Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O DRS (Conjunto de Regras Padrão) gerenciado pelo Azure no WAF (firewall do aplicativo Web) do Gateway de Aplicativo protege ativamente os aplicativos Web contra vulnerabilidades e explorações comuns. Esses conjuntos de regras, gerenciados pelo Azure, recebem atualizações conforme necessário para se proteger contra novas assinaturas de ataque. O conjunto de regras padrão também incorpora as regras da Coleção de Inteligência contra Ameaças da Microsoft. A equipe de Inteligência da Microsoft colabora na redação dessas regras, garantindo uma cobertura aprimorada, patches específicos para vulnerabilidades e uma redução aprimorada de falsos positivos.
Você pode desabilitar as regras individualmente ou definir ações específicas para cada regra. Este artigo lista as regras atuais e os conjuntos de regras disponíveis. Se um conjunto de regras publicado exigir uma atualização, vamos documentá-lo aqui.
Observação
Ao alterar uma versão do conjunto de regras em uma política de WAF, você deve aplicar na nova versão do conjunto de regras as ações de regra existentes, as substituições de estado e as exclusões. Para obter mais informações, consulte Atualizar ou alterar a versão do conjunto de regras.
Conjunto de regras padrão 2.1
O conjunto de regras padrão (DRS) 2.1 tem como base o Core Rule Set (CRS) 3.3.2 do Open Web Application Security Project (OWASP) e inclui regras adicionais de proteção proprietária desenvolvidas pela equipe de Inteligência de Ameaças da Microsoft, além de atualizações nas assinaturas para reduzir falsos positivos. Ele também dá suporte a transformações além da decodificação de URL.
O DRS 2.1 oferece um novo mecanismo e novos conjuntos de regras que se defendem contra injeções de Java, um conjunto inicial de verificações de upload de arquivo e menos falsos positivos em comparação com as versões do CRS. Você também pode personalizar regras para atender às suas necessidades. Saiba mais sobre o novo mecanismo WAF do Azure.
O DRS 2.1 inclui 17 grupos de regras, conforme mostrado na tabela a seguir. Cada grupo contém várias regras, e você pode personalizar o comportamento das regras individuais, dos grupos de regras ou de todo o conjunto de regras.
| Tipo de ameaça | Nome do grupo de regras |
|---|---|
| Geral | Geral |
| Métodos de bloqueio (PUT, PATCH) | METHOD-ENFORCEMENT |
| Problemas de protocolo e codificação | PROTOCOL-ENFORCEMENT |
| Injeção de cabeçalho, contrabando de solicitações e divisão de resposta | PROTOCOL-ATTACK |
| Ataques a arquivos e caminhos de diretórios | LFI |
| Ataques de RFI (inclusão remota de arquivo) | RFI |
| Ataques de execução de código remoto | RCE |
| Ataques de injeção de PHP | PHP |
| Ataques de Node JS | NodeJS |
| Ataques de cross-site scripting | XSS |
| Ataques de injeção de SQL | SQLI |
| Ataques de fixação de sessão | FIXAÇÃO DE SESSÃO |
| Ataques java | SESSION-JAVA |
| Ataques de shell da Web (MS) | MS-ThreatIntel-WebShells |
| Ataques do AppSec (MS) | MS-ThreatIntel-AppSec |
| Ataques de injeção de SQL (MS) | MS-ThreatIntel-SQLI |
| Ataques CVE (MS) | MS-ThreatIntel-CVEs |
Orientação de ajuste fino para DRS 2.1
Use as seguintes orientações para ajustar o WAF enquanto você começa a usar o DRS 2.1 no Gateway de Aplicativo do Azure WAF:
| ID da regra | Grupo de regras | Descrição | Recomendação |
|---|---|---|---|
| 942110 | SQLI | Ataque de injeção de SQL: teste de injeção comum detectado | Desabilitar a regra 942110, substituída pela regra MSTIC 99031001 |
| 942.150 | SQLI | Ataque de injeção de SQL | Desabilitar a regra 942150, substituída pela regra MSTIC 99031003 |
| 942.260 | SQLI | Detecta tentativas básicas de bypass de autenticação SQL 2/3 | Desabilitar a regra 942260, substituída pela regra MSTIC 99031004 |
| 942430 | SQLI | Detecção restrita de anomalias de caracteres SQL (args): # de caracteres especiais excedidos (12) | Desabilitar a regra 942430, ela dispara muitos falsos positivos |
| 942440 | SQLI | Sequência de comentários SQL detectada | Desabilitar a regra 942440, substituída pela regra MSTIC 99031002 |
| 99005006 | MS-ThreatIntel-WebShells | Tentativa de interação do Spring4Shell | Manter a regra habilitada para evitar a vulnerabilidade do SpringShell |
| 99001014 | MS-ThreatIntel-CVEs | Tentativa de injeção de expressão de roteamento do Spring Cloud CVE-2022-22963 | Manter a regra habilitada para evitar a vulnerabilidade do SpringShell |
| 99001015 | MS-ThreatIntel-CVEs | Tentativa de exploração de objeto de classe não segura do Spring Framework CVE-2022-22965 | Manter a regra habilitada para evitar a vulnerabilidade do SpringShell |
| 99001016 | MS-ThreatIntel-CVEs | Tentativa de injeção do Actuator do Spring Cloud Gateway CVE-2022-22947 | Manter a regra habilitada para evitar a vulnerabilidade do SpringShell |
| 99.001.017 | MS-ThreatIntel-CVEs | Tentativa de exploração de upload de arquivo do Apache Struts CVE-2023-50164 | Defina a ação como Bloquear para evitar a vulnerabilidade do Apache Struts. Pontuação de anomalia não suportada por essa regra |
Conjuntos de regras principais (CRS) – legado
O conjunto de regras gerenciadas recomendado é o Conjunto de Regras Padrão 2.1, que é baseado no Conjunto de Regras Básicas (CRS) 3.3.2 do Open Web Application Security Project (OWASP) e inclui regras de proteções proprietárias adicionais desenvolvidas pela equipe do Microsoft Threat Intelligence e atualizações nas assinaturas para reduzir falsos positivos. Ao criar uma nova política de WAF, você deve usar a versão mais recente e recomendada do conjunto de regras DRS 2.1. Se você tiver uma política de WAF existente usando CRS 3.2 ou CRS 3.1, é recomendável atualizar para o DRS 2.1. Para obter mais informações, consulte Atualizar a versão do conjunto de regras do CRS ou DRS.
Observação
O CRS 3.2 só está disponível no SKU WAF_v2. Você não pode fazer downgrade do CRS 3.2 para o CRS 3.1 ou anterior porque o CRS 3.2 funciona no novo motor WAF do Azure. É recomendável atualizar diretamente para a versão mais recente do DRS 2.1 e validar as novas regras com segurança, alterando a ação das novas regras para o modo de registro. Para obter mais informações, consulte Validar novas regras com segurança.
O Firewall de Aplicativo Web (WAF) em execução no Gateway de Aplicativos para Contêineres não dá suporte ao Conjunto de Regras Básico (CRS).
Ajuste de conjuntos de regras gerenciados
O DRS e o CRS estão habilitados por padrão no modo Detecção nas políticas do WAF. Você pode desabilitar ou habilitar regras individuais dentro do Conjunto de Regras Gerenciado para atender aos requisitos do aplicativo. Você também pode definir ações específicas por regra. O DRS/CRS suporta ações de bloqueio, logging e pontuação de anomalias. O conjunto de regras do Gerenciador de Bot dá suporte às ações de permissão, bloqueio e log.
Às vezes, você pode omitir certos atributos de solicitação de uma avaliação do WAF. Um exemplo comum são os tokens inseridos pelo Active Directory que são usados para autenticação. É possível configurar exclusões a serem aplicadas durante a avaliação de regras específicas do WAF ou globalmente à avaliação de todas as regras do WAF. As regras de exclusão se aplicam a todo o aplicativo Web. Para obter mais informações, confira Listas de exclusões do WAF (Firewall de Aplicativo Web) com o Gateway de Aplicativo.
Por padrão, o WAF do Azure usa pontuação de anomalias quando uma solicitação corresponde a uma regra. Além disso, você pode configurar regras personalizadas na mesma política de WAF se quiser ignorar qualquer uma das regras pré-configuradas no Conjunto de Regras Principais.
As regras personalizadas sempre são aplicadas antes da avaliação das regras no Conjunto de Regras Básico. Se uma solicitação corresponder a uma regra personalizada, a ação de regra correspondente será aplicada. A solicitação é bloqueada ou passada pelo back-end. Nenhuma outra regra personalizada nem as regras do Conjunto de Regras Básico são processadas.
Pontuação de anomalias
Quando você usa o CRS ou o DRS 2.1 e posteriores, o WAF é configurado para usar a pontuação de anomalias por padrão. O tráfego que corresponde a qualquer regra não é imediatamente bloqueado, mesmo quando o WAF está no modo de prevenção. Em vez disso, os conjuntos de regras OWASP definem uma gravidade para cada regra: Crítico, Erro, Alerta ou Aviso. A gravidade afeta um valor numérico para a solicitação, que é chamado de pontuação de anomalias:
| Gravidade da regra | Valor que contribuiu para a pontuação de anomalias |
|---|---|
| Crítico | 5 |
| Erro | 4 |
| Aviso | 3 |
| Informativo | 2 |
Se a pontuação de anomalia for 5 ou maior e o WAF estiver no modo de prevenção, a solicitação será bloqueada. Se a pontuação de anomalia for 5 ou maior e o WAF estiver no modo de detecção, a solicitação será registrada, mas não bloqueada.
Por exemplo, uma correspondência de regra Crítica única é suficiente para o WAF bloquear uma solicitação no modo de prevenção, pois a pontuação geral de anomalia é 5. Entretanto, uma correspondência de regra de Aviso aumenta apenas a pontuação de anomalias em 3, o que não é suficiente para bloquear o tráfego. Quando uma regra de anomalia é disparada, ela mostra uma ação "Correspondente" nos logs. Caso a pontuação de anomalia seja 5 ou maior, uma regra separada será acionada com as ações "Bloqueado" ou "Detectado", dependendo de a política do WAF estar no modo de Prevenção ou Detecção. Para obter mais informações, consulte o modo de Pontuação de Anomalias.
Nível de paranóia
Cada regra é atribuída em um Nível de Paranoia (PL) específico. As regras configuradas na Paranóia Nível 1 (PL1) são menos agressivas e quase nunca disparam um falso positivo. Eles fornecem segurança básica com necessidade mínima de ajustes finos. As regras no PL2 detectam mais ataques, mas devem disparar falsos positivos que precisam ser ajustados.
Por padrão, as versões de regra DRS 2.1 e CRS 3.2 são pré-configuradas no Nível de Paranóia 2, incluindo regras atribuídas tanto em PL1 quanto em PL2. Se você quiser usar o WAF exclusivamente com o PL1, pode desabilitar qualquer ou todas as regras PL2 ou alterar a ação para "log". Atualmente, não há suporte para PL3 e PL4 no WAF do Azure.
Observação
O conjunto de regras crs 3.2 inclui regras em PL3 e PL4, mas essas regras estão sempre inativas e não podem ser habilitadas, independentemente de seu estado ou ação configurado.
Atualizando ou alterando a versão do conjunto de regras
Se você estiver atualizando ou atribuindo uma nova versão do conjunto de regras e quiser preservar as substituições e exclusões de regras existentes, é recomendável usar o PowerShell, a CLI, A API REST ou um modelo para fazer alterações na versão do conjunto de regras. Uma nova versão de um conjunto de regras pode ter regras mais recentes ou grupos de regras adicionais, que talvez você queira validar com segurança. É recomendável validar as alterações em um ambiente de teste, ajustar se necessário e, em seguida, implantar em um ambiente de produção. Para obter mais informações, consulte Atualizar a versão do conjunto de regras do CRS ou DRS
Se você estiver usando o portal do Azure para atribuir um novo conjunto de regras gerenciado a uma política do WAF, todas as personalizações anteriores do conjunto de regras gerenciado existente, como estado da regra, ações de regra e exclusões de nível de regra, serão redefinidas para os padrões do novo conjunto de regras gerenciado. No entanto, quaisquer regras personalizadas, configurações de política e exclusões globais permanecerão inalteradas durante a nova atribuição do conjunto de regras. Você precisará redefinir as exceções de regras e validar as alterações antes de implantar em um ambiente de produção.
Gerenciador de Bot 1.0
O conjunto de regras do Bot Manager 1.0 fornece proteção contra bots mal-intencionados e detecção de bots bem-intencionados. As regras fornecem controle granular sobre bots detectados pelo WAF, categorizando o tráfego de bots como bots Bem-intencionados, Mal-intencionados ou Desconhecidos.
| Grupo de regras | Descrição |
|---|---|
| BadBots | Protege contra bots inválidos |
| GoodBots | Identifica bots válidos |
| UnknownBots | Identifica bots desconhecidos |
Gerenciador de Bot 1.1
O conjunto de regras do Bot Manager 1.1 é um aprimoramento do conjunto de regras do Bot Manager 1.0. Ele fornece proteção aprimorada contra bots mal-intencionados e aumenta a detecção de bots bem-intencionados.
| Grupo de regras | Descrição |
|---|---|
| BadBots | Protege contra bots inválidos |
| GoodBots | Identifica bots válidos |
| UnknownBots | Identifica bots desconhecidos |
As regras e os grupos de regras a seguir estão disponíveis ao usar o Firewall do aplicativo Web no gateway de aplicativo.
Conjuntos de regras da versão 2.1
Geral
| ID da regra | Severidade da pontuação de anomalias | Nível de paranóia | Descrição |
|---|---|---|---|
| 200.002 | Crítico - 5 | PL1 | Falha ao analisar o corpo da solicitação |
| 200003 | Crítico - 5 | PL1 | Falha na validação estrita do corpo da solicitação de várias partes |
METHOD ENFORCEMENT
| ID da regra | Severidade da pontuação de anomalias | Nível de paranóia | Descrição |
|---|---|---|---|
| 911.100 | Crítico - 5 | PL1 | O método não é permitido pela política |
PROTOCOL-ENFORCEMENT
| ID da regra | Severidade da pontuação de anomalias | Nível de paranóia | Descrição |
|---|---|---|---|
| 920100 | Aviso - 2 | PL1 | Linha de solicitação de HTTP inválida |
| 920120 | Crítico - 5 | PL1 | Tentativa de bypass de dados de várias partes/formulário |
| 920121 | Crítico - 5 | PL2 | Tentativa de bypass de dados de várias partes/formulário |
| 920160 | Crítico - 5 | PL1 | O cabeçalho HTTP Content-Length não é numérico |
| 920170 | Crítico - 5 | PL1 | Solicitação GET ou HEAD com conteúdo no corpo |
| 920171 | Crítico - 5 | PL1 | Solicitação GET ou HEAD com codificação de transferência |
| 920180 | Aviso - 2 | PL1 | Falta o cabeçalho Content-Length na solicitação POST. |
| 920181 | Aviso - 3 | PL1 | Cabeçalhos Content-Length e Transfer-Encoding presentes 99001003 |
| 920190 | Aviso - 3 | PL1 | Intervalo: último valor de byte inválido |
| 920200 | Aviso - 3 | PL2 | Intervalo: excesso de campos (seis ou mais) |
| 920201 | Aviso - 3 | PL2 | Intervalo: muitos campos para a solicitação de PDF (35 ou mais) |
| 920210 | Crítico - 5 | PL1 | Informações de cabeçalho de conexão conflitantes/múltiplas encontradas |
| 920220 | Aviso - 3 | PL1 | Tentativa de ataque de abuso de codificação de URL |
| 920230 | Aviso - 3 | PL2 | Várias codificações de URL detectadas |
| 920240 | Aviso - 3 | PL1 | Tentativa de ataque de abuso de codificação de URL |
| 920260 | Aviso - 3 | PL1 | Tentativa de ataque de abuso de meia largura/largura total |
| 920270 | Erro – 4 | PL1 | Caractere inválido na solicitação (caractere nulo) |
| 920271 | Crítico - 5 | PL2 | Caractere inválido na solicitação (caracteres não imprimíveis) |
| 920280 | Aviso - 3 | PL1 | Solicitação com cabeçalho de host ausente |
| 920290 | Aviso - 3 | PL1 | Cabeçalho de host vazio |
| 920300 | Aviso - 2 | PL2 | Falta cabeçalho de aceitação da solicitação |
| 920310 | Aviso - 2 | PL1 | A solicitação tem cabeçalho de aceitação vazio |
| 920311 | Aviso - 2 | PL1 | A solicitação tem cabeçalho de aceitação vazio |
| 920320 | Aviso - 2 | PL2 | Cabeçalho do agente de usuário ausente |
| 920330 | Aviso - 2 | PL1 | Cabeçalho do agente do usuário vazio |
| 920340 | Aviso - 2 | PL1 | A solicitação tem conteúdo, mas o cabeçalho Content-Type está ausente |
| 920341 | Crítico - 5 | PL1 | A solicitação tem conteúdo, mas o cabeçalho Content-Type está ausente |
| 920350 | Aviso - 3 | PL1 | O cabeçalho de host é um endereço IP numérico |
| 920420 | Crítico - 5 | PL1 | O tipo de conteúdo da solicitação não é permitido pela política |
| 920430 | Crítico - 5 | PL1 | A versão do protocolo HTTP não é permitida pela política |
| 920440 | Crítico - 5 | PL1 | A extensão de arquivo da URL é restrita pela política |
| 920450 | Crítico - 5 | PL1 | O cabeçalho HTTP é restrita pela política |
| 920470 | Crítico - 5 | PL1 | Cabeçalho de tipo de conteúdo ilegal |
| 920480 | Crítico - 5 | PL1 | O conjunto de caracteres do tipo de conteúdo da solicitação não é permitido pela política |
| 920500 | Crítico - 5 | PL1 | Tentativa de acessar um arquivo de backup ou de trabalho |
PROTOCOL-ATTACK
| ID da regra | Severidade da pontuação de anomalias | Nível de paranóia | Descrição |
|---|---|---|---|
| 921110 | Crítico - 5 | PL1 | Ataque de solicitação HTTP indesejada |
| 921120 | Crítico - 5 | PL1 | Ataque de divisão de resposta HTTP |
| 921130 | Crítico - 5 | PL1 | Ataque de divisão de resposta HTTP |
| 921140 | Crítico - 5 | PL1 | Ataque de injeção de cabeçalho HTTP por meio de cabeçalhos |
| 921150 | Crítico - 5 | PL1 | Ataque de injeção de cabeçalho HTTP por meio de payload (CR/LF detectado) |
| 921151 | Crítico - 5 | PL2 | Ataque de injeção de cabeçalho HTTP por meio de payload (CR/LF detectado) |
| 921160 | Crítico - 5 | PL1 | Ataque de injeção de cabeçalho HTTP por meio de conteúdo (CR/LF e header-name detectado) |
| 921190 | Crítico - 5 | PL1 | Divisão de HTTP (CR/LF no nome do arquivo de solicitação detectado) |
| 921.200 | Crítico - 5 | PL1 | Ataques de injeção de LDAP |
LFI – Inclusão de arquivo local
| ID da regra | Severidade da pontuação de anomalias | Nível de paranóia | Descrição |
|---|---|---|---|
| 930100 | Crítico - 5 | PL1 | Ataques de percurso de caminho (/../) |
| 930110 | Crítico - 5 | PL1 | Ataques de percurso de caminho (/../) |
| 930120 | Crítico - 5 | PL1 | Tentativa de acesso ao arquivo do sistema operacional |
| 930130 | Crítico - 5 | PL1 | Tentativa de acesso a arquivo restrito |
RFI – Inclusão de arquivo remoto
| ID da regra | Severidade da pontuação de anomalias | Nível de paranóia | Descrição |
|---|---|---|---|
| 931100 | Crítico - 5 | PL1 | Possível ataque de RFI (inclusão de arquivo remoto): parâmetro de URL usando endereço IP |
| 931110 | Crítico - 5 | PL1 | Possível ataque de RFI (inclusão de arquivo remoto): nome de parâmetro vulnerável de RFI comum usado com carga de URL |
| 931.120 | Crítico - 5 | PL1 | Possível ataque de RFI (inclusão de arquivo remoto): carga de URL usada com o caractere de ponto de interrogação à direita (?) |
| 931.130 | Crítico - 5 | PL2 | Possível ataque de RFI (inclusão de arquivo remoto): referência/link fora do domínio |
RCE – Execução remota de comando
| ID da regra | Severidade da pontuação de anomalias | Nível de paranóia | Descrição |
|---|---|---|---|
| 932100 | Crítico - 5 | PL1 | Execução de comando remoto: injeção de comando Unix |
| 932105 | Crítico - 5 | PL1 | Execução de comando remoto: injeção de comando Unix |
| 932110 | Crítico - 5 | PL1 | Execução de comando remoto: injeção de comando Windows |
| 932115 | Crítico - 5 | PL1 | Execução de comando remoto: injeção de comando Windows |
| 932120 | Crítico - 5 | PL1 | Execução remota de comando: comando do Windows PowerShell encontrado |
| 932130 | Crítico - 5 | PL1 | Execução de comando remoto: vulnerabilidade de confluência ou expressão do shell do Unix (CVE-2022-26134) encontrada |
| 932140 | Crítico - 5 | PL1 | Execução remota de comando: comando Windows FOR/IF encontrado |
| 932150 | Crítico - 5 | PL1 | Execução de comando remoto: execução direta de comando Unix |
| 932160 | Crítico - 5 | PL1 | Execução remota de comando: código shell do Unix encontrado |
| 932170 | Crítico - 5 | PL1 | Execução remota de comando: shellshock (CVE-2014-6271) |
| 932171 | Crítico - 5 | PL1 | Execução remota de comando: shellshock (CVE-2014-6271) |
| 932180 | Crítico - 5 | PL1 | Tentativa de carregamento de arquivo restrito |
Ataques de PHP
| ID da regra | Severidade da pontuação de anomalias | Nível de paranóia | Descrição |
|---|---|---|---|
| 933100 | Crítico - 5 | PL1 | Ataque de injeção de PHP: marca de abertura/fechamento encontrada |
| 933110 | Crítico - 5 | PL1 | Ataque de injeção de PHP: carregamento de arquivo de script PHP encontrado |
| 933120 | Crítico - 5 | PL1 | Ataque de injeção de PHP: diretiva de configuração encontrada |
| 933130 | Crítico - 5 | PL1 | Ataque de injeção de PHP: variáveis encontradas |
| 933140 | Crítico - 5 | PL1 | Ataque de injeção de PHP: fluxo de E/S encontrado |
| 933150 | Crítico - 5 | PL1 | Ataque de injeção de PHP: nome da função PHP de alto risco encontrado |
| 933151 | Crítico - 5 | PL2 | Ataque de injeção de PHP: nome de função PHP de médio risco encontrado |
| 933160 | Crítico - 5 | PL1 | Ataque de injeção de PHP: chamada de função PHP de alto risco encontrada |
| 933170 | Crítico - 5 | PL1 | Ataque de injeção de PHP: injeção de objeto serializado |
| 933180 | Crítico - 5 | PL1 | Ataque de injeção de PHP: chamada de função de variável encontrada |
| 933200 | Crítico - 5 | PL1 | Ataque de injeção de PHP: esquema de wrapper detectado |
| 933210 | Crítico - 5 | PL1 | Ataque de injeção de PHP: chamada de função de variável encontrada |
Ataques Node JS
| ID da regra | Severidade da pontuação de anomalias | Nível de paranóia | Descrição |
|---|---|---|---|
| 934100 | Crítico - 5 | PL1 | Ataque de injeção Node.js |
XSS – Script entre sites
| ID da regra | Severidade da pontuação de anomalias | Nível de paranóia | Descrição |
|---|---|---|---|
| 941100 | Crítico - 5 | PL1 | Ataque de XSS detectado via libinjection |
| 941101 | Crítico - 5 | PL2 | Ataque de XSS detectado via libinjection. Essa regra detecta solicitações com um cabeçalho de encaminhador |
| 941110 | Crítico - 5 | PL1 | Filtro XSS – Categoria 1: vetor de marca de script |
| 941.120 | Crítico - 5 | PL1 | Filtro XSS – Categoria 2: vetor de manipulador de eventos |
| 941.130 | Crítico - 5 | PL1 | Filtro XSS – Categoria 3: vetor de atributo |
| 941.140 | Crítico - 5 | PL1 | Filtro XSS – Categoria 4: vetor de URI de JavaScript |
| 941150 | Crítico - 5 | PL2 | Filtro XSS – Categoria 5: atributos HTML não permitidos |
| 941.160 | Crítico - 5 | PL1 | NoScript XSS InjectionChecker: injeção de HTML |
| 941.170 | Crítico - 5 | PL1 | NoScript XSS InjectionChecker: injeção de atributo |
| 941.180 | Crítico - 5 | PL1 | Palavras-chave da lista de bloqueios do validador de nós |
| 941.190 | Crítico - 5 | PL1 | XSS usando folhas de estilos |
| 941200 | Crítico - 5 | PL1 | XSS usando quadros VML |
| 941210 | Crítico - 5 | PL1 | XSS usando JavaScript ofuscado |
| 941.220 | Crítico - 5 | PL1 | XSS usando script de VB ofuscado |
| 941.230 | Crítico - 5 | PL1 | XSS usando a marca 'embed' |
| 941.240 | Crítico - 5 | PL1 | XSS usando o atributo 'import' ou 'implementation' |
| 941250 | Crítico - 5 | PL1 | Filtros XSS do IE - ataque detectado |
| 941260 | Crítico - 5 | PL1 | XSS usando a marca 'meta' |
| 941.270 | Crítico - 5 | PL1 | XSS usando href 'link' |
| 941.280 | Crítico - 5 | PL1 | XSS usando a marca 'base' |
| 941290 | Crítico - 5 | PL1 | XSS usando a marca 'applet' |
| 941.300 | Crítico - 5 | PL1 | XSS usando a marca 'object' |
| 941310 | Crítico - 5 | PL1 | Filtro XSS com codificação malformada US-ASCII – Ataque detectado |
| 941.320 | Crítico - 5 | PL2 | Possível ataque XSS detectado - manipulador de marcação HTML |
| 941.330 | Crítico - 5 | PL2 | Filtros XSS do IE - ataque detectado |
| 941340 | Crítico - 5 | PL2 | Filtros XSS do IE - ataque detectado |
| 941350 | Crítico - 5 | PL1 | XSS do IE com codificação UTF-7 – Ataque detectado |
| 941360 | Crítico - 5 | PL1 | Ofuscação de JavaScript detectada |
| 941370 | Crítico - 5 | PL1 | Variável global de JavaScript encontrada |
| 941380 | Crítico - 5 | PL2 | Injeção de modelo detectada no lado do cliente do AngularJS |
SQLI – Injeção de SQL
| ID da regra | Severidade da pontuação de anomalias | Nível de paranóia | Descrição |
|---|---|---|---|
| 942100 | Crítico - 5 | PL1 | Ataque de injeção de SQL detectado via libinjection |
| 942110 | Aviso - 3 | PL2 | Ataque de injeção de SQL: teste de injeção comum detectado |
| 942.120 | Crítico - 5 | PL2 | Ataque de injeção de SQL: operador SQL detectado |
| 942130 | Crítico - 5 | PL2 | Ataque de injeção de SQL: tautologia de SQL detectada |
| 942140 | Crítico - 5 | PL1 | Ataque de injeção de SQL: nomes comuns de banco de dados detectados |
| 942.150 | Crítico - 5 | PL2 | Ataque de injeção de SQL |
| 942.160 | Crítico - 5 | PL1 | Detecta testes sqli cegos usando sleep() ou benchmark() |
| 942170 | Crítico - 5 | PL1 | Detecta tentativas de injeção de sleep e benchmark SQL, incluindo consultas condicionais |
| 942.180 | Crítico - 5 | PL2 | Detecta tentativas básicas de bypass de autenticação SQL 1/3 |
| 942.190 | Crítico - 5 | PL1 | Detecta tentativas de coleta de informações e de execução do código MSSQL |
| 942.200 | Crítico - 5 | PL2 | Detecta injeções de comment-/space-obfuscated e o encerramento de backticks do MySQL |
| 942.210 | Crítico - 5 | PL2 | Detecta tentativas encadeadas de injeção de SQL 1/2 |
| 942.220 | Crítico - 5 | PL1 | Procurando ataques de estouro de inteiros, que são retirados do skipfish, exceto 3.0.00738585072007e-308, que é o "número mágico" de falha |
| 942.230 | Crítico - 5 | PL1 | Detecta tentativas de injeção de SQL condicionais |
| 942.240 | Crítico - 5 | PL1 | Detecta a troca de conjunto de caracteres MySQL e tentativas de DoS MSSQL |
| 942.250 | Crítico - 5 | PL1 | Detecta injeções de MATCH AGAINST, MERGE e EXECUTE IMMEDIATE |
| 942.260 | Crítico - 5 | PL2 | Detecta tentativas básicas de bypass de autenticação SQL 2/3 |
| 942.270 | Crítico - 5 | PL1 | Procurando injeção de sql básica. Cadeia de caracteres de ataque comum para mysql, oracle e outros |
| 942.280 | Crítico - 5 | PL1 | Detecta injeção de pg_sleep de do Postgres, ataques de atraso waitfor e tentativas de desligamento de banco de dados |
| 942.290 | Crítico - 5 | PL1 | Localiza tentativas de injeção de SQL MongoDB básica |
| 942.300 | Crítico - 5 | PL2 | Detecta comentários, condições e injeções ch(a)r do MySQL |
| 942310 | Crítico - 5 | PL2 | Detecta tentativas encadeadas de injeção de SQL 2/2 |
| 942.320 | Crítico - 5 | PL1 | Detecta injeções de função/procedimento armazenado em MySQL e PostgreSQL |
| 942.330 | Crítico - 5 | PL2 | Detecta investigações de injeção de SQL clássicas 1/2 |
| 942.340 | Crítico - 5 | PL2 | Detecta tentativas básicas de bypass de autenticação SQL 3/3 |
| 942350 | Crítico - 5 | PL1 | Detecta injeção de UDF MySQL e outras tentativas de manipulação de dados/estrutura |
| 942360 | Crítico - 5 | PL1 | Detecta injeções de SQL básicas concatenadas e tentativas de SQLLFI |
| 942.361 | Crítico - 5 | PL2 | Detecta a injeção de SQL básica com base na alteração ou união de palavra-chave |
| 942.370 | Crítico - 5 | PL2 | Detecta investigações de injeção de SQL clássicas 2/2 |
| 942.380 | Crítico - 5 | PL2 | Ataque de injeção de SQL |
| 942.390 | Crítico - 5 | PL2 | Ataque de injeção de SQL |
| 942.400 | Crítico - 5 | PL2 | Ataque de injeção de SQL |
| 942410 | Crítico - 5 | PL2 | Ataque de injeção de SQL |
| 942430 | Aviso - 3 | PL2 | Detecção restrita de anomalias de caracteres SQL (args): # de caracteres especiais excedidos (12) |
| 942440 | Crítico - 5 | PL2 | Sequência de comentários SQL detectada |
| 942450 | Crítico - 5 | PL2 | Codificação hexadecimal de SQL identificada |
| 942470 | Crítico - 5 | PL2 | Ataque de injeção de SQL |
| 942480 | Crítico - 5 | PL2 | Ataque de injeção de SQL |
| 942500 | Crítico - 5 | PL1 | Comentário em linha detectado no MySQL |
| 942.510 | Crítico - 5 | PL2 | Tentativa de bypass de SQLi por ticks ou backticks detectada. |
SESSION-FIXATION
| ID da regra | Severidade da pontuação de anomalias | Nível de paranóia | Descrição |
|---|---|---|---|
| 943100 | Crítico - 5 | PL1 | Possível ataque de fixação de sessão: definindo valores de cookie em HTML |
| 943110 | Crítico - 5 | PL1 | Possível ataque de fixação de sessão: nome do parâmetro de SessionID com referenciador fora do domínio |
| 943120 | Crítico - 5 | PL1 | Possível ataque de fixação de sessão: nome do parâmetro de SessionID sem referenciador |
Ataques de Java
| ID da regra | Severidade da pontuação de anomalias | Nível de paranóia | Descrição |
|---|---|---|---|
| 944.100 | Crítico - 5 | PL1 | Execução remota de comando: Apache Struts, Oracle WebLogic |
| 944.110 | Crítico - 5 | PL1 | Detecta a execução de carga potencial |
| 944.120 | Crítico - 5 | PL1 | Possível execução de carga e execução remota de comando |
| 944.130 | Crítico - 5 | PL1 | Classes Java suspeitas |
| 944200 | Crítico - 5 | PL2 | Exploração do Apache Commons de desserialização do Java |
| 944.210 | Crítico - 5 | PL2 | Possível uso da serialização Java |
| 944.240 | Crítico - 5 | PL2 | Execução de comando remoto: serialização de Java e vulnerabilidade Log4j (CVE-2021-44228, CVE-2021-45046) |
| 944250 | Crítico - 5 | PL2 | Execução remota de comando: método Java suspeito detectado |
MS-ThreatIntel-WebShells
| ID da regra | Severidade da pontuação de anomalias | Nível de paranóia | Descrição |
|---|---|---|---|
| 99005002 | Crítico - 5 | PL2 | Tentativa de interação de web shell (POST) |
| 99005003 | Crítico - 5 | PL2 | Tentativa de upload de web shell (POST) - CHOPPER PHP |
| 99005004 | Crítico - 5 | PL2 | Tentativa de upload de web shell (POST) - CHOPPER ASPX |
| 99005005 | Crítico - 5 | PL2 | Tentativa de interação de web shell |
| 99005006 | Crítico - 5 | PL2 | Tentativa de interação do Spring4Shell |
MS-ThreatIntel-AppSec
| ID da regra | Severidade da pontuação de anomalias | Nível de paranóia | Descrição |
|---|---|---|---|
| 99030001 | Crítico - 5 | PL2 | Evasão de percurso de caminho em cabeçalhos (/.././../) |
| 99030002 | Crítico - 5 | PL2 | Evasão de percurso de caminho no corpo da solicitação (/.././../) |
MS-ThreatIntel-SQLI
| ID da regra | Severidade da pontuação de anomalias | Nível de paranóia | Descrição |
|---|---|---|---|
| 99.031.001 | Aviso - 3 | PL2 | Ataque de injeção de SQL: teste de injeção comum detectado |
| 99.031.002 | Crítico - 5 | PL2 | Sequência de comentários SQL detectada |
| 99.031.003 | Crítico - 5 | PL2 | Ataque de injeção de SQL |
| 99031004 | Crítico - 5 | PL2 | Detecta tentativas básicas de bypass de autenticação SQL 2/3 |
MS-ThreatIntel-CVEs
| ID da regra | Severidade da pontuação de anomalias | Nível de paranóia | Descrição |
|---|---|---|---|
| 99001001 | Crítico - 5 | PL2 | Tentativa de exploração da API REST de F5 tmui (CVE-2020-5902) com credenciais conhecidas |
| 99001002 | Crítico - 5 | PL2 | Tentativa de travessia de diretório do Citrix NSC_USER CVE-2019-19781 |
| 99001003 | Crítico - 5 | PL2 | Tentativa de exploração do conector de widget do Atlassian Confluence CVE-2019-3396 |
| 99001004 | Crítico - 5 | PL2 | Tentativa de exploração de modelo personalizado do Pulse Secure CVE-2020-8243 |
| 99001005 | Crítico - 5 | PL2 | Tentativa de exploração do conversor de tipo do SharePoint CVE-2020-0932 |
| 99001006 | Crítico - 5 | PL2 | Tentativa de passagem de diretório do Pulse Connect CVE-2019-11510 |
| 99001007 | Crítico - 5 | PL2 | Tentativa de inclusão do arquivo local do J-Web do Junos OS CVE-2020-1631 |
| 99001008 | Crítico - 5 | PL2 | Tentativa de passagem de caminho do Fortinet CVE-2018-13379 |
| 99001009 | Crítico - 5 | PL2 | Tentativa de injeção de ognl do Apache Struts CVE-2017-5638 |
| 99001010 | Crítico - 5 | PL2 | Tentativa de injeção de ognl do Apache Struts CVE-2017-12611 |
| 99001011 | Crítico - 5 | PL2 | Tentativa de travessia de caminho do Oracle WebLogic CVE-2020-14882 |
| 99.001.012 | Crítico - 5 | PL2 | Tentativa de exploração de desserialização não segura da WebUI do Telerik CVE-2019-18935 |
| 99.001.013 | Crítico - 5 | PL2 | Tentativa de desserialização de XML não segura do SharePoint CVE-2019-0604 |
| 99001014 | Crítico - 5 | PL2 | Tentativa de injeção de expressão de roteamento do Spring Cloud CVE-2022-22963 |
| 99001015 | Crítico - 5 | PL2 | Tentativa de exploração de objeto de classe não segura do Spring Framework CVE-2022-22965 |
| 99001016 | Crítico - 5 | PL2 | Tentativa de injeção do Actuator do Spring Cloud Gateway CVE-2022-22947 |
| 99001017* | Não aplicável | Não aplicável | Tentativa de exploração de upload de arquivo do Apache Struts CVE-2023-50164 |
| 99001018 | Crítico - 5 | PL1 | Tentativa de exploração de código remoto do React2Shell CVE-2025-55182 |
* A ação dessa regra é definida como log por padrão. Defina a ação como Bloquear para evitar a vulnerabilidade do Apache Struts. Não há suporte para a Pontuação de Anomalias dessa regra.
Observação
Ao revisar os logs do WAF, você poderá ver a ID da regra 949110. A descrição da regra pode incluir a Pontuação de Anomalias de Entrada Excedida.
Essa regra indica que a pontuação total de anomalias para a solicitação excedeu a máxima permitida. Para obter mais informações, confira Pontuação de anomalias.
Abaixo estão as versões anteriores do Conjunto de Regras Principais. Se você estiver usando CRS 3.2, CRS 3.1, CRS 3.0 ou CRS 2.2.9, é recomendável atualizar para a versão mais recente do conjunto de regras do DRS 2.1. Para obter mais informações, consulte Atualizar ou alterar a versão do conjunto de regras.
- OWASP 3.2 (herdado)
- OWASP 3.1 (herdado)
- OWASP 3.0 – não há mais suporte
- OWASP 2.2.9 – não há mais suporte
Conjuntos de regras 3.2
Geral
| ID da regra | Severidade da pontuação de anomalias | Nível de paranóia | Descrição |
|---|---|---|---|
| 200.002 | Crítico - 5 | PL1 | Falhou ao analisar o corpo da solicitação |
| 200003 | Crítico - 5 | PL1 | Validação Estrita do Corpo de Solicitação Multipartes |
| 200004 | Crítico - 5 | PL1 | Possível limite multiparte não correspondido |
CVES CONHECIDA
| ID da regra | Severidade da pontuação de anomalias | Nível de paranóia | Descrição |
|---|---|---|---|
| 800100 | Crítico - 5 | PL2 | Regra para ajudar a detectar e mitigar a vulnerabilidade Log4J CVE-2021-44228, CVE-2021-45046 |
| 800110 | Crítico - 5 | PL2 | Tentativa de interação do Spring4Shell |
| 800111 | Crítico - 5 | PL2 | Tentativa de injeção de expressão de roteamento do Spring Cloud – CVE-2022-22963 |
| 800112 | Crítico - 5 | PL2 | Tentativa de exploração de objeto de classe não segura do Spring Framework – CVE-2022-22965 |
| 800113 | Crítico - 5 | PL2 | Tentativa de injeção do Actuator do Spring Cloud Gateway – CVE-2022-22947 |
| 800114* | Crítico - 5 | PL2 | Tentativa de exploração de upload do arquivo do Apache Struts – CVE-2023-50164 |
* A ação dessa regra é definida como log por padrão. Defina a ação como Bloquear para evitar a vulnerabilidade do Apache Struts. Não há suporte para a Pontuação de Anomalias dessa regra.
REQUEST-911-METHOD-ENFORCEMENT
| ID da regra | Severidade da pontuação de anomalias | Nível de paranóia | Descrição |
|---|---|---|---|
| 911.100 | Crítico - 5 | PL1 | O método não é permitido pela política |
SOLICITAÇÃO-913-DETECÇÃO DE SCANNER
| ID da regra | Severidade da pontuação de anomalias | Nível de paranóia | Descrição |
|---|---|---|---|
| 913100 | Crítico - 5 | PL1 | Encontrado Agente-Usuário associado ao verificador de segurança |
| 913101 | Crítico - 5 | PL2 | Encontrado Agente-Usuário associado a cliente HTTP de scripting/genérico |
| 913102 | Crítico - 5 | PL2 | Encontrado Agente-Usuário associado a bot/rastreador Web |
| 913110 | Crítico - 5 | PL1 | Encontrado cabeçalho de solicitação associado ao verificador de segurança |
| 913120 | Crítico - 5 | PL1 | Encontrado nome de arquivo/argumento de solicitação associado ao verificador de segurança |
REQUEST-920-PROTOCOL-ENFORCEMENT
| ID da regra | Severidade da pontuação de anomalias | Nível de paranóia | Descrição |
|---|---|---|---|
| 920100 | Aviso - 3 | PL1 | Linha de solicitação de HTTP inválida |
| 920120 | Crítico - 5 | PL1 | Tentativa de bypass de dados de várias partes/formulário |
| 920121 | Crítico - 5 | PL2 | Tentativa de bypass de dados de várias partes/formulário |
| 920160 | Crítico - 5 | PL1 | O cabeçalho HTTP Content-Length não é numérico |
| 920170 | Crítico - 5 | PL1 | Solicitação GET ou HEAD com conteúdo no corpo |
| 920171 | Crítico - 5 | PL1 | Solicitação GET ou HEAD com codificação de transferência |
| 920180 | Aviso - 3 | PL1 | Falta o cabeçalho Content-Length na solicitação POST. |
| 920190 | Aviso - 3 | PL1 | Intervalo: último valor de byte inválido |
| 920200 | Aviso - 3 | PL2 | Intervalo: excesso de campos (seis ou mais) |
| 920201 | Aviso - 3 | PL2 | Intervalo: muitos campos para a solicitação de PDF (35 ou mais) |
| 920210 | Aviso - 3 | PL1 | Informações de cabeçalho de conexão conflitantes/múltiplas encontradas |
| 920220 | Aviso - 3 | PL1 | Tentativa de ataque de abuso de codificação de URL |
| 920230 | Aviso - 3 | PL2 | Várias codificações de URL detectadas |
| 920240 | Aviso - 3 | PL1 | Tentativa de ataque de abuso de codificação de URL |
| 920250 | Aviso - 3 | PL1 | Tentativa de ataque de abuso de codificação UTF8 |
| 920260 | Aviso - 3 | PL1 | Tentativa de ataque de abuso de meia largura/largura total |
| 920270 | Crítico - 5 | PL1 | Caractere inválido na solicitação (caractere nulo) |
| 920271 | Crítico - 5 | PL2 | Caractere inválido na solicitação (caracteres não imprimíveis) |
| 920280 | Aviso - 3 | PL1 | Solicitação com cabeçalho de host ausente |
| 920290 | Aviso - 3 | PL1 | Cabeçalho de host vazio |
| 920300 | Aviso - 2 | PL2 | Falta cabeçalho de aceitação da solicitação |
| 920310 | Aviso - 2 | PL1 | A solicitação tem cabeçalho de aceitação vazio |
| 920311 | Aviso - 2 | PL1 | A solicitação tem cabeçalho de aceitação vazio |
| 920320 | Aviso - 2 | PL2 | Cabeçalho do agente de usuário ausente |
| 920330 | Aviso - 2 | PL1 | Cabeçalho do agente do usuário vazio |
| 920340 | Aviso - 2 | PL1 | A solicitação tem conteúdo, mas o cabeçalho Content-Type está ausente |
| 920341 | Crítico - 5 | PL2 | A solicitação tem conteúdo, mas o cabeçalho Content-Type está ausente |
| 920350 | Aviso - 3 | PL1 | O cabeçalho de host é um endereço IP numérico |
| 920420 | Crítico - 5 | PL1 | O tipo de conteúdo da solicitação não é permitido pela política |
| 920430 | Crítico - 5 | PL1 | A versão do protocolo HTTP não é permitida pela política |
| 920440 | Crítico - 5 | PL1 | A extensão de arquivo da URL é restrita pela política |
| 920450 | Crítico - 5 | PL1 | Cabeçalho HTTP é restrito pela política (%{MATCHED_VAR}) |
| 920470 | Crítico - 5 | PL1 | Cabeçalho de tipo de conteúdo ilegal |
| 920480 | Crítico - 5 | PL1 | Restringe o parâmetro charset dentro do cabeçalho de tipo de conteúdo |
REQUEST-921-PROTOCOL-ATTACK
| ID da regra | Severidade da pontuação de anomalias | Nível de paranóia | Descrição |
|---|---|---|---|
| 921110 | Crítico - 5 | PL1 | Ataque de solicitação HTTP indesejada |
| 921120 | Crítico - 5 | PL1 | Ataque de divisão de resposta HTTP |
| 921130 | Crítico - 5 | PL1 | Ataque de divisão de resposta HTTP |
| 921140 | Crítico - 5 | PL1 | Ataque de injeção de cabeçalho HTTP por meio de cabeçalhos |
| 921150 | Crítico - 5 | PL1 | Ataque de injeção de cabeçalho HTTP por meio de payload (CR/LF detectado) |
| 921151 | Crítico - 5 | PL2 | Ataque de injeção de cabeçalho HTTP por meio de payload (CR/LF detectado) |
| 921160 | Crítico - 5 | PL1 | Ataque de injeção de cabeçalho HTTP por meio de conteúdo (CR/LF e header-name detectado) |
REQUEST-930-APPLICATION-ATTACK-LFI
| ID da regra | Severidade da pontuação de anomalias | Nível de paranóia | Descrição |
|---|---|---|---|
| 930100 | Crítico - 5 | PL1 | Ataques de percurso de caminho (/../) |
| 930110 | Crítico - 5 | PL1 | Ataques de percurso de caminho (/../) |
| 930120 | Crítico - 5 | PL1 | Tentativa de acesso ao arquivo do sistema operacional |
| 930130 | Crítico - 5 | PL1 | Tentativa de acesso a arquivo restrito |
REQUEST-931-APPLICATION-ATTACK-RFI
| ID da regra | Severidade da pontuação de anomalias | Nível de paranóia | Descrição |
|---|---|---|---|
| 931100 | Crítico - 5 | PL1 | Possível ataque de RFI (inclusão de arquivo remoto): parâmetro de URL usando endereço IP |
| 931110 | Crítico - 5 | PL1 | Possível ataque de RFI (inclusão de arquivo remoto): nome de parâmetro vulnerável de RFI comum usado com carga de URL |
| 931.120 | Crítico - 5 | PL1 | Possível ataque de RFI (inclusão de arquivo remoto): carga de URL usada com o caractere de ponto de interrogação à direita (?) |
| 931.130 | Crítico - 5 | PL2 | Possível ataque de RFI (inclusão de arquivo remoto): referência/link fora do domínio |
REQUEST-932-APPLICATION-ATTACK-RCE
| ID da regra | Severidade da pontuação de anomalias | Nível de paranóia | Descrição |
|---|---|---|---|
| 932100 | Crítico - 5 | PL1 | Execução de comando remoto: injeção de comando Unix |
| 932105 | Crítico - 5 | PL1 | Execução de comando remoto: injeção de comando Unix |
| 932110 | Crítico - 5 | PL1 | Execução de comando remoto: injeção de comando Windows |
| 932115 | Crítico - 5 | PL1 | Execução de comando remoto: injeção de comando Windows |
| 932120 | Crítico - 5 | PL1 | Execução remota de comando: comando do Windows PowerShell encontrado |
| 932130 | Crítico - 5 | PL1 | Execução de comando remoto: vulnerabilidade de confluência ou expressão do shell do Unix (CVE-2022-26134) ou Text4Shell (CVE-2022-42889) encontrada |
| 932140 | Crítico - 5 | PL1 | Execução remota de comando: comando Windows FOR/IF encontrado |
| 932150 | Crítico - 5 | PL1 | Execução de comando remoto: execução direta de comando Unix |
| 932160 | Crítico - 5 | PL1 | Execução remota de comando: código shell do Unix encontrado |
| 932170 | Crítico - 5 | PL1 | Execução remota de comando: shellshock (CVE-2014-6271) |
| 932171 | Crítico - 5 | PL1 | Execução remota de comando: shellshock (CVE-2014-6271) |
| 932180 | Crítico - 5 | PL1 | Tentativa de carregamento de arquivo restrito |
REQUEST-933-APPLICATION-ATTACK-PHP
| ID da regra | Severidade da pontuação de anomalias | Nível de paranóia | Descrição |
|---|---|---|---|
| 933100 | Crítico - 5 | PL1 | Ataque de injeção de PHP: marca de abertura/fechamento encontrada |
| 933110 | Crítico - 5 | PL1 | Ataque de injeção de PHP: carregamento de arquivo de script PHP encontrado |
| 933120 | Crítico - 5 | PL1 | Ataque de injeção de PHP: diretiva de configuração encontrada |
| 933130 | Crítico - 5 | PL1 | Ataque de injeção de PHP: variáveis encontradas |
| 933140 | Crítico - 5 | PL1 | Ataque de injeção de PHP: fluxo de E/S encontrado |
| 933150 | Crítico - 5 | PL1 | Ataque de injeção de PHP: nome da função PHP de alto risco encontrado |
| 933151 | Crítico - 5 | PL2 | Ataque de injeção de PHP: nome de função PHP de médio risco encontrado |
| 933160 | Crítico - 5 | PL1 | Ataque de injeção de PHP: chamada de função PHP de alto risco encontrada |
| 933170 | Crítico - 5 | PL1 | Ataque de injeção de PHP: injeção de objeto serializado |
| 933180 | Crítico - 5 | PL1 | Ataque de injeção de PHP: chamada de função de variável encontrada |
| 933200 | Crítico - 5 | PL1 | Ataque de injeção de PHP: esquema de wrapper detectado |
| 933210 | Crítico - 5 | PL1 | Ataque de injeção de PHP: chamada de função de variável encontrada |
REQUEST-941-APPLICATION-ATTACK-XSS
| ID da regra | Severidade da pontuação de anomalias | Nível de paranóia | Descrição |
|---|---|---|---|
| 941100 | Crítico - 5 | PL1 | Ataque de XSS detectado via libinjection |
| 941101 | Crítico - 5 | PL2 | Ataque XSS detectado por meio de libinjection Essa regra detecta solicitações com um cabeçalho de encaminhador |
| 941110 | Crítico - 5 | PL1 | Filtro XSS – Categoria 1: vetor de marca de script |
| 941.120 | Crítico - 5 | PL1 | Filtro XSS – Categoria 2: vetor de manipulador de eventos |
| 941.130 | Crítico - 5 | PL1 | Filtro XSS – Categoria 3: vetor de atributo |
| 941.140 | Crítico - 5 | PL1 | Filtro XSS – Categoria 4: vetor de URI de JavaScript |
| 941150 | Crítico - 5 | PL2 | Filtro XSS – Categoria 5: atributos HTML não permitidos |
| 941.160 | Crítico - 5 | PL1 | NoScript XSS InjectionChecker: injeção de HTML |
| 941.170 | Crítico - 5 | PL1 | NoScript XSS InjectionChecker: injeção de atributo |
| 941.180 | Crítico - 5 | PL1 | Palavras-chave da lista negra do validador de nós |
| 941.190 | Crítico - 5 | PL1 | XSS usando folhas de estilos |
| 941200 | Crítico - 5 | PL1 | XSS usando quadros VML |
| 941210 | Crítico - 5 | PL1 | XSS usando JavaScript ou Text4Shell ofuscado (CVE-2022-42889) |
| 941.220 | Crítico - 5 | PL1 | XSS usando script de VB ofuscado |
| 941.230 | Crítico - 5 | PL1 | XSS usando a marca 'embed' |
| 941.240 | Crítico - 5 | PL1 | XSS usando o atributo 'import' ou 'implementation' |
| 941250 | Crítico - 5 | PL1 | Filtros XSS do IE - ataque detectado |
| 941260 | Crítico - 5 | PL1 | XSS usando a marca 'meta' |
| 941.270 | Crítico - 5 | PL1 | XSS usando href 'link' |
| 941.280 | Crítico - 5 | PL1 | XSS usando a marca 'base' |
| 941290 | Crítico - 5 | PL1 | XSS usando a marca 'applet' |
| 941.300 | Crítico - 5 | PL1 | XSS usando a marca 'object' |
| 941310 | Crítico - 5 | PL1 | Filtro XSS com codificação malformada US-ASCII – Ataque detectado |
| 941.320 | Crítico - 5 | PL2 | Possível ataque XSS detectado - manipulador de marcação HTML |
| 941.330 | Crítico - 5 | PL2 | Filtros XSS do IE - ataque detectado |
| 941340 | Crítico - 5 | PL2 | Filtros XSS do IE - ataque detectado |
| 941350 | Crítico - 5 | PL1 | XSS do IE com codificação UTF-7 – Ataque detectado |
| 941360 | Crítico - 5 | PL1 | Ofuscação de JavaScript detectada |
REQUEST-942-APPLICATION-ATTACK-SQLI
| ID da regra | Severidade da pontuação de anomalias | Nível de paranóia | Descrição |
|---|---|---|---|
| 942100 | Crítico - 5 | PL1 | Ataque de injeção de SQL detectado via libinjection |
| 942110 | Aviso - 3 | PL2 | Ataque de injeção de SQL: teste de injeção comum detectado |
| 942.120 | Crítico - 5 | PL2 | Ataque de injeção de SQL: operador SQL detectado |
| 942130 | Crítico - 5 | PL2 | Ataque de injeção de SQL: tautologia de SQL detectada |
| 942140 | Crítico - 5 | PL1 | Ataque de injeção de SQL: nomes comuns de banco de dados detectados |
| 942.150 | Crítico - 5 | PL2 | Ataque de injeção de SQL |
| 942.160 | Crítico - 5 | PL1 | Detecta testes sqli cegos usando sleep() ou benchmark() |
| 942170 | Crítico - 5 | PL1 | Detecta tentativas de injeção de sleep e benchmark SQL, incluindo consultas condicionais |
| 942.180 | Crítico - 5 | PL2 | Detecta tentativas básicas de bypass de autenticação SQL 1/3 |
| 942.190 | Crítico - 5 | PL1 | Detecta tentativas de coleta de informações e de execução do código MSSQL |
| 942.200 | Crítico - 5 | PL2 | Detecta injeções de comment-/space-obfuscated e o encerramento de backticks do MySQL |
| 942.210 | Crítico - 5 | PL2 | Detecta tentativas encadeadas de injeção de SQL 1/2 |
| 942.220 | Crítico - 5 | PL1 | Procurando ataques de estouro de inteiros, que são retirados do skipfish, exceto 3.0.00738585072007e-308, que é o "número mágico" de falha |
| 942.230 | Crítico - 5 | PL1 | Detecta tentativas de injeção de SQL condicionais |
| 942.240 | Crítico - 5 | PL1 | Detecta a troca de conjunto de caracteres MySQL e tentativas de DoS MSSQL |
| 942.250 | Crítico - 5 | PL1 | Detecta injeções de MATCH AGAINST, MERGE e EXECUTE IMMEDIATE |
| 942.260 | Crítico - 5 | PL2 | Detecta tentativas básicas de bypass de autenticação SQL 2/3 |
| 942.270 | Crítico - 5 | PL1 | Procurando injeção de sql básica. Cadeia de caracteres de ataque comum para mysql, oracle e outros |
| 942.280 | Crítico - 5 | PL1 | Detecta injeção de pg_sleep de do Postgres, ataques de atraso waitfor e tentativas de desligamento de banco de dados |
| 942.290 | Crítico - 5 | PL1 | Localiza tentativas de injeção de SQL MongoDB básica |
| 942.300 | Crítico - 5 | PL2 | Detecta comentários, condições e injeções ch(a)r do MySQL |
| 942310 | Crítico - 5 | PL2 | Detecta tentativas encadeadas de injeção de SQL 2/2 |
| 942.320 | Crítico - 5 | PL1 | Detecta injeções de função/procedimento armazenado em MySQL e PostgreSQL |
| 942.330 | Crítico - 5 | PL2 | Detecta investigações de injeção de SQL clássicas 1/2 |
| 942.340 | Crítico - 5 | PL2 | Detecta tentativas básicas de bypass de autenticação SQL 3/3 |
| 942350 | Crítico - 5 | PL1 | Detecta injeção de UDF MySQL e outras tentativas de manipulação de dados/estrutura |
| 942360 | Crítico - 5 | PL1 | Detecta injeções de SQL básicas concatenadas e tentativas de SQLLFI |
| 942.361 | Crítico - 5 | PL2 | Detecta a injeção de SQL básica com base na alteração ou união de palavra-chave |
| 942.370 | Crítico - 5 | PL2 | Detecta investigações de injeção de SQL clássicas 2/2 |
| 942.380 | Crítico - 5 | PL2 | Ataque de injeção de SQL |
| 942.390 | Crítico - 5 | PL2 | Ataque de injeção de SQL |
| 942.400 | Crítico - 5 | PL2 | Ataque de injeção de SQL |
| 942410 | Crítico - 5 | PL2 | Ataque de injeção de SQL |
| 942430 | Aviso - 3 | PL2 | Detecção restrita de anomalias de caracteres SQL (args): # de caracteres especiais excedidos (12) |
| 942440 | Crítico - 5 | PL2 | Sequência de comentários SQL detectada |
| 942450 | Crítico - 5 | PL2 | Codificação hexadecimal de SQL identificada |
| 942470 | Crítico - 5 | PL2 | Ataque de injeção de SQL |
| 942480 | Crítico - 5 | PL2 | Ataque de injeção de SQL |
| 942500 | Crítico - 5 | PL1 | Comentário em linha detectado no MySQL |
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION
| ID da regra | Severidade da pontuação de anomalias | Nível de paranóia | Descrição |
|---|---|---|---|
| 943100 | Crítico - 5 | PL1 | Possível ataque de fixação de sessão: definindo valores de cookie em HTML |
| 943110 | Crítico - 5 | PL1 | Possível ataque de fixação da sessão: nome do parâmetro de SessionID com referenciador fora do domínio |
| 943120 | Crítico - 5 | PL1 | Possível ataque de fixação da sessão: nome do parâmetro de SessionID sem referenciador |
REQUEST-944-APPLICATION-ATTACK-JAVA
| ID da regra | Severidade da pontuação de anomalias | Nível de paranóia | Descrição |
|---|---|---|---|
| 944.100 | Crítico - 5 | PL1 | Execução remota de comando: Apache Struts, Oracle WebLogic |
| 944.110 | Crítico - 5 | PL1 | Detecta a execução de carga potencial |
| 944.120 | Crítico - 5 | PL1 | Possível execução de carga e execução remota de comando |
| 944.130 | Crítico - 5 | PL1 | Classes Java suspeitas |
| 944200 | Crítico - 5 | PL2 | Exploração do Apache Commons de desserialização do Java |
| 944.210 | Crítico - 5 | PL2 | Possível uso da serialização Java |
| 944.240 | Crítico - 5 | PL1 | Execução remota de comando: serialização Java |
| 944250 | Crítico - 5 | PL1 | Execução remota de comando: método Java suspeito detectado |
Regras inativas
| ID da regra | Severidade da pontuação de anomalias | Nível de paranóia | Descrição |
|---|---|---|---|
| 920202 | Aviso - 3 | PL4 | (Regra inativa, deve ser ignorada) Limite: Muitos campos para Solicitação de PDF (6 ou mais) |
| 920272 | Crítico - 5 | PL3 | (Regra inativa, deve ser ignorada) Caractere inválido na solicitação (fora dos caracteres imprimíveis abaixo do ascii 127) |
| 920273 | Crítico - 5 | PL4 | (Regra inativa, deve ser ignorada) Caractere inválido na solicitação (fora do conjunto muito estrito) |
| 920274 | Crítico - 5 | PL4 | (Regra inativa, deve ser ignorada) Caractere inválido em cabeçalhos de solicitação (fora do conjunto muito estrito) |
| 920460 | Crítico - 5 | PL4 | (Regra inativa, deve ser ignorada) Caracteres de escape anormais |
| 921170 | Não aplicável | PL3 | (Regra inativa, deve ser ignorada) Poluição do parâmetro HTTP |
| 921180 | Crítico - 5 | PL3 | (Regra inativa, deve ser ignorada) Poluição do parâmetro HTTP (%{TX.1}) |
| 932106 | Crítico - 5 | PL3 | (Regra inativa, deve ser ignorada) Execução remota de comando: injeção de comandos no Unix |
| 932190 | Crítico - 5 | PL3 | (Regra inativa, deve ser ignorada) Execução de comando remoto: Tentativa de técnica de desvio de curinga |
| 933111 | Crítico - 5 | PL3 | (Regra inativa, deve ser ignorada) Ataque de injeção de PHP: upload de arquivo de script PHP encontrado |
| 933131 | Crítico - 5 | PL3 | (Regra inativa, deve ser ignorada) Ataque de injeção de PHP: variáveis encontradas |
| 933161 | Crítico - 5 | PL3 | (Regra inativa, deve ser ignorada) Ataque de injeção de PHP: chamada de função PHP de baixo valor encontrada |
| 933190 | Crítico - 5 | PL3 | (Regra inativa, deve ser ignorada) Ataque de injeção de PHP: marca de fechamento de PHP encontrada |
| 942251 | Crítico - 5 | PL3 | (Regra inativa, deve ser ignorada) Detecta injeções HAVING |
| 942420 | Aviso - 3 | PL3 | (Regra inativa, deve ser ignorada) Detecção de anomalias de caracteres SQL restritas (cookies): # de caracteres especiais excedido (8) |
| 942421 | Aviso - 3 | PL4 | (Regra inativa, deve ser ignorada) Detecção de anomalia de caracteres especiais restrita em SQL (cookies): número de caracteres especiais excedido (3) |
| 942431 | Aviso - 3 | PL3 | (Regra inativa, deve ser ignorada) Detecção restrita de anomalias de caractere SQL (args): # de caracteres especiais excedidos (6) |
| 942432 | Aviso - 3 | PL4 | (Regra inativa, deve ser ignorada) Detecção restrita de anomalias de caractere SQL (args): # de caracteres especiais excedidos (2) |
| 942460 | Aviso - 3 | PL3 | (Regra inativa, deve ser ignorada) Meta-Character Alerta de detecção de anomalias – caracteres não verbais repetitivos |
| 942490 | Crítico - 5 | PL3 | (Regra inativa, deve ser ignorada) Detecta sondagens clássicas de injeção de SQL 3/3 |