DRS ve CRS kural gruplarını ve kurallarını Web Uygulaması Güvenlik Duvarı

Application Gateway web uygulaması güvenlik duvarındaki (WAF) Azure tarafından yönetilen kural kümeleri, web uygulamalarını yaygın güvenlik açıklarından ve açıklardan yararlanmalardan etkin bir şekilde korur. Azure tarafından yönetilen bu kural kümeleri, yeni saldırı imzalarına karşı koruma sağlamak için gereken güncelleştirmeleri alır. Varsayılan kural kümesi, Microsoft Tehdit Bilgileri Toplama kurallarını da içerir. Microsoft Intelligence ekibi bu kuralları yazmak için işbirliği yaparak gelişmiş kapsam, belirli güvenlik açığı düzeltme ekleri ve geliştirilmiş hatalı pozitif azaltma sağlar.

Ayrıca, OWASP çekirdek kural kümeleri 3.2, 3.1, 3.0 veya 2.2.9 temelinde tanımlanan kuralları kullanma seçeneğiniz de vardır.

Kuralları tek tek devre dışı bırakabilir veya her kural için belirli eylemler ayarlayabilirsiniz. Bu makalede, kullanılabilir geçerli kurallar ve kural kümeleri listeleniyor. Yayımlanan bir kural kümesi için güncelleştirme gerekiyorsa burada belgeleyeceğiz.

Not

WAF İlkesi'nde bir kural kümesi sürümü değiştirildiğinde, kural kümesinde yaptığınız tüm mevcut özelleştirmeler yeni kural kümesi için varsayılanlara sıfırlanır. Bkz. Kural kümesi sürümünü yükseltme veya değiştirme.

Varsayılan kural kümeleri

Azure tarafından yönetilen Varsayılan Kural Kümesi (DRS), aşağıdaki tehdit kategorilerine karşı kurallar içerir:

  • Siteler arası betik çalıştırma
  • Java saldırıları
  • Yerel dosya ekleme
  • PHP ekleme saldırıları
  • Uzaktan komut yürütme
  • Uzak dosya ekleme
  • Oturum sabitleme
  • SQL ekleme koruması
  • Protokol saldırganları Kural kümesine yeni saldırı imzaları eklendiğinde DRS'nin sürüm numarası artar.

Microsoft Threat Intelligence Toplama kuralları

Microsoft Tehdit Bilgileri Toplama kuralları, daha fazla kapsam, belirli güvenlik açıklarına yönelik düzeltme ekleri ve daha iyi hatalı pozitif azaltma sağlamak için Microsoft Tehdit Bilgileri ekibiyle ortaklaşa yazılır.

Not

Application Gateway WAF'de 2.1 kullanmaya başlarken WAF'yi ayarlamak için lütfen aşağıdaki kılavuzu kullanın. Kuralların ayrıntıları bundan sonra açıklanmaktadır.

Kural Kimliği Kural Grubu Açıklama Ayrıntılar
942110 SQLI SQL Ekleme Saldırısı: Yaygın Ekleme Testi Algılandı Devre Dışı Bırak, MSTIC kuralıyla değiştirildi 99031001
942150 SQLI SQL Kodu Ekleme Saldırısı Devre Dışı Bırak, MSTIC kuralıyla değiştirildi 99031003
942260 SQLI 3/2'de temel SQL kimlik doğrulaması atlama girişimlerini algılar Devre Dışı Bırak, MSTIC kuralıyla değiştirildi 99031004
942430 SQLI Kısıtlanmış SQL Karakter Anomalisi Algılama (args): Özel karakter sayısı aşıldı (12) Devre dışı bırak, Çok fazla hatalı pozitif.
942440 SQLI SQL Açıklama Sırası Algılandı Devre Dışı Bırak, MSTIC kuralıyla değiştirildi 99031002
99005006 MS-ThreatIntel-WebShells Spring4Shell Etkileşim Girişimi SpringShell güvenlik açığına karşı önlemek için kuralı etkin tutun
99001014 MS-ThreatIntel-CVEs Spring Cloud yönlendirme-ifadesi ekleme girişimi CVE-2022-22963 SpringShell güvenlik açığına karşı önlemek için kuralı etkin tutun
99001015 MS-ThreatIntel-WebShells Spring Framework güvenli olmayan sınıf nesnesi yararlanma girişimi CVE-2022-22965 SpringShell güvenlik açığına karşı önlemek için kuralı etkin tutun
99001016 MS-ThreatIntel-WebShells Spring Cloud Gateway Aktüatör ekleme girişimi CVE-2022-22947 SpringShell güvenlik açığına karşı önlemek için kuralı etkin tutun
99001017 MS-ThreatIntel-CVEs Apache Struts dosya karşıya yükleme açıklarından yararlanma girişimi CVE-2023-50164 Apache Struts güvenlik açığına karşı önlem almak için eylemi Engelle olarak ayarlayın. Anomali Puanı bu kural için desteklenmiyor.

Çekirdek kural kümeleri

Application Gateway WAF varsayılan olarak CRS 3.2 ile önceden yapılandırılmış olarak gelir, ancak desteklenen diğer CRS sürümlerini kullanmayı seçebilirsiniz.

CRS 3.2, Java eklemelerine karşı savunma sağlayan yeni bir altyapı ve yeni kural kümeleri, ilk dosya yükleme denetimleri kümesi ve CRS'nin önceki sürümleriyle karşılaştırıldığında daha az hatalı pozitif sonuç sunar. Kuralları gereksinimlerinize uyacak şekilde de özelleştirebilirsiniz. Yeni Azure WAF altyapısı hakkında daha fazla bilgi edinin.

Kuralları yönetir

WAF, aşağıdaki web güvenlik açıklarına karşı koruma sağlar:

  • SQL ekleme saldırıları
  • Siteler arası betik saldırıları
  • Komut ekleme, HTTP isteği kaçakçılığı, HTTP yanıt bölme ve uzak dosya ekleme gibi diğer yaygın saldırılar
  • HTTP protokolü ihlalleri
  • Eksik ana bilgisayar kullanıcı aracısı ve kabul üst bilgileri gibi HTTP protokolü anomalileri
  • Botlar, gezginler ve tarayıcıları
  • Yaygın uygulama yanlış yapılandırmaları (örneğin, Apache ve IIS)

Yönetilen kural kümelerini ayarlama

WAF ilkelerinizde algılama modunda hem DRS hem de CRS varsayılan olarak etkinleştirilir. Uygulama gereksinimlerinizi karşılamak için Yönetilen Kural Kümesi içindeki tek tek kuralları devre dışı bırakabilir veya etkinleştirebilirsiniz. Kural başına belirli eylemleri de ayarlayabilirsiniz. DRS/CRS blok, günlük ve anomali puan eylemlerini destekler. Bot Yöneticisi kural kümesi izin verme, engelleme ve günlük eylemlerini destekler.

Bazen WAF değerlendirmesinden bazı istek özniteliklerini atlamanız gerekebilir. Yaygın bir örnek, kimlik doğrulaması için kullanılan Active Directory tarafından eklenen belirteçlerdir. Dışlamaları, belirli WAF kuralları değerlendirildiğinde uygulanacak veya tüm WAF kurallarının değerlendirmesine genel olarak uygulanacak şekilde yapılandırabilirsiniz. Dışlama kuralları tüm web uygulamanız için geçerlidir. Daha fazla bilgi için bkz. Application Gateway dışlama listeleriyle Web Uygulaması Güvenlik Duvarı (WAF).

Varsayılan olarak, BIR istek bir kuralla eşleştiğinde DRS sürüm 2.1 / CRS sürüm 3.2 ve üzeri anomali puanlama kullanır. CRS 3.1 ve altı varsayılan olarak eşleşen istekleri engeller. Ayrıca, Çekirdek Kural Kümesindeki önceden yapılandırılmış kurallardan herhangi birini atlamak istiyorsanız, özel kurallar aynı WAF ilkesinde yapılandırılabilir.

Özel kurallar, Temel Kural Kümesindeki kurallar değerlendirilmeden önce her zaman uygulanır. bir istek özel bir kuralla eşleşiyorsa, ilgili kural eylemi uygulanır. İstek engellenir veya arka uca geçirilir. Çekirdek Kural Kümesindeki başka hiçbir özel kural veya kural işlenmez.

Anomali puanlaması

CRS veya DRS 2.1 ve üzerini kullandığınızda WAF'niz varsayılan olarak anomali puanlaması kullanacak şekilde yapılandırılır. WAF'niz önleme modundayken bile herhangi bir kuralla eşleşen trafik hemen engellenmez. Bunun yerine, OWASP kural kümeleri her kural için bir önem derecesi tanımlar: Kritik, Hata, Uyarı veya Bildirim. Önem derecesi, istek için anomali puanı olarak adlandırılan sayısal bir değeri etkiler:

Kural önem derecesi Anomali puanına katkıda bulunan değer
Kritik 5
Hata 4
Uyarı 3
Not 2

Anomali puanı 5 veya daha büyükse ve WAF Önleme modundaysa istek engellenir. Anomali puanı 5 veya daha büyükse ve WAF Algılama modundaysa istek günlüğe kaydedilir ancak engellenmez.

Örneğin, genel anomali puanı 5 olduğundan WAF'nin Önleme modunda bir isteği engellemesi için tek bir Kritik kural eşleşmesi yeterlidir. Ancak, bir Uyarı kuralı eşleşmesi anomali puanını yalnızca 3 artırır ve bu da trafiği engellemek için tek başına yeterli değildir. Bir anomali kuralı tetiklendiğinde, günlüklerde "Eşleştirildi" eylemi gösterilir. Anomali puanı 5 veya daha büyükse WAF ilkesinin Önleme veya Algılama modunda olmasına bağlı olarak "Engellendi" veya "Algılandı" eylemiyle tetiklenen ayrı bir kural vardır. Daha fazla bilgi için bkz . Anomali Puanlama modu.

Kural kümesi sürümünü yükseltme veya değiştirme

Yükseltiyorsanız veya yeni bir kural kümesi sürümü atıyorsanız ve mevcut kural geçersiz kılmalarını ve dışlamalarını korumak istiyorsanız, kural kümesi sürümü değişiklikleri yapmak için PowerShell, CLI, REST API veya bir şablon kullanmanız önerilir. Kural kümesinin yeni bir sürümünde daha yeni kurallar, ek kural grupları olabilir ve daha iyi güvenlik sağlamak ve hatalı pozitif sonuçları azaltmak için mevcut imzalarda güncelleştirmeler olabilir. Bir test ortamındaki değişiklikleri doğrulamanız, gerekirse ince ayar yapmanızı ve ardından üretim ortamında dağıtmanız önerilir.

Not

WaF ilkesine yeni bir yönetilen kural kümesi atamak için Azure portalını kullanıyorsanız, mevcut yönetilen kural kümesindeki kural durumu, kural eylemleri ve kural düzeyi dışlamaları gibi önceki tüm özelleştirmeler yeni yönetilen kural kümesinin varsayılanlarına sıfırlanır. Ancak tüm özel kurallar, ilke ayarları ve genel dışlamalar yeni kural kümesi ataması sırasında etkilenmez. Üretim ortamında dağıtmadan önce kural geçersiz kılmalarını yeniden tanımlamanız ve değişiklikleri doğrulamanız gerekir.

DRS 2.1

DRS 2.1 kuralları, DRS'nin önceki sürümlerinden daha iyi koruma sağlar. Microsoft Threat Intelligence ekibi tarafından geliştirilen daha fazla kural ve hatalı pozitif sonuçları azaltmak için imzalarda yapılan güncelleştirmeleri içerir. Ayrıca yalnızca URL kodunu çözmenin ötesinde dönüştürmeleri de destekler.

DRS 2.1, aşağıdaki tabloda gösterildiği gibi 17 kural grubu içerir. Her grup birden çok kural içerir ve tek tek kurallar, kural grupları veya kural kümesinin tamamı için davranışı özelleştirebilirsiniz. DRS 2.1, Open Web Application Security Project (OWASP) Çekirdek Kural Kümesi (CRS) 3.3.2'nin temelini oluşturur ve Microsoft Threat Intelligence ekibi tarafından geliştirilen ek özel koruma kuralları içerir.

Kural grubu ruleGroupName Açıklama
Genel Genel Genel grup
YÖNTEM ZORLAMA YÖNTEM-ZORLAMA Kilitleme yöntemleri (PUT, PATCH)
PROTOKOL ZORLAMA PROTOKOL-ZORLAMA Protokol ve kodlama sorunlarına karşı koruma
PROTOKOL SALDıRıSı PROTOKOL-SALDIRI Üst bilgi ekleme, istek kaçakçılığı ve yanıt bölmeye karşı koruma
APPLICATION-ATTACK-LFI LFI Dosya ve yol saldırılarına karşı koruma
APPLICATION-ATTACK-RFI RFI Uzak dosya ekleme (RFI) saldırılarına karşı koruma
APPLICATION-ATTACK-RCE RCE Uzaktan kod yürütme saldırılarını yeniden koruma
APPLICATION-ATTACK-PHP PHP PHP ekleme saldırılarına karşı koruma
APPLICATION-ATTACK-NodeJS NODEJS Node JS saldırılarına karşı koruma
APPLICATION-ATTACK-XSS XSS Siteler arası betik saldırılarına karşı koruma
APPLICATION-ATTACK-SQLI SQLI SQL ekleme saldırılarına karşı koruma
APPLICATION-ATTACK-SESSION-FIXATION FIX Oturum düzeltme saldırılarına karşı koruma
APPLICATION-ATTACK-SESSION-JAVA JAVA JAVA saldırılarına karşı koruma
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Web kabuğu saldırılarına karşı koruma
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec AppSec saldırılarına karşı koruma
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI SQLI saldırılarına karşı koruma
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs CVE saldırılarına karşı koruma

OWASP CRS 3.2

CRS 3.2, aşağıdaki tabloda gösterildiği gibi 14 kural grubu içerir. Her grup, devre dışı bırakılabilir birden çok kural içerir. Kural kümesi OWASP CRS 3.2.0 sürümünü temel alır.

Not

CRS 3.2 yalnızca WAF_v2 SKU'da kullanılabilir. CRS 3.2 yeni Azure WAF altyapısında çalıştığından CRS 3.1 veya önceki bir sürüme düşüremezsiniz. Eski sürüme düşürmeniz gerekiyorsa Azure Desteği'ne başvurun.

Kural grubu adı Açıklama
Genel Genel grup
BILINEN CVE'LER Yeni ve bilinen CVE'leri algılamaya yardımcı olun
REQUEST-911-METHOD-ENFORCEMENT Kilitleme yöntemleri (PUT, PATCH)
REQUEST-913-SCANNER-DETECTION Bağlantı noktası ve ortam tarayıcılarına karşı koruma
REQUEST-920-PROTOCOL-ENFORCEMENT Protokol ve kodlama sorunlarına karşı koruma
REQUEST-921-PROTOCOL-ATTACK Üst bilgi ekleme, istek kaçakçılığı ve yanıt bölmeye karşı koruma
REQUEST-930-APPLICATION-ATTACK-LFI Dosya ve yol saldırılarına karşı koruma
REQUEST-931-APPLICATION-ATTACK-RFI Uzak dosya ekleme (RFI) saldırılarına karşı koruma
REQUEST-932-APPLICATION-ATTACK-RCE Uzaktan kod yürütme saldırılarını yeniden koruma
REQUEST-933-APPLICATION-ATTACK-PHP PHP ekleme saldırılarına karşı koruma
REQUEST-941-APPLICATION-ATTACK-XSS Siteler arası betik saldırılarına karşı koruma
REQUEST-942-APPLICATION-ATTACK-SQLI SQL ekleme saldırılarına karşı koruma
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Oturum düzeltme saldırılarına karşı koruma
REQUEST-944-APPLICATION-ATTACK-JAVA JAVA saldırılarına karşı koruma

OWASP CRS 3.1

CRS 3.1, aşağıdaki tabloda gösterildiği gibi 14 kural grubu içerir. Her grup, devre dışı bırakılabilir birden çok kural içerir. Kural kümesi OWASP CRS 3.1.1 sürümünü temel alır.

Not

CRS 3.1 yalnızca WAF_v2 SKU'da kullanılabilir.

Kural grubu adı Açıklama
Genel Genel grup
BILINEN CVE'LER Yeni ve bilinen CVE'leri algılamaya yardımcı olun
REQUEST-911-METHOD-ENFORCEMENT Kilitleme yöntemleri (PUT, PATCH)
REQUEST-913-SCANNER-DETECTION Bağlantı noktası ve ortam tarayıcılarına karşı koruma
REQUEST-920-PROTOCOL-ENFORCEMENT Protokol ve kodlama sorunlarına karşı koruma
REQUEST-921-PROTOCOL-ATTACK Üst bilgi ekleme, istek kaçakçılığı ve yanıt bölmeye karşı koruma
REQUEST-930-APPLICATION-ATTACK-LFI Dosya ve yol saldırılarına karşı koruma
REQUEST-931-APPLICATION-ATTACK-RFI Uzak dosya ekleme (RFI) saldırılarına karşı koruma
REQUEST-932-APPLICATION-ATTACK-RCE Uzaktan kod yürütme saldırılarını yeniden koruma
REQUEST-933-APPLICATION-ATTACK-PHP PHP ekleme saldırılarına karşı koruma
REQUEST-941-APPLICATION-ATTACK-XSS Siteler arası betik saldırılarına karşı koruma
REQUEST-942-APPLICATION-ATTACK-SQLI SQL ekleme saldırılarına karşı koruma
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Oturum düzeltme saldırılarına karşı koruma
REQUEST-944-APPLICATION-ATTACK-SESSION-JAVA JAVA saldırılarına karşı koruma

OWASP CRS 3.0

CRS 3.0, aşağıdaki tabloda gösterildiği gibi 13 kural grubu içerir. Her grup, devre dışı bırakılabilir birden çok kural içerir. Kural kümesi OWASP CRS 3.0.0 sürümünü temel alır.

Kural grubu adı Açıklama
Genel Genel grup
BILINEN CVE'LER Yeni ve bilinen CVE'leri algılamaya yardımcı olun
REQUEST-911-METHOD-ENFORCEMENT Kilitleme yöntemleri (PUT, PATCH)
REQUEST-913-SCANNER-DETECTION Bağlantı noktası ve ortam tarayıcılarına karşı koruma
REQUEST-920-PROTOCOL-ENFORCEMENT Protokol ve kodlama sorunlarına karşı koruma
REQUEST-921-PROTOCOL-ATTACK Üst bilgi ekleme, istek kaçakçılığı ve yanıt bölmeye karşı koruma
REQUEST-930-APPLICATION-ATTACK-LFI Dosya ve yol saldırılarına karşı koruma
REQUEST-931-APPLICATION-ATTACK-RFI Uzak dosya ekleme (RFI) saldırılarına karşı koruma
REQUEST-932-APPLICATION-ATTACK-RCE Uzaktan kod yürütme saldırılarını yeniden koruma
REQUEST-933-APPLICATION-ATTACK-PHP PHP ekleme saldırılarına karşı koruma
REQUEST-941-APPLICATION-ATTACK-XSS Siteler arası betik saldırılarına karşı koruma
REQUEST-942-APPLICATION-ATTACK-SQLI SQL ekleme saldırılarına karşı koruma
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Oturum düzeltme saldırılarına karşı koruma

OWASP CRS 2.2.9

CRS 2.2.9, aşağıdaki tabloda gösterildiği gibi 10 kural grubu içerir. Her grup, devre dışı bırakılabilir birden çok kural içerir.

Not

CRS 2.2.9 artık yeni WAF ilkeleri için desteklenmemektedir. En son CRS 3.2/DRS 2.1 ve üzeri sürümlere yükseltmenizi öneririz.

Kural grubu adı Açıklama
crs_20_protocol_violations Protokol ihlallerine karşı koruma (geçersiz karakterler veya istek gövdesine sahip GET gibi)
crs_21_protocol_anomalies Yanlış üst bilgi bilgilerine karşı koruma
crs_23_request_limits Sınırlamaları aşan bağımsız değişkenlere veya dosyalara karşı koruma
crs_30_http_policy Kısıtlanmış yöntemlere, üst bilgilere ve dosya türlerine karşı koruma
crs_35_bad_robots Web tarayıcılarına ve tarayıcılarına karşı koruma
crs_40_generic_attacks Genel saldırılara karşı koruma (oturum düzeltme, uzak dosya ekleme ve PHP ekleme gibi)
crs_41_sql_injection_attacks SQL ekleme saldırılarına karşı koruma
crs_41_xss_attacks Siteler arası betik saldırılarına karşı koruma
crs_42_tight_security Yol geçişi saldırılarına karşı koruma
crs_45_trojans Arka kapı truva atlarına karşı koruma

Bot Yöneticisi 1.0

Bot Manager 1.0 kural kümesi, kötü amaçlı botlara karşı koruma ve iyi botların algılanması sağlar. Kurallar, bot trafiğini İyi, Kötü veya Bilinmeyen botlar olarak kategorilere ayırarak WAF tarafından algılanan botlar üzerinde ayrıntılı denetim sağlar.

Kural grubu Açıklama
BadBots Kötü botlara karşı koruma
GoodBots İyi botları belirleme
UnknownBots Bilinmeyen botları tanımlama

Bot Yöneticisi 1.1

Bot Manager 1.1 kural kümesi, Bot Manager 1.0 kural kümesinde yapılan bir geliştirmedir. Kötü amaçlı botlara karşı gelişmiş koruma sağlar ve iyi bot algılamayı artırır.

Kural grubu Açıklama
BadBots Kötü botlara karşı koruma
GoodBots İyi botları belirleme
UnknownBots Bilinmeyen botları tanımlama

Application Gateway'de Web Uygulaması Güvenlik Duvarı kullanılırken aşağıdaki kural grupları ve kuralları kullanılabilir.

2.1 kural kümeleri

Genel

RuleId Açıklama
Kategori 200002 İstek gövdesi ayrıştırılamadı.
200003 Çok parçalı istek gövdesi katı doğrulama başarısız oldu

YÖNTEM ZORLAMA

RuleId Açıklama
Kategori 911100 yönteme ilke tarafından izin verilmiyor

PROTOKOL-ZORLAMA

RuleId Açıklama
920100 Geçersiz HTTP İstek Satırı
920120 Çok parçalı/form-veri atlama girişimi
920121 Çok parçalı/form-veri atlama girişimi
920160 İçerik Uzunluğu HTTP üst bilgisi sayısal değildir.
920170 Gövde İçeriği ile GET veya HEAD İsteği.
920171 Aktarım Kodlama ile GET veya HEAD İsteği.
920180 POST isteğinde İçerik Uzunluğu Üst Bilgisi eksik.
920181 İçerik Uzunluğu ve Aktarım Kodlama üst bilgileri 99001003
920190 Aralık: Geçersiz Son Bayt Değeri.
920200 Aralık: Çok fazla alan (6 veya daha fazla)
920201 Aralık: PDF isteği için çok fazla alan (35 veya daha fazla)
920210 Birden Çok/Çakışan Bağlantı Üst Bilgisi Verileri Bulundu.
920220 URL Kodlama Kötüye Kullanımı Saldırı Girişimi
920230 Birden Çok URL Kodlama Algılandı
920240 URL Kodlama Kötüye Kullanımı Saldırı Girişimi
920260 Unicode Tam/Yarı Genişlikli Kötüye Kullanım Saldırısı Girişimi
920270 İstekte geçersiz karakter (null karakter)
920271 İstekte geçersiz karakter (yazdırılamayan karakterler)
920280 Ana Bilgisayar Üst Bilgisi Eksik İsteği
920290 Boş Konak Üst Bilgisi
920300 Kabul Üst Bilgisi Eksik İsteği
920310 İsteğin Kabul Üst Bilgisi Boş
920311 İsteğin Kabul Üst Bilgisi Boş
920320 Eksik Kullanıcı Aracısı Üst Bilgisi
920330 Boş Kullanıcı Aracısı Üst Bilgisi
920340 İçerik İçeren İstek, ancak İçerik Türü üst bilgisi eksik
920341 İçerik içeren istek için content-Type üst bilgisi gerekir
920350 Ana bilgisayar üst bilgisi sayısal bir IP adresidir
920420 İstek içerik türüne ilke tarafından izin verilmiyor
920430 http protokolü sürümüne ilke tarafından izin verilmiyor
920440 URL dosya uzantısı ilkeyle kısıtlandı
920450 HTTP üst bilgisi ilkeyle kısıtlandı
920470 Geçersiz İçerik Türü üst bilgisi
920480 İstek içerik türü karakter kümesine ilke tarafından izin verilmiyor
920500 Yedekleme veya çalışma dosyasına erişme girişimi

PROTOKOL-SALDIRI

RuleId Açıklama
921110 HTTP İstek Kaçakçılık Saldırısı
921120 HTTP Yanıt Bölme Saldırısı
921130 HTTP Yanıt Bölme Saldırısı
921140 Üst bilgiler aracılığıyla HTTP Üst Bilgi Ekleme Saldırısı
921150 Yük aracılığıyla HTTP Üst Bilgi Ekleme Saldırısı (CR/LF algılandı)
921151 Yük aracılığıyla HTTP Üst Bilgi Ekleme Saldırısı (CR/LF algılandı)
921160 Yük aracılığıyla HTTP Üst Bilgi Ekleme Saldırısı (CR/LF ve üst bilgi adı algılandı)
921190 HTTP Bölme (istek dosya adında CR/LF algılandı)
921200 LDAP Ekleme Saldırısı

LFI - Yerel Dosya Ekleme

RuleId Açıklama
930100 Yol Geçişi Saldırısı (/.. /)
Kategori 930110 Yol Geçişi Saldırısı (/.. /)
930120 İşletim Sistemi Dosya Erişim Denemesi
930130 Kısıtlanmış Dosya Erişimi Denemesi

RFI - Uzak Dosya Ekleme

RuleId Açıklama
931100 Olası Uzak Dosya Ekleme (RFI) Saldırısı: IP Adresi Kullanarak URL Parametresi
931110 Olası Uzak Dosya Ekleme (RFI) Saldırısı: Url Yükünde Kullanılan Yaygın RFI Güvenlik Açığı Olan Parametre Adı
931120 Olası Uzak Dosya Ekleme (RFI) Saldırısı: Url Yükü Kullanılan W/Sondaki Soru İşareti Karakteri (?)
931130 Olası Uzak Dosya Ekleme (RFI) Saldırısı: Etki Alanı Dışı Başvuru/Bağlantı

RCE - Uzaktan Komut Yürütme

RuleId Açıklama
932100 Uzaktan Komut Yürütme: Unix Komut Ekleme
932105 Uzaktan Komut Yürütme: Unix Komut Ekleme
932110 Uzaktan Komut Yürütme: Windows Komut Ekleme
932115 Uzaktan Komut Yürütme: Windows Komut Ekleme
932120 Uzaktan Komut Yürütme: Windows PowerShell Komutu Bulundu
932130 Uzaktan Komut Yürütme: Unix Kabuk İfadesi veya Confluence Güvenlik Açığı (CVE-2022-26134) Bulundu
932140 Uzaktan Komut Yürütme: Windows FOR/IF Komutu Bulundu
932150 Uzaktan Komut Yürütme: Doğrudan Unix Komut Yürütme
932160 Uzaktan Komut Yürütme: Unix Kabuk Kodu Bulundu
932170 Uzaktan Komut Yürütme: Shellshock (CVE-2014-6271)
932171 Uzaktan Komut Yürütme: Shellshock (CVE-2014-6271)
932180 Kısıtlanmış Dosya Karşıya Yükleme Denemesi

PHP Saldırıları

RuleId Açıklama
933100 PHP Ekleme Saldırısı: Açma/Kapatma Etiketi Bulundu
933110 PHP Ekleme Saldırısı: PHP Betik Dosyasını Karşıya Yükleme Bulundu
933120 PHP Ekleme Saldırısı: Yapılandırma Yönergesi Bulundu
933130 PHP Ekleme Saldırısı: Değişkenler Bulundu
933140 PHP Ekleme Saldırısı: G/Ç Akışı Bulundu
933150 PHP Ekleme Saldırısı: Yüksek Riskli PHP İşlev Adı Bulundu
933151 PHP Ekleme Saldırısı: Orta Riskli PHP İşlev Adı Bulundu
933160 PHP Ekleme Saldırısı: Yüksek Riskli PHP İşlev Çağrısı Bulundu
933170 PHP Ekleme Saldırısı: Serileştirilmiş Nesne Ekleme
933180 PHP Ekleme Saldırısı: Değişken İşlev Çağrısı Bulundu
933200 PHP Ekleme Saldırısı: Sarmalayıcı şeması algılandı
933210 PHP Ekleme Saldırısı: Değişken İşlev Çağrısı Bulundu

Düğüm JS Saldırıları

RuleId Açıklama
934100 Node.js Ekleme Saldırısı

XSS - Siteler Arası Betik Çalıştırma

RuleId Açıklama
941100 Libinjection aracılığıyla XSS Saldırısı Algılandı
941101 XSS Saldırısı libinjection yoluyla algılandı.
Bu kural, bir Başvuran üst bilgisi ile istekleri algılar.
941110 XSS Filtresi - Kategori 1: Betik Etiketi Vektör
941120 XSS Filtresi - Kategori 2: Olay İşleyici Vektör
941130 XSS Filtresi - Kategori 3: Öznitelik Vektör
941140 XSS Filtresi - Kategori 4: JavaScript URI Vektör
941150 XSS Filtresi - Kategori 5: İzin Verilmeyen HTML Öznitelikleri
941160 NoScript XSS InjectionChecker: HTML Ekleme
941170 NoScript XSS InjectionChecker: Öznitelik Ekleme
941180 Node-Validator Blok Listesi Anahtar Sözcükleri
941190 Stil sayfalarını kullanarak XSS
941200 VML çerçeveleri kullanan XSS
941210 Belirsiz JavaScript kullanan XSS
941220 Karartılmış VB Betiği kullanan XSS
941230 'embed' etiketini kullanan XSS
941240 'import' veya 'implementation' özniteliğini kullanan XSS
941250 IE XSS Filtreleri - Saldırı Algılandı.
941260 'meta' etiketi kullanan XSS
941270 'link' href kullanan XSS
941280 'base' etiketini kullanan XSS
941290 'applet' etiketini kullanan XSS
941300 'object' etiketini kullanan XSS
941310 US-ASCII Hatalı Biçimlendirilmiş Kodlama XSS Filtresi - Saldırı Algılandı.
941320 Olası XSS Saldırısı Algılandı - HTML Etiketi İşleyicisi
941330 IE XSS Filtreleri - Saldırı Algılandı.
941340 IE XSS Filtreleri - Saldırı Algılandı.
941350 UTF-7 Kodlama IE XSS - Saldırı algılandı.
941360 JavaScript gizleme algılandı.
941370 JavaScript genel değişkeni bulundu
941380 AngularJS istemci tarafı şablonu ekleme algılandı

SQLI - SQL Ekleme

RuleId Açıklama
942100 LIbinjection yoluyla SQL Ekleme Saldırısı Algılandı
942110 SQL Ekleme Saldırısı: Yaygın Ekleme Testi Algılandı
942120 SQL Ekleme Saldırısı: SQL İşleci Algılandı
942130 SQL Ekleme Saldırısı: SQL Tautolojisi Algılandı.
942140 SQL Ekleme Saldırısı: Ortak VERITABANı Adları Algılandı
942150 SQL Kodu Ekleme Saldırısı
942160 sleep() veya benchmark() kullanarak kör sqli testlerini algılar.
942170 Koşullu sorgular dahil olmak üzere SQL karşılaştırma ve uyku ekleme girişimlerini algılar
942180 Temel SQL kimlik doğrulama atlama girişimlerini algılar 1/3
942190 MSSQL kod yürütme ve bilgi toplama girişimlerini algılar
942200 MySQL açıklama/boşluk karartılmış eklemeleri ve backtick sonlandırmayı algılar
942210 Zincirleme SQL ekleme denemelerini algılar 1/2
942220 Tamsayı taşması saldırıları aranıyor, bunlar skipfish'ten alınıyor, ancak 3.0.00738585072007e-308 "sihirli sayı" kilitlenmesi
942230 Koşullu SQL ekleme girişimlerini algılar
942240 MySQL karakter kümesi anahtarını ve MSSQL DoS girişimlerini algılar
942250 MATCH AGAINST, MERGE ve EXECUTE anında eklemeleri algılar
942260 3/2'de temel SQL kimlik doğrulaması atlama girişimlerini algılar
942270 Temel SQL eklemesi aranıyor. mysql, oracle ve diğerleri için yaygın saldırı dizesi.
942280 Postgres pg_sleep ekleme, gecikme bekleme saldırıları ve veritabanı kapatma girişimlerini algılar
942290 Temel MongoDB SQL ekleme girişimlerini bulur
942300 MySQL açıklamalarını, koşullarını ve ch(a)r eklemelerini algılar
942310 Zincirleme SQL ekleme girişimlerini algılar 2/2
942320 MySQL ve PostgreSQL saklı yordamını/işlev eklemelerini algılar
942330 Klasik SQL ekleme yoklamalarını algılar 1/2
942340 3/3 temel SQL kimlik doğrulama atlama girişimlerini algılar
942350 MySQL UDF ekleme ve diğer veri/yapı işleme girişimlerini algılar
942360 Birleştirilmiş temel SQL ekleme ve SQLLFI girişimlerini algılar
942361 Anahtar sözcük değişikliğine veya birleşime göre temel SQL eklemeyi algılar
942370 Klasik SQL ekleme yoklamalarını algılar 2/2
942380 SQL Kodu Ekleme Saldırısı
942390 SQL Kodu Ekleme Saldırısı
942400 SQL Kodu Ekleme Saldırısı
942410 SQL Kodu Ekleme Saldırısı
942430 Kısıtlanmış SQL Karakter Anomalisi Algılama (args): Özel karakter sayısı aşıldı (12)
942440 SQL Açıklama Sırası Algılandı
942450 SQL Onaltılık Kodlaması Belirlendi
942460 Meta Karakter Anomali Algılama Uyarısı - Yinelenen Sözcük Olmayan Karakterler
942470 SQL Kodu Ekleme Saldırısı
942480 SQL Kodu Ekleme Saldırısı
942500 MySQL satır içi açıklama algılandı.
942510 Algılanan keneler veya ters bağlantılar tarafından SQLi atlama girişimi.

OTURUM-SABİTLEME

RuleId Açıklama
943100 Olası Oturum Düzeltme Saldırısı: HTML'de Tanımlama Bilgisi Değerlerini Ayarlama
943110 Olası Oturum Düzeltme Saldırısı: Etki Alanı Dışı Başvuran ile SessionID Parametre Adı
943120 Olası Oturum Düzeltme Saldırısı: Başvuran Olmadan SessionID Parametre Adı

JAVA Saldırıları

RuleId Açıklama
944100 Uzaktan Komut Yürütme: Apache Struts, Oracle WebLogic
944110 Olası yük yürütmesini algılar
944120 Olası yük yürütme ve uzaktan komut yürütme
944130 Şüpheli Java sınıfları
944200 Java seri durumdan çıkarma Apache Commons'ın kötüye kullanımı
944210 Java serileştirmesinin olası kullanımı
944240 Uzaktan Komut Yürütme: Java serileştirme ve Log4j güvenlik açığı (CVE-2021-44228, CVE-2021-45046)
944250 Uzaktan Komut Yürütme: Şüpheli Java yöntemi algılandı

MS-ThreatIntel-WebShells

RuleId Açıklama
99005002 Web Kabuğu Etkileşim Girişimi (POST)
99005003 Web Kabuğu Karşıya Yükleme Denemesi (POST) - CHOPPER PHP
99005004 Web Kabuğu Karşıya Yükleme Denemesi (POST) - CHOPPER ASPX
99005005 Web Kabuğu Etkileşim Girişimi
99005006 Spring4Shell Etkileşim Girişimi

MS-ThreatIntel-AppSec

RuleId Açıklama
99030001 Üst Bilgilerde Yol Geçişi Kaçışı (/.. /./.. /)
99030002 İstek Gövdesinde Yol Geçişi Kaçışı (/.. /./.. /)

MS-ThreatIntel-SQLI

RuleId Açıklama
99031001 SQL Ekleme Saldırısı: Yaygın Ekleme Testi Algılandı
99031002 SQL Açıklama Sırası Algılandı.
99031003 SQL Kodu Ekleme Saldırısı
99031004 3/2'de temel SQL kimlik doğrulaması atlama girişimlerini algılar

MS-ThreatIntel-CVEs

RuleId Açıklama
99001001 Bilinen kimlik bilgileriyle F5 tmui (CVE-2020-5902) REST API Yararlanma girişimi
99001002 Citrix NSC_USER dizin geçişi CVE-2019-19781 denendi
99001003 Atlassian Confluence Widget Bağlayıcısı yararlanma girişimi CVE-2019-3396
99001004 Pulse Secure özel şablondan yararlanma girişimi CVE-2020-8243
99001005 SharePoint türü dönüştürücü yararlanma girişimi CVE-2020-0932
99001006 Pulse Connect dizin geçişi girişimi CVE-2019-11510
99001007 Junos OS J-Web yerel dosya ekleme girişimi CVE-2020-1631
99001008 Fortinet yolu geçişi CVE-2018-13379 denendi
99001009 Apache struts ognl ekleme girişimi CVE-2017-5638
99001010 Apache struts ognl ekleme girişimi CVE-2017-12611
99001011 Oracle WebLogic yol geçişi CVE-2020-14882 denendi
99001012 Telerik WebUI güvenli olmayan seri durumdan çıkarma girişimi CVE-2019-18935
99001013 SharePoint güvenli olmayan XML seri durumdan çıkarma CVE-2019-0604 denendi
99001014 Spring Cloud yönlendirme-ifadesi ekleme girişimi CVE-2022-22963
99001015 Spring Framework güvenli olmayan sınıf nesnesi yararlanma girişimi CVE-2022-22965
99001016 Spring Cloud Gateway Aktüatör ekleme girişimi CVE-2022-22947
99001017* Apache Struts dosya karşıya yükleme açıklarından yararlanma girişimi CVE-2023-50164

*Bu kuralın eylemi varsayılan olarak günlüğe kaydedilecek şekilde ayarlanır. Apache Struts güvenlik açığına karşı önlem almak için eylemi Engelle olarak ayarlayın. Anomali Puanı bu kural için desteklenmiyor.

Not

WAF günlüklerinizi gözden geçirirken kural kimliği 949110'ı görebilirsiniz. Kuralın açıklaması Gelen Anomali Puanı Aşıldı olabilir.

Bu kural, istek için toplam anomali puanının izin verilen maksimum puanı aştığını gösterir. Daha fazla bilgi için bkz . Anomali puanlaması.

Sonraki adımlar