Como ajustar as regras do WAF do Google Cloud Armor

Regras pré-configuradas

As regras pré-configuradas do Google Cloud Armor são regras complexas do firewall de aplicativos da Web (WAF, na sigla em inglês) com dezenas de assinaturas compiladas a partir dos padrões do setor de código aberto. O Google oferece essas regras como estão. Elas permitem que o Google Cloud Armor avalie dezenas de assinaturas de tráfego distintas consultando regras com nomes convenientes, em vez de exigir que você defina cada assinatura manualmente.

A tabela a seguir contém uma lista abrangente de regras do WAF pré-configuradas que estão disponíveis para uso em uma política de segurança do Google Cloud Armor. A origem da regra é Conjunto de regras principais do ModSecurity (CRS) 3.0 e CRS 3.3. Recomendamos o uso da versão 3.3 para aumentar a confidencialidade e aumentar a variedade de tipos de ataque protegidos.

CRS 3.3

Nome da regra do Google Cloud Armor Nome da regra do ModSecurity Status atual
Injeção de SQL (visualização pública) sqli-v33-stable Sincronizado com sqli-v33-canary
sqli-v33-canary Mais recente
Scripts entre sites (visualização pública) xss-v33-stable Sincronizado com xss-v33-canary
xss-v33-canary Mais recente
Inclusão de arquivos locais (visualização pública) lfi-v33-stable Sincronizado com lfi-v33-canary
lfi-v33-canary Mais recente
Inclusão de arquivos remotos (visualização pública) rfi-v33-stable Sincronizado com rfi-v33-canary
rfi-v33-canary Mais recente
Execução remota de código (visualização pública) rce-v33-stable Sincronizado com rce-v33-canary
rce-v33-canary Mais recente
Aplicação de método (visualização pública) methodenforcement-v33-stable Sincronizado com methodenforcement-v33-canary
methodenforcement-v33-canary Mais recente
Detecção de scanners (visualização pública) scannerdetection-v33-stable Sincronizado com scannerdetection-v33-canary
scannerdetection-v33-canary Mais recente
Ataque de protocolo (visualização pública) protocolattack-v33-stable Sincronizado com protocolattack-v33-canary
protocolattack-v33-canary Mais recente
Ataque de injeção de PHP (visualização pública) php-v33-stable Sincronizado com php-v33-canary
php-v33-canary Mais recente
Ataque de correção de sessão (visualização pública) sessionfixation-v33-stable Sincronizado com sessionfixation-v33-canary
sessionfixation-v33-canary Mais recente

CRS 3.0

Nome da regra do Google Cloud Armor Nome da regra do ModSecurity Status atual
Injeção de SQL sqli-stable Sincronizado com sqli-canary
sqli-canary Mais recente
Scripting em vários locais xss-stable Sincronizado com xss-canary
xss-canary Mais recente
Inclusão de arquivo local lfi-stable Sincronizado com lfi-canary
lfi-canary Mais recente
Inclusão de arquivo remoto rfi-stable Sincronizado com rfi-canary
rfi-canary Mais recente
Execução remota de código rce-stable Sincronizado com rce-canary
rce-canary Mais recente
Aplicação de método (visualização pública) methodenforcement-stable Sincronizado com methodenforcement-canary
methodenforcement-canary Mais recente
Detecção de verificação scannerdetection-stable Sincronizado com scannerdetection-canary
scannerdetection-canary Mais recente
Ataque de protocolo protocolattack-stable Sincronizado com protocolattack-canary
protocolattack-canary Mais recente
Ataque de injeção PHP php-stable Sincronizado com php-canary
php-canary Mais recente
Ataque de fixação de sessão sessionfixation-stable Sincronizado com sessionfixation-canary
sessionfixation-canary Mais recente

Além disso, a regra cve-canary a seguir está disponível para todos os clientes do Google Cloud Armor para detectar e bloquear tentativas de exploração das vulnerabilidades CVE-2021-44228 e CVE-2021-45046.

Nome da regra do Google Cloud Armor Conteúdo da regra Tipos de vulnerabilidade cobertos
cve-canary Vulnerabilidades recém-descobertas Vulnerabilidade do Log4j

Cada regra pré-configurada consiste em várias assinaturas. As solicitações recebidas são avaliadas em relação às regras pré-configuradas. Uma solicitação corresponderá a uma regra pré-configurada se a solicitação corresponder a qualquer uma das assinaturas associadas à regra pré-configurada. Uma correspondência é feita quando o comando evaluatePreconfiguredExpr() retorna o valor true.

Se você decidir que uma regra pré-configurada corresponde a mais tráfego do que o necessário ou se a regra estiver bloqueando o tráfego que precisa ser permitido, a regra poderá ser ajustada para desativar assinaturas com ruídos ou desnecessárias. Para desativar assinaturas em uma regra pré-configurada específica, forneça uma lista de IDs das assinaturas indesejadas ao comando evaluatePreconfiguredExpr().

O exemplo a seguir exclui dois códigos de regra de CRS da regra WAF xss-v33-stable (CRS 3.3) pré-configurada:

evaluatePreconfiguredExpr('xss-v33-stable', ['owasp-crs-v030301-id941330-xss', 'owasp-crs-v030301-id941340-xss'])

Ao excluir IDs de assinatura de conjuntos de regras CRS pré-configurados, você precisa corresponder a versão do ID de assinatura com a versão do conjunto de regras (CRS 3.0 ou 3.3) para evitar erros de configuração.

O exemplo anterior é uma expressão na linguagem das regras personalizadas. A sintaxe geral é esta:

evaluatePreconfiguredExpr(RULE, ['SIGNATURE1', 'SIGNATURE2', 'SIGNATURE3'])

Regras ModSecurity pré-configuradas

Cada regra pré-configurada tem um nível de sensibilidade que corresponde a um nível de paranoia do ModSecurity. Um nível de sensibilidade mais baixo indica uma assinatura com maior confiança, o que diminui a probabilidade de gerar um falso positivo. Um nível de sensibilidade mais alto aumenta a segurança, mas também aumenta o risco de gerar um falso positivo.

Injeção de SQL (SQLi)

A tabela a seguir fornece o ID da assinatura, o nível de confidencialidade e a descrição de cada assinatura compatível na regra pré-configurada do SQLi.

CRS 3.3

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
owasp-crs-v030301-id942140-sqli 1 Ataque de injeção de SQL: nomes comuns de banco de dados detectados
owasp-crs-v030301-id942160-sqli 1 Detecta testes de SQLi cegos usando sleep() ou benchmark()
owasp-crs-v030301-id942170-sqli 1 Detecta tentativas de injeção de SQL com sleep e benchmark, incluindo consultas condicionais
owasp-crs-v030301-id942190-sqli 1 Detecta execução de código MSSQL e tentativas de coleta de informações
owasp-crs-v030301-id942220-sqli 1 Procura ataques de fluxo intenso de números inteiros
owasp-crs-v030301-id942230-sqli 1 Detecta tentativas condicionais de injeção de SQL
owasp-crs-v030301-id942240-sqli 1 Detecta troca de charset do MySQL e tentativas de DoS do MSSQL
owasp-crs-v030301-id942250-sqli 1 Detecta MATCH AGAINST
owasp-crs-v030301-id942270-sqli 1 Procura injeção de SQL básica e string de ataque comum para o MySQL
owasp-crs-v030301-id942280-sqli 1 Detecta a injeção de pg_sleep do Postgres
owasp-crs-v030301-id942290-sqli 1 Localiza tentativas básicas de injeção de SQL no MongoDB
owasp-crs-v030301-id942320-sqli 1 Detecta injeções de procedimento/função armazenadas em MySQL e PostgreSQL
owasp-crs-v030301-id942350-sqli 1 Detecta injeção de UDF no MySQL e outras tentativas de manipulação de dados/estrutura
owasp-crs-v030301-id942360-sqli 1 Detecta injeção de SQL concatenada básica e tentativas de SQLLFI
owasp-crs-v030301-id942500-sqli 1 Comentário in-line do MySQL detectado
owasp-crs-v030301-id942110-sqli 2 Ataque de injeção SQL: teste de injeção comum detectado
owasp-crs-v030301-id942120-sqli 2 Ataque de injeção SQL: operador SQL detectado
owasp-crs-v030301-id942130-sqli 2 Ataque de injeção de SQL: Tautologia SQL detectada
owasp-crs-v030301-id942150-sqli 2 Ataque de injeção SQL
owasp-crs-v030301-id942180-sqli 2 Detecta tentativas básicas de desvio de autenticação SQL (1/3)
owasp-crs-v030301-id942200-sqli 2 Detecta injeções de MySQL ofuscadas por espaço/comentários e terminadas em crase
owasp-crs-v030301-id942210-sqli 2 Detecta tentativas de injeção SQL encadeadas (1/2)
owasp-crs-v030301-id942260-sqli 2 Detecta tentativas básicas de desvio de autenticação SQL (2/3)
owasp-crs-v030301-id942300-sqli 2 Detecta comentários no MySQL
owasp-crs-v030301-id942310-sqli 2 Detecta tentativas de injeção SQL encadeadas (2/2)
owasp-crs-v030301-id942330-sqli 2 Detecta sondagens clássicas de injeção SQL (1/2)
owasp-crs-v030301-id942340-sqli 2 Detecta tentativas básicas de desvio de autenticação SQL (3/3)
owasp-crs-v030301-id942361-sqli 2 Detecta injeção básica de SQL com base na união ou alteração de palavra-chave
owasp-crs-v030301-id942370-sqli 2 Detecta sondagens clássicas de injeção SQL (2/3)
owasp-crs-v030301-id942380-sqli 2 Ataque de injeção SQL
owasp-crs-v030301-id942390-sqli 2 Ataque de injeção SQL
owasp-crs-v030301-id942400-sqli 2 Ataque de injeção SQL
owasp-crs-v030301-id942410-sqli 2 Ataque de injeção SQL
owasp-crs-v030301-id942470-sqli 2 Ataque de injeção SQL
owasp-crs-v030301-id942480-sqli 2 Ataque de injeção SQL
owasp-crs-v030301-id942430-sqli 2 Detecção de anomalias de caracteres SQL restritos (argumentos): número de caracteres especiais excedido (12)
owasp-crs-v030301-id942440-sqli 2 Sequência de comentários no SQL detectada
owasp-crs-v030301-id942450-sqli 2 Codificação hexadecimal do SQL identificada
owasp-crs-v030301-id942510-sqli 2 Tentativas de ignorar o SQLi identificadas por marcações ou crase
owasp-crs-v030301-id942251-sqli 3 Detecta injeções de HAVING
owasp-crs-v030301-id942490-sqli 3 Detecta sondagens clássicas de injeção SQL (3/3)
owasp-crs-v030301-id942420-sqli 3 Detecção de anomalias de caracteres SQL restritos (cookies): número de caracteres especiais excedido (8)
owasp-crs-v030301-id942431-sqli 3 Detecção de anomalias de caracteres SQL restritos (argumentos): número de caracteres especiais excedido (6)
owasp-crs-v030301-id942460-sqli 3 Alerta de detecção de anomalias de metacaracteres: caracteres repetitivos que não são palavras
owasp-crs-v030301-id942511-sqli 3 Tentativa de ignorar SQLi por marcações detectadas
owasp-crs-v030301-id942421-sqli 4 Detecção de anomalias de caracteres SQL restritos (cookies): número de caracteres especiais excedido (3)
owasp-crs-v030301-id942432-sqli 4 Detecção de anomalias de caracteres SQL restritos (argumentos): número de caracteres especiais excedido (2)

CRS 3.0

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
owasp-crs-v030001-id942140-sqli 1 Ataque de injeção de SQL: nomes comuns de banco de dados detectados
owasp-crs-v030001-id942160-sqli 1 Detecta testes de SQLi cegos usando sleep() ou benchmark()
owasp-crs-v030001-id942170-sqli 1 Detecta tentativas de injeção de SQL com sleep e benchmark, incluindo consultas condicionais
owasp-crs-v030001-id942190-sqli 1 Detecta execução de código MSSQL e tentativas de coleta de informações
owasp-crs-v030001-id942220-sqli 1 Procura ataques de fluxo intenso de números inteiros
owasp-crs-v030001-id942230-sqli 1 Detecta tentativas condicionais de injeção de SQL
owasp-crs-v030001-id942240-sqli 1 Detecta troca de charset do MySQL e tentativas de DoS do MSSQL
owasp-crs-v030001-id942250-sqli 1 Detecta MATCH AGAINST
owasp-crs-v030001-id942270-sqli 1 Procura injeção de SQL básica e string de ataque comum para o MySQL
owasp-crs-v030001-id942280-sqli 1 Detecta a injeção de pg_sleep do Postgres
owasp-crs-v030001-id942290-sqli 1 Localiza tentativas básicas de injeção de SQL no MongoDB
owasp-crs-v030001-id942320-sqli 1 Detecta injeções de procedimento/função armazenadas em MySQL e PostgreSQL
owasp-crs-v030001-id942350-sqli 1 Detecta injeção de UDF no MySQL e outras tentativas de manipulação de dados/estrutura
owasp-crs-v030001-id942360-sqli 1 Detecta injeção de SQL concatenada básica e tentativas de SQLLFI
Not included 1 Comentário in-line do MySQL detectado
owasp-crs-v030001-id942110-sqli 2 Ataque de injeção SQL: teste de injeção comum detectado
owasp-crs-v030001-id942120-sqli 2 Ataque de injeção SQL: operador SQL detectado
Not included 2 Ataque de injeção de SQL: Tautologia SQL detectada
owasp-crs-v030001-id942150-sqli 2 Ataque de injeção SQL
owasp-crs-v030001-id942180-sqli 2 Detecta tentativas básicas de desvio de autenticação SQL (1/3)
owasp-crs-v030001-id942200-sqli 2 Detecta injeções de MySQL ofuscadas por espaço/comentários e terminadas em crase
owasp-crs-v030001-id942210-sqli 2 Detecta tentativas de injeção SQL encadeadas (1/2)
owasp-crs-v030001-id942260-sqli 2 Detecta tentativas básicas de desvio de autenticação SQL (2/3)
owasp-crs-v030001-id942300-sqli 2 Detecta comentários no MySQL
owasp-crs-v030001-id942310-sqli 2 Detecta tentativas de injeção SQL encadeadas (2/2)
owasp-crs-v030001-id942330-sqli 2 Detecta sondagens clássicas de injeção SQL (1/2)
owasp-crs-v030001-id942340-sqli 2 Detecta tentativas básicas de desvio de autenticação SQL (3/3)
Not included 2 Detecta injeção básica de SQL com base na união ou alteração de palavra-chave
Not included 2 Detecta sondagens clássicas de injeção SQL (2/3)
owasp-crs-v030001-id942380-sqli 2 Ataque de injeção SQL
owasp-crs-v030001-id942390-sqli 2 Ataque de injeção SQL
owasp-crs-v030001-id942400-sqli 2 Ataque de injeção SQL
owasp-crs-v030001-id942410-sqli 2 Ataque de injeção SQL
Not included 2 Ataque de injeção SQL
Not included 2 Ataque de injeção SQL
owasp-crs-v030001-id942430-sqli 2 Detecção de anomalias de caracteres SQL restritos (argumentos): número de caracteres especiais excedido (12)
owasp-crs-v030001-id942440-sqli 2 Sequência de comentários no SQL detectada
owasp-crs-v030001-id942450-sqli 2 Codificação hexadecimal do SQL identificada
Not included 2 Tentativas de ignorar o SQLi identificadas por marcações ou crase
owasp-crs-v030001-id942251-sqli 3 Detecta injeções de HAVING
Not included 2 Detecta sondagens clássicas de injeção SQL (3/3)
owasp-crs-v030001-id942420-sqli 3 Detecção de anomalias de caracteres SQL restritos (cookies): número de caracteres especiais excedido (8)
owasp-crs-v030001-id942431-sqli 3 Detecção de anomalias de caracteres SQL restritos (argumentos): número de caracteres especiais excedido (6)
owasp-crs-v030001-id942460-sqli 3 Alerta de detecção de anomalias de metacaracteres: caracteres repetitivos que não são palavras
Not included 3 Tentativa de ignorar SQLi por marcações detectadas
owasp-crs-v030001-id942421-sqli 4 Detecção de anomalias de caracteres SQL restritos (cookies): número de caracteres especiais excedido (3)
owasp-crs-v030001-id942432-sqli 4 Detecção de anomalias de caracteres SQL restritos (argumentos): número de caracteres especiais excedido (2)

Para configurar uma regra em um nível de sensibilidade específico, desative as assinaturas com níveis de sensibilidade maiores.

Nível 1 de sensibilidade do SQLi 


evaluatePreconfiguredExpr('sqli-v33-stable',
['owasp-crs-v030301-id942110-sqli',
  'owasp-crs-v030301-id942120-sqli',
  'owasp-crs-v030301-id942130-sqli',
  'owasp-crs-v030301-id942150-sqli',
  'owasp-crs-v030301-id942180-sqli',
  'owasp-crs-v030301-id942200-sqli',
  'owasp-crs-v030301-id942210-sqli',
  'owasp-crs-v030301-id942260-sqli',
  'owasp-crs-v030301-id942300-sqli',
  'owasp-crs-v030301-id942310-sqli',
  'owasp-crs-v030301-id942330-sqli',
  'owasp-crs-v030301-id942340-sqli',
  'owasp-crs-v030301-id942361-sqli',
  'owasp-crs-v030301-id942370-sqli',
  'owasp-crs-v030301-id942380-sqli',
  'owasp-crs-v030301-id942390-sqli',
  'owasp-crs-v030301-id942400-sqli',
  'owasp-crs-v030301-id942410-sqli',
  'owasp-crs-v030301-id942470-sqli',
  'owasp-crs-v030301-id942480-sqli',
  'owasp-crs-v030301-id942430-sqli',
  'owasp-crs-v030301-id942440-sqli',
  'owasp-crs-v030301-id942450-sqli',
  'owasp-crs-v030301-id942510-sqli',
  'owasp-crs-v030301-id942251-sqli',
  'owasp-crs-v030301-id942490-sqli',
  'owasp-crs-v030301-id942420-sqli',
  'owasp-crs-v030301-id942431-sqli',
  'owasp-crs-v030301-id942460-sqli',
  'owasp-crs-v030301-id942511-sqli',
  'owasp-crs-v030301-id942421-sqli',
  'owasp-crs-v030301-id942432-sqli']
)
Nível 2 de sensibilidade do SQLi 


evaluatePreconfiguredExpr('sqli-v33-stable',
 ['owasp-crs-v030301-id942251-sqli',
  'owasp-crs-v030301-id942490-sqli',
  'owasp-crs-v030301-id942420-sqli',
  'owasp-crs-v030301-id942431-sqli',
  'owasp-crs-v030301-id942460-sqli',
  'owasp-crs-v030301-id942511-sqli',
  'owasp-crs-v030301-id942421-sqli',
  'owasp-crs-v030301-id942432-sqli']
)
Nível 3 de sensibilidade do SQLi 


evaluatePreconfiguredExpr('sqli-v33-stable',
        ['owasp-crs-v030301-id942421-sqli',
         'owasp-crs-v030301-id942432-sqli']
         )
Nível 4 de sensibilidade do SQLi 


evaluatePreconfiguredExpr('sqli-v33-stable')

Scripting em vários locais (XSS)

A tabela a seguir mostra o código da assinatura, o nível de confidencialidade e a descrição de cada assinatura compatível na regra pré-configurada XSS.

CRS 3.3

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
owasp-crs-v030301-id941110-xss 1 Filtro XSS - Categoria 1: vetor de tag de script
owasp-crs-v030301-id941120-xss 1 Filtro XSS - categoria 2: vetor de manipulador de eventos
owasp-crs-v030301-id941130-xss 1 Filtro XSS - Categoria 3: vetor de atributo
owasp-crs-v030301-id941140-xss 1 Filtro XSS - Categoria 4: vetor de URI de JavaScript
owasp-crs-v030301-id941160-xss 1 Verificador de injeção de XSS em NoScript: injeção de HTML
owasp-crs-v030301-id941170-xss 1 Verificador de injeção de XSS em NoScript: injeção de atributo
owasp-crs-v030301-id941180-xss 1 Palavras-chave da lista de proibições do validador de nó
owasp-crs-v030301-id941190-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030301-id941200-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030301-id941210-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030301-id941220-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030301-id941230-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030301-id941240-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030301-id941250-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030301-id941260-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030301-id941270-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030301-id941280-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030301-id941290-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030301-id941300-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030301-id941310-xss 1 Filtro XSS de codificação mal formada US-ASCII: ataque detectado
owasp-crs-v030301-id941350-xss 1 XSS de codificação UTF-7 no IE: ataque detectado
owasp-crs-v030301-id941360-xss 1 Ofuscação de hieróglifos detectada
owasp-crs-v030301-id941370-xss 1 Variável global do JavaScript encontrada
owasp-crs-v030301-id941150-xss 2 Filtro XSS - Categoria 5: atributos HTML não permitidos
owasp-crs-v030301-id941320-xss 2 Possível ataque XSS detectado: manipulador de tags HTML
owasp-crs-v030301-id941330-xss 2 Filtros XSS do IE: ataque detectado
owasp-crs-v030301-id941340-xss 2 Filtros XSS do IE: ataque detectado
owasp-crs-v030301-id941380-xss 2 Injeção de modelo do lado do cliente da AngularJS detectada

CRS 3.0

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
owasp-crs-v030001-id941110-xss 1 Filtro XSS - Categoria 1: vetor de tag de script
owasp-crs-v030001-id941120-xss 1 Filtro XSS - categoria 2: vetor de manipulador de eventos
owasp-crs-v030001-id941130-xss 1 Filtro XSS - Categoria 3: vetor de atributo
owasp-crs-v030001-id941140-xss 1 Filtro XSS - Categoria 4: vetor de URI de JavaScript
owasp-crs-v030001-id941160-xss 1 Verificador de injeção de XSS em NoScript: injeção de HTML
owasp-crs-v030001-id941170-xss 1 Verificador de injeção de XSS em NoScript: injeção de atributo
owasp-crs-v030001-id941180-xss 1 Palavras-chave da lista de proibições do validador de nó
owasp-crs-v030001-id941190-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030001-id941200-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030001-id941210-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030001-id941220-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030001-id941230-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030001-id941240-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030001-id941250-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030001-id941260-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030001-id941270-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030001-id941280-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030001-id941290-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030001-id941300-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030001-id941310-xss 1 Filtro XSS de codificação mal formada US-ASCII: ataque detectado
owasp-crs-v030001-id941350-xss 1 XSS de codificação UTF-7 no IE: ataque detectado
Not included 1 Ofuscação de JSFuck / hieróglifo detectada
Not included 1 Variável global do JavaScript encontrada
owasp-crs-v030001-id941150-xss 2 Filtro XSS - Categoria 5: atributos HTML não permitidos
owasp-crs-v030001-id941320-xss 2 Possível ataque XSS detectado: manipulador de tags HTML
owasp-crs-v030001-id941330-xss 2 Filtros XSS do IE: ataque detectado
owasp-crs-v030001-id941340-xss 2 Filtros XSS do IE: ataque detectado
Not included 2 Injeção de modelo do lado do cliente da AngularJS detectada

Para configurar uma regra em um nível de sensibilidade específico, desative as assinaturas com níveis de sensibilidade maiores.

Nível 1 de sensibilidade XSS 


evaluatePreconfiguredExpr('xss-v33-stable',
['owasp-crs-v030301-id941150-xss',
  'owasp-crs-v030301-id941320-xss',
  'owasp-crs-v030301-id941330-xss',
  'owasp-crs-v030301-id941340-xss',
  'owasp-crs-v030301-id941380-xss'
])


Todas as assinaturas de XSS estão abaixo do nível 2 de sensibilidade. A configuração a seguir funciona para outros níveis de sensibilidade:

Níveis 2 de sensibilidade XSS 


evaluatePreconfiguredExpr('xss-v33-stable')

Inclusão de arquivos locais (LFI, na sigla em inglês)

A tabela a seguir mostra o ID da assinatura, o nível de sensibilidade e a descrição de cada assinatura compatível na regra pré-configurada do LFI.

CRS 3.3

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
owasp-crs-v030301-id930100-lfi 1 Ataque de passagem de caminho (/../)
owasp-crs-v030301-id930110-lfi 1 Ataque de passagem de caminho (/../)
owasp-crs-v030301-id930120-lfi 1 Tentativa de acessar arquivos do SO
owasp-crs-v030301-id930130-lfi 1 Tentativa de acessar arquivos restritos

CRS 3.0

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
owasp-crs-v030001-id930100-lfi 1 Ataque de passagem de caminho (/../)
owasp-crs-v030001-id930110-lfi 1 Ataque de passagem de caminho (/../)
owasp-crs-v030001-id930120-lfi 1 Tentativa de acessar arquivos do SO
owasp-crs-v030001-id930130-lfi 1 Tentativa de acessar arquivos restritos

Todas as assinaturas de LFI estão no nível 1 de sensibilidade. A configuração a seguir funciona para todos os níveis de sensibilidade:

Nível 1 de sensibilidade da LFI 


evaluatePreconfiguredExpr('lfi-v33-canary')

Execução de código remoto (RCE, na sigla em inglês)

A tabela a seguir fornece o ID da assinatura, o nível de confidencialidade e a descrição de cada assinatura compatível na regra pré-configurada do RCE.

CRS 3.3

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
owasp-crs-v030301-id932100-rce 1 Injeção de comando do UNIX
owasp-crs-v030301-id932105-rce 1 Injeção de comando do UNIX
owasp-crs-v030301-id932110-rce 1 Injeção de comando do Windows
owasp-crs-v030301-id932115-rce 1 Injeção de comando do Windows
owasp-crs-v030301-id932120-rce 1 Comando do PowerShell do Windows encontrado
owasp-crs-v030301-id932130-rce 1 Expressão de shell do Unix encontrada
owasp-crs-v030301-id932140-rce 1 Comando FOR/IF do Windows encontrado
owasp-crs-v030301-id932150-rce 1 Execução direta de comando do UNIX
owasp-crs-v030301-id932160-rce 1 Código de shell do UNIX encontrado
owasp-crs-v030301-id932170-rce 1 Shellshock (CVE-2014-6271)
owasp-crs-v030301-id932171-rce 1 Shellshock (CVE-2014-6271)
owasp-crs-v030301-id932180-rce 1 Tentativa restrita de upload de arquivos
owasp-crs-v030301-id932200-rce 2 Técnicas de ignorar RCE
owasp-crs-v030301-id932106-rce 3 Execução de comandos remotos: injeção de comandos Unix
owasp-crs-v030301-id932190-rce 3 Execução de comando remoto: tentativa de técnica de pular caracteres curinga

CRS 3.0

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
owasp-crs-v030001-id932100-rce 1 Injeção de comando do UNIX
owasp-crs-v030001-id932105-rce 1 Injeção de comando do UNIX
owasp-crs-v030001-id932110-rce 1 Injeção de comando do Windows
owasp-crs-v030001-id932115-rce 1 Injeção de comando do Windows
owasp-crs-v030001-id932120-rce 1 Comando do PowerShell do Windows encontrado
owasp-crs-v030001-id932130-rce 1 Expressão de shell do Unix encontrada
owasp-crs-v030001-id932140-rce 1 Comando FOR/IF do Windows encontrado
owasp-crs-v030001-id932150-rce 1 Execução direta de comando do UNIX
owasp-crs-v030001-id932160-rce 1 Código de shell do UNIX encontrado
owasp-crs-v030001-id932170-rce 1 Shellshock (CVE-2014-6271)
owasp-crs-v030001-id932171-rce 1 Shellshock (CVE-2014-6271)
Not included 1 Tentativa restrita de upload de arquivos
Not included 2 Técnicas de ignorar RCE
Not included 3 Execução de comandos remotos: injeção de comandos Unix
Not included 3 Execução de comando remoto: tentativa de técnica de pular caracteres curinga

Todas as assinaturas de RCE estão no nível 1 de sensibilidade. A configuração a seguir funciona para todos os níveis de sensibilidade:

Nível 1 de sensibilidade de RCE 


evaluatePreconfiguredExpr('rce-v33-stable',
          ['owasp-crs-v030301-id932200-rce',
           'owasp-crs-v030301-id932106-rce',
           'owasp-crs-v030301-id932190-rce'])
          )

A configuração a seguir funciona para outros níveis de sensibilidade:

Nível 2 de sensibilidade do RCE 


evaluatePreconfiguredExpr('rce-v33-stable',
          ['owasp-crs-v030301-id932106-rce',
           'owasp-crs-v030301-id932190-rce'])
          )
Nível 3 de sensibilidade do RCE 


evaluatePreconfiguredExpr('rce-v33-stable')

Inclusão de arquivo remoto (RFI, na sigla em inglês)

A tabela a seguir fornece o ID da assinatura, o nível de confidencialidade e a descrição de cada assinatura compatível na regra pré-configurada do RFI.

CRS 3.3

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
owasp-crs-v030301-id931100-rfi 1 Parâmetro de URL que usa um endereço IP
owasp-crs-v030301-id931110-rfi 1 Nome de parâmetro comum vulnerável a RFI usado com payload do URL
owasp-crs-v030301-id931120-rfi 1 Payload do URL usado com caractere de ponto de interrogação (?) no final
owasp-crs-v030301-id931130-rfi 2 Referência/link fora do domínio

CRS 3.0

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
owasp-crs-v030001-id931100-rfi 1 Parâmetro de URL que usa um endereço IP
owasp-crs-v030001-id931110-rfi 1 Nome de parâmetro comum vulnerável a RFI usado com payload do URL
owasp-crs-v030001-id931120-rfi 1 Payload do URL usado com caractere de ponto de interrogação (?) no final
owasp-crs-v030001-id931130-rfi 2 Referência/link fora do domínio

Para configurar uma regra em um nível de sensibilidade específico, desative as assinaturas com níveis de sensibilidade maiores.

Níveis 2, 3 e 4 de sensibilidade RFI 


evaluatePreconfiguredExpr('rfi-v33-canary', ['owasp-crs-v030301-id931130-rfi'])

Todas as assinaturas para RF estão abaixo do nível de sensibilidade 2. A configuração a seguir funciona para outros níveis de sensibilidade:

Níveis 2 de sensibilidade RFI 


evaluatePreconfiguredExpr('rfi-v33-stable')

Aplicação de métodos

A tabela a seguir mostra o ID, o nível de confidencialidade e a descrição de cada assinatura compatível na regra pré-configurada da aplicação do método.

CRS 3.3

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
owasp-crs-v030301-id911100-methodenforcement 1 Método não permitido por política

CRS 3.0

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
owasp-crs-v030001-id911100-methodenforcement 1 Método não permitido por política

Todas as assinaturas da aplicação de métodos estão abaixo do nível 2 de sensibilidade. A configuração a seguir funciona para outros níveis de sensibilidade:

Nível 1 de sensibilidade do programa 


evaluatePreconfiguredExpr('methodenforcement-v33-stable')

Detecção de verificação

A tabela a seguir fornece o ID da assinatura, o nível de confidencialidade e a descrição de cada assinatura compatível na regra pré-configurada da detecção do scanner.

CRS 3.3

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
owasp-crs-v030301-id913100-scannerdetection 1 Encontramos o user-agent associado à verificação de segurança
owasp-crs-v030301-id913110-scannerdetection 1 Encontramos o cabeçalho da solicitação associado à verificação de segurança
owasp-crs-v030301-id913120-scannerdetection 1 Encontramos o nome de arquivo/argumento associado à verificação de segurança
owasp-crs-v030301-id913101-scannerdetection 2 Encontramos o user-agent associado ao client HTTP genérico/de script
owasp-crs-v030301-id913102-scannerdetection 2 Encontramos o user-agent associado ao bot/rastreador da Web

CRS 3.0

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
owasp-crs-v030001-id913100-scannerdetection 1 Encontramos o user-agent associado à verificação de segurança
owasp-crs-v030001-id913110-scannerdetection 1 Encontramos o cabeçalho da solicitação associado à verificação de segurança
owasp-crs-v030001-id913120-scannerdetection 1 Encontramos o nome de arquivo/argumento associado à verificação de segurança
owasp-crs-v030001-id913101-scannerdetection 2 Encontramos o user-agent associado ao client HTTP genérico/de script
owasp-crs-v030001-id913102-scannerdetection 2 Encontramos o user-agent associado ao bot/rastreador da Web

Para configurar uma regra em um nível de sensibilidade específico, desative as assinaturas com níveis de sensibilidade maiores.

Nível 1 de sensibilidade à detecção de scanner 


evaluatePreconfiguredExpr('scannerdetection-v33-stable',
  ['owasp-crs-v030301-id913101-scannerdetection',
  'owasp-crs-v030301-id913102-scannerdetection']
)
Nível 2 de sensibilidade à detecção de scanner 


evaluatePreconfiguredExpr('scannerdetection-v33-stable')

Ataque de protocolo

A tabela a seguir fornece o ID da assinatura, o nível de confidencialidade e a descrição de cada assinatura compatível na regra pré-configurada do ataque de protocolo.

CRS 3.3

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
Not included 1 Ataque de contrabando de solicitação HTTP
owasp-crs-v030301-id921110-protocolattack 1 Ataque de contrabando de solicitação HTTP
owasp-crs-v030301-id921120-protocolattack 1 Ataque de divisão de resposta HTTP
owasp-crs-v030301-id921130-protocolattack 1 Ataque de divisão de resposta HTTP
owasp-crs-v030301-id921140-protocolattack 1 Ataque de injeção de cabeçalho HTTP via cabeçalhos
owasp-crs-v030301-id921150-protocolattack 1 Ataque de injeção de cabeçalho HTTP por meio de payload (CR/LF detectado)
owasp-crs-v030301-id921160-protocolattack 1 Ataque de injeção de cabeçalho HTTP por meio de payload (CR/LF e nome do cabeçalho detectado)
owasp-crs-v030301-id921190-protocolattack 1 Divisão HTTP (CR/LF no nome de arquivo da solicitação detectado)
owasp-crs-v030301-id921200-protocolattack 1 Ataque de injeção LDAP
owasp-crs-v030301-id921151-protocolattack 2 Ataque de injeção de cabeçalho HTTP por meio de payload (CR/LF detectado)
owasp-crs-v030301-id921170-protocolattack 3 Poluição do parâmetro HTTP

CRS 3.0

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
owasp-crs-v030001-id921100-protocolattack 1 Ataque de contrabando de solicitação HTTP
owasp-crs-v030001-id921110-protocolattack 1 Ataque de contrabando de solicitação HTTP
owasp-crs-v030001-id921120-protocolattack 1 Ataque de divisão de resposta HTTP
owasp-crs-v030001-id921130-protocolattack 1 Ataque de divisão de resposta HTTP
owasp-crs-v030001-id921140-protocolattack 1 Ataque de injeção de cabeçalho HTTP via cabeçalhos
owasp-crs-v030001-id921150-protocolattack 1 Ataque de injeção de cabeçalho HTTP por meio de payload (CR/LF detectado)
owasp-crs-v030001-id921160-protocolattack 1 Ataque de injeção de cabeçalho HTTP por meio de payload (CR/LF e nome do cabeçalho detectado)
Not included 1 Divisão HTTP (CR/LF no nome de arquivo da solicitação detectado)
Not included 1 Ataque de injeção LDAP
owasp-crs-v030001-id921151-protocolattack 2 Ataque de injeção de cabeçalho HTTP por meio de payload (CR/LF detectado)
owasp-crs-v030001-id921170-protocolattack 3 Poluição do parâmetro HTTP

Para configurar uma regra em um nível de sensibilidade específico, desative as assinaturas com níveis de sensibilidade maiores.

Nível 1 de sensibilidade a ataques de protocolo 


evaluatePreconfiguredExpr('protocolattack-v33-stable',
  ['owasp-crs-v030301-id921151-protocolattack',
  'owasp-crs-v030301-id921170-protocolattack']
)
Nível 2 de sensibilidade a ataques de protocolo 


evaluatePreconfiguredExpr('protocolattack-v33-stable',
  ['owasp-crs-v030301-id921170-protocolattack']
)
Nível 3 de sensibilidade a ataques de protocolo 


evaluatePreconfiguredExpr('protocolattack-v33-stable')

PHP

A tabela a seguir mostra o ID da assinatura, o nível de sensibilidade e a descrição de cada assinatura compatível na regra pré-configurada do PHP.

CRS 3.3

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
owasp-crs-v030301-id933100-php 1 Ataque de injeção do PHP: tag aberta de PHP encontrada
owasp-crs-v030301-id933110-php 1 Ataque de injeção PHP: upload do arquivo de script PHP encontrado
owasp-crs-v030301-id933120-php 1 Ataque de injeção do PHP: diretiva de configuração encontrada
owasp-crs-v030301-id933130-php 1 Ataque de injeção do PHP: variáveis encontradas
owasp-crs-v030301-id933140-php 1 Ataque de injeção do PHP: fluxo de E/S encontrado
owasp-crs-v030301-id933200-php 1 Ataque de injeção de PHP: esquema de wrapper detectado
owasp-crs-v030301-id933150-php 1 Ataque de injeção PHP: nome da função PHP de alto risco encontrado
owasp-crs-v030301-id933160-php 1 Ataque de injeção do PHP: chamada de função PHP de alto risco encontrada
owasp-crs-v030301-id933170-php 1 Ataque de injeção PHP: injeção de objeto serializado
owasp-crs-v030301-id933180-php 1 Ataque de injeção do PHP: chamada de função variável encontrada
owasp-crs-v030301-id933210-php 1 Ataque de injeção do PHP: chamada de função variável encontrada
owasp-crs-v030301-id933151-php 2 Ataque de injeção do PHP: nome da função PHP de risco médio encontrado
owasp-crs-v030301-id933131-php 3 Ataque de injeção do PHP: variáveis encontradas
owasp-crs-v030301-id933161-php 3 Ataque de injeção PHP: chamada de função PHP de baixo valor encontrada
owasp-crs-v030301-id933111-php 3 Ataque de injeção PHP: upload do arquivo de script PHP encontrado
owasp-crs-v030301-id933190-php 3 Ataque de injeção do PHP: tag fechada de PHP encontrada

CRS 3.0

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
owasp-crs-v030001-id933100-php 1 Ataque de injeção do PHP: tag aberta de PHP encontrada
owasp-crs-v030001-id933110-php 1 Ataque de injeção PHP: upload do arquivo de script PHP encontrado
owasp-crs-v030001-id933120-php 1 Ataque de injeção do PHP: diretiva de configuração encontrada
owasp-crs-v030001-id933130-php 1 Ataque de injeção do PHP: variáveis encontradas
owasp-crs-v030001-id933140-php 1 Ataque de injeção do PHP: fluxo de E/S encontrado
Not included 1 Ataque de injeção de PHP: esquema de wrapper detectado
owasp-crs-v030001-id933150-php 1 Ataque de injeção PHP: nome da função PHP de alto risco encontrado
owasp-crs-v030001-id933160-php 1 Ataque de injeção do PHP: chamada de função PHP de alto risco encontrada
owasp-crs-v030001-id933170-php 1 Ataque de injeção PHP: injeção de objeto serializado
owasp-crs-v030001-id933180-php 1 Ataque de injeção do PHP: chamada de função variável encontrada
Not included 1 Ataque de injeção do PHP: chamada de função variável encontrada
owasp-crs-v030001-id933151-php 2 Ataque de injeção do PHP: nome da função PHP de risco médio encontrado
owasp-crs-v030001-id933131-php 3 Ataque de injeção do PHP: variáveis encontradas
owasp-crs-v030001-id933161-php 3 Ataque de injeção PHP: chamada de função PHP de baixo valor encontrada
owasp-crs-v030001-id933111-php 3 Ataque de injeção PHP: upload do arquivo de script PHP encontrado
Not included 3 Ataque de injeção do PHP: tag fechada de PHP encontrada

Para configurar uma regra em um nível de sensibilidade específico, desative as assinaturas com níveis de sensibilidade maiores.

Nível 1 da sensibilidade a ataques de injeção de PHP 


evaluatePreconfiguredExpr('php-v33-stable',
['owasp-crs-v030301-id933151-php',
  'owasp-crs-v030301-id933131-php',
  'owasp-crs-v030301-id933161-php',
  'owasp-crs-v030301-id933111-php',
  'owasp-crs-v030301-id933190-php']
)
Nível 2 da sensibilidade a ataques de injeção de PHP 


evaluatePreconfiguredExpr('php-v33-stable',
  ['owasp-crs-v0303001-id933131-php',
  'owasp-crs-v0303001-id933161-php',
  'owasp-crs-v0303001-id933111-php'
  'owasp-crs-v030301-id933190-php'])
Nível 3 da sensibilidade a ataques de injeção de PHP 


evaluatePreconfiguredExpr('php-v33-stable')

Correção da sessão

A tabela a seguir fornece o ID da assinatura, o nível de confidencialidade e a descrição de cada assinatura compatível na regra pré-configurada da correção de sessão.

CRS 3.3

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
owasp-crs-v030301-id943100-sessionfixation 1 Possível ataque de correção de sessão: configuração de valores de cookies em HTML
owasp-crs-v030301-id943110-sessionfixation 1 Possível ataque de fixação de sessão: nome do parâmetro SessionID com referência fora do domínio
owasp-crs-v030301-id943120-sessionfixation 1 Possível ataque de fixação de sessão: nome do parâmetro SessionID sem referência

CRS 3.0

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
owasp-crs-v030001-id943100-sessionfixation 1 Possível ataque de correção de sessão: configuração de valores de cookies em HTML
owasp-crs-v030001-id943110-sessionfixation 1 Possível ataque de fixação de sessão: nome do parâmetro SessionID com referência fora do domínio
owasp-crs-v030001-id943120-sessionfixation 1 Possível ataque de fixação de sessão: nome do parâmetro SessionID sem referência

Todas as assinaturas para correção da sessão estão abaixo do nível 2 de sensibilidade. A configuração a seguir funciona para outros níveis de sensibilidade:

Nível 1 de sensibilidade da Correção de sessões 


evaluatePreconfiguredExpr('sessionfixation-v33-canary')

CVEs e outras vulnerabilidades

As assinaturas a seguir abrangem as vulnerabilidades Log4j RCE CVE-2021-44228 e CVE-2021-45046.

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
owasp-crs-v030001-id044228-cve 1 Regra de base para ajudar a detectar tentativas de exploração de CVE-2021-44228 e CVE-2021-45046
owasp-crs-v030001-id144228-cve 1 Melhorias fornecidas pelo Google para cobrir mais tentativas de desvio e ofuscação
owasp-crs-v030001-id244228-cve 3 Aumento da sensibilidade da detecção para segmentar ainda mais tentativas de desvio e ofuscação, com aumento nominal do risco de detecção de falso positivo
owasp-crs-v030001-id344228-cve 3 Aumento da sensibilidade da detecção para segmentar ainda mais tentativas de desvio e ofuscação, usando a codificação Base64, com aumento nominal do risco de detecção de falsos positivos.

Para configurar uma regra em um nível de sensibilidade específico, desative as assinaturas com níveis de sensibilidade maiores.

Nível 1 de sensibilidade da CVE 


evaluatePreconfiguredExpr('cve-canary', ['owasp-crs-v030001-id244228-cve',
  'owasp-crs-v030001-id344228-cve'])
Nível 3 de sensibilidade da CVE 


evaluatePreconfiguredExpr('cve-canary')

Limitações

As regras pré-configuradas do Google Cloud Armor têm as seguintes limitações:

  • Entre os tipos de solicitações HTTPS com um corpo de solicitação, o Google Cloud Armor processa apenas solicitações POST. O Google Cloud Armor avalia regras pré-configuradas com base nos primeiros 8 KB de conteúdo do corpo POST. Para mais informações, consulte Limitação da inspeção corporal POST.
  • O Google Cloud Armor pode analisar e aplicar regras pré-configuradas do WAF para corpos POST padrão codificados em URL e formatados em JSON (Content-Type='application/json'). No entanto, o Google Cloud Armor não analisa ou decodifica outros formatos de conteúdo HTTP e Content-Encoding.
  • As políticas de segurança do Google Cloud Armor estão disponíveis apenas para serviços de back-end que estiverem atrás de um balanceador de carga. Portanto, as cotas e os limites de balanceamento de carga se aplicam à implantação. Consulte a página de cotas do balanceamento de carga para mais informações.
  • Os IDs das regras de CRS do ModSecurity a seguir não são compatíveis com o Google Cloud Armor.
    • sqli-942100
    • sqli-942101
    • xss-941100
    • xss-941101

A seguir