Ottimizzazione delle regole WAF di Google Cloud Armor

Regole preconfigurate

Le regole preconfigurate di Google Cloud Armor sono regole WAF (Web Application Firewall) complesse con decine di firme che vengono compilate da standard di settore open source. Google offre queste regole così come sono. Le regole consentono a Google Cloud Armor di valutare decine di firme di traffico facendo riferimento a regole con nomi comodi, anziché richiedere la definizione manuale di ciascuna firma.

La tabella seguente contiene un elenco completo di regole WAF preconfigurate che possono essere utilizzate in un criterio di sicurezza di Google Cloud Armor. L'origine della regola è ModSecurity Core Rule Set (CRS) 3.0 e CRS 3.3. Ti consigliamo di utilizzare la versione 3.3 per una maggiore sensibilità e una maggiore portata dei tipi di attacchi protetti.

CRS 3.3

Nome regola di Google Cloud Armor Nome regola ModSecurity Stato corrente
SQL injection (anteprima pubblica) sqli-v33-stable Sincronizzazione con sqli-v33-canary
sqli-v33-canary Più recente
Scripting cross-site (anteprima pubblica) xss-v33-stable Sincronizzazione con xss-v33-canary
xss-v33-canary Più recente
Inclusione di file locali (anteprima pubblica) lfi-v33-stable Sincronizzazione con lfi-v33-canary
lfi-v33-canary Più recente
Inclusione di file in remoto (anteprima pubblica) rfi-v33-stable Sincronizzazione con rfi-v33-canary
rfi-v33-canary Più recente
Esecuzione di codice remoto (anteprima pubblica) rce-v33-stable Sincronizzazione con rce-v33-canary
rce-v33-canary Più recente
Applicazione dei metodi (anteprima pubblica) methodenforcement-v33-stable Sincronizzazione con methodenforcement-v33-canary
methodenforcement-v33-canary Più recente
Rilevamento scanner (anteprima pubblica) scannerdetection-v33-stable Sincronizzazione con scannerdetection-v33-canary
scannerdetection-v33-canary Più recente
Attacco per protocollo (anteprima pubblica) protocolattack-v33-stable Sincronizzazione con protocolattack-v33-canary
protocolattack-v33-canary Più recente
Attacco PHP injection (anteprima pubblica) php-v33-stable Sincronizzazione con php-v33-canary
php-v33-canary Più recente
Attacco di correzione della sessione (anteprima pubblica) sessionfixation-v33-stable Sincronizzazione con sessionfixation-v33-canary
sessionfixation-v33-canary Più recente

CRS 3.0

Nome regola di Google Cloud Armor Nome regola ModSecurity Stato corrente
SQL injection sqli-stable Sincronizzazione con sqli-canary
sqli-canary Più recente
Cross-site scripting (XSS) xss-stable Sincronizzazione con xss-canary
xss-canary Più recente
Inclusione di file locali lfi-stable Sincronizzazione con lfi-canary
lfi-canary Più recente
Inclusione di file in remoto rfi-stable Sincronizzazione con rfi-canary
rfi-canary Più recente
Esecuzione del codice remoto rce-stable Sincronizzazione con rce-canary
rce-canary Più recente
Applicazione dei metodi (anteprima pubblica) methodenforcement-stable Sincronizzazione con methodenforcement-canary
methodenforcement-canary Più recente
Rilevamento scanner scannerdetection-stable Sincronizzazione con scannerdetection-canary
scannerdetection-canary Più recente
Attacco di protocollo protocolattack-stable Sincronizzazione con protocolattack-canary
protocolattack-canary Più recente
Attacco per l'iniezione di PHP php-stable Sincronizzazione con php-canary
php-canary Più recente
Attacco di correzione della sessione sessionfixation-stable Sincronizzazione con sessionfixation-canary
sessionfixation-canary Più recente

Inoltre, la seguente regola cve-canary è disponibile per tutti i clienti di Google Cloud Armor per aiutarti a rilevare e bloccare facoltativamente i tentativi di sfruttamento delle vulnerabilità di CVE-2021-44228 e CVE-2021-45046.

Nome regola di Google Cloud Armor Contenuti della regola Tipi di vulnerabilità coperti
cve-canary Vulnerabilità appena rilevate Vulnerabilità Log4j

Ogni regola preconfigurata è composta da più firme. Le richieste in entrata vengono valutate in base alle regole preconfigurate. Una richiesta corrisponde a una regola preconfigurata se corrisponde a una delle firme associate alla regola preconfigurata. Viene trovata una corrispondenza quando il comando evaluatePreconfiguredExpr() restituisce il valore true.

Se decidi che una regola preconfigurata corrisponde a un volume di traffico maggiore del necessario o se la regola blocca il traffico che deve essere consentito, la regola può essere ottimizzata per disattivare le firme rumorose o non necessarie. Per disattivare le firme in una determinata regola preconfigurata, fornisci un elenco di ID delle firme indesiderate al comando evaluatePreconfiguredExpr().

L'esempio seguente esclude due ID regola CRS dalla regola WAF preconfigurata xss-v33-stable (CRS 3.3):

evaluatePreconfiguredExpr('xss-v33-stable', ['owasp-crs-v030301-id941330-xss', 'owasp-crs-v030301-id941340-xss'])

Quando escludi gli ID firma dalle serie di regole CRS preconfigurate, devi abbinare la versione dell'ID firma alla versione del set di regole (CRS 3.0 o 3.3) per evitare errori di configurazione.

L'esempio precedente è un'espressione nel linguaggio delle regole personalizzate. La sintassi generale è la seguente:

evaluatePreconfiguredExpr(RULE, ['SIGNATURE1', 'SIGNATURE2', 'SIGNATURE3'])

Regole ModSecurity preconfigurate

Ogni regola preconfigurata ha un livello di sensibilità che corrisponde a un livello di paranoia di ModSecurity. Un livello di sensibilità più basso indica una firma di affidabilità più alta, che ha meno probabilità di generare un falso positivo. Un livello di sensibilità più alto aumenta la sicurezza, ma aumenta anche il rischio di generare un falso positivo.

SQL injection (SQLi)

La seguente tabella fornisce l'ID della firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola preconfigurata di SQLi.

CRS 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id942140-sqli 1 Attacco SQL injection: nomi di database comuni rilevati
owasp-crs-v030301-id942160-sqli 1 Rileva test SQL blind utilizzando Sleep() o benchmark()
owasp-crs-v030301-id942170-sqli 1 Rileva i benchmark SQL e i tentativi di inserimento del sonno, comprese le query condizionali
owasp-crs-v030301-id942190-sqli 1 Rileva l'esecuzione del codice MSSQL e i tentativi di raccolta delle informazioni.
owasp-crs-v030301-id942220-sqli 1 Cerca attacchi di overflow interi
owasp-crs-v030301-id942230-sqli 1 Rileva tentativi di inserimento SQL condizionale
owasp-crs-v030301-id942240-sqli 1 Rileva il sensore charset MySQL e i tentativi DoS MSSQL
owasp-crs-v030301-id942250-sqli 1 Rileva corrispondenze con corrispondenza
owasp-crs-v030301-id942270-sqli 1 Cerca l'inserimento SQL di base; una stringa di attacco comune per MySQL
owasp-crs-v030301-id942280-sqli 1 Rileva iniezione postgres pg_sleep
owasp-crs-v030301-id942290-sqli 1 Trova i tentativi di inserimento di SQL SQL di base
owasp-crs-v030301-id942320-sqli 1 Rileva iniezioni stored procedure/procedure MySQL
owasp-crs-v030301-id942350-sqli 1 Rileva l'inserimento di UDF MySQL e altri tentativi di manipolazione dei dati/strutture
owasp-crs-v030301-id942360-sqli 1 Rileva i tentativi di inserimento e SQLLFI di base concatenati
owasp-crs-v030301-id942500-sqli 1 Commento in linea MySQL rilevato
owasp-crs-v030301-id942110-sqli 2 Attacco SQL injection: test di iniezione comune rilevati
owasp-crs-v030301-id942120-sqli 2 Attacco SQL injection: operatore SQL rilevato
owasp-crs-v030301-id942130-sqli 2 Attacco SQL injection: rilevamento della tatologia SQL
owasp-crs-v030301-id942150-sqli 2 Attacco SQL injection
owasp-crs-v030301-id942180-sqli 2 Rileva i tentativi di bypass di autenticazione SQL di base 1/3
owasp-crs-v030301-id942200-sqli 2 Rileva iniezioni MySQL associate a commenti/spaziali e terminazioni di accento grave
owasp-crs-v030301-id942210-sqli 2 Rileva tentativi di inserimento SQL concatenati 1/2
owasp-crs-v030301-id942260-sqli 2 Rileva i tentativi 2/3 di bypassare l'autenticazione SQL di base
owasp-crs-v030301-id942300-sqli 2 Rileva i commenti MySQL
owasp-crs-v030301-id942310-sqli 2 Rileva tentativi di inserimento SQL concatenati 2/2
owasp-crs-v030301-id942330-sqli 2 Rileva probe di iniezione SQL classica 1/2
owasp-crs-v030301-id942340-sqli 2 Rileva i tentativi 3/3 per ignorare l'autenticazione SQL di base
owasp-crs-v030301-id942361-sqli 2 Rileva l'inserimento SQL di base in base alla modifica o all'unione di parole chiave
owasp-crs-v030301-id942370-sqli 2 Rileva probe di iniezione SQL classici 2/3
owasp-crs-v030301-id942380-sqli 2 Attacco SQL injection
owasp-crs-v030301-id942390-sqli 2 Attacco SQL injection
owasp-crs-v030301-id942400-sqli 2 Attacco SQL injection
owasp-crs-v030301-id942410-sqli 2 Attacco SQL injection
owasp-crs-v030301-id942470-sqli 2 Attacco SQL injection
owasp-crs-v030301-id942480-sqli 2 Attacco SQL injection
owasp-crs-v030301-id942430-sqli 2 Rilevamento delle anomalie nei caratteri SQL con restrizioni (argomenti): numero di caratteri speciali superato (12)
owasp-crs-v030301-id942440-sqli 2 Sequenza commenti SQL rilevata
owasp-crs-v030301-id942450-sqli 2 Codifica esadecimale SQL
owasp-crs-v030301-id942510-sqli 2 Tentativo di esclusione SQLi per segni di zecca o accento grave rilevati
owasp-crs-v030301-id942251-sqli 3 Rileva iniezioni HAVING
owasp-crs-v030301-id942490-sqli 3 Rileva probe di iniezione SQL classica 3/3
owasp-crs-v030301-id942420-sqli 3 Rilevamento delle anomalie nei caratteri SQL limitato (cookie): numero di caratteri speciali superato (8)
owasp-crs-v030301-id942431-sqli 3 Rilevamento di anomalie nei caratteri SQL con restrizioni (argot): numero di caratteri speciali superato (6)
owasp-crs-v030301-id942460-sqli 3 Avviso di rilevamento delle anomalie nei metacaratteri: caratteri non ripetitivi
owasp-crs-v030301-id942511-sqli 3 Tentativo di esclusione SQLi per zecche rilevate
owasp-crs-v030301-id942421-sqli 4 Rilevamento di anomalie nei caratteri SQL limitato (cookie): numero di caratteri speciali superato (3)
owasp-crs-v030301-id942432-sqli 4 Rilevamento delle anomalie nei caratteri SQL limitati (argomenti): numero di caratteri speciali superato (2)

CRS 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id942140-sqli 1 Attacco SQL injection: nomi di database comuni rilevati
owasp-crs-v030001-id942160-sqli 1 Rileva test SQL blind utilizzando Sleep() o benchmark()
owasp-crs-v030001-id942170-sqli 1 Rileva i benchmark SQL e i tentativi di inserimento del sonno, comprese le query condizionali
owasp-crs-v030001-id942190-sqli 1 Rileva l'esecuzione del codice MSSQL e i tentativi di raccolta delle informazioni.
owasp-crs-v030001-id942220-sqli 1 Cerca attacchi di overflow interi
owasp-crs-v030001-id942230-sqli 1 Rileva tentativi di inserimento SQL condizionale
owasp-crs-v030001-id942240-sqli 1 Rileva il sensore charset MySQL e i tentativi DoS MSSQL
owasp-crs-v030001-id942250-sqli 1 Rileva corrispondenze con corrispondenza
owasp-crs-v030001-id942270-sqli 1 Cerca l'inserimento SQL di base; una stringa di attacco comune per MySQL
owasp-crs-v030001-id942280-sqli 1 Rileva iniezione postgres pg_sleep
owasp-crs-v030001-id942290-sqli 1 Trova i tentativi di inserimento di SQL SQL di base
owasp-crs-v030001-id942320-sqli 1 Rileva iniezioni stored procedure/procedure MySQL
owasp-crs-v030001-id942350-sqli 1 Rileva l'inserimento di UDF MySQL e altri tentativi di manipolazione dei dati/strutture
owasp-crs-v030001-id942360-sqli 1 Rileva i tentativi di inserimento e SQLLFI di base concatenati
Not included 1 Commento in linea MySQL rilevato
owasp-crs-v030001-id942110-sqli 2 Attacco SQL injection: test di iniezione comune rilevati
owasp-crs-v030001-id942120-sqli 2 Attacco SQL injection: operatore SQL rilevato
Not included 2 Attacco SQL injection: rilevamento della tatologia SQL
owasp-crs-v030001-id942150-sqli 2 Attacco SQL injection
owasp-crs-v030001-id942180-sqli 2 Rileva i tentativi di bypass di autenticazione SQL di base 1/3
owasp-crs-v030001-id942200-sqli 2 Rileva iniezioni MySQL associate a commenti/spaziali e terminazioni di accento grave
owasp-crs-v030001-id942210-sqli 2 Rileva tentativi di inserimento SQL concatenati 1/2
owasp-crs-v030001-id942260-sqli 2 Rileva i tentativi 2/3 di bypassare l'autenticazione SQL di base
owasp-crs-v030001-id942300-sqli 2 Rileva i commenti MySQL
owasp-crs-v030001-id942310-sqli 2 Rileva tentativi di inserimento SQL concatenati 2/2
owasp-crs-v030001-id942330-sqli 2 Rileva probe di iniezione SQL classica 1/2
owasp-crs-v030001-id942340-sqli 2 Rileva i tentativi 3/3 per ignorare l'autenticazione SQL di base
Not included 2 Rileva l'inserimento SQL di base in base alla modifica o all'unione di parole chiave
Not included 2 Rileva probe di iniezione SQL classici 2/3
owasp-crs-v030001-id942380-sqli 2 Attacco SQL injection
owasp-crs-v030001-id942390-sqli 2 Attacco SQL injection
owasp-crs-v030001-id942400-sqli 2 Attacco SQL injection
owasp-crs-v030001-id942410-sqli 2 Attacco SQL injection
Not included 2 Attacco SQL injection
Not included 2 Attacco SQL injection
owasp-crs-v030001-id942430-sqli 2 Rilevamento delle anomalie nei caratteri SQL con restrizioni (argomenti): numero di caratteri speciali superato (12)
owasp-crs-v030001-id942440-sqli 2 Sequenza commenti SQL rilevata
owasp-crs-v030001-id942450-sqli 2 Codifica esadecimale SQL
Not included 2 Tentativo di esclusione SQLi per segni di zecca o accento grave rilevati
owasp-crs-v030001-id942251-sqli 3 Rileva iniezioni HAVING
Not included 2 Rileva probe di iniezione SQL classica 3/3
owasp-crs-v030001-id942420-sqli 3 Rilevamento delle anomalie nei caratteri SQL limitato (cookie): numero di caratteri speciali superato (8)
owasp-crs-v030001-id942431-sqli 3 Rilevamento di anomalie nei caratteri SQL con restrizioni (argot): numero di caratteri speciali superato (6)
owasp-crs-v030001-id942460-sqli 3 Avviso di rilevamento delle anomalie nei metacaratteri: caratteri non ripetitivi
Not included 3 Tentativo di esclusione SQLi per zecche rilevate
owasp-crs-v030001-id942421-sqli 4 Rilevamento di anomalie nei caratteri SQL limitato (cookie): numero di caratteri speciali superato (3)
owasp-crs-v030001-id942432-sqli 4 Rilevamento delle anomalie nei caratteri SQL limitati (argomenti): numero di caratteri speciali superato (2)

Per configurare una regola per un determinato livello di sensibilità, disattiva le firme a livelli più alti.

Livello di sensibilità SQLi 1


evaluatePreconfiguredExpr('sqli-v33-stable',
['owasp-crs-v030301-id942110-sqli',
  'owasp-crs-v030301-id942120-sqli',
  'owasp-crs-v030301-id942130-sqli',
  'owasp-crs-v030301-id942150-sqli',
  'owasp-crs-v030301-id942180-sqli',
  'owasp-crs-v030301-id942200-sqli',
  'owasp-crs-v030301-id942210-sqli',
  'owasp-crs-v030301-id942260-sqli',
  'owasp-crs-v030301-id942300-sqli',
  'owasp-crs-v030301-id942310-sqli',
  'owasp-crs-v030301-id942330-sqli',
  'owasp-crs-v030301-id942340-sqli',
  'owasp-crs-v030301-id942361-sqli',
  'owasp-crs-v030301-id942370-sqli',
  'owasp-crs-v030301-id942380-sqli',
  'owasp-crs-v030301-id942390-sqli',
  'owasp-crs-v030301-id942400-sqli',
  'owasp-crs-v030301-id942410-sqli',
  'owasp-crs-v030301-id942470-sqli',
  'owasp-crs-v030301-id942480-sqli',
  'owasp-crs-v030301-id942430-sqli',
  'owasp-crs-v030301-id942440-sqli',
  'owasp-crs-v030301-id942450-sqli',
  'owasp-crs-v030301-id942510-sqli',
  'owasp-crs-v030301-id942251-sqli',
  'owasp-crs-v030301-id942490-sqli',
  'owasp-crs-v030301-id942420-sqli',
  'owasp-crs-v030301-id942431-sqli',
  'owasp-crs-v030301-id942460-sqli',
  'owasp-crs-v030301-id942511-sqli',
  'owasp-crs-v030301-id942421-sqli',
  'owasp-crs-v030301-id942432-sqli']
)
          
Livello di sensibilità SQLi 2


evaluatePreconfiguredExpr('sqli-v33-stable',
 ['owasp-crs-v030301-id942251-sqli',
  'owasp-crs-v030301-id942490-sqli',
  'owasp-crs-v030301-id942420-sqli',
  'owasp-crs-v030301-id942431-sqli',
  'owasp-crs-v030301-id942460-sqli',
  'owasp-crs-v030301-id942511-sqli',
  'owasp-crs-v030301-id942421-sqli',
  'owasp-crs-v030301-id942432-sqli']
)
Livello di sensibilità SQLi 3


evaluatePreconfiguredExpr('sqli-v33-stable',
        ['owasp-crs-v030301-id942421-sqli',
         'owasp-crs-v030301-id942432-sqli']
         )
Livello di sensibilità SQLi 4


evaluatePreconfiguredExpr('sqli-v33-stable')

Cross-site scripting (XSS)

La seguente tabella fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola preconfigurata XSS.

CRS 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id941110-xss 1 Filtro XSS - Categoria 1: Vettore tag script
owasp-crs-v030301-id941120-xss 1 Filtro XSS - Categoria 2: Vettore gestore di eventi
owasp-crs-v030301-id941130-xss 1 Filtro XSS - Categoria 3: Vettore attributo
owasp-crs-v030301-id941140-xss 1 Filtro XSS - Categoria 4: Vettore JavaScript JavaScript
owasp-crs-v030301-id941160-xss 1 NoScript XSS InjectionChecker: iniezione HTML
owasp-crs-v030301-id941170-xss 1 NoScript XSS InjectionChecker: iniezione di attributi
owasp-crs-v030301-id941180-xss 1 Parole chiave lista consentita strumento di convalida dei nodi
owasp-crs-v030301-id941190-xss 1 Filtri IESS - Attacco rilevato
owasp-crs-v030301-id941200-xss 1 Filtri IESS - Attacco rilevato
owasp-crs-v030301-id941210-xss 1 Filtri IESS - Attacco rilevato
owasp-crs-v030301-id941220-xss 1 Filtri IESS - Attacco rilevato
owasp-crs-v030301-id941230-xss 1 Filtri IESS - Attacco rilevato
owasp-crs-v030301-id941240-xss 1 Filtri IESS - Attacco rilevato
owasp-crs-v030301-id941250-xss 1 Filtri IESS - Attacco rilevato
owasp-crs-v030301-id941260-xss 1 Filtri IESS - Attacco rilevato
owasp-crs-v030301-id941270-xss 1 Filtri IESS - Attacco rilevato
owasp-crs-v030301-id941280-xss 1 Filtri IESS - Attacco rilevato
owasp-crs-v030301-id941290-xss 1 Filtri IESS - Attacco rilevato
owasp-crs-v030301-id941300-xss 1 Filtri IESS - Attacco rilevato
owasp-crs-v030301-id941310-xss 1 Filtro XSS con codifica non valida US-ASCII - Rilevato attacco
owasp-crs-v030301-id941350-xss 1 Codifica UTF-7 IE XSS - attacco rilevato
owasp-crs-v030301-id941360-xss 1 Rilevato offuscamento geroglifico
owasp-crs-v030301-id941370-xss 1 Variabile globale JavaScript trovata
owasp-crs-v030301-id941150-xss 2 Filtro XSS - Categoria 5: attributi HTML non consentiti
owasp-crs-v030301-id941320-xss 2 Rilevato attacco XSS possibile - Gestore tag HTML
owasp-crs-v030301-id941330-xss 2 Filtri IESS - Attacco rilevato
owasp-crs-v030301-id941340-xss 2 Filtri IESS - Attacco rilevato
owasp-crs-v030301-id941380-xss 2 Rilevamento del modello lato client di AngularJS rilevato

CRS 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id941110-xss 1 Filtro XSS - Categoria 1: Vettore tag script
owasp-crs-v030001-id941120-xss 1 Filtro XSS - Categoria 2: Vettore gestore di eventi
owasp-crs-v030001-id941130-xss 1 Filtro XSS - Categoria 3: Vettore attributo
owasp-crs-v030001-id941140-xss 1 Filtro XSS - Categoria 4: Vettore JavaScript JavaScript
owasp-crs-v030001-id941160-xss 1 NoScript XSS InjectionChecker: iniezione HTML
owasp-crs-v030001-id941170-xss 1 NoScript XSS InjectionChecker: iniezione di attributi
owasp-crs-v030001-id941180-xss 1 Parole chiave lista consentita strumento di convalida dei nodi
owasp-crs-v030001-id941190-xss 1 Filtri IESS - Attacco rilevato
owasp-crs-v030001-id941200-xss 1 Filtri IESS - Attacco rilevato
owasp-crs-v030001-id941210-xss 1 Filtri IESS - Attacco rilevato
owasp-crs-v030001-id941220-xss 1 Filtri IESS - Attacco rilevato
owasp-crs-v030001-id941230-xss 1 Filtri IESS - Attacco rilevato
owasp-crs-v030001-id941240-xss 1 Filtri IESS - Attacco rilevato
owasp-crs-v030001-id941250-xss 1 Filtri IESS - Attacco rilevato
owasp-crs-v030001-id941260-xss 1 Filtri IESS - Attacco rilevato
owasp-crs-v030001-id941270-xss 1 Filtri IESS - Attacco rilevato
owasp-crs-v030001-id941280-xss 1 Filtri IESS - Attacco rilevato
owasp-crs-v030001-id941290-xss 1 Filtri IESS - Attacco rilevato
owasp-crs-v030001-id941300-xss 1 Filtri IESS - Attacco rilevato
owasp-crs-v030001-id941310-xss 1 Filtro XSS con codifica non valida US-ASCII - Rilevato attacco
owasp-crs-v030001-id941350-xss 1 Codifica UTF-7 IE XSS - attacco rilevato
Not included 1 JSFuck / Rilevata offuscamento geroglifico
Not included 1 Variabile globale JavaScript trovata
owasp-crs-v030001-id941150-xss 2 Filtro XSS - Categoria 5: attributi HTML non consentiti
owasp-crs-v030001-id941320-xss 2 Rilevato attacco XSS possibile - Gestore tag HTML
owasp-crs-v030001-id941330-xss 2 Filtri IESS - Attacco rilevato
owasp-crs-v030001-id941340-xss 2 Filtri IESS - Attacco rilevato
Not included 2 Rilevamento del modello lato client di AngularJS rilevato

Per configurare una regola per un determinato livello di sensibilità, disattiva le firme a livelli più alti.

Livello di sensibilità XSS 1


evaluatePreconfiguredExpr('xss-v33-stable',
['owasp-crs-v030301-id941150-xss',
  'owasp-crs-v030301-id941320-xss',
  'owasp-crs-v030301-id941330-xss',
  'owasp-crs-v030301-id941340-xss',
  'owasp-crs-v030301-id941380-xss'
])
          


Tutte le firme per XSS sono inferiori al livello di sensibilità 2. La seguente configurazione funziona per altri livelli di sensibilità:

Livello di sensibilità XSS 2


evaluatePreconfiguredExpr('xss-v33-stable')

Inclusione di file locali (LFI)

La seguente tabella fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola preconfigurata LFI.

CRS 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id930100-lfi 1 Attacco Attraversamento percorso (/../)
owasp-crs-v030301-id930110-lfi 1 Attacco Attraversamento percorso (/../)
owasp-crs-v030301-id930120-lfi 1 Tentativo di accesso al file del sistema operativo
owasp-crs-v030301-id930130-lfi 1 Tentativo di accesso al file limitato

CRS 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id930100-lfi 1 Attacco Attraversamento percorso (/../)
owasp-crs-v030001-id930110-lfi 1 Attacco Attraversamento percorso (/../)
owasp-crs-v030001-id930120-lfi 1 Tentativo di accesso al file del sistema operativo
owasp-crs-v030001-id930130-lfi 1 Tentativo di accesso al file limitato

Tutte le firme per LFI sono a livello di sensibilità 1. La seguente configurazione funziona per tutti i livelli di sensibilità:

Livello di sensibilità LFI 1


evaluatePreconfiguredExpr('lfi-v33-canary')

Esecuzione di codice remoto (RCE)

La seguente tabella fornisce l'ID della firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola preconfigurata RCE.

CRS 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id932100-rce 1 Iniezione comando UNIX
owasp-crs-v030301-id932105-rce 1 Iniezione comando UNIX
owasp-crs-v030301-id932110-rce 1 Iniezione di comandi Windows
owasp-crs-v030301-id932115-rce 1 Iniezione di comandi Windows
owasp-crs-v030301-id932120-rce 1 Comando Windows PowerShell trovato
owasp-crs-v030301-id932130-rce 1 Trovata espressione Unix Shell
owasp-crs-v030301-id932140-rce 1 Comando Windows FOR/IF trovato
owasp-crs-v030301-id932150-rce 1 Esecuzione diretta di comandi UNIX
owasp-crs-v030301-id932160-rce 1 Trovato codice UNIX Shell
owasp-crs-v030301-id932170-rce 1 Shellshock (CVE-2014-6271)
owasp-crs-v030301-id932171-rce 1 Shellshock (CVE-2014-6271)
owasp-crs-v030301-id932180-rce 1 Tentativo di caricamento del file con restrizioni
owasp-crs-v030301-id932200-rce 2 Tecnica di esclusione RCE
owasp-crs-v030301-id932106-rce 3 Esecuzione comando remoto: iniezione comando Unix
owasp-crs-v030301-id932190-rce 3 Esecuzione comando remoto: tentativo di esclusione tecnica con caratteri jolly

CRS 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id932100-rce 1 Iniezione comando UNIX
owasp-crs-v030001-id932105-rce 1 Iniezione comando UNIX
owasp-crs-v030001-id932110-rce 1 Iniezione di comandi Windows
owasp-crs-v030001-id932115-rce 1 Iniezione di comandi Windows
owasp-crs-v030001-id932120-rce 1 Comando Windows PowerShell trovato
owasp-crs-v030001-id932130-rce 1 Trovata espressione Unix Shell
owasp-crs-v030001-id932140-rce 1 Comando Windows FOR/IF trovato
owasp-crs-v030001-id932150-rce 1 Esecuzione diretta di comandi UNIX
owasp-crs-v030001-id932160-rce 1 Trovato codice UNIX Shell
owasp-crs-v030001-id932170-rce 1 Shellshock (CVE-2014-6271)
owasp-crs-v030001-id932171-rce 1 Shellshock (CVE-2014-6271)
Not included 1 Tentativo di caricamento del file con restrizioni
Not included 2 Tecnica di esclusione RCE
Not included 3 Esecuzione comando remoto: iniezione comando Unix
Not included 3 Esecuzione comando remoto: tentativo di esclusione tecnica con caratteri jolly

Tutte le firme per RCE sono a livello di sensibilità 1. La seguente configurazione funziona per tutti i livelli di sensibilità:

Livello di sensibilità RCE 1


evaluatePreconfiguredExpr('rce-v33-stable',
          ['owasp-crs-v030301-id932200-rce',
           'owasp-crs-v030301-id932106-rce',
           'owasp-crs-v030301-id932190-rce'])
          )

La seguente configurazione funziona per altri livelli di sensibilità:

Livello di sensibilità RCE 2


evaluatePreconfiguredExpr('rce-v33-stable',
          ['owasp-crs-v030301-id932106-rce',
           'owasp-crs-v030301-id932190-rce'])
          )
          
Livello di sensibilità 3 RCE


evaluatePreconfiguredExpr('rce-v33-stable')
          

Inclusione di file da remoto (RFI)

La seguente tabella fornisce l'ID della firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola preconfigurata RFI.

CRS 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id931100-rfi 1 Parametro URL che utilizza indirizzo IP
owasp-crs-v030301-id931110-rfi 1 Nome parametro Vulnerable comune RFI utilizzato con payload di URL
owasp-crs-v030301-id931120-rfi 1 Payload dell'URL utilizzato con carattere punto interrogativo (?)
owasp-crs-v030301-id931130-rfi 2 Riferimento/link esterno al dominio

CRS 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id931100-rfi 1 Parametro URL che utilizza indirizzo IP
owasp-crs-v030001-id931110-rfi 1 Nome parametro Vulnerable comune RFI utilizzato con payload di URL
owasp-crs-v030001-id931120-rfi 1 Payload dell'URL utilizzato con carattere punto interrogativo (?)
owasp-crs-v030001-id931130-rfi 2 Riferimento/link esterno al dominio

Per configurare una regola per un determinato livello di sensibilità, disattiva le firme a livelli più alti.

Livello di sensibilità RFI 1


evaluatePreconfiguredExpr('rfi-v33-canary', ['owasp-crs-v030301-id931130-rfi'])

Tutte le firme per RFI sono al di sotto del livello di sensibilità 2. La seguente configurazione funziona per altri livelli di sensibilità:

Livello di sensibilità RFI 2


evaluatePreconfiguredExpr('rfi-v33-stable')

Applicazione forzata dei metodi

La tabella seguente fornisce l'ID della firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola preconfigurata per l'applicazione del metodo.

CRS 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id911100-methodenforcement 1 Il metodo non è consentito dal criterio

CRS 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id911100-methodenforcement 1 Il metodo non è consentito dal criterio

Tutte le firme per l'applicazione del metodo sono inferiori al livello di sensibilità 2. La seguente configurazione funziona per altri livelli di sensibilità:

Livello di sensibilità dell'applicazione forzata del metodo 1


evaluatePreconfiguredExpr('methodenforcement-v33-stable')

Rilevamento scanner

La seguente tabella fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola di rilevamento preconfigurata per lo scanner.

CRS 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id913100-scannerdetection 1 Trovato user-agent associato allo scanner di sicurezza
owasp-crs-v030301-id913110-scannerdetection 1 Intestazione della richiesta trovata associata allo scanner di sicurezza
owasp-crs-v030301-id913120-scannerdetection 1 Nome file/argomento della richiesta trovato associato allo scanner di sicurezza
owasp-crs-v030301-id913101-scannerdetection 2 Trovato User-Agent associato a scripting/client HTTP generico
owasp-crs-v030301-id913102-scannerdetection 2 Trovato user-agent associato al web crawler/bot

CRS 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id913100-scannerdetection 1 Trovato user-agent associato allo scanner di sicurezza
owasp-crs-v030001-id913110-scannerdetection 1 Intestazione della richiesta trovata associata allo scanner di sicurezza
owasp-crs-v030001-id913120-scannerdetection 1 Nome file/argomento della richiesta trovato associato allo scanner di sicurezza
owasp-crs-v030001-id913101-scannerdetection 2 Trovato User-Agent associato a scripting/client HTTP generico
owasp-crs-v030001-id913102-scannerdetection 2 Trovato user-agent associato al web crawler/bot

Per configurare una regola per un determinato livello di sensibilità, disattiva le firme a livelli più alti.

Livello di sensibilità di rilevamento scanner 1


evaluatePreconfiguredExpr('scannerdetection-v33-stable',
  ['owasp-crs-v030301-id913101-scannerdetection',
  'owasp-crs-v030301-id913102-scannerdetection']
)
          
Livello di sensibilità 2 al rilevamento dello scanner


evaluatePreconfiguredExpr('scannerdetection-v33-stable')
          

Attacco di protocollo

La seguente tabella fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola preconfigurata di attacco.

CRS 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
Not included 1 Attacco per traffico di richiesta HTTP
owasp-crs-v030301-id921110-protocolattack 1 Attacco per traffico di richiesta HTTP
owasp-crs-v030301-id921120-protocolattack 1 Attacco per la risposta HTTP
owasp-crs-v030301-id921130-protocolattack 1 Attacco per la risposta HTTP
owasp-crs-v030301-id921140-protocolattack 1 Attacco HTTP Header injection
owasp-crs-v030301-id921150-protocolattack 1 Attacco HTTP Header Injection tramite payload (rilevato RP/LF)
owasp-crs-v030301-id921160-protocolattack 1 Attacco HTTP Header Injection tramite payload (CR/LF e nome intestazione rilevati)
owasp-crs-v030301-id921190-protocolattack 1 Suddivisione HTTP (CR/LF nel nome file della richiesta rilevato)
owasp-crs-v030301-id921200-protocolattack 1 Attacco per iniezione LDAP
owasp-crs-v030301-id921151-protocolattack 2 Attacco HTTP Header Injection tramite payload (rilevato RP/LF)
owasp-crs-v030301-id921170-protocolattack 3 Inquinamento dei parametri HTTP

CRS 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id921100-protocolattack 1 Attacco per traffico di richiesta HTTP
owasp-crs-v030001-id921110-protocolattack 1 Attacco per traffico di richiesta HTTP
owasp-crs-v030001-id921120-protocolattack 1 Attacco per la risposta HTTP
owasp-crs-v030001-id921130-protocolattack 1 Attacco per la risposta HTTP
owasp-crs-v030001-id921140-protocolattack 1 Attacco HTTP Header injection
owasp-crs-v030001-id921150-protocolattack 1 Attacco HTTP Header Injection tramite payload (rilevato RP/LF)
owasp-crs-v030001-id921160-protocolattack 1 Attacco HTTP Header Injection tramite payload (CR/LF e nome intestazione rilevati)
Not included 1 Suddivisione HTTP (CR/LF nel nome file della richiesta rilevato)
Not included 1 Attacco per iniezione LDAP
owasp-crs-v030001-id921151-protocolattack 2 Attacco HTTP Header Injection tramite payload (rilevato RP/LF)
owasp-crs-v030001-id921170-protocolattack 3 Inquinamento dei parametri HTTP

Per configurare una regola per un determinato livello di sensibilità, disattiva le firme a livelli più alti.

Livello di sensibilità dell'attacco di protocollo 1


evaluatePreconfiguredExpr('protocolattack-v33-stable',
  ['owasp-crs-v030301-id921151-protocolattack',
  'owasp-crs-v030301-id921170-protocolattack']
)
          
Livello di sensibilità all'attacco del protocollo 2


evaluatePreconfiguredExpr('protocolattack-v33-stable',
  ['owasp-crs-v030301-id921170-protocolattack']
)
          
Livello di sensibilità all'attacco del protocollo 3


evaluatePreconfiguredExpr('protocolattack-v33-stable')
          

PHP

La seguente tabella fornisce l'ID della firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola preconfigurata di PHP.

CRS 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id933100-php 1 Attacco PHP: inserimento di un tag aperto di PHP
owasp-crs-v030301-id933110-php 1 Attacco PHP injection: caricamento di un file di script PHP trovato
owasp-crs-v030301-id933120-php 1 Attacco per iniezioni di PHP: è stata trovata una direttiva di configurazione
owasp-crs-v030301-id933130-php 1 Attacco per iniezione di PHP: variabili trovate
owasp-crs-v030301-id933140-php 1 Attacco PHP di iniezione: stream I/O trovato
owasp-crs-v030301-id933200-php 1 Attacco per l'iniezione di PHP: schema wrapper rilevato
owasp-crs-v030301-id933150-php 1 Attacco per iniezione di PHP: nome della funzione PHP ad alto rischio trovato
owasp-crs-v030301-id933160-php 1 Attacco PHP per iniezione: chiamata funzione PHP ad alto rischio rischio
owasp-crs-v030301-id933170-php 1 Attacco per iniezione di PHP: iniezione di oggetti serializzata
owasp-crs-v030301-id933180-php 1 Attacco PHP di iniezione: chiamata funzione variabile
owasp-crs-v030301-id933210-php 1 Attacco PHP di iniezione: chiamata funzione variabile
owasp-crs-v030301-id933151-php 2 Attacco per iniezione di PHP: è stato trovato un nome di funzione PHP a rischio medio
owasp-crs-v030301-id933131-php 3 Attacco per iniezione di PHP: variabili trovate
owasp-crs-v030301-id933161-php 3 Attacco PHP di iniezione: chiamata di funzione PHP di scarso valore trovata
owasp-crs-v030301-id933111-php 3 Attacco PHP injection: caricamento di un file di script PHP trovato
owasp-crs-v030301-id933190-php 3 Attacco PHP: inserimento del tag di chiusura PHP

CRS 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id933100-php 1 Attacco PHP: inserimento di un tag aperto di PHP
owasp-crs-v030001-id933110-php 1 Attacco PHP injection: caricamento di un file di script PHP trovato
owasp-crs-v030001-id933120-php 1 Attacco per iniezioni di PHP: è stata trovata una direttiva di configurazione
owasp-crs-v030001-id933130-php 1 Attacco per iniezione di PHP: variabili trovate
owasp-crs-v030001-id933140-php 1 Attacco PHP di iniezione: stream I/O trovato
Not included 1 Attacco per l'iniezione di PHP: schema wrapper rilevato
owasp-crs-v030001-id933150-php 1 Attacco per iniezione di PHP: nome della funzione PHP ad alto rischio trovato
owasp-crs-v030001-id933160-php 1 Attacco PHP per iniezione: chiamata funzione PHP ad alto rischio rischio
owasp-crs-v030001-id933170-php 1 Attacco per iniezione di PHP: iniezione di oggetti serializzata
owasp-crs-v030001-id933180-php 1 Attacco PHP di iniezione: chiamata funzione variabile
Not included 1 Attacco PHP di iniezione: chiamata funzione variabile
owasp-crs-v030001-id933151-php 2 Attacco per iniezione di PHP: è stato trovato un nome di funzione PHP a rischio medio
owasp-crs-v030001-id933131-php 3 Attacco per iniezione di PHP: variabili trovate
owasp-crs-v030001-id933161-php 3 Attacco PHP di iniezione: chiamata di funzione PHP di scarso valore trovata
owasp-crs-v030001-id933111-php 3 Attacco PHP injection: caricamento di un file di script PHP trovato
Not included 3 Attacco PHP: inserimento del tag di chiusura PHP

Per configurare una regola per un determinato livello di sensibilità, disattiva le firme a livelli più alti.

Livello di sensibilità all'attacco a iniezione di PHP 1


evaluatePreconfiguredExpr('php-v33-stable',
['owasp-crs-v030301-id933151-php',
  'owasp-crs-v030301-id933131-php',
  'owasp-crs-v030301-id933161-php',
  'owasp-crs-v030301-id933111-php',
  'owasp-crs-v030301-id933190-php']
)
          
Livello di sensibilità all'attacco di iniezione di PHP 2


evaluatePreconfiguredExpr('php-v33-stable',
  ['owasp-crs-v0303001-id933131-php',
  'owasp-crs-v0303001-id933161-php',
  'owasp-crs-v0303001-id933111-php'
  'owasp-crs-v030301-id933190-php'])
          
Livello di sensibilità 3 iniettore PHP


evaluatePreconfiguredExpr('php-v33-stable')
          

Correzione della sessione

La seguente tabella fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola preconfigurata per la correzione della sessione.

CRS 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id943100-sessionfixation 1 Possibile attacco a una correzione di sessione: impostazione dei valori dei cookie in HTML
owasp-crs-v030301-id943110-sessionfixation 1 Possibile attacco alla correzione della sessione: nome del parametro SessionID con il referrer esterno al dominio
owasp-crs-v030301-id943120-sessionfixation 1 Possibile attacco alla correzione della sessione: nome del parametro SessionID senza riferimento

CRS 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id943100-sessionfixation 1 Possibile attacco a una correzione di sessione: impostazione dei valori dei cookie in HTML
owasp-crs-v030001-id943110-sessionfixation 1 Possibile attacco alla correzione della sessione: nome del parametro SessionID con il referrer esterno al dominio
owasp-crs-v030001-id943120-sessionfixation 1 Possibile attacco alla correzione della sessione: nome del parametro SessionID senza riferimento

Tutte le firme per la correzione della sessione sono inferiori al livello di sensibilità 2. La seguente configurazione funziona per altri livelli di sensibilità:

Livello di sensibilità alla correzione della sessione 1


evaluatePreconfiguredExpr('sessionfixation-v33-canary')

CVE e altre vulnerabilità

Le seguenti firme riguardano le vulnerabilità CVE-2021-44228 e CVE-2021-45046 Log4j RCE.

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id044228-cve 1 Regola di base per aiutare a rilevare i tentativi di sfruttamento di CVE-2021-44228 & CVE-2021-45046
owasp-crs-v030001-id144228-cve 1 Miglioramenti forniti da Google per coprire più tentativi di esclusione e offuscamento
owasp-crs-v030001-id244228-cve 3 Maggiore sensibilità per il rilevamento di ulteriori tentativi di bypassare e offuscamento, con un aumento nominale del rischio di rilevamento di falsi positivi
owasp-crs-v030001-id344228-cve 3 Maggiore sensibilità del rilevamento per scegliere come target ulteriori tentativi di bypassare e di offuscamento usando la codifica Base64, con un aumento nominale di rischio di rilevamento di falsi positivi

Per configurare una regola per un determinato livello di sensibilità, disattiva le firme a livelli di sensibilità più alti.

Livello di sensibilità CVE 1


evaluatePreconfiguredExpr('cve-canary', ['owasp-crs-v030001-id244228-cve',
  'owasp-crs-v030001-id344228-cve'])
          
Livello di sensibilità CVE 3


evaluatePreconfiguredExpr('cve-canary')

Limitazioni

Le regole preconfigurate di Google Cloud Armor presentano le seguenti limitazioni:

  • Tra i tipi di richiesta HTTP con un corpo di richiesta, Google Cloud Armor elabora solo POST richieste. Google Cloud Armor valuta le regole preconfigurate in base ai primi 8 kB dei contenuti del corpo POST. Per ulteriori informazioni, consulta la sezione Limitazione dell'ispezione del corpo POST.
  • Google Cloud Armor può analizzare e applicare regole WAF preconfigurate per i corpi POST predefiniti con codifica URL e JSON (Content-Type='application/json'). Tuttavia, Google Cloud Armor non analizza né decodifica altri formati HTTP Content-Type e Content-Encoding.
  • I criteri di sicurezza di Google Cloud Armor sono disponibili solo per i servizi di backend protetti da un bilanciatore del carico. Pertanto, le quote e i limiti del bilanciamento del carico si applicano al tuo deployment. Per ulteriori informazioni, consulta la pagina relativa alle quote sul bilanciamento del carico.
  • I seguenti ID regole CRS ModSecurity non sono supportati da Google Cloud Armor.
    • Slili-942100
    • Slili-942101
    • xss-941100
    • xss-941101

Passaggi successivi