Google Cloud Armor WAF-Regeln abstimmen

Vorkonfigurierte Regeln

Vorkonfigurierte Google Cloud Armor-Regeln sind komplexe Web Application Firewall (WAF)-Regeln mit Dutzenden von Signaturen, die aus Open-Source-Branchenstandards kompiliert wurden. Google bietet diese Regeln wie besehen an. Die Regeln ermöglichen es Google Cloud Armor, Dutzende von unterschiedlichen Traffic-Signaturen auszuwerten. Dabei bezieht sich Google Cloud Armor auf Regeln, die praktischerweise benannt sind, anstatt dass Sie jede Signatur manuell definieren müssen.

Die folgende Tabelle enthält eine umfassende Liste vorkonfigurierter WAF-Regeln, die in einer Google Cloud Armor-Sicherheitsrichtlinie verwendet werden können. Die Regelquelle ist ModSecurity Core Rule Set (CRS) 3.0 und CRS 3.3. Wir empfehlen Ihnen, Version 3.3 zu verwenden, um die Empfindlichkeit zu erhöhen und eine Vielzahl geschützter Angriffstypen zu erhalten.

CRS 3.3

Name der Google Cloud Armor-Regel Name der ModSecurity-Regel Aktueller Status
SQL-Injection (öffentliche Vorschau) sqli-v33-stable Mit sqli-v33-canary synchronisiert
sqli-v33-canary Neueste
Cross-Site-Scripting (öffentliche Vorschau) xss-v33-stable Mit xss-v33-canary synchronisiert
xss-v33-canary Neueste
Aufnahme lokaler Dateien (öffentliche Vorschau) lfi-v33-stable Mit lfi-v33-canary synchronisiert
lfi-v33-canary Neueste
Remote-Datei einschließen (öffentliche Vorschau) rfi-v33-stable Mit rfi-v33-canary synchronisiert
rfi-v33-canary Neueste
Codeausführung per Fernzugriff (öffentliche Vorschau) rce-v33-stable Mit rce-v33-canary synchronisiert
rce-v33-canary Neueste
Methodenerzwingung (öffentliche Vorschau) methodenforcement-v33-stable Mit methodenforcement-v33-canary synchronisiert
methodenforcement-v33-canary Neueste
Scannererkennung (öffentliche Vorschau) scannerdetection-v33-stable Mit scannerdetection-v33-canary synchronisiert
scannerdetection-v33-canary Neueste
Protokollangriff (öffentliche Vorschau) protocolattack-v33-stable Mit protocolattack-v33-canary synchronisiert
protocolattack-v33-canary Neueste
PHP-Injection-Angriff (öffentliche Vorschau) php-v33-stable Mit php-v33-canary synchronisiert
php-v33-canary Neueste
Sitzungsfixierungsangriff (öffentliche Vorschau) sessionfixation-v33-stable Mit sessionfixation-v33-canary synchronisiert
sessionfixation-v33-canary Neueste

CRS 3.0

Name der Google Cloud Armor-Regel Name der ModSecurity-Regel Aktueller Status
SQL-Einschleusung sqli-stable Mit sqli-canary synchronisiert
sqli-canary Neueste
Cross-Site-Scripting xss-stable Mit xss-canary synchronisiert
xss-canary Neueste
Aufnahme lokaler Dateien lfi-stable Mit lfi-canary synchronisiert
lfi-canary Neueste
Remote-Datei einschließen rfi-stable Mit rfi-canary synchronisiert
rfi-canary Neueste
Codeausführung per Fernzugriff rce-stable Mit rce-canary synchronisiert
rce-canary Neueste
Methodenerzwingung (öffentliche Vorschau) methodenforcement-stable Mit methodenforcement-canary synchronisiert
methodenforcement-canary Neueste
Scannererkennung scannerdetection-stable Mit scannerdetection-canary synchronisiert
scannerdetection-canary Neueste
Protokollangriff protocolattack-stable Mit protocolattack-canary synchronisiert
protocolattack-canary Neueste
PHP-Injection-Angriff php-stable Mit php-canary synchronisiert
php-canary Neueste
Sitzungsfixierungsangriff sessionfixation-stable Mit sessionfixation-canary synchronisiert
sessionfixation-canary Neueste

Darüber hinaus steht die folgende cve-canary-Regel allen Google Cloud Armor-Kunden zur Verfügung, um Exploit-Versuche von CVE-2021-44228- und CVE-2021-45046 Sicherheitslücken zu erkennen und optional zu blockieren.

Name der Google Cloud Armor-Regel Regelinhalt Abgedeckte Sicherheitslückentypen
cve-canary Neu entdeckte Sicherheitslücken Log4j-Sicherheitslücke

Jede vorkonfigurierte Regel besteht aus mehreren Signaturen. Eingehende Anfragen werden anhand der vorkonfigurierten Regeln bewertet. Eine Anfrage entspricht einer vorkonfigurierten Regel, wenn die Anfrage mit einer der Signaturen übereinstimmt, die mit der vorkonfigurierten Regel verknüpft sind. Eine Übereinstimmung wird hergestellt, wenn der Befehl evaluatePreconfiguredExpr() den Wert true zurückgibt.

Wenn Sie entscheiden, dass eine vorkonfigurierte Regel mehr Traffic entspricht als erforderlich, oder wenn die Regel den zulässigen Traffic blockiert, kann die Regel so eingestellt werden, dass fehlerhafte oder anderweitig unnötige Signaturen deaktiviert werden. Um Signaturen in einer bestimmten vorkonfigurierten Regel zu deaktivieren, stellen Sie dem Befehl evaluatePreconfiguredExpr() eine Liste der IDs der unerwünschten Signaturen zur Verfügung.

Im folgenden Beispiel werden zwei CRS-Regel-IDs aus der vorkonfigurierten WAF-Regel xss-v33-stable (CRS 3.3) ausgeschlossen:

evaluatePreconfiguredExpr('xss-v33-stable', ['owasp-crs-v030301-id941330-xss', 'owasp-crs-v030301-id941340-xss'])

Wenn Sie Signatur-IDs aus vorkonfigurierten CRS-Regelsätzen ausschließen, müssen Sie die Signatur-ID-Version mit der Regelsatzversion (CRS 3.0 oder 3.3) abgleichen, um Konfigurationsfehler zu vermeiden.

Das vorherige Beispiel ist ein Ausdruck in der Benutzerdefinierten Regelsprache. Die allgemeine Syntax ist:

evaluatePreconfiguredExpr(RULE, ['SIGNATURE1', 'SIGNATURE2', 'SIGNATURE3'])

Vorkonfigurierte ModSecurity-Regeln

Jede vorkonfigurierte Regel hat eine Empfindlichkeitsstufe, die einer ModSecurity-Paranoia-Ebene entspricht. Eine niedrigere Empfindlichkeitsstufe weist auf eine vertrauenswürdigere Signatur hin, bei der die Wahrscheinlichkeit eines falsch-positiven Ergebnisses geringer ist. Eine höhere Empfindlichkeitsstufe erhöht die Sicherheit, erhöht aber auch das Risiko, ein falsch-positives Ergebnis zu erzeugen.

SQL-Injection (SQLi)

Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten SQLi-Regel.

CRS 3.3

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030301-id942140-sqli 1 Angriff mit SQL-Einschleusung: Allgemeine DB-Namen erkannt
owasp-crs-v030301-id942160-sqli 1 Erkennt blinde SQLI-Tests mit sleep() oder benchmark().
owasp-crs-v030301-id942170-sqli 1 Erkennt SQL-Benchmark- und Sleep-Einschleusungsversuche, einschließlich bedingter Abfragen
owasp-crs-v030301-id942190-sqli 1 Erkennt MSSQL-Codeausführung und Informationserfassungsversuche
owasp-crs-v030301-id942220-sqli 1 Sucht nach Integer-Overflow-Angriffen
owasp-crs-v030301-id942230-sqli 1 Erkennt Angriffsversuche mit bedingter SQL-Einschleusung.
owasp-crs-v030301-id942240-sqli 1 Erkennt MySQL-Zeichensatzwechsel und MSSQL-DoS-Angriffsversuche
owasp-crs-v030301-id942250-sqli 1 Erkennt MATCH AGAINST
owasp-crs-v030301-id942270-sqli 1 Sucht nach einfachen eingeschleuster SQL-Befehlen; gängiger Angriffs-String für MySQL
owasp-crs-v030301-id942280-sqli 1 Erkennt Postgres pg_sleep-Einschleusung
owasp-crs-v030301-id942290-sqli 1 Erkennt Angriffsversuche mit grundlegender MongoDB SQL-Einschleusung
owasp-crs-v030301-id942320-sqli 1 Erkennt Einschleusungen von gespeicherten Prozeduren/Funktionen für MySQL und PostgreSQL.
owasp-crs-v030301-id942350-sqli 1 Erkennt MySQL-UDF-Einschleusungen und andere Versuche der Manipulation von Daten bzw. der Struktur
owasp-crs-v030301-id942360-sqli 1 Erkennt Versuche des Verkettens einfacher eingeschleuster SQL-Befehle und von SQL/LFI
owasp-crs-v030301-id942500-sqli 1 MySQL-Inline-Kommentar erkannt
owasp-crs-v030301-id942110-sqli 2 Angriff mit SQL-Einschleusung: Allgemeine Tests auf Befehlseinschleusung erkannt
owasp-crs-v030301-id942120-sqli 2 Angriff mit SQL-Einschleusung: SQL-Operator erkannt
owasp-crs-v030301-id942130-sqli 2 Angriff mit SQL-Einschleusung: SQL-Numtology erkannt
owasp-crs-v030301-id942150-sqli 2 Angriff mit SQL-Einschleusung
owasp-crs-v030301-id942180-sqli 2 Erkennt Umgehungsversuche der einfachen SQL-Authentifizierung 1/3
owasp-crs-v030301-id942200-sqli 2 Erkennt durch MySQL-Kommentare oder -Leerzeichen verschleierte Einschleusungen und die Terminierung per Backtick
owasp-crs-v030301-id942210-sqli 2 Erkennt verkettete SQL-Einschleusungsversuche
owasp-crs-v030301-id942260-sqli 2 Erkennt Umgehungsversuche der einfachen SQL-Authentifizierung 2/3
owasp-crs-v030301-id942300-sqli 2 Erkennt MySQL-Kommentare
owasp-crs-v030301-id942310-sqli 2 Erkennt verkettete SQL-Einschleusungsversuche 2/2
owasp-crs-v030301-id942330-sqli 2 Erkennt Probings von klassischen SQL-Einschleusungen 1/2
owasp-crs-v030301-id942340-sqli 2 Erkennt Umgehungsversuche der einfachen SQL-Authentifizierung 3/3
owasp-crs-v030301-id942361-sqli 2 Erkennt einfache SQL-Einschleusungen basierend auf Schlüsselwortänderungen oder Union
owasp-crs-v030301-id942370-sqli 2 Erkennt Probings von klassischen SQL-Einschleusungen 2/3
owasp-crs-v030301-id942380-sqli 2 Angriff mit SQL-Einschleusung
owasp-crs-v030301-id942390-sqli 2 Angriff mit SQL-Einschleusung
owasp-crs-v030301-id942400-sqli 2 Angriff mit SQL-Einschleusung
owasp-crs-v030301-id942410-sqli 2 Angriff mit SQL-Einschleusung
owasp-crs-v030301-id942470-sqli 2 Angriff mit SQL-Einschleusung
owasp-crs-v030301-id942480-sqli 2 Angriff mit SQL-Einschleusung
owasp-crs-v030301-id942430-sqli 2 Eingeschränkte Anomalieerkennung für SQL-Zeichen (Argumente): Anzahl von Sonderzeichen überschritten (12)
owasp-crs-v030301-id942440-sqli 2 SQL-Kommentarsequenz erkannt
owasp-crs-v030301-id942450-sqli 2 SQL-Hex-Codierung erkannt
owasp-crs-v030301-id942510-sqli 2 SQLi-Umgang durch erkannte Ticks oder Graviszeichen
owasp-crs-v030301-id942251-sqli 3 Erkennt HAVING-Einschleusungen
owasp-crs-v030301-id942490-sqli 3 Erkennt Probings von klassischen SQL-Einschleusungen 3/3
owasp-crs-v030301-id942420-sqli 3 Eingeschränkte Anomalieerkennung für SQL-Zeichen (Cookies): Anzahl von Sonderzeichen überschritten (8)
owasp-crs-v030301-id942431-sqli 3 Eingeschränkte Anomalieerkennung für SQL-Zeichen (Argumente): Anzahl von Sonderzeichen überschritten (6)
owasp-crs-v030301-id942460-sqli 3 Warnung: Erkennung einer Metazeichenanomalie – Wiederholte Non-Word-Zeichen
owasp-crs-v030301-id942511-sqli 3 SQLi-Umgehungsversuch durch erkannte Ticks
owasp-crs-v030301-id942421-sqli 4 Eingeschränkte Anomalieerkennung für SQL-Zeichen (Cookies): Anzahl von Sonderzeichen überschritten (3)
owasp-crs-v030301-id942432-sqli 4 Eingeschränkte Anomalieerkennung für SQL-Zeichen (Argumente): Anzahl von Sonderzeichen überschritten (2)

CRS 3.0

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030001-id942140-sqli 1 Angriff mit SQL-Einschleusung: Allgemeine DB-Namen erkannt
owasp-crs-v030001-id942160-sqli 1 Erkennt blinde SQLI-Tests mit sleep() oder benchmark().
owasp-crs-v030001-id942170-sqli 1 Erkennt SQL-Benchmark- und Sleep-Einschleusungsversuche, einschließlich bedingter Abfragen
owasp-crs-v030001-id942190-sqli 1 Erkennt MSSQL-Codeausführung und Informationserfassungsversuche
owasp-crs-v030001-id942220-sqli 1 Sucht nach Integer-Overflow-Angriffen
owasp-crs-v030001-id942230-sqli 1 Erkennt Angriffsversuche mit bedingter SQL-Einschleusung.
owasp-crs-v030001-id942240-sqli 1 Erkennt MySQL-Zeichensatzwechsel und MSSQL-DoS-Angriffsversuche
owasp-crs-v030001-id942250-sqli 1 Erkennt MATCH AGAINST
owasp-crs-v030001-id942270-sqli 1 Sucht nach einfachen eingeschleuster SQL-Befehlen; gängiger Angriffs-String für MySQL
owasp-crs-v030001-id942280-sqli 1 Erkennt Postgres pg_sleep-Einschleusung
owasp-crs-v030001-id942290-sqli 1 Erkennt Angriffsversuche mit grundlegender MongoDB SQL-Einschleusung
owasp-crs-v030001-id942320-sqli 1 Erkennt Einschleusungen von gespeicherten Prozeduren/Funktionen für MySQL und PostgreSQL.
owasp-crs-v030001-id942350-sqli 1 Erkennt MySQL-UDF-Einschleusungen und andere Versuche der Manipulation von Daten bzw. der Struktur
owasp-crs-v030001-id942360-sqli 1 Erkennt Versuche des Verkettens einfacher eingeschleuster SQL-Befehle und von SQL/LFI
Not included 1 MySQL-Inline-Kommentar erkannt
owasp-crs-v030001-id942110-sqli 2 Angriff mit SQL-Einschleusung: Allgemeine Tests auf Befehlseinschleusung erkannt
owasp-crs-v030001-id942120-sqli 2 Angriff mit SQL-Einschleusung: SQL-Operator erkannt
Not included 2 Angriff mit SQL-Einschleusung: SQL-Numtology erkannt
owasp-crs-v030001-id942150-sqli 2 Angriff mit SQL-Einschleusung
owasp-crs-v030001-id942180-sqli 2 Erkennt Umgehungsversuche der einfachen SQL-Authentifizierung 1/3
owasp-crs-v030001-id942200-sqli 2 Erkennt durch MySQL-Kommentare oder -Leerzeichen verschleierte Einschleusungen und die Terminierung per Backtick
owasp-crs-v030001-id942210-sqli 2 Erkennt verkettete SQL-Einschleusungsversuche
owasp-crs-v030001-id942260-sqli 2 Erkennt Umgehungsversuche der einfachen SQL-Authentifizierung 2/3
owasp-crs-v030001-id942300-sqli 2 Erkennt MySQL-Kommentare
owasp-crs-v030001-id942310-sqli 2 Erkennt verkettete SQL-Einschleusungsversuche 2/2
owasp-crs-v030001-id942330-sqli 2 Erkennt Probings von klassischen SQL-Einschleusungen 1/2
owasp-crs-v030001-id942340-sqli 2 Erkennt Umgehungsversuche der einfachen SQL-Authentifizierung 3/3
Not included 2 Erkennt einfache SQL-Einschleusungen basierend auf Schlüsselwortänderungen oder Union
Not included 2 Erkennt Probings von klassischen SQL-Einschleusungen 2/3
owasp-crs-v030001-id942380-sqli 2 Angriff mit SQL-Einschleusung
owasp-crs-v030001-id942390-sqli 2 Angriff mit SQL-Einschleusung
owasp-crs-v030001-id942400-sqli 2 Angriff mit SQL-Einschleusung
owasp-crs-v030001-id942410-sqli 2 Angriff mit SQL-Einschleusung
Not included 2 Angriff mit SQL-Einschleusung
Not included 2 Angriff mit SQL-Einschleusung
owasp-crs-v030001-id942430-sqli 2 Eingeschränkte Anomalieerkennung für SQL-Zeichen (Argumente): Anzahl von Sonderzeichen überschritten (12)
owasp-crs-v030001-id942440-sqli 2 SQL-Kommentarsequenz erkannt
owasp-crs-v030001-id942450-sqli 2 SQL-Hex-Codierung erkannt
Not included 2 SQLi-Umgang durch erkannte Ticks oder Graviszeichen
owasp-crs-v030001-id942251-sqli 3 Erkennt HAVING-Einschleusungen
Not included 2 Erkennt Probings von klassischen SQL-Einschleusungen 3/3
owasp-crs-v030001-id942420-sqli 3 Eingeschränkte Anomalieerkennung für SQL-Zeichen (Cookies): Anzahl von Sonderzeichen überschritten (8)
owasp-crs-v030001-id942431-sqli 3 Eingeschränkte Anomalieerkennung für SQL-Zeichen (Argumente): Anzahl von Sonderzeichen überschritten (6)
owasp-crs-v030001-id942460-sqli 3 Warnung: Erkennung einer Metazeichenanomalie – Wiederholte Non-Word-Zeichen
Not included 3 SQLi-Umgehungsversuch durch erkannte Ticks
owasp-crs-v030001-id942421-sqli 4 Eingeschränkte Anomalieerkennung für SQL-Zeichen (Cookies): Anzahl von Sonderzeichen überschritten (3)
owasp-crs-v030001-id942432-sqli 4 Eingeschränkte Anomalieerkennung für SQL-Zeichen (Argumente): Anzahl von Sonderzeichen überschritten (2)

Wenn Sie eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren möchten, deaktivieren Sie die Signaturen bei höheren Empfindlichkeitsstufen.

SQLi-Empfindlichkeitsstufe 1


evaluatePreconfiguredExpr('sqli-v33-stable',
['owasp-crs-v030301-id942110-sqli',
  'owasp-crs-v030301-id942120-sqli',
  'owasp-crs-v030301-id942130-sqli',
  'owasp-crs-v030301-id942150-sqli',
  'owasp-crs-v030301-id942180-sqli',
  'owasp-crs-v030301-id942200-sqli',
  'owasp-crs-v030301-id942210-sqli',
  'owasp-crs-v030301-id942260-sqli',
  'owasp-crs-v030301-id942300-sqli',
  'owasp-crs-v030301-id942310-sqli',
  'owasp-crs-v030301-id942330-sqli',
  'owasp-crs-v030301-id942340-sqli',
  'owasp-crs-v030301-id942361-sqli',
  'owasp-crs-v030301-id942370-sqli',
  'owasp-crs-v030301-id942380-sqli',
  'owasp-crs-v030301-id942390-sqli',
  'owasp-crs-v030301-id942400-sqli',
  'owasp-crs-v030301-id942410-sqli',
  'owasp-crs-v030301-id942470-sqli',
  'owasp-crs-v030301-id942480-sqli',
  'owasp-crs-v030301-id942430-sqli',
  'owasp-crs-v030301-id942440-sqli',
  'owasp-crs-v030301-id942450-sqli',
  'owasp-crs-v030301-id942510-sqli',
  'owasp-crs-v030301-id942251-sqli',
  'owasp-crs-v030301-id942490-sqli',
  'owasp-crs-v030301-id942420-sqli',
  'owasp-crs-v030301-id942431-sqli',
  'owasp-crs-v030301-id942460-sqli',
  'owasp-crs-v030301-id942511-sqli',
  'owasp-crs-v030301-id942421-sqli',
  'owasp-crs-v030301-id942432-sqli']
)
          
SQLi-Empfindlichkeitsstufe 2


evaluatePreconfiguredExpr('sqli-v33-stable',
 ['owasp-crs-v030301-id942251-sqli',
  'owasp-crs-v030301-id942490-sqli',
  'owasp-crs-v030301-id942420-sqli',
  'owasp-crs-v030301-id942431-sqli',
  'owasp-crs-v030301-id942460-sqli',
  'owasp-crs-v030301-id942511-sqli',
  'owasp-crs-v030301-id942421-sqli',
  'owasp-crs-v030301-id942432-sqli']
)
SQLi-Empfindlichkeitsstufe 3


evaluatePreconfiguredExpr('sqli-v33-stable',
        ['owasp-crs-v030301-id942421-sqli',
         'owasp-crs-v030301-id942432-sqli']
         )
SQLi-Empfindlichkeitsstufe 4


evaluatePreconfiguredExpr('sqli-v33-stable')

Cross-Site-Scripting (XSS)

Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten XSS-Regel.

CRS 3.3

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030301-id941110-xss 1 XSS-Filter – Kategorie 1: Skript-Tag-Vektor
owasp-crs-v030301-id941120-xss 1 XSS-Filter – Kategorie 2: Event-Handler-Vektor
owasp-crs-v030301-id941130-xss 1 XSS-Filter – Kategorie 3: Attributvektor
owasp-crs-v030301-id941140-xss 1 XSS-Filter – Kategorie 4: JavaScript-URI-Vektor
owasp-crs-v030301-id941160-xss 1 NoScript XSS InjectionChecker: HTML-Einschleusung
owasp-crs-v030301-id941170-xss 1 NoScript XSS InjectionChecker: Attributeinschleusung
owasp-crs-v030301-id941180-xss 1 Keywords von schwarzer Liste für Knotenvalidierung
owasp-crs-v030301-id941190-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030301-id941200-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030301-id941210-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030301-id941220-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030301-id941230-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030301-id941240-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030301-id941250-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030301-id941260-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030301-id941270-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030301-id941280-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030301-id941290-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030301-id941300-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030301-id941310-xss 1 Falsch formatierte US-ASCII-Codierung für XSS-Filter – Angriff erkannt
owasp-crs-v030301-id941350-xss 1 UTF-7-Codierung – IE XSS – Angriff erkannt
owasp-crs-v030301-id941360-xss 1 Hierarchie-Verschleierung erkannt
owasp-crs-v030301-id941370-xss 1 Globale JavaScript-Variable gefunden
owasp-crs-v030301-id941150-xss 2 XSS-Filter – Kategorie 5 = Unzulässige HTML-Attribute
owasp-crs-v030301-id941320-xss 2 Möglicher XSS-Angriff erkannt – HTML-Tag-Handler
owasp-crs-v030301-id941330-xss 2 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030301-id941340-xss 2 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030301-id941380-xss 2 AngularJS-Clientvorlagenvorlage erkannt

CRS 3.0

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030001-id941110-xss 1 XSS-Filter – Kategorie 1: Skript-Tag-Vektor
owasp-crs-v030001-id941120-xss 1 XSS-Filter – Kategorie 2: Event-Handler-Vektor
owasp-crs-v030001-id941130-xss 1 XSS-Filter – Kategorie 3: Attributvektor
owasp-crs-v030001-id941140-xss 1 XSS-Filter – Kategorie 4: JavaScript-URI-Vektor
owasp-crs-v030001-id941160-xss 1 NoScript XSS InjectionChecker: HTML-Einschleusung
owasp-crs-v030001-id941170-xss 1 NoScript XSS InjectionChecker: Attributeinschleusung
owasp-crs-v030001-id941180-xss 1 Keywords von schwarzer Liste für Knotenvalidierung
owasp-crs-v030001-id941190-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941200-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941210-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941220-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941230-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941240-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941250-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941260-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941270-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941280-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941290-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941300-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941310-xss 1 Falsch formatierte US-ASCII-Codierung für XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941350-xss 1 UTF-7-Codierung – IE XSS – Angriff erkannt
Not included 1 JSFuck / Hieroglyphy-Verschleierung erkannt
Not included 1 Globale JavaScript-Variable gefunden
owasp-crs-v030001-id941150-xss 2 XSS-Filter – Kategorie 5 = Unzulässige HTML-Attribute
owasp-crs-v030001-id941320-xss 2 Möglicher XSS-Angriff erkannt – HTML-Tag-Handler
owasp-crs-v030001-id941330-xss 2 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941340-xss 2 IE-XSS-Filter – Angriff erkannt
Not included 2 AngularJS-Clientvorlagenvorlage erkannt

Wenn Sie eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren möchten, deaktivieren Sie die Signaturen bei höheren Empfindlichkeitsstufen.

XSS-Empfindlichkeitsstufe 1


evaluatePreconfiguredExpr('xss-v33-stable',
['owasp-crs-v030301-id941150-xss',
  'owasp-crs-v030301-id941320-xss',
  'owasp-crs-v030301-id941330-xss',
  'owasp-crs-v030301-id941340-xss',
  'owasp-crs-v030301-id941380-xss'
])
          


Alle Signaturen für XSS liegen unter der Empfindlichkeitsstufe 2. Die folgende Konfiguration funktioniert für andere Empfindlichkeitsstufen:

XSS-Empfindlichkeitsstufe 2


evaluatePreconfiguredExpr('xss-v33-stable')

Aufnahme lokaler Dateien (Local File Inclusion, LFI)

Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten LFI-Regel.

CRS 3.3

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030301-id930100-lfi 1 Angriff mit Pfaddurchlauf (/../)
owasp-crs-v030301-id930110-lfi 1 Angriff mit Pfaddurchlauf (/../)
owasp-crs-v030301-id930120-lfi 1 Zugriffsversuch auf Betriebssystemdatei
owasp-crs-v030301-id930130-lfi 1 Zugriffsversuch auf Datei mit eingeschränktem Zugriff

CRS 3.0

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030001-id930100-lfi 1 Angriff mit Pfaddurchlauf (/../)
owasp-crs-v030001-id930110-lfi 1 Angriff mit Pfaddurchlauf (/../)
owasp-crs-v030001-id930120-lfi 1 Zugriffsversuch auf Betriebssystemdatei
owasp-crs-v030001-id930130-lfi 1 Zugriffsversuch auf Datei mit eingeschränktem Zugriff

Alle Signaturen für LFI entsprechen der Empfindlichkeitsstufe 1. Die folgende Konfiguration funktioniert für alle Empfindlichkeitsstufen:

LFI-Empfindlichkeitsstufe 1


evaluatePreconfiguredExpr('lfi-v33-canary')

Codeausführung per Fernzugriff (Remote Code Execution, RCE)

Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten RCE-Regel.

CRS 3.3

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030301-id932100-rce 1 UNIX-Befehlseinschleusung
owasp-crs-v030301-id932105-rce 1 UNIX-Befehlseinschleusung
owasp-crs-v030301-id932110-rce 1 Windows-Befehlseinschleusung
owasp-crs-v030301-id932115-rce 1 Windows-Befehlseinschleusung
owasp-crs-v030301-id932120-rce 1 Windows PowerShell-Befehl gefunden
owasp-crs-v030301-id932130-rce 1 Unix Shell-Ausdruck gefunden
owasp-crs-v030301-id932140-rce 1 Windows-FOR/IF-Befehl gefunden
owasp-crs-v030301-id932150-rce 1 Direkte Ausführung von UNIX-Befehlen
owasp-crs-v030301-id932160-rce 1 UNIX-Shell-Code gefunden
owasp-crs-v030301-id932170-rce 1 Shellshock (CVE-2014-6271)
owasp-crs-v030301-id932171-rce 1 Shellshock (CVE-2014-6271)
owasp-crs-v030301-id932180-rce 1 Eingeschränkter Dateiupload-Versuch
owasp-crs-v030301-id932200-rce 2 RCE-Bypass-Methode
owasp-crs-v030301-id932106-rce 3 Remotebefehlsausführung: Unix-Befehlseinschleusung
owasp-crs-v030301-id932190-rce 3 Remote Command Execution: Versuch, einen Platzhalter zu umgehen

CRS 3.0

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030001-id932100-rce 1 UNIX-Befehlseinschleusung
owasp-crs-v030001-id932105-rce 1 UNIX-Befehlseinschleusung
owasp-crs-v030001-id932110-rce 1 Windows-Befehlseinschleusung
owasp-crs-v030001-id932115-rce 1 Windows-Befehlseinschleusung
owasp-crs-v030001-id932120-rce 1 Windows PowerShell-Befehl gefunden
owasp-crs-v030001-id932130-rce 1 Unix Shell-Ausdruck gefunden
owasp-crs-v030001-id932140-rce 1 Windows-FOR/IF-Befehl gefunden
owasp-crs-v030001-id932150-rce 1 Direkte Ausführung von UNIX-Befehlen
owasp-crs-v030001-id932160-rce 1 UNIX-Shell-Code gefunden
owasp-crs-v030001-id932170-rce 1 Shellshock (CVE-2014-6271)
owasp-crs-v030001-id932171-rce 1 Shellshock (CVE-2014-6271)
Not included 1 Eingeschränkter Dateiupload-Versuch
Not included 2 RCE-Bypass-Methode
Not included 3 Remotebefehlsausführung: Unix-Befehlseinschleusung
Not included 3 Remote Command Execution: Versuch, einen Platzhalter zu umgehen

Alle Signaturen für RCE entsprechen der Empfindlichkeitsstufe 1. Die folgende Konfiguration funktioniert für alle Empfindlichkeitsstufen:

RCE-Empfindlichkeitsstufe 1


evaluatePreconfiguredExpr('rce-v33-stable',
          ['owasp-crs-v030301-id932200-rce',
           'owasp-crs-v030301-id932106-rce',
           'owasp-crs-v030301-id932190-rce'])
          )

Die folgende Konfiguration funktioniert für andere Empfindlichkeitsstufen:

RCE-Empfindlichkeitsstufe 2


evaluatePreconfiguredExpr('rce-v33-stable',
          ['owasp-crs-v030301-id932106-rce',
           'owasp-crs-v030301-id932190-rce'])
          )
          
RCE-Empfindlichkeitsstufe 3


evaluatePreconfiguredExpr('rce-v33-stable')
          

Datei-Aufnahme per Fernzugriff (Remote File Inclusion, RFI)

Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten RFI-Regel.

CRS 3.3

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030301-id931100-rfi 1 Verwendung von IP-Adresse für URL-Parameter
owasp-crs-v030301-id931110-rfi 1 Verwendung eines häufigen und für RFI anfälligen Parameternamens mit URL-Nutzlast
owasp-crs-v030301-id931120-rfi 1 Verwendung von URL-Nutzlast mit nachgestelltem Fragezeichen (?)
owasp-crs-v030301-id931130-rfi 2 Domain-externer Verweis/Link

CRS 3.0

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030001-id931100-rfi 1 Verwendung von IP-Adresse für URL-Parameter
owasp-crs-v030001-id931110-rfi 1 Verwendung eines häufigen und für RFI anfälligen Parameternamens mit URL-Nutzlast
owasp-crs-v030001-id931120-rfi 1 Verwendung von URL-Nutzlast mit nachgestelltem Fragezeichen (?)
owasp-crs-v030001-id931130-rfi 2 Domain-externer Verweis/Link

Wenn Sie eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren möchten, deaktivieren Sie die Signaturen bei höheren Empfindlichkeitsstufen.

RFI-Empfindlichkeitsstufe 1


evaluatePreconfiguredExpr('rfi-v33-canary', ['owasp-crs-v030301-id931130-rfi'])

Alle Signaturen für RFI liegen unter der Empfindlichkeitsstufe 2. Die folgende Konfiguration funktioniert für andere Empfindlichkeitsstufen:

RFI-Empfindlichkeitsstufe 2


evaluatePreconfiguredExpr('rfi-v33-stable')

Methodenerzwingung

Die folgende Tabelle enthält die Signatur-ID, die Empfindlichkeitsstufe und die Beschreibung jeder unterstützten Signatur in der vorkonfigurierten Regel für die Methodenerzwingung.

CRS 3.3

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030301-id911100-methodenforcement 1 Methode ist gemäß Richtlinie nicht zulässig

CRS 3.0

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030001-id911100-methodenforcement 1 Methode ist gemäß Richtlinie nicht zulässig

Alle Signaturen für die Methodenerzwingung sind niedriger als Empfindlichkeitsstufe 2. Die folgende Konfiguration funktioniert für andere Empfindlichkeitsstufen:

Empfindlichkeitsstufe 1 für Methodenerzwingung


evaluatePreconfiguredExpr('methodenforcement-v33-stable')

Scannererkennung

Die folgende Tabelle enthält die Signatur-ID, die Empfindlichkeitsstufe und die Beschreibung jeder unterstützten Signatur in der vorkonfigurierten Regel der Scannererkennung.

CRS 3.3

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030301-id913100-scannerdetection 1 User-Agent gefunden, der mit dem Sicherheitsscanner verknüpft ist
owasp-crs-v030301-id913110-scannerdetection 1 Anfrageheader gefunden, der mit dem Sicherheitsscanner verknüpft ist
owasp-crs-v030301-id913120-scannerdetection 1 Dateiname oder Argument für Anfrage gefunden, der/das mit dem Sicherheitsscanner verknüpft ist
owasp-crs-v030301-id913101-scannerdetection 2 User-Agent gefunden, der mit Scripting/generischem HTTP-Client verknüpft ist
owasp-crs-v030301-id913102-scannerdetection 2 User-Agent gefunden, der mit Web-Crawler/Bot verknüpft ist

CRS 3.0

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030001-id913100-scannerdetection 1 User-Agent gefunden, der mit dem Sicherheitsscanner verknüpft ist
owasp-crs-v030001-id913110-scannerdetection 1 Anfrageheader gefunden, der mit dem Sicherheitsscanner verknüpft ist
owasp-crs-v030001-id913120-scannerdetection 1 Dateiname oder Argument für Anfrage gefunden, der/das mit dem Sicherheitsscanner verknüpft ist
owasp-crs-v030001-id913101-scannerdetection 2 User-Agent gefunden, der mit Scripting/generischem HTTP-Client verknüpft ist
owasp-crs-v030001-id913102-scannerdetection 2 User-Agent gefunden, der mit Web-Crawler/Bot verknüpft ist

Wenn Sie eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren möchten, deaktivieren Sie die Signaturen bei höheren Empfindlichkeitsstufen.

Empfindlichkeitsstufe 1 der Scannererkennung


evaluatePreconfiguredExpr('scannerdetection-v33-stable',
  ['owasp-crs-v030301-id913101-scannerdetection',
  'owasp-crs-v030301-id913102-scannerdetection']
)
          
Empfindlichkeitsstufe 2 der Scannererkennung


evaluatePreconfiguredExpr('scannerdetection-v33-stable')
          

Protokollangriff

Die folgende Tabelle enthält die Signatur-ID, die Empfindlichkeitsstufe und die Beschreibung jeder unterstützten Signatur in der vorkonfigurierten Regel für den Protokollangriff.

CRS 3.3

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
Not included 1 HTTP-Anfrage-Schmuggelangriff
owasp-crs-v030301-id921110-protocolattack 1 HTTP-Anfrage-Schmuggelangriff
owasp-crs-v030301-id921120-protocolattack 1 HTTP-Antwort-Aufteilungsangriff
owasp-crs-v030301-id921130-protocolattack 1 HTTP-Antwort-Aufteilungsangriff
owasp-crs-v030301-id921140-protocolattack 1 HTTP-Header-Injection-Angriff über Header
owasp-crs-v030301-id921150-protocolattack 1 HTTP-Header-Injection-Angriff über Nutzlast (CR/LF erkannt)
owasp-crs-v030301-id921160-protocolattack 1 HTTP-Header-Injection-Angriff über Nutzlast (CR/LF und Header-Name erkannt)
owasp-crs-v030301-id921190-protocolattack 1 HTTP-Aufteilung (CR/LF im Dateinamen der Anfrage erkannt)
owasp-crs-v030301-id921200-protocolattack 1 Angriff mit LDAP-Einschleusung
owasp-crs-v030301-id921151-protocolattack 2 HTTP-Header-Injection-Angriff über Nutzlast (CR/LF erkannt)
owasp-crs-v030301-id921170-protocolattack 3 HTTP-Parameter-Pollution

CRS 3.0

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030001-id921100-protocolattack 1 HTTP-Anfrage-Schmuggelangriff
owasp-crs-v030001-id921110-protocolattack 1 HTTP-Anfrage-Schmuggelangriff
owasp-crs-v030001-id921120-protocolattack 1 HTTP-Antwort-Aufteilungsangriff
owasp-crs-v030001-id921130-protocolattack 1 HTTP-Antwort-Aufteilungsangriff
owasp-crs-v030001-id921140-protocolattack 1 HTTP-Header-Injection-Angriff über Header
owasp-crs-v030001-id921150-protocolattack 1 HTTP-Header-Injection-Angriff über Nutzlast (CR/LF erkannt)
owasp-crs-v030001-id921160-protocolattack 1 HTTP-Header-Injection-Angriff über Nutzlast (CR/LF und Header-Name erkannt)
Not included 1 HTTP-Aufteilung (CR/LF im Dateinamen der Anfrage erkannt)
Not included 1 Angriff mit LDAP-Einschleusung
owasp-crs-v030001-id921151-protocolattack 2 HTTP-Header-Injection-Angriff über Nutzlast (CR/LF erkannt)
owasp-crs-v030001-id921170-protocolattack 3 HTTP-Parameter-Pollution

Wenn Sie eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren möchten, deaktivieren Sie die Signaturen bei höheren Empfindlichkeitsstufen.

Empfindlichkeitsstufe 1 für Protokollangriff


evaluatePreconfiguredExpr('protocolattack-v33-stable',
  ['owasp-crs-v030301-id921151-protocolattack',
  'owasp-crs-v030301-id921170-protocolattack']
)
          
Empfindlichkeitsstufe 2 für Protokollangriff


evaluatePreconfiguredExpr('protocolattack-v33-stable',
  ['owasp-crs-v030301-id921170-protocolattack']
)
          
Empfindlichkeitsstufe 3 für Protokollangriff


evaluatePreconfiguredExpr('protocolattack-v33-stable')
          

PHP

Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten PHP-Regel.

CRS 3.3

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030301-id933100-php 1 PHP-Injektionsangriff: PHP Open Tag gefunden
owasp-crs-v030301-id933110-php 1 PHP-Injektionsangriff: PHP-Skriptdatei-Upload gefunden
owasp-crs-v030301-id933120-php 1 PHP-Injektionsangriff: Konfigurationsanweisung gefunden
owasp-crs-v030301-id933130-php 1 PHP-Injektionsangriff: Variablen gefunden
owasp-crs-v030301-id933140-php 1 PHP-Injektionsangriff: E/A-Stream gefunden
owasp-crs-v030301-id933200-php 1 PHP-Injektionsangriff: Wrapper-Schema erkannt
owasp-crs-v030301-id933150-php 1 PHP-Injektionsangriff: PHP-Funktionsname mit hohem Risiko gefunden
owasp-crs-v030301-id933160-php 1 PHP-Injektionsangriff: PHP-Funktionsaufruf mit hohem Risiko gefunden
owasp-crs-v030301-id933170-php 1 PHP-Injektionsangriff: Serialisierte Objektinjektion
owasp-crs-v030301-id933180-php 1 PHP-Injektionsangriff: Variabler Funktionsaufruf gefunden
owasp-crs-v030301-id933210-php 1 PHP-Injektionsangriff: Variabler Funktionsaufruf gefunden
owasp-crs-v030301-id933151-php 2 PHP-Injektionsangriff: PHP-Funktionsname mit mittlerem Risiko gefunden
owasp-crs-v030301-id933131-php 3 PHP-Injektionsangriff: Variablen gefunden
owasp-crs-v030301-id933161-php 3 PHP-Injektionsangriff: PHP-Funktionsaufruf mit niedrigem Wert gefunden
owasp-crs-v030301-id933111-php 3 PHP-Injektionsangriff: PHP-Skriptdatei-Upload gefunden
owasp-crs-v030301-id933190-php 3 PHP-Injektionsangriff: PHP Closing Tag gefunden

CRS 3.0

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030001-id933100-php 1 PHP-Injektionsangriff: PHP Open Tag gefunden
owasp-crs-v030001-id933110-php 1 PHP-Injektionsangriff: PHP-Skriptdatei-Upload gefunden
owasp-crs-v030001-id933120-php 1 PHP-Injektionsangriff: Konfigurationsanweisung gefunden
owasp-crs-v030001-id933130-php 1 PHP-Injektionsangriff: Variablen gefunden
owasp-crs-v030001-id933140-php 1 PHP-Injektionsangriff: E/A-Stream gefunden
Not included 1 PHP-Injektionsangriff: Wrapper-Schema erkannt
owasp-crs-v030001-id933150-php 1 PHP-Injektionsangriff: PHP-Funktionsname mit hohem Risiko gefunden
owasp-crs-v030001-id933160-php 1 PHP-Injektionsangriff: PHP-Funktionsaufruf mit hohem Risiko gefunden
owasp-crs-v030001-id933170-php 1 PHP-Injektionsangriff: Serialisierte Objektinjektion
owasp-crs-v030001-id933180-php 1 PHP-Injektionsangriff: Variabler Funktionsaufruf gefunden
Not included 1 PHP-Injektionsangriff: Variabler Funktionsaufruf gefunden
owasp-crs-v030001-id933151-php 2 PHP-Injektionsangriff: PHP-Funktionsname mit mittlerem Risiko gefunden
owasp-crs-v030001-id933131-php 3 PHP-Injektionsangriff: Variablen gefunden
owasp-crs-v030001-id933161-php 3 PHP-Injektionsangriff: PHP-Funktionsaufruf mit niedrigem Wert gefunden
owasp-crs-v030001-id933111-php 3 PHP-Injektionsangriff: PHP-Skriptdatei-Upload gefunden
Not included 3 PHP-Injektionsangriff: PHP Closing Tag gefunden

Wenn Sie eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren möchten, deaktivieren Sie die Signaturen bei höheren Empfindlichkeitsstufen.

Empfindlichkeitsstufe 1 für PHP-Injektionsangriff


evaluatePreconfiguredExpr('php-v33-stable',
['owasp-crs-v030301-id933151-php',
  'owasp-crs-v030301-id933131-php',
  'owasp-crs-v030301-id933161-php',
  'owasp-crs-v030301-id933111-php',
  'owasp-crs-v030301-id933190-php']
)
          
Empfindlichkeitsstufe 2 für PHP-Injektionsangriff


evaluatePreconfiguredExpr('php-v33-stable',
  ['owasp-crs-v0303001-id933131-php',
  'owasp-crs-v0303001-id933161-php',
  'owasp-crs-v0303001-id933111-php'
  'owasp-crs-v030301-id933190-php'])
          
Empfindlichkeitsstufe 3 für PHP-Injektionsangriff


evaluatePreconfiguredExpr('php-v33-stable')
          

Sitzungsfixierung

Die folgende Tabelle enthält die Signatur-ID, die Empfindlichkeitsstufe und die Beschreibung jeder unterstützten Signatur in der vorkonfigurierten Regel zur Sitzungsfixierung.

CRS 3.3

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030301-id943100-sessionfixation 1 Möglicher Sitzungsfixierungsangriff: Cookie-Werte in HTML festlegen
owasp-crs-v030301-id943110-sessionfixation 1 Möglicher Sitzungsfixierungsangriff: SessionID-Parametername mit Verweis außerhalb der Domain
owasp-crs-v030301-id943120-sessionfixation 1 Möglicher Sitzungsfixierungsangriff: SessionID-Parametername ohne Verweis

CRS 3.0

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030001-id943100-sessionfixation 1 Möglicher Sitzungsfixierungsangriff: Cookie-Werte in HTML festlegen
owasp-crs-v030001-id943110-sessionfixation 1 Möglicher Sitzungsfixierungsangriff: SessionID-Parametername mit Verweis außerhalb der Domain
owasp-crs-v030001-id943120-sessionfixation 1 Möglicher Sitzungsfixierungsangriff: SessionID-Parametername ohne Verweis

Alle Signaturen für die Sitzungsfixierung liegen unter der Empfindlichkeitsstufe 2. Die folgende Konfiguration funktioniert für andere Empfindlichkeitsstufen:

Empfindlichkeitsstufe 1 für Sitzungsfixierung


evaluatePreconfiguredExpr('sessionfixation-v33-canary')

CVEs und andere Sicherheitslücken

Die folgenden Signaturen decken die Log4j RCE-Sicherheitslücken CVE-2021-44228 und CVE-2021-45046 ab.

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030001-id044228-cve 1 Basisregel zum Erkennen von Exploit-Versuchen von CVE-2021-44228 und CVE-2021-45046
owasp-crs-v030001-id144228-cve 1 Von Google bereitgestellte Verbesserungen, um mehr Umgehungs- und Verschleierungsversuche abzudecken
owasp-crs-v030001-id244228-cve 3 Erhöhte Empfindlichkeit der Erkennung, um noch mehr Umgehungs- und Verschleierungsversuche zu erkennen, wobei das Risiko einer falsch-positiven Erkennung nur geringfügig steigt
owasp-crs-v030001-id344228-cve 3 Erhöhte Empfindlichkeit der Erkennung, um noch mehr Umgehungs- und Verschleierungsversuche mit base64-Codierung zu erkennen, wobei das Risiko einer falsch-positiven Erkennung nur geringfügig steigt

Wenn Sie eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren möchten, deaktivieren Sie die Signaturen bei höheren Empfindlichkeitsstufen.

CVE-Empfindlichkeitsstufe 1


evaluatePreconfiguredExpr('cve-canary', ['owasp-crs-v030001-id244228-cve',
  'owasp-crs-v030001-id344228-cve'])
          
CVE-Empfindlichkeitsstufe 3


evaluatePreconfiguredExpr('cve-canary')

Beschränkungen

Vorkonfigurierte Regeln für Google Cloud Armor unterliegen den folgenden Einschränkungen:

  • Von den HTTP-Anfragetypen mit einem Anfragetext verarbeitet Google Cloud Armor nur POST-Anfragen. Google Cloud Armor wertet vorkonfigurierte Regeln für die ersten 8 KB des Textinhalts POST aus. Weitere Informationen finden Sie unter POST-Beschränkung von Textkörperinspektion.
  • Google Cloud Armor kann vorkonfigurierte WAF-Regeln für standardmäßige URL-codierte und JSON-formatierte POST-Texte (Content-Type='application/json') parsen und anwenden. Google Cloud Armor parst oder decodiert jedoch keine anderen HTTP-Content-Type- und Content-Encoding-Formate.
  • Google Cloud Armor-Sicherheitsrichtlinien sind nur für Back-End-Dienste hinter einem Load-Balancer verfügbar. Daher gelten für Ihre Bereitstellung die Kontingente und Limits für das Load-Balancing. Weitere Informationen finden Sie auf der Seite Kontingente für das Load-Balancing.
  • Die folgenden ModSecurity CRS-Regel-IDs werden von Google Cloud Armor nicht unterstützt.
    • sqli-942100
    • sqli-942101
    • xss-941100
    • xss-941101

Nächste Schritte