Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Web application firewall di Azure in Frontdoor di Azure protegge le applicazioni Web da vulnerabilità e exploit comuni. I set di regole gestiti da Azure consentono di distribuire in modo semplice la protezione da un set comune di minacce alla sicurezza. Poiché Azure gestisce questi set di regole, le regole vengono aggiornate in base alle esigenze per proteggersi dalle nuove firme di attacco.
Il set di regole predefinito include anche le regole della raccolta di Intelligence sulle minacce Microsoft scritte in collaborazione con il team di Intelligence Microsoft per fornire una maggiore copertura, patch per vulnerabilità specifiche e una migliore riduzione dei falsi positivi.
Nota
Quando una versione del set di regole viene modificata in un criterio WAF, tutte le personalizzazioni esistenti apportate al set di regole verranno reimpostate sulle impostazioni predefinite per il nuovo set di regole. Vedere: Aggiornamento o modifica della versione del set di regole.
Set di regole predefinite
Il servizio di ripristino di emergenza gestito da Azure include regole per le categorie di minacce seguenti:
- Scripting intersito
- Attacchi Java
- Inclusione di file locali
- Attacchi PHP injection
- Attacchi di tipo Remote Command Execution
- Inclusione di file remoti
- Fissazione sessione
- Protezione dagli attacchi SQL injection
- Aggressori protocollo
Il numero di versione del ripristino di emergenza aumenta quando vengono aggiunte nuove firme di attacco al set di regole.
DrS è abilitato per impostazione predefinita in modalità rilevamento nei criteri WAF. È possibile disabilitare o abilitare singole regole all'interno del servizio ripristino di emergenza per soddisfare i requisiti dell'applicazione. È anche possibile impostare azioni specifiche per ogni regola. Le azioni disponibili sono Consenti, Blocca, Log e Reindirizzamento.
In alcuni casi potrebbe essere necessario omettere determinati attributi di richiesta da una valutazione web application firewall (WAF). Un esempio comune è rappresentato dai token inseriti in Active Directory che vengono usati per l'autenticazione. È possibile configurare un elenco di esclusione per una regola gestita, un gruppo di regole o l'intero set di regole. Per altre informazioni, vedere Web application firewall di Azure in elenchi di esclusione di Frontdoor di Azure.
Per impostazione predefinita, drS versioni 2.0 e successive usano l'assegnazione dei punteggi anomalie quando una richiesta corrisponde a una regola. Le versioni di DRS precedenti alla 2.0 bloccano le richieste che attivano le regole. Inoltre, le regole personalizzate possono essere configurate nello stesso criterio WAF se si vuole ignorare una delle regole preconfigurate nel servizio ripristino di emergenza.
Le regole personalizzate vengono sempre applicate prima che vengano valutate le regole nel servizio di ripristino di emergenza. Se una richiesta corrisponde a una regola personalizzata, viene applicata l'azione della regola corrispondente. La richiesta viene bloccata o passata al back-end. Non vengono elaborate altre regole personalizzate o le regole nel servizio ripristino di emergenza. È anche possibile rimuovere il ripristino di emergenza dai criteri WAF.
Regole di Raccolta di Microsoft Threat Intelligence
regole di Raccolta di Microsoft Threat Intelligence sono scritte in collaborazione con il team di Microsoft Threat Intelligence per fornire una maggiore copertura, patch per vulnerabilità specifiche e una migliore riduzione dei falsi positivi.
Per impostazione predefinita, le regole della raccolta di Intelligence sulle minacce di Microsoft sostituiscono alcune delle regole predefinite del servizio di ripristino di emergenza, causandone la disabilitazioni. Ad esempio, l'ID regola 942440, la sequenza di commenti SQL rilevata, è stata disabilitata e sostituita dalla regola raccolta di intelligence sulle minacce Microsoft 99031002. La regola sostituita riduce il rischio di rilevamenti falsi positivi da richieste legittime.
Assegnazione di punteggi anomalie
Quando si usa DRS 2.0 o versione successiva, il WAF usa l'assegnazione dei punteggi anomalie. Il traffico che corrisponde a qualsiasi regola non viene bloccato immediatamente, anche quando WAF è in modalità prevenzione. I set di regole OWASP definiscono invece una gravità per ogni regola: Critico, Errore, Avviso o Avviso. La gravità influisce su un valore numerico per la richiesta, denominato punteggio anomalie. Se una richiesta accumula un punteggio di anomalia pari o superiore a 5, il WAF esegue un'azione sulla richiesta.
| Gravità della regola | Valore che ha contribuito al punteggio anomalie |
|---|---|
| Critico | 5 |
| Errore | 4 |
| Avviso | 3 |
| Preavviso | 2 |
Quando si configura waf, è possibile decidere come il WAF gestisce le richieste che superano la soglia di punteggio anomalie di 5. Le tre opzioni di azione punteggio anomalie sono Blocca, Log o Reindirizzamento. L'azione punteggio anomalie selezionata al momento della configurazione viene applicata a tutte le richieste che superano la soglia del punteggio anomalie.
Ad esempio, se il punteggio di anomalia è 5 o superiore in una richiesta e WAF è in modalità prevenzione con l'azione punteggio anomalie impostata su Blocca, la richiesta viene bloccata. Se il punteggio di anomalia è 5 o maggiore per una richiesta e WAF è in modalità rilevamento, la richiesta viene registrata ma non bloccata.
Una singola corrispondenza di regola critica è sufficiente per waf per bloccare una richiesta in modalità prevenzione con l'azione punteggio anomalie impostata su Blocca perché il punteggio complessivo delle anomalie è 5. Tuttavia, una singola corrispondenza di regola di tipo Avviso si limita a incrementare di 3 il punteggio anomalie, che non è sufficiente per bloccare il traffico. Quando viene attivata una regola di anomalie, nei log viene visualizzata un'azione "corrispondente". Se il punteggio di anomalia è 5 o superiore, viene attivata una regola separata con l'azione di punteggio anomalie configurata per il set di regole. L'azione di punteggio anomalie predefinita è Blocca, che genera una voce di log con l'azione blocked.
Quando WAF usa una versione precedente del set di regole predefinito (prima di DRS 2.0), il WAF viene eseguito in modalità tradizionale. Il traffico che corrisponde a qualsiasi regola viene considerato indipendentemente da qualsiasi altra regola corrispondente. In modalità tradizionale non si ha visibilità sul set completo di regole corrispondenti a una richiesta specifica.
La versione del servizio di ripristino di emergenza usata determina anche quali tipi di contenuto sono supportati per l'ispezione del corpo della richiesta. Per altre informazioni, vedere Informazioni sui tipi di contenuto supportati da WAF nelle domande frequenti.
Livello di paranoia
Ogni regola viene assegnata in un livello paranoia specifico (PL). Le regole configurate in Paranoia Level 1 (PL1) sono meno aggressive e difficilmente mai attivano un falso positivo. Forniscono la sicurezza di base con una necessità minima di ottimizzazione. Le regole in PL2 rilevano più attacchi, ma è previsto che generino falsi positivi che devono essere affinati.
Per impostazione predefinita, tutte le versioni delle regole DRS sono preconfigurate nel livello di paranoia 2, incluse le regole assegnate sia in PL1 che in PL2. Se si vuole usare WAF esclusivamente con PL1, è possibile disabilitare qualsiasi o tutte le regole PL2 o modificarne l'azione in "log". PL3 e PL4 non sono attualmente supportati in Azure WAF.
Aggiornamento o modifica della versione del set di regole
Se si esegue l'aggiornamento o si assegna una nuova versione del set di regole e si vuole mantenere le sostituzioni ed esclusioni esistenti, è consigliabile usare PowerShell, l'interfaccia della riga di comando, l'API REST o un modello per apportare modifiche alla versione del set di regole. Una nuova versione di un set di regole può avere regole più recenti, gruppi di regole aggiuntivi e potrebbe avere aggiornamenti alle firme esistenti per applicare una maggiore sicurezza e ridurre i falsi positivi. È consigliabile convalidare le modifiche in un ambiente di test, ottimizzare, se necessario, e quindi distribuire in un ambiente di produzione.
Nota
Se si usa il portale di Azure per assegnare un nuovo set di regole gestite a un criterio WAF, tutte le personalizzazioni precedenti del set di regole gestite esistente, ad esempio lo stato della regola, le azioni delle regole e le esclusioni a livello di regola verranno reimpostate sulle impostazioni predefinite del nuovo set di regole gestite. Tuttavia, tutte le regole personalizzate o le impostazioni dei criteri rimarranno invariate durante la nuova assegnazione del set di regole. È necessario ridefinire le sostituzioni delle regole e convalidare le modifiche prima della distribuzione in un ambiente di produzione.
DRS 2.1
Le regole DRS 2.1 offrono una protezione migliore rispetto alle versioni precedenti di DRS. Include altre regole sviluppate dal team di Microsoft Threat Intelligence e gli aggiornamenti alle firme per ridurre i falsi positivi. Supporta anche trasformazioni oltre la semplice decodifica URL.
DRS 2.1 include 17 gruppi di regole, come illustrato nella tabella seguente. Ogni gruppo contiene più regole ed è possibile personalizzare il comportamento per singole regole, gruppi di regole o un intero set di regole. DRS 2.1 è previsto dal Open Web Application Security Project (OWASP) Core Rule Set (CRS) 3.3.2 e include regole di protezione proprietarie aggiuntive sviluppate dal team di Microsoft Threat Intelligence.
Per altre informazioni, vedere Ottimizzazione di Web Application Firewall (WAF) per Frontdoor di Azure.
Nota
DRS 2.1 è disponibile solo in Frontdoor di Azure Premium.
| Gruppo di regole | NomeGruppoDiRegole | Descrizione |
|---|---|---|
| Generali | Generali | Gruppo generale |
| APPLICAZIONE DEL METODO | APPLICAZIONE METODO | Metodi di blocco (PUT, PATCH) |
| APPLICAZIONE DEL PROTOCOLLO | APPLICAZIONE PROTOCOLLO | Protezione da problemi di protocollo e codifica |
| ATTACCO DEL PROTOCOLLO | ATTACCO PROTOCOLLO | Protegge da header injection, request smuggling e response splitting |
| APPLICAZIONE-ATTACCO-LFI | LFI | Protezione da attacchi a file e percorsi |
| APPLICAZIONE-ATTACCO-RFI | RFI | Protezione da attacchi RFI (inclusione file remoti) |
| APPLICAZIONE-ATTACCO-RCE | RCE | Protezione da attacchi di esecuzione del codice remoto |
| APPLICAZIONE-ATTACCO-PHP | PHP | Protezione da attacchi PHP injection |
| APPLICAZIONE-ATTACCO-NodeJS | NODO JS | Protezione da attacchi Node JS |
| APPLICAZIONE-ATTACCO-XSS | XSS | Protezione da attacchi di scripting intersito |
| APPLICAZIONE-ATTACCO-SQLI | SQLI | Protezione da attacchi SQL injection |
| APPLICAZIONE-ATTACCO-SESSIONE-CORREZIONE | CORREZIONE | Protezione da attacchi di correzione della sessione |
| APPLICAZIONE-ATTACCO-SESSIONE-JAVA | Java | Protezione dagli attacchi JAVA |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Protezione da attacchi web shell |
| MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | Protezione dagli attacchi AppSec |
| MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | Protezione da attacchi SQLI |
| MS-ThreatIntel-CVE | MS-ThreatIntel-CVEs | Protezione da attacchi CVE |
Regole disabilitate
Le regole seguenti sono disabilitate per impostazione predefinita per DRS 2.1.
| ID regola | Gruppo di regole | Descrizione | Dettagli |
|---|---|---|---|
| 942110 | SQLI | Attacco SQL Injection: rilevati test di inserimento comune | Sostituito dalla regola MSTIC 99031001 |
| 942150 | SQLI | Attacco SQL injection | Sostituito dalla regola MSTIC 99031003 |
| 942260 | SQLI | Rileva tentativi di ignorare l'autenticazione SQL di base (2/3) | Sostituito dalla regola MSTIC 99031004 |
| 942430 | SQLI | Rilevamento anomalie caratteri SQL con restrizioni (args): n. di caratteri speciali in eccesso (12) | Troppi falsi positivi |
| 942440 | SQLI | Rilevata sequenza commenti SQL | Sostituito dalla regola MSTIC 99031002 |
| 99005006 | MS-ThreatIntel-WebShells | Tentativo di interazione di Spring4Shell | Abilitare la regola per evitare la vulnerabilità di SpringShell |
| 99001014 | MS-ThreatIntel-CVEs | Tentativo di inserimento di routing-espressione Spring Cloud CVE-2022-22963 | Abilitare la regola per evitare la vulnerabilità di SpringShell |
| 99001015 | MS-ThreatIntel-WebShells | Tentativo di sfruttamento di oggetti della classe Spring Framework unsafe CVE-2022-22965 | Abilitare la regola per evitare la vulnerabilità di SpringShell |
| 99001016 | MS-ThreatIntel-WebShells | Tentativo di inserimento dell'attuatore Spring Cloud Gateway CVE-2022-22947 | Abilitare la regola per evitare la vulnerabilità di SpringShell |
| 99001017 | MS-ThreatIntel-CVEs | Tentativo di sfruttamento del caricamento di file Apache Struts CVE-2023-50164 | Abilitare la regola per evitare la vulnerabilità di Apache Struts |
DRS 2.0
Le regole drs 2.0 offrono una protezione migliore rispetto alle versioni precedenti del servizio di ripristino di emergenza. DrS 2.0 supporta anche trasformazioni oltre la semplice decodifica url.
DrS 2.0 include 17 gruppi di regole, come illustrato nella tabella seguente. Ogni gruppo contiene più regole. È possibile disabilitare singole regole e interi gruppi di regole.
Nota
DRS 2.0 è disponibile solo in Frontdoor di Azure Premium.
| Gruppo di regole | NomeGruppoDiRegole | Descrizione |
|---|---|---|
| Generali | Generali | Gruppo generale |
| APPLICAZIONE DEL METODO | APPLICAZIONE METODO | Metodi di blocco (PUT, PATCH) |
| APPLICAZIONE DEL PROTOCOLLO | APPLICAZIONE PROTOCOLLO | Protezione da problemi di protocollo e codifica |
| ATTACCO DEL PROTOCOLLO | ATTACCO PROTOCOLLO | Protegge da header injection, request smuggling e response splitting |
| APPLICAZIONE-ATTACCO-LFI | LFI | Protezione da attacchi a file e percorsi |
| APPLICAZIONE-ATTACCO-RFI | RFI | Protezione da attacchi RFI (inclusione file remoti) |
| APPLICAZIONE-ATTACCO-RCE | RCE | Protezione da attacchi di esecuzione del codice remoto |
| APPLICAZIONE-ATTACCO-PHP | PHP | Protezione da attacchi PHP injection |
| APPLICAZIONE-ATTACCO-NodeJS | NODO JS | Protezione da attacchi Node JS |
| APPLICAZIONE-ATTACCO-XSS | XSS | Protezione da attacchi di scripting intersito |
| APPLICAZIONE-ATTACCO-SQLI | SQLI | Protezione da attacchi SQL injection |
| APPLICAZIONE-ATTACCO-SESSIONE-CORREZIONE | CORREZIONE | Protezione da attacchi di correzione della sessione |
| APPLICAZIONE-ATTACCO-SESSIONE-JAVA | Java | Protezione dagli attacchi JAVA |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Protezione da attacchi web shell |
| MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | Protezione dagli attacchi AppSec |
| MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | Protezione da attacchi SQLI |
| MS-ThreatIntel-CVE | MS-ThreatIntel-CVEs | Protezione da attacchi CVE |
DRS 1.1
| Gruppo di regole | NomeGruppoDiRegole | Descrizione |
|---|---|---|
| ATTACCO DEL PROTOCOLLO | ATTACCO PROTOCOLLO | Protegge da header injection, request smuggling e response splitting |
| APPLICAZIONE-ATTACCO-LFI | LFI | Protezione da attacchi a file e percorsi |
| APPLICAZIONE-ATTACCO-RFI | RFI | Protezione dagli attacchi di inclusione di file remoti |
| APPLICAZIONE-ATTACCO-RCE | RCE | Protezione dall'esecuzione di comandi remoti |
| APPLICAZIONE-ATTACCO-PHP | PHP | Protezione da attacchi PHP injection |
| APPLICAZIONE-ATTACCO-XSS | XSS | Protezione da attacchi di scripting intersito |
| APPLICAZIONE-ATTACCO-SQLI | SQLI | Protezione da attacchi SQL injection |
| APPLICAZIONE-ATTACCO-SESSIONE-CORREZIONE | CORREZIONE | Protezione da attacchi di correzione della sessione |
| APPLICAZIONE-ATTACCO-SESSIONE-JAVA | Java | Protezione dagli attacchi JAVA |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Protezione da attacchi web shell |
| MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | Protezione dagli attacchi AppSec |
| MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | Protezione da attacchi SQLI |
| MS-ThreatIntel-CVE | MS-ThreatIntel-CVEs | Protezione da attacchi CVE |
DRS 1.0
| Gruppo di regole | NomeGruppoDiRegole | Descrizione |
|---|---|---|
| ATTACCO DEL PROTOCOLLO | ATTACCO PROTOCOLLO | Protegge da header injection, request smuggling e response splitting |
| APPLICAZIONE-ATTACCO-LFI | LFI | Protezione da attacchi a file e percorsi |
| APPLICAZIONE-ATTACCO-RFI | RFI | Protezione dagli attacchi di inclusione di file remoti |
| APPLICAZIONE-ATTACCO-RCE | RCE | Protezione dall'esecuzione di comandi remoti |
| APPLICAZIONE-ATTACCO-PHP | PHP | Protezione da attacchi PHP injection |
| APPLICAZIONE-ATTACCO-XSS | XSS | Protezione da attacchi di scripting intersito |
| APPLICAZIONE-ATTACCO-SQLI | SQLI | Protezione da attacchi SQL injection |
| APPLICAZIONE-ATTACCO-SESSIONE-CORREZIONE | CORREZIONE | Protezione da attacchi di correzione della sessione |
| APPLICAZIONE-ATTACCO-SESSIONE-JAVA | Java | Protezione dagli attacchi JAVA |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Protezione da attacchi web shell |
| MS-ThreatIntel-CVE | MS-ThreatIntel-CVEs | Protezione da attacchi CVE |
Gestione bot 1.0
Il set di regole di Bot Manager 1.0 offre protezione dai bot dannosi e dal rilevamento di bot validi. Le regole forniscono un controllo granulare sui bot rilevati da WAF tramite la categorizzazione del traffico del bot come bot buono, non valido o sconosciuto.
| Gruppo di regole | Descrizione |
|---|---|
| BadBots | Protezione da bot non validi |
| Buoni Bot | Identificare bot validi |
| Bot sconosciuti | Identificare bot sconosciuti |
Gestore bot 1.1
Il set di regole di Bot Manager 1.1 è un miglioramento del set di regole di Bot Manager 1.0. Offre una protezione avanzata contro i bot dannosi e aumenta il corretto rilevamento dei bot.
| Gruppo di regole | Descrizione |
|---|---|
| BadBots | Protezione da bot non validi |
| Buoni Bot | Identificare bot validi |
| Bot sconosciuti | Identificare bot sconosciuti |
Quando si usa Web Application Firewall di Azure in Frontdoor di Azure, sono disponibili i gruppi di regole e le regole seguenti.
Set di regole 2.1
Generali
| ID regola | Gravità del punteggio di anomalia | Livello di paranoia | Descrizione |
|---|---|---|---|
| 200002 | Critico - 5 | 1 | Impossibile analizzare il corpo della richiesta |
| 200003 | Critico - 5 | 1 | Il corpo della richiesta multipart non ha superato la convalida rigorosa |
Imposizione del metodo
| ID regola | Gravità del punteggio di anomalia | Livello di paranoia | Descrizione |
|---|---|---|---|
| 911100 | Critico - 5 | 1 | Il metodo non è consentito dai criteri |
Applicazione protocollo
| ID regola | Gravità del punteggio di anomalia | Livello di paranoia | Descrizione |
|---|---|---|---|
| 920100 | Avviso - 2 | 1 | Riga della richiesta HTTP non valida |
| 920120 | Critico - 5 | 1 | Tentativo di bypass multipart/form-data |
| 920121 | Critico - 5 | 2 | Tentativo di bypass multipart/form-data |
| 920160 | Critico - 5 | 1 | L'intestazione HTTP Content-Length non è numerica |
| 920170 | Critico - 5 | 1 | Richiesta GET o HEAD con corpo della richiesta |
| 920171 | Critico - 5 | 1 | Richiesta GET o HEAD con Transfer-Encoding |
| 920180 | Avviso - 2 | 1 | Richiesta POST priva dell'intestazione Content-Length |
| 920181 | Avviso - 3 | 1 | Le intestazioni Content-Length e Trasferimento-Codifica presentano 99001003 |
| 920190 | Avviso - 3 | 1 | Intervallo: Ultimo valore del byte non valido |
| 920200 | Avviso - 3 | 2 | Intervallo: troppi campi (6 o più) |
| 920201 | Avviso - 3 | 2 | Intervallo: troppi campi per richiesta PDF (35 o più) |
| 920210 | Avviso - 3 | 1 | Trovati dati di intestazione di connessione multipli o in conflitto |
| 920220 | Avviso - 3 | 1 | Tentativo di attacco con uso improprio codifica URL |
| 920230 | Avviso - 3 | 2 | Rilevata codifica multipla URL |
| 920240 | Avviso - 3 | 1 | Tentativo di attacco con uso improprio codifica URL |
| 920260 | Avviso - 3 | 1 | Tentativo di attacco con uso improprio metà larghezza/larghezza intera Unicode |
| 920270 | Critico - 5 | 1 | Carattere non valido nella richiesta (carattere null) |
| 920271 | Critico - 5 | 2 | Carattere non valido nella richiesta (caratteri non stampabili) |
| 920280 | Avviso - 3 | 1 | Richiesta senza intestazione host |
| 920290 | Avviso - 3 | 1 | Intestazione host vuota |
| 920300 | Avviso - 2 | 2 | Richiesta senza intestazione Accept |
| 920310 | Avviso - 2 | 1 | Richiesta con intestazione Accept vuota |
| 920311 | Avviso - 2 | 1 | Richiesta con intestazione Accept vuota |
| 920320 | Avviso - 2 | 2 | Intestazione agente utente mancante |
| 920330 | Avviso - 2 | 1 | Intestazione agente utente vuota |
| 920340 | Avviso - 2 | 1 | Richiesta con contenuto ma senza intestazione Content-Type |
| 920341 | Critico - 5 | 2 | La richiesta con contenuto richiede l'intestazione Content-Type |
| 920350 | Avviso - 3 | 1 | Intestazione host costituita da un indirizzo IP numerico |
| 920420 | Critico - 5 | 1 | La richiesta tipo di contenuto non è consentita dai criteri |
| 920430 | Critico - 5 | 1 | La versione protocollo HTTP non consentita dai criteri |
| 920440 | Critico - 5 | 1 | Estensione file URL limitata da criteri |
| 920450 | Critico - 5 | 1 | Intestazione HTTP limitata da criteri |
| 920470 | Critico - 5 | 1 | Intestazione Content-Type illegale |
| 920480 | Critico - 5 | 1 | Il set di caratteri del tipo di contenuto della richiesta non è consentito dai criteri |
| 920500 | Critico - 5 | 1 | Tentativo di accedere a un file di backup o di lavoro |
Attacco al protocollo
| ID regola | Gravità del punteggio di anomalia | Livello di paranoia | Descrizione |
|---|---|---|---|
| 921110 | Critico - 5 | 1 | Attacco di tipo HTTP Request Smuggling |
| 921120 | Critico - 5 | 1 | Attacco di tipo HTTP Response Splitting |
| 921130 | Critico - 5 | 1 | Attacco di tipo HTTP Response Splitting |
| 921140 | Critico - 5 | 1 | Attacco di tipo HTTP Header Injection tramite intestazioni |
| 921150 | Critico - 5 | 1 | Attacco di tipo HTTP Header Injection tramite payload (rilevato CR/LF) |
| 921151 | Critico - 5 | 2 | Attacco di tipo HTTP Header Injection tramite payload (rilevato CR/LF) |
| 921160 | Critico - 5 | 1 | Attacco di tipo HTTP Header Injection tramite payload (rilevati CR/LF e nome intestazione) |
| 921190 | Critico - 5 | 1 | Separazione HTTP (CR/LF nel nome file della richiesta rilevato) |
| 921200 | Critico - 5 | 1 | Attacco LDAP injection |
LFI: inclusione di file locali
| ID regola | Gravità del punteggio di anomalia | Livello di paranoia | Descrizione |
|---|---|---|---|
| 930100 | Critico - 5 | 1 | Attacco di tipo Path Traversal (/../) |
| 930110 | Critico - 5 | 1 | Attacco di tipo Path Traversal (/../) |
| 930120 | Critico - 5 | 1 | Tentativo di accesso a file del sistema operativo |
| 930130 | Critico - 5 | 1 | Tentativo di accesso a file con restrizioni |
RFI: inclusione di file remoti
| ID regola | Gravità del punteggio di anomalia | Livello di paranoia | Descrizione |
|---|---|---|---|
| 931100 | Critico - 5 | 1 | Possibile attacco di inclusione file remota (RFI): parametro URL tramite indirizzo IP |
| 931110 | Critico - 5 | 1 | Possibile attacco RFI (inclusione file remoti): nome del parametro vulnerabile RFI comune utilizzato con payload URL |
| 931120 | Critico - 5 | 1 | Possibile attacco RFI (inclusione file remoti): payload URL usato con carattere di punto interrogativo (?) finale |
| 931130 | Critico - 5 | 2 | Possibile attacco RFI (inclusione file remoti): collegamento/riferimento fuori dominio |
RCE: esecuzione di comandi remoti
| ID regola | Gravità del punteggio di anomalia | Livello di paranoia | Descrizione |
|---|---|---|---|
| 932100 | Critico - 5 | 1 | Esecuzione comandi in remoto: inserimento di comandi Unix |
| 932105 | Critico - 5 | 1 | Esecuzione comandi in remoto: inserimento di comandi Unix |
| 932110 | Critico - 5 | 1 | Esecuzione comandi in remoto: inserimento di comandi Windows |
| 932115 | Critico - 5 | 1 | Esecuzione comandi in remoto: inserimento di comandi Windows |
| 932120 | Critico - 5 | 1 | Esecuzione comandi in remoto: trovato comando di Windows PowerShell |
| 932130 | Critico - 5 | 1 | Esecuzione comandi in remoto: Espressioni Shell Unix o vulnerabilità Confluence (CVE-2022-26134) Trovato |
| 932140 | Critico - 5 | 1 | Esecuzione comandi in remoto: trovato comando FOR/IF di Windows |
| 932150 | Critico - 5 | 1 | Esecuzione comandi in remoto: esecuzione di comandi Unix diretti |
| 932160 | Critico - 5 | 1 | Esecuzione comandi in remoto: trovato codice Shell Unix |
| 932170 | Critico - 5 | 1 | Esecuzione comandi in remoto: Shellshock (CVE-2014-6271) |
| 932171 | Critico - 5 | 1 | Esecuzione comandi in remoto: Shellshock (CVE-2014-6271) |
| 932180 | Critico - 5 | 1 | Tentativo di caricamento file con restrizioni |
Attacchi PHP
| ID regola | Gravità del punteggio di anomalia | Livello di paranoia | Descrizione |
|---|---|---|---|
| 933100 | Critico - 5 | 1 | Attacco PHP injection: trovato tag di apertura/chiusura |
| 933110 | Critico - 5 | 1 | Attacco PHP injection: trovato caricamento file di script PHP |
| 933120 | Critico - 5 | 1 | Attacco PHP injection: trovata direttiva di configurazione |
| 933130 | Critico - 5 | 1 | Attacco PHP injection: trovate variabili |
| 933140 | Critico - 5 | 1 | Attacco PHP injection: trovato flusso di I/O |
| 933150 | Critico - 5 | 1 | Attacco PHP injection: trovato nome funzione PHP ad alto rischio |
| 933151 | Critico - 5 | 2 | Attacco PHP injection: trovato nome funzione PHP a medio rischio |
| 933160 | Critico - 5 | 1 | Attacco PHP injection: trovata chiamata di funzione PHP ad alto rischio |
| 933170 | Critico - 5 | 1 | Attacco PHP injection: inserimento di oggetti serializzati |
| 933180 | Critico - 5 | 1 | Attacco PHP injection: trovata chiamata di funzione variabile |
| 933200 | Critico - 5 | 1 | Attacco PHP injection: rilevato schema wrapper |
| 933210 | Critico - 5 | 1 | Attacco PHP injection: trovata chiamata di funzione variabile |
Attacchi JS del nodo
| ID regola | Gravità del punteggio di anomalia | Livello di paranoia | Descrizione |
|---|---|---|---|
| 934100 | Critico - 5 | 1 | Attacco injection Node.js |
XSS: scripting tra siti
| ID regola | Gravità del punteggio di anomalia | Livello di paranoia | Descrizione |
|---|---|---|---|
| 941100 | Critico - 5 | 1 | Rilevato attacco XSS tramite libinjection |
| 941101 | Critico - 5 | 2 | Rilevato attacco XSS tramite libinjection La regola rileva le richieste con un'intestazione Referer |
| 941110 | Critico - 5 | 1 | Filtro XSS - Categoria 1: vettore tag script |
| 941120 | Critico - 5 | 1 | Filtro XSS - Categoria 2: vettore del gestore eventi |
| 941130 | Critico - 5 | 1 | Filtro XSS - Categoria 3: vettore attributi |
| 941140 | Critico - 5 | 1 | Filtro XSS - Categoria 4: vettore URI Javascript |
| 941150 | Critico - 5 | 2 | Filtro XSS - Categoria 5: attributi HTML non consentiti |
| 941160 | Critico - 5 | 1 | NoScript XSS InjectionChecker: inserimento HTML |
| 941170 | Critico - 5 | 1 | NoScript XSS InjectionChecker: inserimento attributo |
| 941180 | Critico - 5 | 1 | Parole chiave in blocklist convalida nodi |
| 941190 | Critico - 5 | 1 | XSS con fogli di stile |
| 941200 | Critico - 5 | 1 | XSS con frame VML |
| 941210 | Critico - 5 | 1 | XSS con JavaScript offuscato |
| 941220 | Critico - 5 | 1 | XSS con script VB offuscato |
| 941230 | Critico - 5 | 1 | XSS con embed tag |
| 941240 | Critico - 5 | 1 | XSS con import o implementation attributo |
| 941250 | Critico - 5 | 1 | Filtri XSS IE - rilevato attacco |
| 941260 | Critico - 5 | 1 | XSS con meta tag |
| 941270 | Critico - 5 | 1 | XSS con link href |
| 941280 | Critico - 5 | 1 | XSS con base tag |
| 941290 | Critico - 5 | 1 | XSS con applet tag |
| 941300 | Critico - 5 | 1 | XSS con object tag |
| 941310 | Critico - 5 | 1 | Filtro XSS di codifica US-ASCII non valido - Rilevato attacco |
| 941320 | Critico - 5 | 2 | Rilevato possibile attacco XSS: gestore tag HTML |
| 941330 | Critico - 5 | 2 | Filtri XSS IE - rilevato attacco |
| 941340 | Critico - 5 | 2 | Filtri XSS IE - rilevato attacco |
| 941350 | Critico - 5 | 1 | Codifica UTF-7 IE XSS - Rilevato attacco |
| 941360 | Critico - 5 | 1 | Rilevato offuscamento javaScript |
| 941370 | Critico - 5 | 1 | Trovata variabile globale JavaScript |
| 941380 | Critico - 5 | 2 | È stato rilevato l'inserimento di modelli sul lato client AngularJS |
SQLI: iniezione SQL (SQL injection)
| ID regola | Gravità del punteggio di anomalia | Livello di paranoia | Descrizione |
|---|---|---|---|
| 942100 | Critico - 5 | 1 | Rilevato attacco SQL injection tramite libinjection |
| 942110 | Avviso - 3 | 2 | Attacco SQL Injection: rilevati test di inserimento comune |
| 942120 | Critico - 5 | 2 | Attacco SQL injection: rilevato operatore SQL |
| 942140 | Critico - 5 | 1 | Attacco SQL injection: rilevati nomi DB comuni |
| 942150 | Critico - 5 | 2 | Attacco SQL injection |
| 942160 | Critico - 5 | 1 | Rileva test SQLI blindi tramite sleep() o benchmark() |
| 942170 | Critico - 5 | 1 | Rilevamento tentativi di SQL injection con benchmark e sleep e query condizionali |
| 942180 | Critico - 5 | 2 | Rileva tentativi di bypass dell'autenticazione SQL di base 1/3 |
| 942190 | Critico - 5 | 1 | Rileva l'esecuzione di codice MSSQL e tentativi di raccolta di informazioni |
| 942200 | Critico - 5 | 2 | Rileva injection offuscati nello spazio/con commento MySQL e terminazioni con apice inverso |
| 942210 | Critico - 5 | 2 | Rileva tentativi di inserimento SQL concatenati 1/2 |
| 942220 | Critico - 5 | 1 | Alla ricerca di attacchi di overflow integer, questi vengono presi da skipfish, ad eccezione di 3.0.00738585072007e-308 è l'arresto anomalo del "numero magico" |
| 942230 | Critico - 5 | 1 | Rilevamento tentativi di SQL injection condizionale |
| 942240 | Critico - 5 | 1 | Rileva il commutatore di set di caratteri di MySQL e i tentativi DoS di MSSQL |
| 942250 | Critico - 5 | 1 | Rileva le iniezioni MATCH AGAINST, MERGE ed esegui subito. |
| 942260 | Critico - 5 | 2 | Rileva tentativi di ignorare l'autenticazione SQL di base (2/3) |
| 942270 | Critico - 5 | 1 | Ricerca di sql injection di base. Stringa di attacco comune per MySQL, Oracle e altri |
| 942280 | Critico - 5 | 1 | Rileva l'iniezione di pg_sleep in PostgreSQL, gli attacchi di ritardo attraverso l'attesa e i tentativi di arresto del database. |
| 942290 | Critico - 5 | 1 | Ricerca tentativi di SQL injection di base in MongoDB |
| 942300 | Critico - 5 | 2 | Rileva inserimento ch(a)r, condizioni e commenti MySQL |
| 942310 | Critico - 5 | 2 | Rileva tentativi di inserimento SQL concatenati 2/2 |
| 942320 | Critico - 5 | 1 | Rilevamento inserimenti di stored procedure/funzioni MySQL e PostgreSQL |
| 942330 | Critico - 5 | 2 | Rileva sondaggi di SQL injection classici (1/2) |
| 942340 | Critico - 5 | 2 | Rileva tentativi di ignorare l'autenticazione SQL di base (3/3) |
| 942350 | Critico - 5 | 1 | Rilevamento di inserimento di funzioni definite dall'utente MySQL e altri tentativi di manipolazione dati/struttura |
| 942360 | Critico - 5 | 1 | Rileva tentativi SQL/LFI e di SQL injection di base concatenati |
| 942361 | Critico - 5 | 2 | Rileva l'inserimento SQL di base in base alla modifica o all'unione delle parole chiave |
| 942370 | Critico - 5 | 2 | Rileva sondaggi di SQL injection classici (2/2) |
| 942380 | Critico - 5 | 2 | Attacco SQL injection |
| 942390 | Critico - 5 | 2 | Attacco SQL injection |
| 942400 | Critico - 5 | 2 | Attacco SQL injection |
| 942410 | Critico - 5 | 2 | Attacco SQL injection |
| 942430 | Avviso - 3 | 2 | Rilevamento anomalie caratteri SQL con restrizioni (args): n. di caratteri speciali in eccesso (12) |
| 942440 | Critico - 5 | 2 | Rilevata sequenza commenti SQL |
| 942450 | Critico - 5 | 2 | Identificata codifica esadecimale SQL |
| 942470 | Critico - 5 | 2 | Attacco SQL injection |
| 942480 | Critico - 5 | 2 | Attacco SQL injection |
| 942500 | Critico - 5 | 1 | Rilevato commento in linea di MySQL |
| 942510 | Critico - 5 | 2 | Tentativo di bypass SQLi tramite segni di graduazione o backtick rilevati |
Fissazione sessione
| ID regola | Gravità del punteggio di anomalia | Livello di paranoia | Descrizione |
|---|---|---|---|
| 943100 | Critico - 5 | 1 | Possibile attacco di tipo correzione di sessione: impostazione valori cookie in HTML |
| 943110 | Critico - 5 | 1 | Possibile attacco di tipo correzione di sessione: nome parametro SessionID con referrer fuori dominio |
| 943120 | Critico - 5 | 1 | Possibile attacco di tipo correzione di sessione: nome parametro SessionID senza referrer |
Attacchi Java
| ID regola | Gravità del punteggio di anomalia | Livello di paranoia | Descrizione |
|---|---|---|---|
| 944100 | Critico - 5 | 1 | Esecuzione comandi in remoto: Apache Struts, Oracle WebLogic |
| 944110 | Critico - 5 | 1 | Rileva un'esecuzione potenziale del payload |
| 944120 | Critico - 5 | 1 | Possibile esecuzione del payload ed esecuzione comandi in remoto |
| 944130 | Critico - 5 | 1 | Classi Java sospette |
| 944200 | Critico - 5 | 2 | Sfruttamento della deserializzazione di Java Apache Commons |
| 944210 | Critico - 5 | 2 | Possibile uso della serializzazione Java |
| 944240 | Critico - 5 | 2 | Esecuzione comandi in remoto: vulnerabilità di serializzazione Java e Log4j (CVE-2021-44228, CVE-2021-45046) |
| 944250 | Critico - 5 | 2 | Esecuzione comandi in remoto: rilevato metodo Java sospetto |
MS-ThreatIntel-WebShells
| ID regola | Gravità del punteggio di anomalia | Livello di paranoia | Descrizione |
|---|---|---|---|
| 99005002 | Critico - 5 | 2 | Tentativo di interazione di Web Shell (POST) |
| 99005003 | Critico - 5 | 2 | Tentativo di caricamento di Web Shell (POST) - CHOPPER PHP |
| 99005004 | Critico - 5 | 2 | Tentativo di caricamento di Web Shell (POST) - CHOPPER ASPX |
| 99005005 | Critico - 5 | 2 | Tentativo di interazione di Web Shell |
| 99005006 | Critico - 5 | 2 | Tentativo di interazione di Spring4Shell |
MS-ThreatIntel-AppSec
| ID regola | Gravità del punteggio di anomalia | Livello di paranoia | Descrizione |
|---|---|---|---|
| 99030001 | Critico - 5 | 2 | Evasione attraversamento percorso nelle intestazioni (/.././../) |
| 99030002 | Critico - 5 | 2 | Evasione attraversamento percorso nel corpo della richiesta (/.././../) |
MS-ThreatIntel-SQLI
| ID regola | Gravità del punteggio di anomalia | Livello di paranoia | Descrizione |
|---|---|---|---|
| 99031001 | Avviso - 3 | 2 | Attacco SQL Injection: rilevati test di inserimento comune |
| 99031002 | Critico - 5 | 2 | Rilevata sequenza commenti SQL |
| 99031003 | Critico - 5 | 2 | Attacco SQL injection |
| 99031004 | Critico - 5 | 2 | Rileva tentativi di ignorare l'autenticazione SQL di base (2/3) |
MS-ThreatIntel-CVEs
| ID regola | Gravità del punteggio di anomalia | Livello di paranoia | Descrizione |
|---|---|---|---|
| 99001001 | Critico - 5 | 2 | Tentativo di utilizzo dell'API REST F5 tmui (CVE-2020-5902) con credenziali note |
| 99001002 | Critico - 5 | 2 | Tentativo di attraversamento della directory Citrix NSC_USER CVE-2019-19781 |
| 99001003 | Critico - 5 | 2 | Tentativo di sfruttamento di Atlassian Confluence Widget Connector CVE-2019-3396 |
| 99001004 | Critico - 5 | 2 | Tentativo di sfruttamento del modello personalizzato Pulse Secure CVE-2020-8243 |
| 99001005 | Critico - 5 | 2 | Tentativo di sfruttamento del convertitore di tipi di SharePoint CVE-2020-0932 |
| 99001006 | Critico - 5 | 2 | Tentativo di attraversamento della directory Pulse Connect CVE-2019-11510 |
| 99001007 | Critico - 5 | 2 | Tentativo di inclusione del file locale J-Web del sistema operativo Junos CVE-2020-1631 |
| 99001008 | Critico - 5 | 2 | Tentativo di attraversamento del percorso fortinet CVE-2018-13379 |
| 99001009 | Critico - 5 | 2 | Tentativo di attacchi apache ognl injection CVE-2017-5638 |
| 99001010 | Critico - 5 | 2 | Tentativo di attacchi apache ognl injection CVE-2017-12611 |
| 99001011 | Critico - 5 | 2 | Tentativo di attraversamento del percorso Oracle WebLogic CVE-2020-14882 |
| 99001012 | Critico - 5 | 2 | Tentativo di sfruttamento della deserializzazione non sicura di Telerik WebUI CVE-2019-18935 |
| 99001013 | Critico - 5 | 2 | Tentativo di deserializzazione XML non sicura di CVE-2019-0604 |
| 99001014 | Critico - 5 | 2 | Tentativo di inserimento di routing-espressione Spring Cloud CVE-2022-22963 |
| 99001015 | Critico - 5 | 2 | Tentativo di sfruttamento di oggetti della classe Spring Framework unsafe CVE-2022-22965 |
| 99001016 | Critico - 5 | 2 | Tentativo di inserimento dell'attuatore Spring Cloud Gateway CVE-2022-22947 |
| 99001017 | Critico - 5 | 2 | Tentativo di sfruttamento del caricamento di file Apache Struts CVE-2023-50164 |
Nota
Quando si esaminano i log di WAF, è possibile che venga visualizzato l'ID regola 949110. La descrizione della regola potrebbe includere punteggio anomalie in ingresso superato.
Questa regola indica che il punteggio anomalie complessivo per la richiesta ha superato il punteggio massimo consentito. Per maggiori informazioni, vedere Assegnazione dei punteggi delle anomalie.
Quando si ottimizzano i criteri WAF, è necessario esaminare le altre regole attivate dalla richiesta in modo da poter modificare la configurazione di WAF. Per altre informazioni, vedere Ottimizzazione di Web application firewall di Azure per Frontdoor di Azure.