Vorkonfigurierte Google Cloud Armor-Regeln sind komplexe Web Application Firewall (WAF)-Regeln mit Dutzenden von Signaturen, die aus Open-Source-Branchenstandards kompiliert wurden. Google bietet diese Regeln wie besehen an. Die Regeln ermöglichen es Google Cloud Armor, Dutzende von unterschiedlichen Traffic-Signaturen auszuwerten. Dabei bezieht sich Google Cloud Armor auf Regeln, die praktischerweise benannt sind, anstatt dass Sie jede Signatur manuell definieren müssen.
Die folgende Tabelle enthält eine umfassende Liste vorkonfigurierter WAF-Regeln, die in einer Google Cloud Armor-Sicherheitsrichtlinie verwendet werden können. Die Regelquelle ist ModSecurity Core Rule Set (CRS) 3.0 und CRS 3.3.
Wir empfehlen Ihnen, Version 3.3 zu verwenden, um die Empfindlichkeit zu erhöhen und eine Vielzahl geschützter Angriffstypen zu erhalten.
CRS 3.3
Name der Google Cloud Armor-Regel
Name der ModSecurity-Regel
Aktueller Status
SQL-Injection (öffentliche Vorschau)
sqli-v33-stable
Mit sqli-v33-canary synchronisiert
sqli-v33-canary
Neueste
Cross-Site-Scripting (öffentliche Vorschau)
xss-v33-stable
Mit xss-v33-canary synchronisiert
xss-v33-canary
Neueste
Aufnahme lokaler Dateien (öffentliche Vorschau)
lfi-v33-stable
Mit lfi-v33-canary synchronisiert
lfi-v33-canary
Neueste
Remote-Datei einschließen (öffentliche Vorschau)
rfi-v33-stable
Mit rfi-v33-canary synchronisiert
rfi-v33-canary
Neueste
Codeausführung per Fernzugriff (öffentliche Vorschau)
rce-v33-stable
Mit rce-v33-canary synchronisiert
rce-v33-canary
Neueste
Methodenerzwingung (öffentliche Vorschau)
methodenforcement-v33-stable
Mit methodenforcement-v33-canary synchronisiert
methodenforcement-v33-canary
Neueste
Scannererkennung (öffentliche Vorschau)
scannerdetection-v33-stable
Mit scannerdetection-v33-canary synchronisiert
scannerdetection-v33-canary
Neueste
Protokollangriff (öffentliche Vorschau)
protocolattack-v33-stable
Mit protocolattack-v33-canary synchronisiert
protocolattack-v33-canary
Neueste
PHP-Injection-Angriff (öffentliche Vorschau)
php-v33-stable
Mit php-v33-canary synchronisiert
php-v33-canary
Neueste
Sitzungsfixierungsangriff (öffentliche Vorschau)
sessionfixation-v33-stable
Mit sessionfixation-v33-canary synchronisiert
sessionfixation-v33-canary
Neueste
CRS 3.0
Name der Google Cloud Armor-Regel
Name der ModSecurity-Regel
Aktueller Status
SQL-Einschleusung
sqli-stable
Mit sqli-canary synchronisiert
sqli-canary
Neueste
Cross-Site-Scripting
xss-stable
Mit xss-canary synchronisiert
xss-canary
Neueste
Aufnahme lokaler Dateien
lfi-stable
Mit lfi-canary synchronisiert
lfi-canary
Neueste
Remote-Datei einschließen
rfi-stable
Mit rfi-canary synchronisiert
rfi-canary
Neueste
Codeausführung per Fernzugriff
rce-stable
Mit rce-canary synchronisiert
rce-canary
Neueste
Methodenerzwingung (öffentliche Vorschau)
methodenforcement-stable
Mit methodenforcement-canary synchronisiert
methodenforcement-canary
Neueste
Scannererkennung
scannerdetection-stable
Mit scannerdetection-canary synchronisiert
scannerdetection-canary
Neueste
Protokollangriff
protocolattack-stable
Mit protocolattack-canary synchronisiert
protocolattack-canary
Neueste
PHP-Injection-Angriff
php-stable
Mit php-canary synchronisiert
php-canary
Neueste
Sitzungsfixierungsangriff
sessionfixation-stable
Mit sessionfixation-canary synchronisiert
sessionfixation-canary
Neueste
Darüber hinaus steht die folgende cve-canary-Regel allen Google Cloud Armor-Kunden zur Verfügung, um Exploit-Versuche von CVE-2021-44228- und CVE-2021-45046 Sicherheitslücken zu erkennen und optional zu blockieren.
Name der Google Cloud Armor-Regel
Regelinhalt
Abgedeckte Sicherheitslückentypen
cve-canary
Neu entdeckte Sicherheitslücken
Log4j-Sicherheitslücke
Jede vorkonfigurierte Regel besteht aus mehreren Signaturen. Eingehende Anfragen werden anhand der vorkonfigurierten Regeln bewertet. Eine Anfrage entspricht einer vorkonfigurierten Regel, wenn die Anfrage mit einer der Signaturen übereinstimmt, die mit der vorkonfigurierten Regel verknüpft sind. Eine Übereinstimmung wird hergestellt, wenn der Befehl evaluatePreconfiguredExpr() den Wert true zurückgibt.
Wenn Sie entscheiden, dass eine vorkonfigurierte Regel mehr Traffic entspricht als erforderlich, oder wenn die Regel den zulässigen Traffic blockiert, kann die Regel so eingestellt werden, dass fehlerhafte oder anderweitig unnötige Signaturen deaktiviert werden. Um Signaturen in einer bestimmten vorkonfigurierten Regel zu deaktivieren, stellen Sie dem Befehl evaluatePreconfiguredExpr() eine Liste der IDs der unerwünschten Signaturen zur Verfügung.
Im folgenden Beispiel werden zwei CRS-Regel-IDs aus der vorkonfigurierten WAF-Regel xss-v33-stable (CRS 3.3) ausgeschlossen:
Wenn Sie Signatur-IDs aus vorkonfigurierten CRS-Regelsätzen ausschließen, müssen Sie die Signatur-ID-Version mit der Regelsatzversion (CRS 3.0 oder 3.3) abgleichen, um Konfigurationsfehler zu vermeiden.
Jede vorkonfigurierte Regel hat eine Empfindlichkeitsstufe, die einer ModSecurity-Paranoia-Ebene entspricht.
Eine niedrigere Empfindlichkeitsstufe weist auf eine vertrauenswürdigere Signatur hin, bei der die Wahrscheinlichkeit eines falsch-positiven Ergebnisses geringer ist. Eine höhere Empfindlichkeitsstufe erhöht die Sicherheit, erhöht aber auch das Risiko, ein falsch-positives Ergebnis zu erzeugen.
SQL-Injection (SQLi)
Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten SQLi-Regel.
CRS 3.3
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
owasp-crs-v030301-id942140-sqli
1
Angriff mit SQL-Einschleusung: Allgemeine DB-Namen erkannt
owasp-crs-v030301-id942160-sqli
1
Erkennt blinde SQLI-Tests mit sleep() oder benchmark().
owasp-crs-v030301-id942170-sqli
1
Erkennt SQL-Benchmark- und Sleep-Einschleusungsversuche, einschließlich bedingter Abfragen
owasp-crs-v030301-id942190-sqli
1
Erkennt MSSQL-Codeausführung und Informationserfassungsversuche
owasp-crs-v030301-id942220-sqli
1
Sucht nach Integer-Overflow-Angriffen
owasp-crs-v030301-id942230-sqli
1
Erkennt Angriffsversuche mit bedingter SQL-Einschleusung.
owasp-crs-v030301-id942240-sqli
1
Erkennt MySQL-Zeichensatzwechsel und MSSQL-DoS-Angriffsversuche
owasp-crs-v030301-id942250-sqli
1
Erkennt MATCH AGAINST
owasp-crs-v030301-id942270-sqli
1
Sucht nach einfachen eingeschleuster SQL-Befehlen; gängiger Angriffs-String für MySQL
owasp-crs-v030301-id942280-sqli
1
Erkennt Postgres pg_sleep-Einschleusung
owasp-crs-v030301-id942290-sqli
1
Erkennt Angriffsversuche mit grundlegender MongoDB SQL-Einschleusung
owasp-crs-v030301-id942320-sqli
1
Erkennt Einschleusungen von gespeicherten Prozeduren/Funktionen für MySQL und PostgreSQL.
owasp-crs-v030301-id942350-sqli
1
Erkennt MySQL-UDF-Einschleusungen und andere Versuche der Manipulation von Daten bzw. der Struktur
owasp-crs-v030301-id942360-sqli
1
Erkennt Versuche des Verkettens einfacher eingeschleuster SQL-Befehle und von SQL/LFI
owasp-crs-v030301-id942500-sqli
1
MySQL-Inline-Kommentar erkannt
owasp-crs-v030301-id942110-sqli
2
Angriff mit SQL-Einschleusung: Allgemeine Tests auf Befehlseinschleusung erkannt
owasp-crs-v030301-id942120-sqli
2
Angriff mit SQL-Einschleusung: SQL-Operator erkannt
owasp-crs-v030301-id942130-sqli
2
Angriff mit SQL-Einschleusung: SQL-Numtology erkannt
owasp-crs-v030301-id942150-sqli
2
Angriff mit SQL-Einschleusung
owasp-crs-v030301-id942180-sqli
2
Erkennt Umgehungsversuche der einfachen SQL-Authentifizierung 1/3
owasp-crs-v030301-id942200-sqli
2
Erkennt durch MySQL-Kommentare oder -Leerzeichen verschleierte Einschleusungen und die Terminierung per Backtick
owasp-crs-v030301-id942210-sqli
2
Erkennt verkettete SQL-Einschleusungsversuche
owasp-crs-v030301-id942260-sqli
2
Erkennt Umgehungsversuche der einfachen SQL-Authentifizierung 2/3
owasp-crs-v030301-id942300-sqli
2
Erkennt MySQL-Kommentare
owasp-crs-v030301-id942310-sqli
2
Erkennt verkettete SQL-Einschleusungsversuche 2/2
owasp-crs-v030301-id942330-sqli
2
Erkennt Probings von klassischen SQL-Einschleusungen 1/2
owasp-crs-v030301-id942340-sqli
2
Erkennt Umgehungsversuche der einfachen SQL-Authentifizierung 3/3
owasp-crs-v030301-id942361-sqli
2
Erkennt einfache SQL-Einschleusungen basierend auf Schlüsselwortänderungen oder Union
owasp-crs-v030301-id942370-sqli
2
Erkennt Probings von klassischen SQL-Einschleusungen 2/3
owasp-crs-v030301-id942380-sqli
2
Angriff mit SQL-Einschleusung
owasp-crs-v030301-id942390-sqli
2
Angriff mit SQL-Einschleusung
owasp-crs-v030301-id942400-sqli
2
Angriff mit SQL-Einschleusung
owasp-crs-v030301-id942410-sqli
2
Angriff mit SQL-Einschleusung
owasp-crs-v030301-id942470-sqli
2
Angriff mit SQL-Einschleusung
owasp-crs-v030301-id942480-sqli
2
Angriff mit SQL-Einschleusung
owasp-crs-v030301-id942430-sqli
2
Eingeschränkte Anomalieerkennung für SQL-Zeichen (Argumente): Anzahl von Sonderzeichen überschritten (12)
owasp-crs-v030301-id942440-sqli
2
SQL-Kommentarsequenz erkannt
owasp-crs-v030301-id942450-sqli
2
SQL-Hex-Codierung erkannt
owasp-crs-v030301-id942510-sqli
2
SQLi-Umgang durch erkannte Ticks oder Graviszeichen
owasp-crs-v030301-id942251-sqli
3
Erkennt HAVING-Einschleusungen
owasp-crs-v030301-id942490-sqli
3
Erkennt Probings von klassischen SQL-Einschleusungen 3/3
owasp-crs-v030301-id942420-sqli
3
Eingeschränkte Anomalieerkennung für SQL-Zeichen (Cookies): Anzahl von Sonderzeichen überschritten (8)
owasp-crs-v030301-id942431-sqli
3
Eingeschränkte Anomalieerkennung für SQL-Zeichen (Argumente): Anzahl von Sonderzeichen überschritten (6)
owasp-crs-v030301-id942460-sqli
3
Warnung: Erkennung einer Metazeichenanomalie – Wiederholte Non-Word-Zeichen
owasp-crs-v030301-id942511-sqli
3
SQLi-Umgehungsversuch durch erkannte Ticks
owasp-crs-v030301-id942421-sqli
4
Eingeschränkte Anomalieerkennung für SQL-Zeichen (Cookies): Anzahl von Sonderzeichen überschritten (3)
owasp-crs-v030301-id942432-sqli
4
Eingeschränkte Anomalieerkennung für SQL-Zeichen (Argumente): Anzahl von Sonderzeichen überschritten (2)
CRS 3.0
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
owasp-crs-v030001-id942140-sqli
1
Angriff mit SQL-Einschleusung: Allgemeine DB-Namen erkannt
owasp-crs-v030001-id942160-sqli
1
Erkennt blinde SQLI-Tests mit sleep() oder benchmark().
owasp-crs-v030001-id942170-sqli
1
Erkennt SQL-Benchmark- und Sleep-Einschleusungsversuche, einschließlich bedingter Abfragen
owasp-crs-v030001-id942190-sqli
1
Erkennt MSSQL-Codeausführung und Informationserfassungsversuche
owasp-crs-v030001-id942220-sqli
1
Sucht nach Integer-Overflow-Angriffen
owasp-crs-v030001-id942230-sqli
1
Erkennt Angriffsversuche mit bedingter SQL-Einschleusung.
owasp-crs-v030001-id942240-sqli
1
Erkennt MySQL-Zeichensatzwechsel und MSSQL-DoS-Angriffsversuche
owasp-crs-v030001-id942250-sqli
1
Erkennt MATCH AGAINST
owasp-crs-v030001-id942270-sqli
1
Sucht nach einfachen eingeschleuster SQL-Befehlen; gängiger Angriffs-String für MySQL
owasp-crs-v030001-id942280-sqli
1
Erkennt Postgres pg_sleep-Einschleusung
owasp-crs-v030001-id942290-sqli
1
Erkennt Angriffsversuche mit grundlegender MongoDB SQL-Einschleusung
owasp-crs-v030001-id942320-sqli
1
Erkennt Einschleusungen von gespeicherten Prozeduren/Funktionen für MySQL und PostgreSQL.
owasp-crs-v030001-id942350-sqli
1
Erkennt MySQL-UDF-Einschleusungen und andere Versuche der Manipulation von Daten bzw. der Struktur
owasp-crs-v030001-id942360-sqli
1
Erkennt Versuche des Verkettens einfacher eingeschleuster SQL-Befehle und von SQL/LFI
Not included
1
MySQL-Inline-Kommentar erkannt
owasp-crs-v030001-id942110-sqli
2
Angriff mit SQL-Einschleusung: Allgemeine Tests auf Befehlseinschleusung erkannt
owasp-crs-v030001-id942120-sqli
2
Angriff mit SQL-Einschleusung: SQL-Operator erkannt
Not included
2
Angriff mit SQL-Einschleusung: SQL-Numtology erkannt
owasp-crs-v030001-id942150-sqli
2
Angriff mit SQL-Einschleusung
owasp-crs-v030001-id942180-sqli
2
Erkennt Umgehungsversuche der einfachen SQL-Authentifizierung 1/3
owasp-crs-v030001-id942200-sqli
2
Erkennt durch MySQL-Kommentare oder -Leerzeichen verschleierte Einschleusungen und die Terminierung per Backtick
owasp-crs-v030001-id942210-sqli
2
Erkennt verkettete SQL-Einschleusungsversuche
owasp-crs-v030001-id942260-sqli
2
Erkennt Umgehungsversuche der einfachen SQL-Authentifizierung 2/3
owasp-crs-v030001-id942300-sqli
2
Erkennt MySQL-Kommentare
owasp-crs-v030001-id942310-sqli
2
Erkennt verkettete SQL-Einschleusungsversuche 2/2
owasp-crs-v030001-id942330-sqli
2
Erkennt Probings von klassischen SQL-Einschleusungen 1/2
owasp-crs-v030001-id942340-sqli
2
Erkennt Umgehungsversuche der einfachen SQL-Authentifizierung 3/3
Not included
2
Erkennt einfache SQL-Einschleusungen basierend auf Schlüsselwortänderungen oder Union
Not included
2
Erkennt Probings von klassischen SQL-Einschleusungen 2/3
owasp-crs-v030001-id942380-sqli
2
Angriff mit SQL-Einschleusung
owasp-crs-v030001-id942390-sqli
2
Angriff mit SQL-Einschleusung
owasp-crs-v030001-id942400-sqli
2
Angriff mit SQL-Einschleusung
owasp-crs-v030001-id942410-sqli
2
Angriff mit SQL-Einschleusung
Not included
2
Angriff mit SQL-Einschleusung
Not included
2
Angriff mit SQL-Einschleusung
owasp-crs-v030001-id942430-sqli
2
Eingeschränkte Anomalieerkennung für SQL-Zeichen (Argumente): Anzahl von Sonderzeichen überschritten (12)
owasp-crs-v030001-id942440-sqli
2
SQL-Kommentarsequenz erkannt
owasp-crs-v030001-id942450-sqli
2
SQL-Hex-Codierung erkannt
Not included
2
SQLi-Umgang durch erkannte Ticks oder Graviszeichen
owasp-crs-v030001-id942251-sqli
3
Erkennt HAVING-Einschleusungen
Not included
2
Erkennt Probings von klassischen SQL-Einschleusungen 3/3
owasp-crs-v030001-id942420-sqli
3
Eingeschränkte Anomalieerkennung für SQL-Zeichen (Cookies): Anzahl von Sonderzeichen überschritten (8)
owasp-crs-v030001-id942431-sqli
3
Eingeschränkte Anomalieerkennung für SQL-Zeichen (Argumente): Anzahl von Sonderzeichen überschritten (6)
owasp-crs-v030001-id942460-sqli
3
Warnung: Erkennung einer Metazeichenanomalie – Wiederholte Non-Word-Zeichen
Not included
3
SQLi-Umgehungsversuch durch erkannte Ticks
owasp-crs-v030001-id942421-sqli
4
Eingeschränkte Anomalieerkennung für SQL-Zeichen (Cookies): Anzahl von Sonderzeichen überschritten (3)
owasp-crs-v030001-id942432-sqli
4
Eingeschränkte Anomalieerkennung für SQL-Zeichen (Argumente): Anzahl von Sonderzeichen überschritten (2)
Wenn Sie eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren möchten, deaktivieren Sie die Signaturen bei höheren Empfindlichkeitsstufen.
Keywords von schwarzer Liste für Knotenvalidierung
owasp-crs-v030001-id941190-xss
1
IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941200-xss
1
IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941210-xss
1
IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941220-xss
1
IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941230-xss
1
IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941240-xss
1
IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941250-xss
1
IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941260-xss
1
IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941270-xss
1
IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941280-xss
1
IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941290-xss
1
IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941300-xss
1
IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941310-xss
1
Falsch formatierte US-ASCII-Codierung für XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941350-xss
1
UTF-7-Codierung – IE XSS – Angriff erkannt
Not included
1
JSFuck / Hieroglyphy-Verschleierung erkannt
Not included
1
Globale JavaScript-Variable gefunden
owasp-crs-v030001-id941150-xss
2
XSS-Filter – Kategorie 5 = Unzulässige HTML-Attribute
owasp-crs-v030001-id941320-xss
2
Möglicher XSS-Angriff erkannt – HTML-Tag-Handler
owasp-crs-v030001-id941330-xss
2
IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941340-xss
2
IE-XSS-Filter – Angriff erkannt
Not included
2
AngularJS-Clientvorlagenvorlage erkannt
Wenn Sie eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren möchten, deaktivieren Sie die Signaturen bei höheren Empfindlichkeitsstufen.
Datei-Aufnahme per Fernzugriff (Remote File Inclusion, RFI)
Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten RFI-Regel.
CRS 3.3
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
owasp-crs-v030301-id931100-rfi
1
Verwendung von IP-Adresse für URL-Parameter
owasp-crs-v030301-id931110-rfi
1
Verwendung eines häufigen und für RFI anfälligen Parameternamens mit URL-Nutzlast
owasp-crs-v030301-id931120-rfi
1
Verwendung von URL-Nutzlast mit nachgestelltem Fragezeichen (?)
owasp-crs-v030301-id931130-rfi
2
Domain-externer Verweis/Link
CRS 3.0
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
owasp-crs-v030001-id931100-rfi
1
Verwendung von IP-Adresse für URL-Parameter
owasp-crs-v030001-id931110-rfi
1
Verwendung eines häufigen und für RFI anfälligen Parameternamens mit URL-Nutzlast
owasp-crs-v030001-id931120-rfi
1
Verwendung von URL-Nutzlast mit nachgestelltem Fragezeichen (?)
owasp-crs-v030001-id931130-rfi
2
Domain-externer Verweis/Link
Wenn Sie eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren möchten, deaktivieren Sie die Signaturen bei höheren Empfindlichkeitsstufen.
Alle Signaturen für RFI liegen unter der Empfindlichkeitsstufe 2. Die folgende Konfiguration funktioniert für andere Empfindlichkeitsstufen:
RFI-Empfindlichkeitsstufe 2
evaluatePreconfiguredExpr('rfi-v33-stable')
Methodenerzwingung
Die folgende Tabelle enthält die Signatur-ID, die Empfindlichkeitsstufe und die Beschreibung jeder unterstützten Signatur in der vorkonfigurierten Regel für die Methodenerzwingung.
CRS 3.3
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
owasp-crs-v030301-id911100-methodenforcement
1
Methode ist gemäß Richtlinie nicht zulässig
CRS 3.0
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
owasp-crs-v030001-id911100-methodenforcement
1
Methode ist gemäß Richtlinie nicht zulässig
Alle Signaturen für die Methodenerzwingung sind niedriger als Empfindlichkeitsstufe 2. Die folgende Konfiguration funktioniert für andere Empfindlichkeitsstufen:
Die folgende Tabelle enthält die Signatur-ID, die Empfindlichkeitsstufe und die Beschreibung jeder unterstützten Signatur in der vorkonfigurierten Regel der Scannererkennung.
CRS 3.3
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
owasp-crs-v030301-id913100-scannerdetection
1
User-Agent gefunden, der mit dem Sicherheitsscanner verknüpft ist
owasp-crs-v030301-id913110-scannerdetection
1
Anfrageheader gefunden, der mit dem Sicherheitsscanner verknüpft ist
owasp-crs-v030301-id913120-scannerdetection
1
Dateiname oder Argument für Anfrage gefunden, der/das mit dem Sicherheitsscanner verknüpft ist
owasp-crs-v030301-id913101-scannerdetection
2
User-Agent gefunden, der mit Scripting/generischem HTTP-Client verknüpft ist
owasp-crs-v030301-id913102-scannerdetection
2
User-Agent gefunden, der mit Web-Crawler/Bot verknüpft ist
CRS 3.0
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
owasp-crs-v030001-id913100-scannerdetection
1
User-Agent gefunden, der mit dem Sicherheitsscanner verknüpft ist
owasp-crs-v030001-id913110-scannerdetection
1
Anfrageheader gefunden, der mit dem Sicherheitsscanner verknüpft ist
owasp-crs-v030001-id913120-scannerdetection
1
Dateiname oder Argument für Anfrage gefunden, der/das mit dem Sicherheitsscanner verknüpft ist
owasp-crs-v030001-id913101-scannerdetection
2
User-Agent gefunden, der mit Scripting/generischem HTTP-Client verknüpft ist
owasp-crs-v030001-id913102-scannerdetection
2
User-Agent gefunden, der mit Web-Crawler/Bot verknüpft ist
Wenn Sie eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren möchten, deaktivieren Sie die Signaturen bei höheren Empfindlichkeitsstufen.
Die folgende Tabelle enthält die Signatur-ID, die Empfindlichkeitsstufe und die Beschreibung jeder unterstützten Signatur in der vorkonfigurierten Regel für den Protokollangriff.
CRS 3.3
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
Not included
1
HTTP-Anfrage-Schmuggelangriff
owasp-crs-v030301-id921110-protocolattack
1
HTTP-Anfrage-Schmuggelangriff
owasp-crs-v030301-id921120-protocolattack
1
HTTP-Antwort-Aufteilungsangriff
owasp-crs-v030301-id921130-protocolattack
1
HTTP-Antwort-Aufteilungsangriff
owasp-crs-v030301-id921140-protocolattack
1
HTTP-Header-Injection-Angriff über Header
owasp-crs-v030301-id921150-protocolattack
1
HTTP-Header-Injection-Angriff über Nutzlast (CR/LF erkannt)
owasp-crs-v030301-id921160-protocolattack
1
HTTP-Header-Injection-Angriff über Nutzlast (CR/LF und Header-Name erkannt)
owasp-crs-v030301-id921190-protocolattack
1
HTTP-Aufteilung (CR/LF im Dateinamen der Anfrage erkannt)
owasp-crs-v030301-id921200-protocolattack
1
Angriff mit LDAP-Einschleusung
owasp-crs-v030301-id921151-protocolattack
2
HTTP-Header-Injection-Angriff über Nutzlast (CR/LF erkannt)
owasp-crs-v030301-id921170-protocolattack
3
HTTP-Parameter-Pollution
CRS 3.0
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
owasp-crs-v030001-id921100-protocolattack
1
HTTP-Anfrage-Schmuggelangriff
owasp-crs-v030001-id921110-protocolattack
1
HTTP-Anfrage-Schmuggelangriff
owasp-crs-v030001-id921120-protocolattack
1
HTTP-Antwort-Aufteilungsangriff
owasp-crs-v030001-id921130-protocolattack
1
HTTP-Antwort-Aufteilungsangriff
owasp-crs-v030001-id921140-protocolattack
1
HTTP-Header-Injection-Angriff über Header
owasp-crs-v030001-id921150-protocolattack
1
HTTP-Header-Injection-Angriff über Nutzlast (CR/LF erkannt)
owasp-crs-v030001-id921160-protocolattack
1
HTTP-Header-Injection-Angriff über Nutzlast (CR/LF und Header-Name erkannt)
Not included
1
HTTP-Aufteilung (CR/LF im Dateinamen der Anfrage erkannt)
Not included
1
Angriff mit LDAP-Einschleusung
owasp-crs-v030001-id921151-protocolattack
2
HTTP-Header-Injection-Angriff über Nutzlast (CR/LF erkannt)
owasp-crs-v030001-id921170-protocolattack
3
HTTP-Parameter-Pollution
Wenn Sie eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren möchten, deaktivieren Sie die Signaturen bei höheren Empfindlichkeitsstufen.
Wenn Sie eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren möchten, deaktivieren Sie die Signaturen bei höheren Empfindlichkeitsstufen.
Die folgende Tabelle enthält die Signatur-ID, die Empfindlichkeitsstufe und die Beschreibung jeder unterstützten Signatur in der vorkonfigurierten Regel zur Sitzungsfixierung.
CRS 3.3
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
owasp-crs-v030301-id943100-sessionfixation
1
Möglicher Sitzungsfixierungsangriff: Cookie-Werte in HTML festlegen
owasp-crs-v030301-id943110-sessionfixation
1
Möglicher Sitzungsfixierungsangriff: SessionID-Parametername mit Verweis außerhalb der Domain
owasp-crs-v030301-id943120-sessionfixation
1
Möglicher Sitzungsfixierungsangriff: SessionID-Parametername ohne Verweis
CRS 3.0
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
owasp-crs-v030001-id943100-sessionfixation
1
Möglicher Sitzungsfixierungsangriff: Cookie-Werte in HTML festlegen
owasp-crs-v030001-id943110-sessionfixation
1
Möglicher Sitzungsfixierungsangriff: SessionID-Parametername mit Verweis außerhalb der Domain
owasp-crs-v030001-id943120-sessionfixation
1
Möglicher Sitzungsfixierungsangriff: SessionID-Parametername ohne Verweis
Alle Signaturen für die Sitzungsfixierung liegen unter der Empfindlichkeitsstufe 2. Die folgende Konfiguration funktioniert für andere Empfindlichkeitsstufen:
Die folgenden Signaturen decken die Log4j RCE-Sicherheitslücken CVE-2021-44228 und CVE-2021-45046 ab.
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
owasp-crs-v030001-id044228-cve
1
Basisregel zum Erkennen von Exploit-Versuchen von CVE-2021-44228 und CVE-2021-45046
owasp-crs-v030001-id144228-cve
1
Von Google bereitgestellte Verbesserungen, um mehr Umgehungs- und Verschleierungsversuche abzudecken
owasp-crs-v030001-id244228-cve
3
Erhöhte Empfindlichkeit der Erkennung, um noch mehr Umgehungs- und Verschleierungsversuche zu erkennen, wobei das Risiko einer falsch-positiven Erkennung nur geringfügig steigt
owasp-crs-v030001-id344228-cve
3
Erhöhte Empfindlichkeit der Erkennung, um noch mehr Umgehungs- und Verschleierungsversuche mit base64-Codierung zu erkennen, wobei das Risiko einer falsch-positiven Erkennung nur geringfügig steigt
Wenn Sie eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren möchten, deaktivieren Sie die Signaturen bei höheren Empfindlichkeitsstufen.
Vorkonfigurierte Regeln für Google Cloud Armor unterliegen den folgenden Einschränkungen:
Von den HTTP-Anfragetypen mit einem Anfragetext verarbeitet Google Cloud Armor nur POST-Anfragen. Google Cloud Armor wertet vorkonfigurierte Regeln für die ersten 8 KB des Textinhalts POST aus. Weitere Informationen finden Sie unter POST-Beschränkung von Textkörperinspektion.
Google Cloud Armor kann vorkonfigurierte WAF-Regeln für standardmäßige URL-codierte und JSON-formatierte POST-Texte (Content-Type='application/json') parsen und anwenden.
Google Cloud Armor parst oder decodiert jedoch keine anderen HTTP-Content-Type- und Content-Encoding-Formate.
Google Cloud Armor-Sicherheitsrichtlinien sind nur für Back-End-Dienste hinter einem Load-Balancer verfügbar. Daher gelten für Ihre Bereitstellung die Kontingente und Limits für das Load-Balancing. Weitere Informationen finden Sie auf der Seite Kontingente für das Load-Balancing.
Die folgenden ModSecurity CRS-Regel-IDs werden von Google Cloud Armor nicht unterstützt.