Panoramica delle regole WAF preconfigurate di Google Cloud Armor
Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
Le regole WAF preconfigurate di Google Cloud Armor sono regole WAF (Web Application Firewall) complesse con decine di firme compilate a partire da standard di settore open source. Ogni firma corrisponde a una regola di rilevamento degli attacchi nel set di regole. Google offre queste regole così come sono. Le regole consentono a Google Cloud Armor di valutare dozzine di firme di traffico distinte facendo riferimento a regole denominate in modo pratico, anziché richiedere la definizione manuale di ogni firma.
La tabella seguente contiene un elenco completo delle regole WAF preconfigurate
che possono essere utilizzate in un criterio di sicurezza di Google Cloud Armor. Le origini delle regole sono ModSecurity Core Rule Set (CRS) 3.0 e
CRS 3.3.2.
Ti consigliamo di utilizzare la versione 3.3 per una maggiore sensibilità e per un'ampia gamma di tipi di attacchi protetti. Il supporto di CRS 3.0 è in corso.
CRS 3.3
Nome della regola Google Cloud Armor
Nome della regola ModSecurity
Stato corrente
SQL injection
sqli-v33-stable
Sincronizzato con sqli-v33-canary
sqli-v33-canary
Più recenti
Cross-site scripting (XSS)
xss-v33-stable
Sincronizzato con xss-v33-canary
xss-v33-canary
Più recenti
Inclusione di file locali
lfi-v33-stable
Sincronizzato con lfi-v33-canary
lfi-v33-canary
Più recenti
Inclusione di file remoti
rfi-v33-stable
Sincronizzato con rfi-v33-canary
rfi-v33-canary
Più recenti
Esecuzione di codice da remoto
rce-v33-stable
Sincronizzato con rce-v33-canary
rce-v33-canary
Più recenti
Applicazione del metodo
methodenforcement-v33-stable
Sincronizzato con methodenforcement-v33-canary
methodenforcement-v33-canary
Più recenti
Rilevamento dello scanner
scannerdetection-v33-stable
Sincronizzato con scannerdetection-v33-canary
scannerdetection-v33-canary
Più recenti
Attacco di protocollo
protocolattack-v33-stable
Sincronizzato con protocolattack-v33-canary
protocolattack-v33-canary
Più recenti
Attacco con iniezione di codice PHP
php-v33-stable
Sincronizzato con php-v33-canary
php-v33-canary
Più recenti
Attacco di fissazione della sessione
sessionfixation-v33-stable
Sincronizzato con sessionfixation-v33-canary
sessionfixation-v33-canary
Più recenti
Attacco Java
java-v33-stable
Sincronizzato con java-v33-canary
java-v33-canary
Più recenti
Attacco Node.js
nodejs-v33-stable
Sincronizzato con nodejs-v33-canary
nodejs-v33-canary
Più recenti
CRS 3.0
Nome della regola Google Cloud Armor
Nome della regola ModSecurity
Stato corrente
SQL injection
sqli-stable
Sincronizzato con sqli-canary
sqli-canary
Più recenti
Cross-site scripting (XSS)
xss-stable
Sincronizzato con xss-canary
xss-canary
Più recenti
Inclusione di file locali
lfi-stable
Sincronizzato con lfi-canary
lfi-canary
Più recenti
Inclusione di file remoti
rfi-stable
Sincronizzato con rfi-canary
rfi-canary
Più recenti
Esecuzione di codice da remoto
rce-stable
Sincronizzato con rce-canary
rce-canary
Più recenti
Applicazione del metodo
methodenforcement-stable
Sincronizzato con methodenforcement-canary
methodenforcement-canary
Più recenti
Rilevamento dello scanner
scannerdetection-stable
Sincronizzato con scannerdetection-canary
scannerdetection-canary
Più recenti
Attacco di protocollo
protocolattack-stable
Sincronizzato con protocolattack-canary
protocolattack-canary
Più recenti
Attacco con iniezione di codice PHP
php-stable
Sincronizzato con php-canary
php-canary
Più recenti
Attacco di fissazione della sessione
sessionfixation-stable
Sincronizzato con sessionfixation-canary
sessionfixation-canary
Più recenti
Attacco Java
Not included
Attacco Node.js
Not included
Inoltre, le seguenti regole cve-canary sono disponibili per tutti i clienti di Google Cloud Armor per rilevare e, facoltativamente, bloccare le seguenti vulnerabilità:
Vulnerabilità di Log4j RCE CVE-2021-44228 e CVE-2021-45046
942550-sqli Vulnerabilità dei contenuti in formato JSON
Nome della regola Google Cloud Armor
Tipi di vulnerabilità coperti
cve-canary
Vulnerabilità Log4j
json-sqli-canary
Vulnerabilità di bypass di SQL injection basata su JSON
Regole ModSecurity preconfigurate
Ogni regola WAF preconfigurata ha un livello di sensibilità che corrisponde a un
livello di paranoia di ModSecurity.
Un livello di sensibilità più basso indica una firma di attendibilità più elevata, che ha meno probabilità di generare un falso positivo. Un livello di sensibilità più elevato aumenta la sicurezza, ma aumenta anche il rischio di generare un falso positivo.
SQL injection (SQLi)
La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola WAF preconfigurata per le SQLi.
CRS 3.3
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030301-id942100-sqli
1
Azione di SQL injection rilevata tramite libinjection
owasp-crs-v030301-id942140-sqli
1
Attacco di SQL injection: sono stati rilevati nomi di database comuni
owasp-crs-v030301-id942160-sqli
1
Rileva i test SQLi ciechi che utilizzano sleep() o benchmark()
owasp-crs-v030301-id942170-sqli
1
Rileva i tentativi di benchmark e di inserimento di SQL inattivi, incluse
le query condizionali
owasp-crs-v030301-id942190-sqli
1
Rileva l'esecuzione di codice MSSQL e i tentativi di raccolta di informazioni
owasp-crs-v030301-id942220-sqli
1
Cerca attacchi di overflow di interi
owasp-crs-v030301-id942230-sqli
1
Rileva i tentativi di SQL injection condizionali
owasp-crs-v030301-id942240-sqli
1
Rileva il passaggio del charset di MySQL e i tentativi di DoS di MSSQL
owasp-crs-v030301-id942250-sqli
1
Rileva MATCH AGAINST
owasp-crs-v030301-id942270-sqli
1
Cerca SQL injection di base; stringa di attacco comune per MySQL
owasp-crs-v030301-id942280-sqli
1
Rileva l'iniezione di pg_sleep di Postgres
owasp-crs-v030301-id942290-sqli
1
Individua i tentativi di SQL injection di base di MongoDB
owasp-crs-v030301-id942320-sqli
1
Rileva le iniezioni di procedure/funzioni memorizzate MySQL e PostgreSQL
owasp-crs-v030301-id942350-sqli
1
Rileva l'iniezione di funzioni definite dall'utente di MySQL e altri tentativi di manipolazione di dati/strutture
owasp-crs-v030301-id942360-sqli
1
Rileva tentativi di SQL injection di base e SQLLFI concatenati
owasp-crs-v030301-id942500-sqli
1
È stato rilevato un commento in linea MySQL
owasp-crs-v030301-id942110-sqli
2
Attacco SQL injection: test di iniezione comuni rilevati
owasp-crs-v030301-id942120-sqli
2
Azione di SQL injection: operatore SQL rilevato
owasp-crs-v030301-id942130-sqli
2
Azione di SQL injection: rilevata tautologia SQL
owasp-crs-v030301-id942150-sqli
2
Attacco di SQL injection
owasp-crs-v030301-id942180-sqli
2
Rileva i tentativi di bypass dell'autenticazione SQL di base 1/3
owasp-crs-v030301-id942200-sqli
2
Rileva le iniezioni offuscate con commenti/spazi di MySQL e il termine di backtick
owasp-crs-v030301-id942210-sqli
2
Rileva i tentativi di SQL injection in catena 1/2
owasp-crs-v030301-id942260-sqli
2
Rileva i tentativi di bypass dell'autenticazione SQL di base 2/3
owasp-crs-v030301-id942300-sqli
2
Rileva i commenti MySQL
owasp-crs-v030301-id942310-sqli
2
Rileva i tentativi di SQL injection in catena 2/2
owasp-crs-v030301-id942330-sqli
2
Rileva i sondaggi di SQL injection classici 1/2
owasp-crs-v030301-id942340-sqli
2
Rileva i tentativi di bypass dell'autenticazione SQL di base 3/3
owasp-crs-v030301-id942361-sqli
2
Rileva SQL injection di base in base alla parola chiave alter o union
owasp-crs-v030301-id942370-sqli
2
Rileva sondaggi di SQL injection classici 2/3
owasp-crs-v030301-id942380-sqli
2
Attacco di SQL injection
owasp-crs-v030301-id942390-sqli
2
Attacco di SQL injection
owasp-crs-v030301-id942400-sqli
2
Attacco di SQL injection
owasp-crs-v030301-id942410-sqli
2
Attacco di SQL injection
owasp-crs-v030301-id942470-sqli
2
Attacco di SQL injection
owasp-crs-v030301-id942480-sqli
2
Attacco di SQL injection
owasp-crs-v030301-id942430-sqli
2
Rilevamento di anomalie dei caratteri SQL con limitazioni (args): numero di caratteri
speciali superato (12)
owasp-crs-v030301-id942440-sqli
2
Sequenza di commenti SQL rilevata
owasp-crs-v030301-id942450-sqli
2
Codifica esadecimale SQL identificata
owasp-crs-v030301-id942510-sqli
2
Rilevamento di un tentativo di bypass di SQLi tramite tick o backtick
owasp-crs-v030301-id942251-sqli
3
Rileva le iniezioni HAVING
owasp-crs-v030301-id942490-sqli
3
Rileva sondaggi di SQL injection classici 3/3
owasp-crs-v030301-id942420-sqli
3
Rilevamento di anomalie dei caratteri SQL con limitazioni (cookie): numero di caratteri
speciali superato (8)
owasp-crs-v030301-id942431-sqli
3
Rilevamento di anomalie dei caratteri SQL con limitazioni (args): numero di caratteri
speciali superato (6)
owasp-crs-v030301-id942460-sqli
3
Avviso di rilevamento di anomalie nei meta-caratteri: caratteri non di parola ripetitivi
owasp-crs-v030301-id942101-sqli
3
Attacco SQL injection rilevato tramite libinjection
owasp-crs-v030301-id942511-sqli
3
Rilevamento di un tentativo di bypass di SQLi tramite tick
owasp-crs-v030301-id942421-sqli
4
Rilevamento di anomalie dei caratteri SQL con limitazioni (cookie): numero di caratteri
speciali superato (3)
owasp-crs-v030301-id942432-sqli
4
Rilevamento di anomalie dei caratteri SQL con limitazioni (args): numero di caratteri
speciali superato (2)
CRS 3.0
ID firma (ID regola)
Livello di sensibilità
Descrizione
Not included
1
Azione di SQL injection rilevata tramite libinjection
owasp-crs-v030001-id942140-sqli
1
Attacco di SQL injection: sono stati rilevati nomi di database comuni
owasp-crs-v030001-id942160-sqli
1
Rileva i test SQLi ciechi che utilizzano sleep() o benchmark()
owasp-crs-v030001-id942170-sqli
1
Rileva i tentativi di benchmark e di inserimento di SQL inattivi, incluse
le query condizionali
owasp-crs-v030001-id942190-sqli
1
Rileva l'esecuzione di codice MSSQL e i tentativi di raccolta di informazioni
owasp-crs-v030001-id942220-sqli
1
Cerca attacchi di overflow di interi
owasp-crs-v030001-id942230-sqli
1
Rileva i tentativi di SQL injection condizionali
owasp-crs-v030001-id942240-sqli
1
Rileva il passaggio del charset di MySQL e i tentativi di DoS di MSSQL
owasp-crs-v030001-id942250-sqli
1
Rileva MATCH AGAINST
owasp-crs-v030001-id942270-sqli
1
Cerca SQL injection di base; stringa di attacco comune per MySQL
owasp-crs-v030001-id942280-sqli
1
Rileva l'iniezione di pg_sleep di Postgres
owasp-crs-v030001-id942290-sqli
1
Individua i tentativi di SQL injection di base di MongoDB
owasp-crs-v030001-id942320-sqli
1
Rileva le iniezioni di procedure/funzioni memorizzate MySQL e PostgreSQL
owasp-crs-v030001-id942350-sqli
1
Rileva l'iniezione di funzioni definite dall'utente di MySQL e altri tentativi di manipolazione di dati/strutture
owasp-crs-v030001-id942360-sqli
1
Rileva tentativi di SQL injection di base e SQLLFI concatenati
Not included
1
È stato rilevato un commento in linea MySQL
owasp-crs-v030001-id942110-sqli
2
Attacco SQL injection: test di iniezione comuni rilevati
owasp-crs-v030001-id942120-sqli
2
Azione di SQL injection: operatore SQL rilevato
Not included
2
Azione di SQL injection: rilevata tautologia SQL
owasp-crs-v030001-id942150-sqli
2
Attacco di SQL injection
owasp-crs-v030001-id942180-sqli
2
Rileva i tentativi di bypass dell'autenticazione SQL di base 1/3
owasp-crs-v030001-id942200-sqli
2
Rileva le iniezioni offuscate con commenti/spazi di MySQL e il termine di backtick
owasp-crs-v030001-id942210-sqli
2
Rileva i tentativi di SQL injection in catena 1/2
owasp-crs-v030001-id942260-sqli
2
Rileva i tentativi di bypass dell'autenticazione SQL di base 2/3
owasp-crs-v030001-id942300-sqli
2
Rileva i commenti MySQL
owasp-crs-v030001-id942310-sqli
2
Rileva i tentativi di SQL injection in catena 2/2
owasp-crs-v030001-id942330-sqli
2
Rileva i sondaggi di SQL injection classici 1/2
owasp-crs-v030001-id942340-sqli
2
Rileva i tentativi di bypass dell'autenticazione SQL di base 3/3
Not included
2
Rileva SQL injection di base in base alla parola chiave alter o union
Not included
2
Rileva sondaggi di SQL injection classici 2/3
owasp-crs-v030001-id942380-sqli
2
Attacco di SQL injection
owasp-crs-v030001-id942390-sqli
2
Attacco di SQL injection
owasp-crs-v030001-id942400-sqli
2
Attacco di SQL injection
owasp-crs-v030001-id942410-sqli
2
Attacco di SQL injection
Not included
2
Attacco di SQL injection
Not included
2
Attacco di SQL injection
owasp-crs-v030001-id942430-sqli
2
Rilevamento di anomalie dei caratteri SQL con limitazioni (args): numero di caratteri
speciali superato (12)
owasp-crs-v030001-id942440-sqli
2
Sequenza di commenti SQL rilevata
owasp-crs-v030001-id942450-sqli
2
Codifica esadecimale SQL identificata
Not included
2
Rilevamento di un tentativo di bypass di SQLi tramite tick o backtick
owasp-crs-v030001-id942251-sqli
3
Rileva le iniezioni HAVING
Not included
2
Rileva sondaggi di SQL injection classici 3/3
owasp-crs-v030001-id942420-sqli
3
Rilevamento di anomalie dei caratteri SQL con limitazioni (cookie): numero di caratteri
speciali superato (8)
owasp-crs-v030001-id942431-sqli
3
Rilevamento di anomalie dei caratteri SQL con limitazioni (args): numero di caratteri
speciali superato (6)
owasp-crs-v030001-id942460-sqli
3
Avviso di rilevamento di anomalie nei meta-caratteri: caratteri non di parola ripetitivi
Not included
3
Attacco SQL injection rilevato tramite libinjection
Not included
3
Rilevamento di un tentativo di bypass di SQLi tramite tick
owasp-crs-v030001-id942421-sqli
4
Rilevamento di anomalie dei caratteri SQL con limitazioni (cookie): numero di caratteri
speciali superato (3)
owasp-crs-v030001-id942432-sqli
4
Rilevamento di anomalie dei caratteri SQL con limitazioni (args): numero di caratteri
speciali superato (2)
Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disattivare le firme a livelli di sensibilità superiori.
In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità dell'insieme di regole, Google Cloud Armor valuta tutte le firme.
Filtro XSS per codifica US-ASCII non corretta: attacco rilevato
owasp-crs-v030001-id941350-xss
1
XSS in IE con codifica UTF-7 - Attacco rilevato
Not included
1
È stata rilevata offuscamento JSFuck / Hieroglyphy
Not included
1
Variabile JavaScript globale trovata
Not included
2
Azione XSS rilevata tramite libinjection
owasp-crs-v030001-id941150-xss
2
Filtro XSS - Categoria 5: attributi HTML non consentiti
owasp-crs-v030001-id941320-xss
2
Possibile attacco XSS rilevato - Gestitore dei tag HTML
owasp-crs-v030001-id941330-xss
2
Filtri XSS di IE - Attacco rilevato
owasp-crs-v030001-id941340-xss
2
Filtri XSS di IE - Attacco rilevato
Not included
2
È stata rilevata un'iniezione di modello lato client AngularJS
Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disattivare le firme a livelli di sensibilità superiori.
Tutte le firme per XSS sono al di sotto del livello di sensibilità 2. La seguente configurazione è valida per altri livelli di sensibilità:
Livello di sensibilità XSS 2
evaluatePreconfiguredExpr('xss-v33-stable')
In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità dell'insieme di regole, Google Cloud Armor valuta tutte le firme.
La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola WAF preconfigurata per gli attacchi LFI.
CRS 3.3
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030301-id930100-lfi
1
Attacco Path Traversal (/../)
owasp-crs-v030301-id930110-lfi
1
Attacco Path Traversal (/../)
owasp-crs-v030301-id930120-lfi
1
Tentativo di accesso ai file del sistema operativo
owasp-crs-v030301-id930130-lfi
1
Tentativo di accesso a file con limitazioni
CRS 3.0
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030001-id930100-lfi
1
Attacco Path Traversal (/../)
owasp-crs-v030001-id930110-lfi
1
Attacco Path Traversal (/../)
owasp-crs-v030001-id930120-lfi
1
Tentativo di accesso ai file del sistema operativo
owasp-crs-v030001-id930130-lfi
1
Tentativo di accesso a file con limitazioni
Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disattivare le firme a livelli di sensibilità superiori. Tutte le firme per gli indicatori di livello di rischio sono al livello di sensibilità 1. La seguente configurazione è valida per tutti i livelli di sensibilità:
Livello di sensibilità LFI 1
evaluatePreconfiguredExpr('lfi-v33-stable')
In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Tutte le firme per gli indicatori di compromissione sono a livello di sensibilità 1. La seguente configurazione
funziona per tutti i livelli di sensibilità:
La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola WAF preconfigurata per gli attacchi di esecuzione di codice remoto (RCE).
CRS 3.3
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030301-id932100-rce
1
Iniezione di comandi UNIX
owasp-crs-v030301-id932105-rce
1
Iniezione di comandi UNIX
owasp-crs-v030301-id932110-rce
1
Iniezione di comandi Windows
owasp-crs-v030301-id932115-rce
1
Iniezione di comandi Windows
owasp-crs-v030301-id932120-rce
1
Comando Windows PowerShell trovato
owasp-crs-v030301-id932130-rce
1
Espressione della shell Unix trovata
owasp-crs-v030301-id932140-rce
1
Comando FOR/IF di Windows trovato
owasp-crs-v030301-id932150-rce
1
Esecuzione diretta del comando UNIX
owasp-crs-v030301-id932160-rce
1
Codice shell UNIX trovato
owasp-crs-v030301-id932170-rce
1
Shellshock (CVE-2014-6271)
owasp-crs-v030301-id932171-rce
1
Shellshock (CVE-2014-6271)
owasp-crs-v030301-id932180-rce
1
Tentativo di caricamento di un file con limitazioni
owasp-crs-v030301-id932200-rce
2
Tecnica di bypass RCE
owasp-crs-v030301-id932106-rce
3
Esecuzione di comandi remoti: inserimento di comandi Unix
owasp-crs-v030301-id932190-rce
3
Esecuzione di comandi remoti: tentativo di tecnica di bypass dei caratteri jolly
CRS 3.0
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030001-id932100-rce
1
Iniezione di comandi UNIX
owasp-crs-v030001-id932105-rce
1
Iniezione di comandi UNIX
owasp-crs-v030001-id932110-rce
1
Iniezione di comandi Windows
owasp-crs-v030001-id932115-rce
1
Iniezione di comandi Windows
owasp-crs-v030001-id932120-rce
1
Comando Windows PowerShell trovato
owasp-crs-v030001-id932130-rce
1
Espressione della shell Unix trovata
owasp-crs-v030001-id932140-rce
1
Comando FOR/IF di Windows trovato
owasp-crs-v030001-id932150-rce
1
Esecuzione diretta del comando UNIX
owasp-crs-v030001-id932160-rce
1
Codice shell UNIX trovato
owasp-crs-v030001-id932170-rce
1
Shellshock (CVE-2014-6271)
owasp-crs-v030001-id932171-rce
1
Shellshock (CVE-2014-6271)
Not included
1
Tentativo di caricamento di un file con limitazioni
Not included
2
Tecnica di bypass RCE
Not included
3
Esecuzione di comandi remoti: inserimento di comandi Unix
Not included
3
Esecuzione di comandi remoti: tentativo di tecnica di bypass dei caratteri jolly
Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disattivare le firme a livelli di sensibilità superiori. La seguente configurazione funziona per tutti i livelli di sensibilità:
In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Tutte le firme per l'attacco RCE sono a livello di sensibilità 1. La seguente configurazione è valida per tutti i livelli di sensibilità:
La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola WAF preconfigurata per le richieste di informazioni.
CRS 3.3
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030301-id931100-rfi
1
Parametro URL che utilizza l'indirizzo IP
owasp-crs-v030301-id931110-rfi
1
Nome del parametro vulnerabile RFI comune utilizzato con il payload dell'URL
owasp-crs-v030301-id931120-rfi
1
Payload dell'URL utilizzato con carattere punto interrogativo finale (?)
owasp-crs-v030301-id931130-rfi
2
Riferimento/link esterno al dominio
CRS 3.0
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030001-id931100-rfi
1
Parametro URL che utilizza l'indirizzo IP
owasp-crs-v030001-id931110-rfi
1
Nome del parametro vulnerabile RFI comune utilizzato con il payload dell'URL
owasp-crs-v030001-id931120-rfi
1
Payload dell'URL utilizzato con carattere punto interrogativo finale (?)
owasp-crs-v030001-id931130-rfi
2
Riferimento/link esterno al dominio
Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disattivare le firme a livelli di sensibilità superiori.
Tutte le firme per le RFI sono al di sotto del livello di sensibilità 2. La seguente configurazione è valida per altri livelli di sensibilità:
Livello di sensibilità RFI 2
evaluatePreconfiguredExpr('rfi-v33-stable')
In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità dell'insieme di regole, Google Cloud Armor valuta tutte le firme.
La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola di applicazione preconfigurata del metodo.
CRS 3.3
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030301-id911100-methodenforcement
1
Il metodo non è consentito dai criteri
CRS 3.0
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030001-id911100-methodenforcement
1
Il metodo non è consentito dai criteri
Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disattivare le firme a livelli di sensibilità superiori. Tutte le firme per l'applicazione del metodo sono a livello di sensibilità 1. La
seguente configurazione funziona per altri livelli di sensibilità:
Livello di sensibilità dell'applicazione del metodo 1
In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità dell'insieme di regole, Google Cloud Armor valuta tutte le firme.
La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola preconfigurata per il rilevamento degli scanner.
CRS 3.3
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030301-id913100-scannerdetection
1
Agente utente trovato associato allo scanner di sicurezza
owasp-crs-v030301-id913110-scannerdetection
1
Intestazione della richiesta trovata associata allo scanner di sicurezza
owasp-crs-v030301-id913120-scannerdetection
1
È stato trovato il nome file/l'argomento della richiesta associato allo scanner di sicurezza
owasp-crs-v030301-id913101-scannerdetection
2
È stato trovato lo user agent associato al client HTTP generico/di scripting
owasp-crs-v030301-id913102-scannerdetection
2
User-Agent trovato associato a crawler/bot web
CRS 3.0
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030001-id913100-scannerdetection
1
Agente utente trovato associato allo scanner di sicurezza
owasp-crs-v030001-id913110-scannerdetection
1
Intestazione della richiesta trovata associata allo scanner di sicurezza
owasp-crs-v030001-id913120-scannerdetection
1
È stato trovato il nome file/l'argomento della richiesta associato allo scanner di sicurezza
owasp-crs-v030001-id913101-scannerdetection
2
È stato trovato lo user agent associato al client HTTP generico/di scripting
owasp-crs-v030001-id913102-scannerdetection
2
User-Agent trovato associato a crawler/bot web
Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disattivare le firme a livelli di sensibilità superiori.
Livello di sensibilità del rilevamento dello scanner 1
In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità dell'insieme di regole, Google Cloud Armor valuta tutte le firme.
La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola preconfigurata per gli attacchi di protocollo.
CRS 3.3
ID firma (ID regola)
Livello di sensibilità
Descrizione
Not included
1
Azione di contrabbando di richieste HTTP
owasp-crs-v030301-id921110-protocolattack
1
Azione di contrabbando di richieste HTTP
owasp-crs-v030301-id921120-protocolattack
1
Ataque de fragmentación de la respuesta HTTP
owasp-crs-v030301-id921130-protocolattack
1
Ataque de fragmentación de la respuesta HTTP
owasp-crs-v030301-id921140-protocolattack
1
Azione di attacco di inserimento di intestazioni HTTP tramite intestazioni
owasp-crs-v030301-id921150-protocolattack
1
Azione di attacco di iniezione di intestazioni HTTP tramite payload (rilevati CR/LF)
owasp-crs-v030301-id921160-protocolattack
1
Attacco di inserimento di intestazioni HTTP tramite payload (sono stati rilevati CR/LF e nome intestazione)
owasp-crs-v030301-id921190-protocolattack
1
Suddivisione HTTP (rilevato CR/LF nel nome file della richiesta)
owasp-crs-v030301-id921200-protocolattack
1
Attacco di iniezione LDAP
owasp-crs-v030301-id921151-protocolattack
2
Azione di attacco di iniezione di intestazioni HTTP tramite payload (rilevati CR/LF)
owasp-crs-v030301-id921170-protocolattack
3
Contaminazione dei parametri HTTP
CRS 3.0
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030001-id921100-protocolattack
1
Azione di contrabbando di richieste HTTP
owasp-crs-v030001-id921110-protocolattack
1
Azione di contrabbando di richieste HTTP
owasp-crs-v030001-id921120-protocolattack
1
Ataque de fragmentación de la respuesta HTTP
owasp-crs-v030001-id921130-protocolattack
1
Ataque de fragmentación de la respuesta HTTP
owasp-crs-v030001-id921140-protocolattack
1
Azione di attacco di inserimento di intestazioni HTTP tramite intestazioni
owasp-crs-v030001-id921150-protocolattack
1
Azione di attacco di iniezione di intestazioni HTTP tramite payload (rilevati CR/LF)
owasp-crs-v030001-id921160-protocolattack
1
Attacco di inserimento di intestazioni HTTP tramite payload (sono stati rilevati CR/LF e nome intestazione)
Not included
1
Suddivisione HTTP (rilevato CR/LF nel nome file della richiesta)
Not included
1
Attacco di iniezione LDAP
owasp-crs-v030001-id921151-protocolattack
2
Azione di attacco di iniezione di intestazioni HTTP tramite payload (rilevati CR/LF)
owasp-crs-v030001-id921170-protocolattack
3
Contaminazione dei parametri HTTP
Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disattivare le firme a livelli di sensibilità superiori.
Livello di sensibilità all'attacco del protocollo 1
In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità dell'insieme di regole, Google Cloud Armor valuta tutte le firme.
La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola WAF preconfigurata per PHP.
CRS 3.3
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030301-id933100-php
1
Azione di attacco di inserimento di codice PHP: tag PHP aperto trovato
owasp-crs-v030301-id933110-php
1
Azione di attacco di iniezione PHP: caricamento di file di script PHP rilevato
owasp-crs-v030301-id933120-php
1
Azione di attacco di inserimento di codice PHP: trovata direttiva di configurazione
owasp-crs-v030301-id933130-php
1
Aggressione con iniezione di codice PHP: variabili trovate
owasp-crs-v030301-id933140-php
1
Azione di attacco con iniezione di codice PHP: stream di I/O trovato
owasp-crs-v030301-id933200-php
1
Aggressione con iniezione di codice PHP: schema wrapper rilevato
owasp-crs-v030301-id933150-php
1
Attacco di inserimento di codice PHP: è stato rilevato un nome di funzione PHP ad alto rischio
owasp-crs-v030301-id933160-php
1
Attacco di inserimento di codice PHP: è stata trovata una chiamata di funzione PHP ad alto rischio
owasp-crs-v030301-id933170-php
1
Azione di attacco con iniezione di codice PHP: iniezione di oggetti serializzati
owasp-crs-v030301-id933180-php
1
Azione di attacco di tipo PHP injection: chiamata di funzione variabile trovata
owasp-crs-v030301-id933210-php
1
Azione di attacco di tipo PHP injection: chiamata di funzione variabile trovata
owasp-crs-v030301-id933151-php
2
Azione di attacco di inserimento di codice PHP: è stato rilevato un nome di funzione PHP a rischio medio
owasp-crs-v030301-id933131-php
3
Aggressione con iniezione di codice PHP: variabili trovate
owasp-crs-v030301-id933161-php
3
Azione di attacco di tipo PHP injection: è stata trovata una chiamata di funzione PHP di basso valore
owasp-crs-v030301-id933111-php
3
Azione di attacco di iniezione PHP: caricamento di file di script PHP rilevato
owasp-crs-v030301-id933190-php
3
Azione di attacco con iniezione di codice PHP: tag di chiusura PHP trovato
CRS 3.0
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030001-id933100-php
1
Azione di attacco di inserimento di codice PHP: tag PHP aperto trovato
owasp-crs-v030001-id933110-php
1
Azione di attacco di iniezione PHP: caricamento di file di script PHP rilevato
owasp-crs-v030001-id933120-php
1
Azione di attacco di inserimento di codice PHP: trovata direttiva di configurazione
owasp-crs-v030001-id933130-php
1
Aggressione con iniezione di codice PHP: variabili trovate
owasp-crs-v030001-id933140-php
1
Azione di attacco con iniezione di codice PHP: stream di I/O trovato
Not included
1
Aggressione con iniezione di codice PHP: schema wrapper rilevato
owasp-crs-v030001-id933150-php
1
Attacco di inserimento di codice PHP: è stato rilevato un nome di funzione PHP ad alto rischio
owasp-crs-v030001-id933160-php
1
Attacco di inserimento di codice PHP: è stata trovata una chiamata di funzione PHP ad alto rischio
owasp-crs-v030001-id933170-php
1
Azione di attacco con iniezione di codice PHP: iniezione di oggetti serializzati
owasp-crs-v030001-id933180-php
1
Azione di attacco di tipo PHP injection: chiamata di funzione variabile trovata
Not included
1
Azione di attacco di tipo PHP injection: chiamata di funzione variabile trovata
owasp-crs-v030001-id933151-php
2
Azione di attacco di inserimento di codice PHP: è stato rilevato un nome di funzione PHP a rischio medio
owasp-crs-v030001-id933131-php
3
Aggressione con iniezione di codice PHP: variabili trovate
owasp-crs-v030001-id933161-php
3
Azione di attacco di tipo PHP injection: è stata trovata una chiamata di funzione PHP di basso valore
owasp-crs-v030001-id933111-php
3
Azione di attacco di iniezione PHP: caricamento di file di script PHP rilevato
Not included
3
Azione di attacco con iniezione di codice PHP: tag di chiusura PHP trovato
Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disattivare le firme a livelli di sensibilità superiori.
Livello di sensibilità agli attacchi di attacco di iniezione PHP 1
Livello di sensibilità agli attacchi di attacco di iniezione PHP 3
evaluatePreconfiguredExpr('php-v33-stable')
In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità dell'insieme di regole, Google Cloud Armor valuta tutte le firme.
La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola preconfigurata di fissazione della sessione.
CRS 3.3
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030301-id943100-sessionfixation
1
Possibile attacco di fissazione della sessione: impostazione dei valori dei cookie in HTML
owasp-crs-v030301-id943110-sessionfixation
1
Possibile attacco di fissazione della sessione: nome del parametro SessionID con referer fuori dal dominio
owasp-crs-v030301-id943120-sessionfixation
1
Possibile attacco di fissazione della sessione: nome del parametro SessionID senza referer
CRS 3.0
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030001-id943100-sessionfixation
1
Possibile attacco di fissazione della sessione: impostazione dei valori dei cookie in HTML
owasp-crs-v030001-id943110-sessionfixation
1
Possibile attacco di fissazione della sessione: nome del parametro SessionID con referer fuori dal dominio
owasp-crs-v030001-id943120-sessionfixation
1
Possibile attacco di fissazione della sessione: nome del parametro SessionID senza referer
Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disattivare le firme a livelli di sensibilità superiori. Tutte le firme per la fissazione della sessione sono a livello di sensibilità 1. La seguente configurazione è valida per tutti i livelli di sensibilità:
Livello di sensibilità della fissazione della sessione 1
In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Tutte le firme per la fissazione della sessione sono a livello di sensibilità 1. La seguente configurazione è valida per tutti i livelli di sensibilità:
La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola preconfigurata per gli attacchi Java.
CRS 3.3
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030301-id944100-java
1
Esecuzione di comandi remoti: rilevata classe Java sospetta
owasp-crs-v030301-id944110-java
1
Esecuzione di comandi remoti: creazione di processi Java (CVE-2017-9805)
owasp-crs-v030301-id944120-java
1
Esecuzione di comandi remoti: serializzazione Java (CVE-2015-4852)
owasp-crs-v030301-id944130-java
1
Rilevata classe Java sospetta
owasp-crs-v030301-id944200-java
2
Byte magici rilevati, probabile serializzazione Java in uso
owasp-crs-v030301-id944210-java
2
Sono stati rilevati byte magici con codifica Base64, probabile serializzazione Java in uso
owasp-crs-v030301-id944240-java
2
Esecuzione di comandi remoti: serializzazione Java (CVE-2015-4852)
owasp-crs-v030301-id944250-java
2
Esecuzione di comandi remoti: rilevato metodo Java sospetto
owasp-crs-v030301-id944300-java
3
La stringa con codifica Base64 corrisponde alla parola chiave sospetta
CRS 3.0
ID firma (ID regola)
Livello di sensibilità
Descrizione
Not included
1
Esecuzione di comandi remoti: rilevata classe Java sospetta
Not included
1
Esecuzione di comandi remoti: creazione di processi Java (CVE-2017-9805)
Not included
1
Esecuzione di comandi remoti: serializzazione Java (CVE-2015-4852)
Not included
1
Rilevata classe Java sospetta
Not included
2
Byte magici rilevati, probabile serializzazione Java in uso
Not included
2
Sono stati rilevati byte magici con codifica Base64, probabile serializzazione Java in uso
Not included
2
Esecuzione di comandi remoti: serializzazione Java (CVE-2015-4852)
Not included
2
Esecuzione di comandi remoti: rilevato metodo Java sospetto
Not included
3
La stringa con codifica Base64 corrisponde alla parola chiave sospetta
Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disattivare le firme a livelli di sensibilità superiori.
In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità dell'insieme di regole, Google Cloud Armor valuta tutte le firme.
La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola preconfigurata per gli attacchi NodeJS.
Le seguenti firme delle regole WAF preconfigurate sono incluse solo in CRS
3.3.
CRS 3.3
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030301-id934100-nodejs
1
Attacco di inserimento di Node.js
CRS 3.0
ID firma (ID regola)
Livello di sensibilità
Descrizione
Not included
1
Attacco di inserimento di Node.js
Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disattivare le firme a livelli di sensibilità superiori. Tutte le firme per l'attacco NodeJS sono a livello di sensibilità 1. La
seguente configurazione funziona per altri livelli di sensibilità:
Livello di sensibilità Node.js 1
evaluatePreconfiguredExpr('nodejs-v33-stable')
In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Tutte le firme per gli attacchi NodeJS sono a livello di sensibilità 1. La seguente configurazione è valida per altri livelli di sensibilità:
La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola preconfigurata per la vulnerabilità RCE di Log4j CVE.
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030001-id044228-cve
1
Regola di base per rilevare i tentativi di exploit di CVE-2021-44228
& CVE-2021-45046
owasp-crs-v030001-id144228-cve
1
Miglioramenti forniti da Google per coprire più tentativi di bypass e offuscamento
owasp-crs-v030001-id244228-cve
3
Maggiore sensibilità del rilevamento per scegliere come target un numero ancora maggiore di tentativi di aggiramento e offuscamento, con un aumento nominale del rischio di rilevamento di falsi positivi
owasp-crs-v030001-id344228-cve
3
Maggiore sensibilità del rilevamento per scegliere come target un numero ancora maggiore di tentativi di bypass e offuscamento mediante la codifica base64, con un aumento nominale del rischio di rilevamento di falsi positivi
Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disattivare le firme a livelli di sensibilità superiori.
In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità dell'insieme di regole, Google Cloud Armor valuta tutte le firme.
La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione della firma supportata
942550-sqli,
che copre la vulnerabilità in cui gli utenti malintenzionati possono
aggirare il WAF aggiungendo la sintassi JSON ai payload di SQL injection.
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-id942550-sqli
2
Rileva tutti i vettori di SQLi basati su JSON, incluse le firme SQLi
trovate nell'URL
Utilizza la seguente espressione per eseguire il deployment della firma:
Ti consigliamo di attivare anche sqli-v33-stable
a livello di sensibilità 2 per risolvere completamente i aggiramenti di SQL injection basati su JSON.
Limitazioni
Le regole WAF preconfigurate di Google Cloud Armor presentano le seguenti limitazioni:
In genere, la propagazione delle modifiche alle regole WAF richiede diversi minuti.
Tra i tipi di richieste HTTP con un corpo della richiesta, Google Cloud Armor
elabora solo le richieste POST. Google Cloud Armor valuta le regole preconfigurate in base ai primi 8 KB dei contenuti del corpo di POST. Per ulteriori informazioni, consulta la limitazione relativa all'ispezione del corpo POST.
Google Cloud Armor può analizzare e applicare regole WAF preconfigurate quando l'analisi di JSON è abilitata con un valore dell'intestazione Content-Type corrispondente. Per ulteriori informazioni, consulta la sezione Analisi del JSON.
Quando hai un'esclusione del campo della richiesta associata a una regola WAF preconfigurata, non puoi usare l'azione allow. Le richieste corrispondenti all'eccezione sono consentite automaticamente.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Hard to understand","hardToUnderstand","thumb-down"],["Incorrect information or sample code","incorrectInformationOrSampleCode","thumb-down"],["Missing the information/samples I need","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2024-12-21 UTC."],[],[]]