрения заголовка, несанкционированных запросов и разделения ответа
REQUEST-930-APPLICATION-ATTACK-LFI Защита от атак, направленных на путь и файлы
REQUEST-931-APPLICATION-ATTACK-RFI Защита от атак включения удаленного файла (RFI)
REQUEST-932-APPLICATION-ATTACK-RCE Защита от атак удаленного выполнения кода
REQUEST-933-APPLICATION-ATTACK-PHP Защита от атак путем внедрения кода PHP
REQUEST-941-APPLICATION-ATTACK-XSS Защита от атак с использованием межсайтовых сценариев
REQUEST-942-APPLICATION-ATTACK-SQLI Защита от атак путем внедрения кода SQL
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Защита от атак с фиксацией сеанса
REQUEST-944-APPLICATION-ATTACK-JAVA Защита от атак Java

OWASP CRS 3.1

CRS 3.1 включает в себя 14 групп правил, как показано в таблице ниже. Каждая группа содержит несколько правил, которые можно отключить. Набор правил основан на OWASP CRS 3.1.1 версии.

Примечание.

CRS 3.1 есть только в номере SKU WAF_v2.

Имя группы правил Description
Общие сведения Общая группа
KNOWN-CVES Помощь в обнаружении новых и известных CVE
REQUEST-911-METHOD-ENFORCEMENT Методы блокировки (PUT, PATCH)
REQUEST-913-SCANNER-DETECTION Защита от сканеров портов и окружения
REQUEST-920-PROTOCOL-ENFORCEMENT Защита от проблем с протоколами и кодированием
REQUEST-921-PROTOCOL-ATTACK Защита от внедрения заголовка, несанкционированных запросов и разделения ответа
REQUEST-930-APPLICATION-ATTACK-LFI Защита от атак, направленных на путь и файлы
REQUEST-931-APPLICATION-ATTACK-RFI Защита от атак включения удаленного файла (RFI)
REQUEST-932-APPLICATION-ATTACK-RCE Защита от атак удаленного выполнения кода
REQUEST-933-APPLICATION-ATTACK-PHP Защита от атак путем внедрения кода PHP
REQUEST-941-APPLICATION-ATTACK-XSS Защита от атак с использованием межсайтовых сценариев
REQUEST-942-APPLICATION-ATTACK-SQLI Защита от атак путем внедрения кода SQL
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Защита от атак с фиксацией сеанса
REQUEST-944-APPLICATION-ATTACK-SESSION-JAVA Защита от атак Java

OWASP CRS 3.0

CRS 3.0 включает в себя 13 групп правил, как показано в таблице ниже. Каждая группа содержит несколько правил, которые можно отключить. Набор правил основан на версии OWASP CRS 3.0.0.

Имя группы правил Description
Общие сведения Общая группа
KNOWN-CVES Помощь в обнаружении новых и известных CVE
REQUEST-911-METHOD-ENFORCEMENT Методы блокировки (PUT, PATCH)
REQUEST-913-SCANNER-DETECTION Защита от сканеров портов и окружения
REQUEST-920-PROTOCOL-ENFORCEMENT Защита от проблем с протоколами и кодированием
REQUEST-921-PROTOCOL-ATTACK Защита от внедрения заголовка, несанкционированных запросов и разделения ответа
REQUEST-930-APPLICATION-ATTACK-LFI Защита от атак, направленных на путь и файлы
REQUEST-931-APPLICATION-ATTACK-RFI Защита от атак включения удаленного файла (RFI)
REQUEST-932-APPLICATION-ATTACK-RCE Защита от атак удаленного выполнения кода
REQUEST-933-APPLICATION-ATTACK-PHP Защита от атак путем внедрения кода PHP
REQUEST-941-APPLICATION-ATTACK-XSS Защита от атак с использованием межсайтовых сценариев
REQUEST-942-APPLICATION-ATTACK-SQLI Защита от атак путем внедрения кода SQL
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Защита от атак с фиксацией сеанса

OWASP CRS 2.2.9

CRS 2.2.9 включает 10 групп правил, как показано в следующей таблице. Каждая группа содержит несколько правил, которые можно отключить.

Примечание.

CRS 2.2.9 больше не поддерживается для новых политик WAF. Рекомендуется обновить до последних версий CRS 3.2/DRS 2.1 и более поздних версий.

Имя группы правил Description
crs_20_protocol_violations Защита от нарушений протокола (например, недопустимые знаки или GET с текстом запроса)
crs_21_protocol_anomalies Защита от неправильных сведений в заголовке
crs_23_request_limits Защита от аргументов или файлов с превышенными ограничениями
crs_30_http_policy Защита от ограниченных методов, заголовков и типов файлов
crs_35_bad_robots Защита от поисковых модулей и сканеров
crs_40_generic_attacks Защита от универсальных атак (например, фиксация сеанса, включение удаленных файлов и внедрение кода PHP)
crs_41_sql_injection_attacks Защита от атак путем внедрения кода SQL
crs_41_xss_attacks Защита от атак с использованием межсайтовых сценариев
crs_42_tight_security Защита от атак с обходом пути
crs_45_trojans Защита от троянов, использующих черный ход

Bot Manager 1.0

Набор правил Bot Manager 1.0 обеспечивает защиту от вредоносных ботов и обнаружения хороших ботов. Правила обеспечивают детальный контроль над ботами, обнаруженными WAF, классифицируя трафик бота как "Хороший", "Плохой" или "Неизвестный".

Группа правил Description
BadBots Защита от недопустимых ботов
GoodBots Выявление допустимых ботов
UnknownBots Определение неизвестных ботов

Bot Manager 1.1

Набор правил Bot Manager 1.1 — это улучшение набора правил Bot Manager 1.0. Она обеспечивает расширенную защиту от вредоносных ботов и повышает уровень обнаружения ботов.

Группа правил Description
BadBots Защита от недопустимых ботов
GoodBots Выявление допустимых ботов
UnknownBots Определение неизвестных ботов

При использовании Брандмауэра веб-приложений в Шлюзе приложений доступны следующие группы правил и правила.

Наборы правил 2.1

Общие

Идентификатор правила Description
200002 Не удалось проанализировать текст запроса
200003 Неудачная строгая проверка текста составного запроса

METHOD ENFORCEMENT

Идентификатор правила Description
911100 Метод не разрешен политикой

PROTOCOL-ENFORCEMENT

Идентификатор правила Description
920100 Недопустимая строка HTTP-запроса
920120 Попытки обхода составных данных или данных форм
920121 Попытки обхода составных данных или данных форм
920160 Заголовок HTTP длины содержимого не является числовым.
920170 Заголовок GET или HEAD с содержимым текста
920171 Запрос GET или HEAD с Transfer-Encoding.
920180 В запросе POST отсутствует заголовок Content-Length
920181 Заголовки content-Length и Transfer-Encoding представляют 99001003
920190 Диапазон: недопустимое значение последнего байта
920200 Диапазон: слишком много полей (6 или более)
920201 Диапазон: слишком много полей для запроса в формате PDF (35 или более)
920210 Найдено несколько ресурсов данных заголовка подключения или конфликтующие данные заголовка подключения
920220 Попытка атаки с нарушением использования кодирования URL-адреса
920230 Обнаружено несколько типов кодирования URL-адресов
920240 Попытка атаки с нарушением использования кодирования URL-адреса
920260 Попытка атаки с нарушением использования полных символов Юникода или символов Юникода половинной ширины
920270 Недопустимый символ в запросе (символ null)
920271 Недопустимый символ в запросе (непечатаемые символы)
920280 В запросе отсутствует заголовок узла
920290 Заголовок узла не указан
920300 В запросе отсутствует заголовок Accept
920310 В запросе не указан заголовок Accept
920311 В запросе не указан заголовок Accept
920320 Заголовок агента пользователя отсутствует
920330 Заголовок агента пользователя не указан
920340 В запросе с содержимым отсутствует заголовок Content-Type
920341 В запросе с содержимым необходим заголовок Content-Type
920350 Заголовок узла является числовым IP-адресом
920420 Тип контента запроса не разрешен политикой
920430 Версия протокола HTTP не разрешена политикой
920440 Расширение файла URL-адреса ограничено в политике
920450 Заголовок HTTP ограничен в политике
920470 Недопустимый заголовок Content-Type
920480 Charset типа контента запроса не допускается политикой
920500 Попытка получить доступ к резервному копированию или рабочему файлу

PROTOCOL-ATTACK

Идентификатор правила Description
921110 Атака типа "Несанкционированный HTTP-запрос"
921120 Атака типа "Разделение HTTP-ответа"
921130 Атака типа "Разделение HTTP-ответа"
921140 Атака типа "Вставка заголовка HTTP" через заголовки
921150 Атака типа "Вставка заголовка HTTP" через полезные данные (обнаружено CR/LF)
921151 Атака типа "Вставка заголовка HTTP" через полезные данные (обнаружено CR/LF)
921160 Атака путем внедрения заголовка HTTP через полезные данные (обнаружены CR или LF и имя заголовка)
921190 Разделение HTTP (CR/LF в имени файла запроса обнаружено)
921200 Атака путем внедрения кода LDAP

LFI — Включение локальных файлов

Идентификатор правила Description
930100 Атака с обходом пути (/../)
930110 Атака с обходом пути (/../)
930120 Попытка доступа к файлу ОС
930130 Попытка доступа к ограниченному файлу

RFI — Включение удаленных файлов

Идентификатор правила Description
931100 Возможная атака с включением удаленного файла (RFI): в параметре URL-адреса используется IP-адрес
931110 Возможная атака с включением удаленного файла (RFI): общее имя уязвимого параметра RFI использовано с полезными данными URL-адреса
931120 Возможная атака с включением удаленного файла (RFI): полезные данные URL-адреса использованы с вопросительным знаком (?) в конце
931130 Возможная атака с включением удаленного файла (RFI): ссылка вне домена

RCE: удаленное выполнение команд

Идентификатор правила Description
932100 Удаленное выполнение команды: внедрение команд UNIX
932105 Удаленное выполнение команды: внедрение команд UNIX
932110 Удаленное выполнение команды: внедрение команды Windows
932115 Удаленное выполнение команды: внедрение команды Windows
932120 Удаленное выполнение команд: обнаружена команда Windows PowerShell
932130 Удаленное выполнение команд: обнаружено выражение оболочки Unix или уязвимость Confluence (CVE-2022-26134)
932140 Удаленное выполнение команд: обнаружена команда FOR или IF Windows PowerShell
932150 Удаленное выполнение команды: прямое выполнение команды UNIX
932160 Удаленное выполнение команд: обнаружен код оболочки Unix
932170 Удаленное выполнение команд: Shellshock (CVE-2014-6271)
932171 Удаленное выполнение команд: Shellshock (CVE-2014-6271)
932180 Попытка передачи файла с ограниченным доступом

Атаки PHP

Идентификатор правила Description
933100 Атака путем внедрения кода PHP: обнаружен открывающий и закрывающий тег
933110 Атака путем внедрения кода PHP: обнаружена передача файла сценария PHP
933120 Атака путем внедрения кода PHP: обнаружена директива конфигурации
933130 Атака путем внедрения кода PHP: обнаружены переменные
933140 Атака путем внедрения кода PHP: обнаружен поток ввода-вывода
933150 Атака путем внедрения кода PHP: обнаружено имя функции PHP с высоким уровнем риска
933151 Атака путем внедрения кода PHP: обнаружено имя функции PHP со средним уровнем риска
933160 Атака путем внедрения кода PHP: обнаружен вызов функции PHP с высоким уровнем риска
933170 Атака путем внедрения кода PHP: внедрение сериализованных объектов
933180 Атака путем внедрения кода PHP: обнаружен вызов функции переменной
933200 Атака путем внедрения кода PHP: обнаружена схема-оболочка
933210 Атака путем внедрения кода PHP: обнаружен вызов функции переменной

Атаки Node.js

Идентификатор правила Description
934100 Атака путем внедрения Node.js

XSS — Межсайтовые сценарии

Идентификатор правила Description
941100 Библиотека libinjection обнаружила атаку с выполнением межсайтового сценария
941101 Библиотека libinjection обнаружила атаку с выполнением межсайтового сценария
Это правило обнаруживает запросы с заголовком Referer.
941110 Фильтр межсайтовых сценариев категории 1: вектор тега скрипта
941120 Фильтр межсайтовых сценариев категории 2: вектор обработчика событий
941130 Фильтр межсайтовых сценариев категории 3: вектор атрибута
941140 Фильтр межсайтовых сценариев категории 4: вектор URI JavaScript
941150 Фильтр межсайтовых сценариев категории 5: запрещенные атрибуты HTML
941160 NoScript XSS InjectionChecker: внедрение HTML
941170 NoScript XSS InjectionChecker: внедрение атрибута
941180 Ключевые слова из списка блокировки средства проверки узлов
941190 Межсайтовый сценарий с использованием таблиц стилей
941200 Межсайтовый сценарий с использованием фреймов VML
941210 Межсайтовый сценарий с использованием замаскированного JavaScript
941220 Межсайтовый сценарий с использованием замаскированного сценария Visual Basic
941230 Межсайтовый сценарий с использованием тега embed
941240 Межсайтовый сценарий с использованием атрибута import или implementation
941250 Фильтр межсайтовых сценариев Internet Explorer — обнаружена атака
941260 Межсайтовый сценарий с использованием тега meta
941270 Межсайтовый сценарий с использованием гиперссылки link
941280 Межсайтовый сценарий с использованием тега base
941290 Межсайтовый сценарий с использованием тега applet
941300 Межсайтовый сценарий с использованием тега object
941310 Фильтр межсайтовых сценариев c символами US ASCII неправильного формата — обнаружена атака
941320 Обнаружена возможная атака с выполнением межсайтового сценария — обработчик тегов HTML
941330 Фильтр межсайтовых сценариев Internet Explorer — обнаружена атака
941340 Фильтр межсайтовых сценариев Internet Explorer — обнаружена атака
941350 Фильтр межсайтовых сценариев Internet Explorer с кодировкой UTF-7 — обнаружена атака
941360 Обнаружена обфускация JavaScript
941370 Найдена глобальная переменная JavaScript
941380 Обнаружено внедрение шаблона на стороне клиента AngularJS

SQLI: внедрение кода SQL

Идентификатор правила Description
942100 Библиотека libinjection обнаружила атаку путем внедрения кода SQL
942110 Атака путем внедрения кода SQL: обнаружено общее тестирование внедрения
942120 Атака путем внедрения кода SQL: обнаружен оператор SQL
942130 Атака путем внедрения кода SQL: обнаружена тавтология SQL
942140 Атака путем внедрения кода SQL: обнаружены общие имена базы данных
942150 Атака путем внедрения кода SQL
942160 Обнаружение скрытых тестов SQL с использованием sleep() или benchmark()
942170 Обнаружение попыток вставки sleep() или benchmark() SQL, включая условные запросы
942180 Обнаружение основных попыток обхода проверки подлинности SQL 1/3
942190 Обнаруживает выполнение кода MSSQL и попытки сбора информации
942200 Обнаруживает комментарии и пробелы внедрений в MySQL и завершение обратного апострофа
942210 Обнаружение попыток внедрения SQL в цепочку 1/2
942220 Поиск атак путем переполнения целочисленных значений с использованием Skipfish, за исключением 3.0.00738585072007 E–308 (сбой "магического числа")
942230 Обнаружение попыток условных атак путем внедрения кода SQL
942240 Обнаружение переключения кодировки MySQL и попыток атак типа "отказ в обслуживании" MSSQL
942250 Обнаружение внедрений MATCH AGAINST, MERGE и EXECUTE IMMEDIATE
942260 Обнаруживает основные попытки обхода аутентификации SQL 2/3
942270 Поиск основных атак путем внедрения кода SQL Общая строка атаки для Oracle, MySQL и т. д.
942280 Обнаружение внедрения Postgres pg_sleep, атак WaitFor Delay и попыток завершения работы базы данных
942290 Поиск попыток основных атак путем внедрения кода SQL в MongoDB
942300 Обнаруживает комментарии, условия и внедрения ch(a)r MySQL
942310 Обнаружение попыток внедрения SQL в цепочку 2/2
942320 Обнаружение вставки хранимой процедуры или функции в MySQL и PostgreSQL
942330 Обнаруживает классические проверки SQL-внедрений 1/2
942340 Обнаруживает основные попытки обхода проверки подлинности SQL 3/3
942350 Обнаружение внедрения определяемой пользователем функции и других атак с изменением данных или структуры в MySQL
942360 Обнаруживает объединенные базовые SQL-внедрения и попытки SQLLFI
942361 Обнаружение базового внедрения кода SQL на основе ключевых слов alter или union
942370 Обнаруживает классические проверки SQL-внедрений 2/2
942380 Атака путем внедрения кода SQL
942390 Атака путем внедрения кода SQL
942400 Атака путем внедрения кода SQL
942410 Атака путем внедрения кода SQL
942430 Ограниченный доступ аномалий обнаруженного символа SQL (аргументы): # превышено количество специальных символов (12)
942440 Обнаруженная последовательность комментариев SQL
942450 Определена шестнадцатеричная кодировка SQL
942460 Оповещение об обнаружении аномалии мета-символа — повторяющиеся символы, не являющиеся частью слова
942470 Атака путем внедрения кода SQL
942480 Атака путем внедрения кода SQL
942500 Обнаружен внутренний комментарий MySQL
942510 Обнаружена попытка обхода SQLI посредством тактов или обратных тактов.

SESSION-FIXATION

Идентификатор правила Description
943100 Возможная атака с фиксацией сеанса: установка значений файла cookie в HTML
943110 Возможная атака с фиксацией сеанса: имя параметра SessionID с источником ссылки вне домена
943120 Возможная атака с фиксацией сеанса: имя параметра SessionID без источника ссылки

Атаки Java

Идентификатор правила Description
944100 Удаленное выполнение команд: Apache Struts, Oracle WebLogic
944110 Обнаружение потенциального выполнения атакующего кода
944120 Возможное выполнение атакующего кода и удаленное выполнение команды
944130 Подозрительные классы Java
944200 Несанкционированное использование десериализации Java Apache Commons
944210 Возможное использование сериализации Java
944240 Удаленное выполнение команды: уязвимость сериализации и Log4j в Java (CVE-2021-44228, CVE-2021-45046)
944250 Удаленное выполнение команд: обнаружен подозрительный метод Java

MS-ThreatIntel-WebShells

Идентификатор правила Description
99005002 Попытка взаимодействия с веб-оболочкой (POST)
99005003 Попытка передачи в веб-оболочку (POST) — CHOPPER PHP
99005004 Попытка передачи в веб-оболочку (POST) — CHOPPER ASPX
99005005 Попытка взаимодействия с веб-оболочкой
99005006 Попытка взаимодействия со Spring4Shell

MS-ThreatIntel-AppSec

Идентификатор правила Description
99030001 Внедрение обходного пути в заголовки (/.././../)
99030002 Внедрение обходного пути в текст запроса (/.././../)

MS-ThreatIntel-SQLI

Идентификатор правила Description
99031001 Атака путем внедрения кода SQL: обнаружено общее тестирование внедрения
99031002 Обнаружена последовательность комментариев SQL
99031003 Атака путем внедрения кода SQL
99031004 Обнаруживает основные попытки обхода аутентификации SQL 2/3

MS-ThreatIntel-CVEs

Идентификатор правила Description
99001001 Предпринята попытка эксплойта REST API с известными учетными данными F5 tmui (CVE-2020-5902)
99001002 Попытка обхода каталога Citrix NSC_USER CVE-2019-19781
99001003 Попытка использования соединителя мини-приложения Atlassian Confluence CVE-2019-3396
99001004 Попытка использования пользовательского шаблона Pulse Secure CVE-2020-8243
99001005 Попытка использования конвертера типов SharePoint CVE-2020-0932
99001006 Попытка обхода каталога Pulse Connect CVE-2019-11510
99001007 Попытка включения локального файла J-Web в ос Junos OS CVE-2020-1631
99001008 Попытка обхода пути Fortinet CVE-2018-13379
99001009 Попытка внедрения Apache Struts ognl CVE-2017-5638
99001010 Попытка внедрения Apache Struts ognl CVE-2017-12611
99001011 Попытка обхода пути Oracle WebLogic CVE-2020-14882
99001012 Попытка использования Telerik WebUI небезопасной десериализации CVE-2019-18935
99001013 Попытка небезопасной десериализации XML в SharePoint CVE-2019-0604
99001014 Попытка внедрения выражений маршрутизации Spring Cloud CVE-2022-22963
99001015 Попытка использования небезопасных объектов класса Spring Framework CVE-2022-22965
99001016 Попытка внедрения актуатора шлюза Spring Cloud CVE-2022-22947
99001017* Попытка отправки файла Apache Struts CVE-2023-50164

*Действие этого правила по умолчанию задается в журнал. Задайте для действия блокировку, чтобы предотвратить уязвимость Apache Struts. Оценка аномалий не поддерживается для этого правила.

Примечание.

При просмотре журналов WAF может появиться идентификатор правила 949110. Описание правила может включать превышение оценки аномалий для входящего трафика.

Это правило указывает, что общая оценка аномалий для запроса превысила максимальную допустимую оценку. Дополнительные сведения см. в разделе Оценка аномалий.

Следующие шаги