Panoramica delle regole WAF preconfigurate di Google Cloud Armor

Le regole WAF preconfigurate di Google Cloud Armor sono regole WAF (Web Application Firewall) complesse con decine di firme compilate a partire da standard di settore open source. Ogni firma corrisponde a un rilevamento di attacco nel set di regole. Google offre queste regole così come sono. Le regole consentono Google Cloud Armor per valutare decine di firme di traffico distinte fare riferimento a regole con nome pratico invece di dover definire manualmente ciascuna firma.

Le regole WAF preconfigurate di Google Cloud Armor possono essere ottimizzate per soddisfare al meglio le tue esigenze. Per ulteriori informazioni su come ottimizzare le regole, consulta Ottimizzare le regole WAF preconfigurate di Google Cloud Armor.

La tabella seguente contiene un elenco completo di regole WAF preconfigurate disponibili per l'uso in un criterio di sicurezza di Google Cloud Armor. Le origini delle regole sono ModSecurity Core Rule Set (CRS) 3.0 e CRS 3.3.2. Ti consigliamo di usare la versione 3.3 per una maggiore sensibilità e per una una maggiore varietà di tipi di attacchi protetti. Il supporto di CRS 3.0 è in corso.

RP 3.3

Nome regola Google Cloud Armor Nome della regola ModSecurity Stato corrente
SQL injection sqli-v33-stable Sincronizzato con sqli-v33-canary
sqli-v33-canary Più recenti
Cross-site scripting (XSS) xss-v33-stable Sincronizzata con xss-v33-canary
xss-v33-canary Più recenti
Inclusione di file locali lfi-v33-stable Sincronizzato con lfi-v33-canary
lfi-v33-canary Più recenti
Inclusione remota dei file rfi-v33-stable Sincronizzata con rfi-v33-canary
rfi-v33-canary Più recenti
Esecuzione di codice da remoto rce-v33-stable Sincronizzata con rce-v33-canary
rce-v33-canary Più recenti
Applicazione del metodo methodenforcement-v33-stable Sincronizzata con methodenforcement-v33-canary
methodenforcement-v33-canary Più recenti
Rilevamento scanner scannerdetection-v33-stable Sincronizzata con scannerdetection-v33-canary
scannerdetection-v33-canary Più recenti
Attacco al protocollo protocolattack-v33-stable Sincronizzata con protocolattack-v33-canary
protocolattack-v33-canary Più recenti
Attacco PHP injection php-v33-stable Sincronizzato con php-v33-canary
php-v33-canary Più recenti
Attacco di fissazione della sessione sessionfixation-v33-stable Sincronizzato con sessionfixation-v33-canary
sessionfixation-v33-canary Più recenti
Attacco Java java-v33-stable Sincronizzata con java-v33-canary
java-v33-canary Più recenti
Attacco Node.js nodejs-v33-stable Sincronizzata con nodejs-v33-canary
nodejs-v33-canary Più recenti

RP 3.0

Nome regola Google Cloud Armor Nome della regola ModSecurity Stato corrente
SQL injection sqli-stable Sincronizzata con sqli-canary
sqli-canary Più recenti
Cross-site scripting (XSS) xss-stable Sincronizzata con xss-canary
xss-canary Più recenti
Inclusione locale di file lfi-stable Sincronizzato con lfi-canary
lfi-canary Più recenti
Inclusione di file remoti rfi-stable Sincronizzata con rfi-canary
rfi-canary Più recenti
Esecuzione di codice da remoto rce-stable Sincronizzata con rce-canary
rce-canary Più recenti
Applicazione del metodo methodenforcement-stable Sincronizzata con methodenforcement-canary
methodenforcement-canary Più recenti
Rilevamento dello scanner scannerdetection-stable Sincronizzato con scannerdetection-canary
scannerdetection-canary Più recenti
Attacco di protocollo protocolattack-stable Sincronizzato con protocolattack-canary
protocolattack-canary Più recenti
Attacco con iniezione di codice PHP php-stable Sincronizzata con php-canary
php-canary Più recenti
Attacco di fissazione della sessione sessionfixation-stable Sincronizzata con sessionfixation-canary
sessionfixation-canary Più recenti
Attacco Java Not included
Attacco NodeJS Not included

Inoltre, le seguenti regole di cve-canary sono disponibili per tutti I clienti di Google Cloud Armor possono contribuire a rilevare e, facoltativamente, bloccare le seguenti vulnerabilità:

  • Vulnerabilità RCE di Log4j CVE-2021-44228 e CVE-2021-45046
  • 942550-sqli Vulnerabilità dei contenuti in formato JSON
Nome regola Google Cloud Armor Tipi di vulnerabilità coperti
cve-canary Vulnerabilità Log4j
json-sqli-canary Vulnerabilità di bypass di SQL injection basata su JSON

Regole ModSecurity preconfigurate

Ogni regola WAF preconfigurata ha un livello di sensibilità che corrisponde a un ModSecurity a livello di paranoia. Un livello di sensibilità più basso indica una firma di confidenza più alta, che è minore. che genererà un falso positivo. Un livello di sensibilità più elevato aumenta la sicurezza, ma aumenta anche il rischio di generare un falso positivo.

SQL injection (SQLi)

La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola WAF preconfigurata per le SQLi.

CRS 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id942100-sqli 1 Azione di SQL injection rilevata tramite libinjection
owasp-crs-v030301-id942140-sqli 1 Attacco di SQL injection: sono stati rilevati nomi di database comuni
owasp-crs-v030301-id942160-sqli 1 Rileva i test SQLi ciechi che utilizzano sleep() o benchmark()
owasp-crs-v030301-id942170-sqli 1 Rileva i tentativi di SQL benchmark e sleep injection, incluse le query condizionali
owasp-crs-v030301-id942190-sqli 1 Rileva l'esecuzione di codice MSSQL e i tentativi di raccolta di informazioni
owasp-crs-v030301-id942220-sqli 1 Cerca attacchi di overflow di numeri interi
owasp-crs-v030301-id942230-sqli 1 Rileva i tentativi di SQL injection condizionale
owasp-crs-v030301-id942240-sqli 1 Rileva il cambio del set di caratteri MySQL e i tentativi DoS MSSQL
owasp-crs-v030301-id942250-sqli 1 Rileva MATCH AGAINST
owasp-crs-v030301-id942270-sqli 1 Cerca SQL injection di base; stringa di attacco comune per MySQL
owasp-crs-v030301-id942280-sqli 1 Rileva l'inserimento pg_sleep di Postgres
owasp-crs-v030301-id942290-sqli 1 Trova i tentativi di SQL injection di MongoDB di base
owasp-crs-v030301-id942320-sqli 1 Rileva le stored procedure/iniezioni di funzioni MySQL e PostgreSQL
owasp-crs-v030301-id942350-sqli 1 Rileva l'iniezione di funzioni definite dall'utente di MySQL e altri tentativi di manipolazione di dati/strutture
owasp-crs-v030301-id942360-sqli 1 Rileva i tentativi concatenati di SQL injection di base e SQLLFI
owasp-crs-v030301-id942500-sqli 1 È stato rilevato un commento in linea MySQL
owasp-crs-v030301-id942110-sqli 2 Attacco SQL injection: sono stati rilevati test di iniezione comuni
owasp-crs-v030301-id942120-sqli 2 Attacco SQL injection: operatore SQL rilevato
owasp-crs-v030301-id942130-sqli 2 Azione di SQL injection: rilevata tautologia SQL
owasp-crs-v030301-id942150-sqli 2 Attacco SQL injection
owasp-crs-v030301-id942180-sqli 2 Rileva i tentativi di bypass dell'autenticazione SQL di base 1/3
owasp-crs-v030301-id942200-sqli 2 Rileva le iniezioni di commenti/spazi offuscati e l'accento grave di MySQL recesso
owasp-crs-v030301-id942210-sqli 2 Rileva i tentativi di SQL injection concatenati 1/2
owasp-crs-v030301-id942260-sqli 2 Rileva i tentativi di bypass base dell'autenticazione SQL 2/3
owasp-crs-v030301-id942300-sqli 2 Rileva i commenti MySQL
owasp-crs-v030301-id942310-sqli 2 Rileva i tentativi di SQL injection concatenati 2/2
owasp-crs-v030301-id942330-sqli 2 Rileva i sondaggi di SQL injection classici 1/2
owasp-crs-v030301-id942340-sqli 2 Rileva i tentativi di bypass dell'autenticazione SQL di base 3/3
owasp-crs-v030301-id942361-sqli 2 Rileva SQL injection di base in base alla parola chiave alter o union
owasp-crs-v030301-id942370-sqli 2 Rileva i probe di tempo classici della SQL injection 2/3
owasp-crs-v030301-id942380-sqli 2 Attacco SQL injection
owasp-crs-v030301-id942390-sqli 2 Attacco SQL injection
owasp-crs-v030301-id942400-sqli 2 Attacco SQL injection
owasp-crs-v030301-id942410-sqli 2 Attacco SQL injection
owasp-crs-v030301-id942470-sqli 2 Attacco SQL injection
owasp-crs-v030301-id942480-sqli 2 Attacco SQL injection
owasp-crs-v030301-id942430-sqli 2 Rilevamento di anomalie dei caratteri SQL con limitazioni (args): numero di caratteri speciali superato (12)
owasp-crs-v030301-id942440-sqli 2 Sequenza di commenti SQL rilevata
owasp-crs-v030301-id942450-sqli 2 Codifica esadecimale SQL identificata
owasp-crs-v030301-id942510-sqli 2 Rilevamento di un tentativo di bypass di SQLi tramite tick o backtick
owasp-crs-v030301-id942251-sqli 3 Rileva INSERIMENTO INiezioni
owasp-crs-v030301-id942490-sqli 3 Rileva i probe di tempo classici della SQL injection 3/3
owasp-crs-v030301-id942420-sqli 3 Rilevamento limitato di anomalie dei caratteri SQL (cookie): n. di speciali caratteri superati (8)
owasp-crs-v030301-id942431-sqli 3 Rilevamento limitato di anomalie SQL Character Anomaly (argomenti): n. di speciali caratteri superati (6)
owasp-crs-v030301-id942460-sqli 3 Avviso di rilevamento di anomalie relative ai metacaratteri - Non parola ripetitiva Caratteri
owasp-crs-v030301-id942101-sqli 3 Attacco SQL injection rilevato tramite libinjection
owasp-crs-v030301-id942511-sqli 3 Tentativo di bypass SQLi rilevato da segni di graduazione
owasp-crs-v030301-id942421-sqli 4 Rilevamento limitato di anomalie dei caratteri SQL (cookie): n. di speciali caratteri superati (3)
owasp-crs-v030301-id942432-sqli 4 Rilevamento limitato di anomalie SQL Character Anomaly (argomenti): n. di speciali caratteri superati (2)

CRS 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
Not included 1 Azione di SQL injection rilevata tramite libinjection
owasp-crs-v030001-id942140-sqli 1 Attacco di SQL injection: sono stati rilevati nomi di database comuni
owasp-crs-v030001-id942160-sqli 1 Rileva i test SQLi ciechi che utilizzano sleep() o benchmark()
owasp-crs-v030001-id942170-sqli 1 Rileva i tentativi di SQL benchmark e sleep injection, incluse le query condizionali
owasp-crs-v030001-id942190-sqli 1 Rileva l'esecuzione di codice MSSQL e i tentativi di raccolta di informazioni
owasp-crs-v030001-id942220-sqli 1 Cerca attacchi di overflow di numeri interi
owasp-crs-v030001-id942230-sqli 1 Rileva i tentativi di SQL injection condizionale
owasp-crs-v030001-id942240-sqli 1 Rileva il cambio del set di caratteri MySQL e i tentativi DoS MSSQL
owasp-crs-v030001-id942250-sqli 1 Rileva MATCH AGAINST
owasp-crs-v030001-id942270-sqli 1 Cerca SQL injection di base; stringa di attacco comune per MySQL
owasp-crs-v030001-id942280-sqli 1 Rileva l'inserimento pg_sleep di Postgres
owasp-crs-v030001-id942290-sqli 1 Trova i tentativi di SQL injection di MongoDB di base
owasp-crs-v030001-id942320-sqli 1 Rileva le stored procedure/iniezioni di funzioni MySQL e PostgreSQL
owasp-crs-v030001-id942350-sqli 1 Rileva l'iniezione di funzioni definite dall'utente di MySQL e altri tentativi di manipolazione di dati/strutture
owasp-crs-v030001-id942360-sqli 1 Rileva i tentativi concatenati di SQL injection di base e SQLLFI
Not included 1 È stato rilevato un commento in linea MySQL
owasp-crs-v030001-id942110-sqli 2 Attacco SQL injection: sono stati rilevati test di iniezione comuni
owasp-crs-v030001-id942120-sqli 2 Attacco SQL injection: operatore SQL rilevato
Not included 2 Azione di SQL injection: rilevata tautologia SQL
owasp-crs-v030001-id942150-sqli 2 Attacco SQL injection
owasp-crs-v030001-id942180-sqli 2 Rileva i tentativi di bypass dell'autenticazione SQL di base 1/3
owasp-crs-v030001-id942200-sqli 2 Rileva le iniezioni di commenti/spazi offuscati e l'accento grave di MySQL recesso
owasp-crs-v030001-id942210-sqli 2 Rileva i tentativi di SQL injection concatenati 1/2
owasp-crs-v030001-id942260-sqli 2 Rileva i tentativi di bypass base dell'autenticazione SQL 2/3
owasp-crs-v030001-id942300-sqli 2 Rileva i commenti MySQL
owasp-crs-v030001-id942310-sqli 2 Rileva i tentativi di SQL injection concatenati 2/2
owasp-crs-v030001-id942330-sqli 2 Rileva i sondaggi di SQL injection classici 1/2
owasp-crs-v030001-id942340-sqli 2 Rileva i tentativi di bypass dell'autenticazione SQL di base 3/3
Not included 2 Rileva SQL injection di base in base alla parola chiave alter o union
Not included 2 Rileva i probe di tempo classici della SQL injection 2/3
owasp-crs-v030001-id942380-sqli 2 Attacco SQL injection
owasp-crs-v030001-id942390-sqli 2 Attacco SQL injection
owasp-crs-v030001-id942400-sqli 2 Attacco SQL injection
owasp-crs-v030001-id942410-sqli 2 Attacco SQL injection
Not included 2 Attacco SQL injection
Not included 2 Attacco SQL injection
owasp-crs-v030001-id942430-sqli 2 Rilevamento di anomalie dei caratteri SQL con limitazioni (args): numero di caratteri speciali superato (12)
owasp-crs-v030001-id942440-sqli 2 Sequenza di commenti SQL rilevata
owasp-crs-v030001-id942450-sqli 2 Codifica esadecimale SQL identificata
Not included 2 Rilevamento di un tentativo di bypass di SQLi tramite tick o backtick
owasp-crs-v030001-id942251-sqli 3 Rileva INSERIMENTO INiezioni
Not included 2 Rileva i probe di tempo classici della SQL injection 3/3
owasp-crs-v030001-id942420-sqli 3 Rilevamento limitato di anomalie dei caratteri SQL (cookie): n. di speciali caratteri superati (8)
owasp-crs-v030001-id942431-sqli 3 Rilevamento limitato di anomalie SQL Character Anomaly (argomenti): n. di speciali caratteri superati (6)
owasp-crs-v030001-id942460-sqli 3 Avviso di rilevamento di anomalie relative ai metacaratteri - Non parola ripetitiva Caratteri
Not included 3 Attacco SQL injection rilevato tramite libinjection
Not included 3 Tentativo di bypass SQLi rilevato da segni di graduazione
owasp-crs-v030001-id942421-sqli 4 Rilevamento limitato di anomalie dei caratteri SQL (cookie): n. di speciali caratteri superati (3)
owasp-crs-v030001-id942432-sqli 4 Rilevamento limitato di anomalie SQL Character Anomaly (argomenti): n. di speciali caratteri superati (2)

Puoi configurare una regola a un determinato livello di sensibilità utilizzo di evaluatePreconfiguredExpr() per disattivare le firme con maggiore sensibilità diversi.

Livello di sensibilità SQLi 1 

evaluatePreconfiguredExpr('sqli-v33-stable',
['owasp-crs-v030301-id942110-sqli',
  'owasp-crs-v030301-id942120-sqli',
  'owasp-crs-v030301-id942130-sqli',
  'owasp-crs-v030301-id942150-sqli',
  'owasp-crs-v030301-id942180-sqli',
  'owasp-crs-v030301-id942200-sqli',
  'owasp-crs-v030301-id942210-sqli',
  'owasp-crs-v030301-id942260-sqli',
  'owasp-crs-v030301-id942300-sqli',
  'owasp-crs-v030301-id942310-sqli',
  'owasp-crs-v030301-id942330-sqli',
  'owasp-crs-v030301-id942340-sqli',
  'owasp-crs-v030301-id942361-sqli',
  'owasp-crs-v030301-id942370-sqli',
  'owasp-crs-v030301-id942380-sqli',
  'owasp-crs-v030301-id942390-sqli',
  'owasp-crs-v030301-id942400-sqli',
  'owasp-crs-v030301-id942410-sqli',
  'owasp-crs-v030301-id942470-sqli',
  'owasp-crs-v030301-id942480-sqli',
  'owasp-crs-v030301-id942430-sqli',
  'owasp-crs-v030301-id942440-sqli',
  'owasp-crs-v030301-id942450-sqli',
  'owasp-crs-v030301-id942510-sqli',
  'owasp-crs-v030301-id942251-sqli',
  'owasp-crs-v030301-id942490-sqli',
  'owasp-crs-v030301-id942420-sqli',
  'owasp-crs-v030301-id942431-sqli',
  'owasp-crs-v030301-id942460-sqli',
  'owasp-crs-v030301-id942101-sqli',
  'owasp-crs-v030301-id942511-sqli',
  'owasp-crs-v030301-id942421-sqli',
  'owasp-crs-v030301-id942432-sqli']
)
Livello di sensibilità SQLi 2 

evaluatePreconfiguredExpr('sqli-v33-stable',
 ['owasp-crs-v030301-id942251-sqli',
  'owasp-crs-v030301-id942490-sqli',
  'owasp-crs-v030301-id942420-sqli',
  'owasp-crs-v030301-id942431-sqli',
  'owasp-crs-v030301-id942460-sqli',
  'owasp-crs-v030301-id942101-sqli',
  'owasp-crs-v030301-id942511-sqli',
  'owasp-crs-v030301-id942421-sqli',
  'owasp-crs-v030301-id942432-sqli']
)
Livello di sensibilità SQLi 3 

evaluatePreconfiguredExpr('sqli-v33-stable',
        ['owasp-crs-v030301-id942421-sqli',
         'owasp-crs-v030301-id942432-sqli']
         )
Livello di sensibilità SQLi 4 

evaluatePreconfiguredExpr('sqli-v33-stable')

In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Di predefinita, senza configurare la sensibilità del set di regole, Google Cloud Armor valuta tutte le firme.

RP 3.3

Livello di sensibilità Espressione
1 AssessmentPreconfiguratoWaf('sqli-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 3})
4 AssessmentPreconfiguratoWaf('sqli-v33-stable', {'sensitivity': 4})

RP 3.0

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 1})
2 computePreconfiguratoWaf('sqli-stable', {'sensitivity': 2})
3 AssessmentPreconfiguratoWaf('sqli-stable', {'sensitivity': 3})
4 computePreconfiguratoWaf('sqli-stable', {'sensitivity': 4})

Cross-site scripting (XSS)

La tabella seguente fornisce l'ID firma, il livello di sensibilità e descrizione di ogni firma supportata nella regola WAF preconfigurata XSS.

CRS 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id941100-xss 1 Azione XSS rilevata tramite libinjection
owasp-crs-v030301-id941110-xss 1 Filtro XSS - Categoria 1: vettore tag script
owasp-crs-v030301-id941120-xss 1 Filtro XSS - Categoria 2: vettore gestore eventi
owasp-crs-v030301-id941130-xss 1 Filtro XSS - Categoria 3: Vettore attributo
owasp-crs-v030301-id941140-xss 1 Filtro XSS - Categoria 4: vettore URI JavaScript
owasp-crs-v030301-id941160-xss 1 NoScript XSS InjectionChecker: HTML Injection (Iniezione HTML)
owasp-crs-v030301-id941170-xss 1 NoScript XSS InjectionChecker: Attribute Injection (Iniezione di attributi)
owasp-crs-v030301-id941180-xss 1 Parole chiave liste nere di Node-Validator
owasp-crs-v030301-id941190-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030301-id941200-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030301-id941210-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030301-id941220-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030301-id941230-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030301-id941240-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030301-id941250-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030301-id941260-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030301-id941270-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030301-id941280-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030301-id941290-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030301-id941300-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030301-id941310-xss 1 Filtro XSS per codifica US-ASCII non corretta: attacco rilevato
owasp-crs-v030301-id941350-xss 1 XSS in IE con codifica UTF-7 - Attacco rilevato
owasp-crs-v030301-id941360-xss 1 È stato rilevato un offuscamento geroglifico
owasp-crs-v030301-id941370-xss 1 Variabile globale JavaScript trovata
owasp-crs-v030301-id941101-xss 2 Azione XSS rilevata tramite libinjection
owasp-crs-v030301-id941150-xss 2 Filtro XSS - Categoria 5: attributi HTML non consentiti
owasp-crs-v030301-id941320-xss 2 Possibile attacco XSS rilevato - Gestitore dei tag HTML
owasp-crs-v030301-id941330-xss 2 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030301-id941340-xss 2 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030301-id941380-xss 2 Inserimento del modello lato client AngularJS rilevato

CRS 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
Not included 1 Azione XSS rilevata tramite libinjection
owasp-crs-v030001-id941110-xss 1 Filtro XSS - Categoria 1: vettore tag script
owasp-crs-v030001-id941120-xss 1 Filtro XSS - Categoria 2: vettore gestore eventi
owasp-crs-v030001-id941130-xss 1 Filtro XSS - Categoria 3: Vettore attributo
owasp-crs-v030001-id941140-xss 1 Filtro XSS - Categoria 4: vettore URI JavaScript
owasp-crs-v030001-id941160-xss 1 NoScript XSS InjectionChecker: HTML Injection (Iniezione HTML)
owasp-crs-v030001-id941170-xss 1 NoScript XSS InjectionChecker: Attribute Injection (Iniezione di attributi)
owasp-crs-v030001-id941180-xss 1 Parole chiave liste nere di Node-Validator
owasp-crs-v030001-id941190-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030001-id941200-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030001-id941210-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030001-id941220-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030001-id941230-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030001-id941240-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030001-id941250-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030001-id941260-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030001-id941270-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030001-id941280-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030001-id941290-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030001-id941300-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030001-id941310-xss 1 Filtro XSS per codifica US-ASCII non corretta: attacco rilevato
owasp-crs-v030001-id941350-xss 1 XSS in IE con codifica UTF-7 - Attacco rilevato
Not included 1 È stato rilevato un offuscamento JSFuck / geroglifico
Not included 1 Variabile globale JavaScript trovata
Not included 2 Azione XSS rilevata tramite libinjection
owasp-crs-v030001-id941150-xss 2 Filtro XSS - Categoria 5: attributi HTML non consentiti
owasp-crs-v030001-id941320-xss 2 Possibile attacco XSS rilevato - Gestitore dei tag HTML
owasp-crs-v030001-id941330-xss 2 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030001-id941340-xss 2 Filtri XSS di IE - Attacco rilevato
Not included 2 Inserimento del modello lato client AngularJS rilevato

Puoi configurare una regola a un determinato livello di sensibilità utilizzo di evaluatePreconfiguredExpr() per disattivare le firme con maggiore sensibilità diversi.

Livello di sensibilità XSS 1 

evaluatePreconfiguredExpr('xss-v33-stable',
['owasp-crs-v030301-id941101-xss',
  'owasp-crs-v030301-id941150-xss',
  'owasp-crs-v030301-id941320-xss',
  'owasp-crs-v030301-id941330-xss',
  'owasp-crs-v030301-id941340-xss',
  'owasp-crs-v030301-id941380-xss'
])


Tutte le firme per l'XSS sono al di sotto del livello di sensibilità 2. La seguente configurazione è valida per altri livelli di sensibilità:

Livello di sensibilità XSS 2 

evaluatePreconfiguredExpr('xss-v33-stable')

In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Di predefinita, senza configurare la sensibilità del set di regole, Google Cloud Armor valuta tutte le firme.

RP 3.3

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('xss-v33-stable', {'sensitivity': 1})
2 computePreconfiguratoWaf('xss-v33-stable', {'sensitivity': 2})

CRS 3.0

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('xss-stable', {'sensitivity': 1})

Inclusione locale di file (LFI)

La tabella seguente fornisce l'ID firma, il livello di sensibilità e descrizione di ciascuna firma supportata nella regola WAF preconfigurata LFI.

RP 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id930100-lfi 1 Attacco path traversal (/../)
owasp-crs-v030301-id930110-lfi 1 Attacco path traversal (/../)
owasp-crs-v030301-id930120-lfi 1 Tentativo di accesso ai file del sistema operativo
owasp-crs-v030301-id930130-lfi 1 Tentativo di accesso ai file limitato

RP 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id930100-lfi 1 Attacco path traversal (/../)
owasp-crs-v030001-id930110-lfi 1 Attacco path traversal (/../)
owasp-crs-v030001-id930120-lfi 1 Tentativo di accesso ai file del sistema operativo
owasp-crs-v030001-id930130-lfi 1 Tentativo di accesso ai file limitato

Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disattivare le firme a livelli di sensibilità superiori. Tutte le firme per gli indicatori di livello di rischio sono al livello di sensibilità 1. La seguente configurazione è valida per tutti i livelli di sensibilità:

Livello di sensibilità LFI 1 

evaluatePreconfiguredExpr('lfi-v33-stable')

In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Tutte le firme per gli LFI sono a livello di sensibilità 1. La seguente configurazione funziona per tutti i livelli di sensibilità:

RP 3.3

Livello di sensibilità Espressione
1 computePreconfiguratoWaf('lfi-v33-stable', {'sensitivity': 1})

RP 3.0

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('lfi-stable', {'sensitivity': 1})

Esecuzione di codice remoto (RCE)

La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola WAF preconfigurata per gli attacchi di esecuzione di codice remoto (RCE).

CRS 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id932100-rce 1 Iniezione di comandi UNIX
owasp-crs-v030301-id932105-rce 1 Iniezione di comandi UNIX
owasp-crs-v030301-id932110-rce 1 Iniezione di comandi Windows
owasp-crs-v030301-id932115-rce 1 Iniezione di comandi Windows
owasp-crs-v030301-id932120-rce 1 Comando di Windows PowerShell trovato
owasp-crs-v030301-id932130-rce 1 Espressione della shell Unix trovata
owasp-crs-v030301-id932140-rce 1 Comando Windows FOR/IF trovato
owasp-crs-v030301-id932150-rce 1 Esecuzione diretta del comando UNIX
owasp-crs-v030301-id932160-rce 1 Codice shell UNIX trovato
owasp-crs-v030301-id932170-rce 1 Shellshock (CVE-2014-6271)
owasp-crs-v030301-id932171-rce 1 Shellshock (CVE-2014-6271)
owasp-crs-v030301-id932180-rce 1 Tentativo di caricamento file limitato
owasp-crs-v030301-id932200-rce 2 Tecnica di bypass RCE
owasp-crs-v030301-id932106-rce 3 Esecuzione comando remoto: aggiunta di comandi Unix
owasp-crs-v030301-id932190-rce 3 Esecuzione di comandi remoti: tentativo di tecnica di bypass dei caratteri jolly

RP 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id932100-rce 1 Iniezione di comandi UNIX
owasp-crs-v030001-id932105-rce 1 Iniezione di comandi UNIX
owasp-crs-v030001-id932110-rce 1 Iniezione di comandi Windows
owasp-crs-v030001-id932115-rce 1 Iniezione di comandi Windows
owasp-crs-v030001-id932120-rce 1 Comando di Windows PowerShell trovato
owasp-crs-v030001-id932130-rce 1 Espressione della shell Unix trovata
owasp-crs-v030001-id932140-rce 1 Comando Windows FOR/IF trovato
owasp-crs-v030001-id932150-rce 1 Esecuzione diretta del comando UNIX
owasp-crs-v030001-id932160-rce 1 Codice shell UNIX trovato
owasp-crs-v030001-id932170-rce 1 Shellshock (CVE-2014-6271)
owasp-crs-v030001-id932171-rce 1 Shellshock (CVE-2014-6271)
Not included 1 Tentativo di caricamento file limitato
Not included 2 Tecnica di bypass RCE
Not included 3 Esecuzione comando remoto: aggiunta di comandi Unix
Not included 3 Esecuzione di comandi remoti: tentativo di tecnica di bypass dei caratteri jolly

Puoi configurare una regola a un determinato livello di sensibilità utilizzo di evaluatePreconfiguredExpr() per disattivare le firme con maggiore sensibilità diversi. La seguente configurazione funziona per tutti i livelli di sensibilità:

Livello di sensibilità RCE 1 

evaluatePreconfiguredExpr('rce-v33-stable',
          ['owasp-crs-v030301-id932200-rce',
           'owasp-crs-v030301-id932106-rce',
           'owasp-crs-v030301-id932190-rce'])
Livello di sensibilità RCE 2 

evaluatePreconfiguredExpr('rce-v33-stable',
           [ 'owasp-crs-v030301-id932106-rce',
           'owasp-crs-v030301-id932190-rce'])
Livello di sensibilità RCE 3 

evaluatePreconfiguredExpr('rce-v33-stable')

In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Tutti le firme per RCE sono al livello di sensibilità 1. La seguente configurazione è valida per tutti i livelli di sensibilità:

RP 3.3

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 2})
3 AssessmentPreconfiguratoWaf('rce-v33-stable', {'sensitivity': 3})

RP 3.0

Livello di sensibilità Espressione
1 evaluatePreconfigureWaf('rce-stable', {'sensitivity': 1})
2 computePreconfiguratoWaf('rce-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 3})

Inclusione di file remoti (RFI)

La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola WAF preconfigurata per le richieste di informazioni.

RP 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id931100-rfi 1 Parametro URL utilizzando l'indirizzo IP
owasp-crs-v030301-id931110-rfi 1 Nome del parametro vulnerabile RFI comune utilizzato con il payload dell'URL
owasp-crs-v030301-id931120-rfi 1 Payload dell'URL utilizzato con carattere punto interrogativo finale (?)
owasp-crs-v030301-id931130-rfi 2 Riferimento/link esterno al dominio

RP 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id931100-rfi 1 Parametro URL utilizzando l'indirizzo IP
owasp-crs-v030001-id931110-rfi 1 Nome del parametro vulnerabile RFI comune utilizzato con il payload dell'URL
owasp-crs-v030001-id931120-rfi 1 Payload dell'URL utilizzato con carattere punto interrogativo finale (?)
owasp-crs-v030001-id931130-rfi 2 Riferimento/link esterno al dominio

Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disattivare le firme a livelli di sensibilità superiori.

Livello di sensibilità RFI 1 

evaluatePreconfiguredExpr('rfi-v33-stable', ['owasp-crs-v030301-id931130-rfi'])

Tutte le firme per le RFI sono al di sotto del livello di sensibilità 2. Le seguenti la configurazione funziona per altri livelli di sensibilità:

Livello di sensibilità RFI 2 

evaluatePreconfiguredExpr('rfi-v33-stable')

In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità dell'insieme di regole, Google Cloud Armor valuta tutte le firme.

RP 3.3

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('rfi-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('rfi-v33-stable', {'sensitivity': 2})

CRS 3.0

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('rfi-stable', {'sensitivity': 1})
2 AssessmentPreconfigureWaf('rfi-stable', {'sensitivity': 2})

Applicazione del metodo

La tabella seguente fornisce l'ID firma, il livello di sensibilità e descrizione di ogni firma supportata nell'applicazione del metodo preconfigurata personalizzata.

RP 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id911100-methodenforcement 1 Il metodo non è consentito dai criteri

RP 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id911100-methodenforcement 1 Metodo non consentito dalle norme

Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disattivare le firme a livelli di sensibilità superiori. Tutte le firme per l'applicazione del metodo sono a livello di sensibilità 1. La seguente configurazione funziona per altri livelli di sensibilità:

Livello di sensibilità dell'applicazione del metodo 1 

evaluatePreconfiguredExpr('methodenforcement-v33-stable')

In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità dell'insieme di regole, Google Cloud Armor valuta tutte le firme.

RP 3.3

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('methodenforcement-v33-stable', {'sensitivity': 1})

CRS 3.0

Livello di sensibilità Espressione
1 computePreconfigureWaf('methodenforcement-stable', {'sensitivity': 1})

Rilevamento scanner

La tabella seguente fornisce l'ID firma, il livello di sensibilità e descrizione di ogni firma supportata nel rilevamento dello scanner preconfigurata personalizzata.

RP 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id913100-scannerdetection 1 User agent trovato associato a Security Scanner
owasp-crs-v030301-id913110-scannerdetection 1 Trovata intestazione della richiesta associata allo scanner di sicurezza
owasp-crs-v030301-id913120-scannerdetection 1 Trovato nome file/argomento della richiesta associato allo scanner di sicurezza
owasp-crs-v030301-id913101-scannerdetection 2 È stato trovato lo user agent associato al client HTTP generico/di scripting
owasp-crs-v030301-id913102-scannerdetection 2 User-Agent trovato associato a crawler/bot web

CRS 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id913100-scannerdetection 1 User agent trovato associato a Security Scanner
owasp-crs-v030001-id913110-scannerdetection 1 Trovata intestazione della richiesta associata allo scanner di sicurezza
owasp-crs-v030001-id913120-scannerdetection 1 Trovato nome file/argomento della richiesta associato allo scanner di sicurezza
owasp-crs-v030001-id913101-scannerdetection 2 È stato trovato lo user agent associato al client HTTP generico/di scripting
owasp-crs-v030001-id913102-scannerdetection 2 User-agent trovato associato a web crawler/bot

Puoi configurare una regola a un determinato livello di sensibilità utilizzo di evaluatePreconfiguredExpr() per disattivare le firme con maggiore sensibilità diversi.

Livello di sensibilità del rilevamento dello scanner 1 

evaluatePreconfiguredExpr('scannerdetection-v33-stable',
  ['owasp-crs-v030301-id913101-scannerdetection',
  'owasp-crs-v030301-id913102-scannerdetection']
)
Sensibilità di rilevamento scanner livello 2 

evaluatePreconfiguredExpr('scannerdetection-v33-stable')

In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità dell'insieme di regole, Google Cloud Armor valuta tutte le firme.

RP 3.3

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('scannerdetection-v33-stable', {'sensitivity': 1})
2 computePreconfigureWaf('scannerdetection-v33-stable', {'sensitivity': 2})

CRS 3.0

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('scannerdetection-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('scannerdetection-stable', {'sensitivity': 2})

Attacco di protocollo

La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola preconfigurata per gli attacchi di protocollo.

RP 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
Not included 1 Attacco di contrabbando di richieste HTTP
owasp-crs-v030301-id921110-protocolattack 1 Attacco di contrabbando di richieste HTTP
owasp-crs-v030301-id921120-protocolattack 1 Ataque de fragmentación de la respuesta HTTP
owasp-crs-v030301-id921130-protocolattack 1 Ataque de fragmentación de la respuesta HTTP
owasp-crs-v030301-id921140-protocolattack 1 Attacco di inserimento di intestazioni HTTP tramite intestazioni
owasp-crs-v030301-id921150-protocolattack 1 Attacco HTTP Header Injection tramite payload (CR/LF rilevato)
owasp-crs-v030301-id921160-protocolattack 1 Attacco HTTP Header Injection tramite payload (CR/LF e nome dell’intestazione rilevati)
owasp-crs-v030301-id921190-protocolattack 1 Suddivisione HTTP (CR/LF nel nome file della richiesta rilevato)
owasp-crs-v030301-id921200-protocolattack 1 Attacco di iniezione LDAP
owasp-crs-v030301-id921151-protocolattack 2 Azione di attacco di iniezione di intestazioni HTTP tramite payload (rilevati CR/LF)
owasp-crs-v030301-id921170-protocolattack 3 Contaminazione dei parametri HTTP

RP 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id921100-protocolattack 1 Attacco di contrabbando di richieste HTTP
owasp-crs-v030001-id921110-protocolattack 1 Attacco di contrabbando di richieste HTTP
owasp-crs-v030001-id921120-protocolattack 1 Ataque de fragmentación de la respuesta HTTP
owasp-crs-v030001-id921130-protocolattack 1 Ataque de fragmentación de la respuesta HTTP
owasp-crs-v030001-id921140-protocolattack 1 Attacco di inserimento di intestazioni HTTP tramite intestazioni
owasp-crs-v030001-id921150-protocolattack 1 Attacco HTTP Header Injection tramite payload (CR/LF rilevato)
owasp-crs-v030001-id921160-protocolattack 1 Attacco HTTP Header Injection tramite payload (CR/LF e nome dell’intestazione rilevati)
Not included 1 Suddivisione HTTP (CR/LF nel nome file della richiesta rilevato)
Not included 1 Attacco di iniezione LDAP
owasp-crs-v030001-id921151-protocolattack 2 Azione di attacco di iniezione di intestazioni HTTP tramite payload (rilevati CR/LF)
owasp-crs-v030001-id921170-protocolattack 3 Contaminazione dei parametri HTTP

Puoi configurare una regola a un determinato livello di sensibilità utilizzo di evaluatePreconfiguredExpr() per disattivare le firme con maggiore sensibilità diversi.

Protocollo livello di sensibilità all’attacco 1 

evaluatePreconfiguredExpr('protocolattack-v33-stable',
  ['owasp-crs-v030301-id921151-protocolattack',
  'owasp-crs-v030301-id921170-protocolattack']
)
Livello di sensibilità all'attacco del protocollo 2 

evaluatePreconfiguredExpr('protocolattack-v33-stable',
  ['owasp-crs-v030301-id921170-protocolattack']
)
Protocollo livello di sensibilità all’attacco 3 

evaluatePreconfiguredExpr('protocolattack-v33-stable')

In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità dell'insieme di regole, Google Cloud Armor valuta tutte le firme.

RP 3.3

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 1})
2 AssessmentPreconfiguratoWaf('protocolattack-v33-stable', {'sensitivity': 2})
3 AssessmentPreconfiguratoWaf('protocolattack-v33-stable', {'sensitivity': 3})

RP 3.0

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 2})
3 AssessmentPreconfiguratoWaf('protocolattack-stable', {'sensitivity': 3})

PHP

La tabella seguente fornisce l'ID firma, il livello di sensibilità e descrizione di ogni firma supportata nella regola WAF preconfigurata in PHP.

RP 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id933100-php 1 Attacco PHP Injection: Trovato tag aperto PHP
owasp-crs-v030301-id933110-php 1 Attacco PHP Injection: Trovato caricamento file script PHP
owasp-crs-v030301-id933120-php 1 Attacco PHP Injection: Trovata direttiva sulla configurazione
owasp-crs-v030301-id933130-php 1 Aggressione con iniezione di codice PHP: variabili trovate
owasp-crs-v030301-id933140-php 1 Azione di attacco con iniezione di codice PHP: stream di I/O trovato
owasp-crs-v030301-id933200-php 1 Azione di attacco con iniezione di codice PHP: schema wrapper rilevato
owasp-crs-v030301-id933150-php 1 Attacco PHP Injection: nome di funzione PHP ad alto rischio trovato
owasp-crs-v030301-id933160-php 1 Attacco PHP Injection: è stata trovata una chiamata di funzione PHP ad alto rischio
owasp-crs-v030301-id933170-php 1 Azione di attacco con iniezione di codice PHP: iniezione di oggetti serializzati
owasp-crs-v030301-id933180-php 1 Azione di attacco di tipo PHP injection: chiamata di funzione variabile trovata
owasp-crs-v030301-id933210-php 1 Attacco PHP Injection: scoperta di una chiamata di funzione variabile
owasp-crs-v030301-id933151-php 2 Azione di attacco di inserimento di codice PHP: è stato rilevato un nome di funzione PHP a rischio medio
owasp-crs-v030301-id933131-php 3 Attacco PHP injection: variabili trovate
owasp-crs-v030301-id933161-php 3 Azione di attacco di inserimento di codice PHP: è stata trovata una chiamata di funzione PHP di basso valore
owasp-crs-v030301-id933111-php 3 Azione di attacco di iniezione PHP: caricamento di file di script PHP rilevato
owasp-crs-v030301-id933190-php 3 Attacco PHP Injection: Trovato tag di chiusura PHP

RP 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id933100-php 1 Attacco PHP Injection: Trovato tag aperto PHP
owasp-crs-v030001-id933110-php 1 Attacco PHP Injection: Trovato caricamento file script PHP
owasp-crs-v030001-id933120-php 1 Attacco PHP Injection: Trovata direttiva sulla configurazione
owasp-crs-v030001-id933130-php 1 Aggressione con iniezione di codice PHP: variabili trovate
owasp-crs-v030001-id933140-php 1 Azione di attacco con iniezione di codice PHP: stream di I/O trovato
Not included 1 Azione di attacco con iniezione di codice PHP: schema wrapper rilevato
owasp-crs-v030001-id933150-php 1 Attacco PHP Injection: nome di funzione PHP ad alto rischio trovato
owasp-crs-v030001-id933160-php 1 Attacco PHP Injection: è stata trovata una chiamata di funzione PHP ad alto rischio
owasp-crs-v030001-id933170-php 1 Azione di attacco con iniezione di codice PHP: iniezione di oggetti serializzati
owasp-crs-v030001-id933180-php 1 Azione di attacco di tipo PHP injection: chiamata di funzione variabile trovata
Not included 1 Attacco PHP Injection: scoperta di una chiamata di funzione variabile
owasp-crs-v030001-id933151-php 2 Azione di attacco di inserimento di codice PHP: è stato rilevato un nome di funzione PHP a rischio medio
owasp-crs-v030001-id933131-php 3 Attacco PHP injection: variabili trovate
owasp-crs-v030001-id933161-php 3 Azione di attacco di inserimento di codice PHP: è stata trovata una chiamata di funzione PHP di basso valore
owasp-crs-v030001-id933111-php 3 Azione di attacco di iniezione PHP: caricamento di file di script PHP rilevato
Not included 3 Azione di attacco con iniezione di codice PHP: tag di chiusura PHP trovato

Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disattivare le firme a livelli di sensibilità superiori.

Livello di sensibilità agli attacchi di attacco di iniezione PHP 1 

evaluatePreconfiguredExpr('php-v33-stable',
['owasp-crs-v030301-id933151-php',
  'owasp-crs-v030301-id933131-php',
  'owasp-crs-v030301-id933161-php',
  'owasp-crs-v030301-id933111-php',
  'owasp-crs-v030301-id933190-php']
)
Livello di sensibilità agli attacchi di attacco di iniezione PHP 2 

evaluatePreconfiguredExpr('php-v33-stable',
  ['owasp-crs-v0303001-id933131-php',
  'owasp-crs-v0303001-id933161-php',
  'owasp-crs-v0303001-id933111-php',
  'owasp-crs-v030301-id933190-php'])
Livello di sensibilità agli attacchi di attacco di iniezione PHP 3 

evaluatePreconfiguredExpr('php-v33-stable')

In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Di predefinita, senza configurare la sensibilità del set di regole, Google Cloud Armor valuta tutte le firme.

RP 3.3

Livello di sensibilità Espressione
1 computePreconfiguratoWaf('php-v33-stable', {'sensitivity': 1})
2 computePreconfiguratoWaf('php-v33-stable', {'sensitivity': 2})
3 computePreconfiguratoWaf('php-v33-stable', {'sensitivity': 3})

RP 3.0

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('php-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('php-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('php-stable', {'sensitivity': 3})

Fissaggio della sessione

La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola preconfigurata di fissazione della sessione.

CRS 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id943100-sessionfixation 1 Possibile attacco di correzione della sessione: impostazione dei valori dei cookie in HTML
owasp-crs-v030301-id943110-sessionfixation 1 Possibile attacco di fissazione della sessione: nome del parametro SessionID con referer fuori dal dominio
owasp-crs-v030301-id943120-sessionfixation 1 Possibile attacco di fissazione della sessione: nome del parametro SessionID senza referer

RP 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id943100-sessionfixation 1 Possibile attacco di correzione della sessione: impostazione dei valori dei cookie in HTML
owasp-crs-v030001-id943110-sessionfixation 1 Possibile attacco di fissazione della sessione: nome del parametro SessionID con referer fuori dal dominio
owasp-crs-v030001-id943120-sessionfixation 1 Possibile attacco di fissazione della sessione: nome parametro SessionID senza referrer

Puoi configurare una regola a un determinato livello di sensibilità utilizzo di evaluatePreconfiguredExpr() per disattivare le firme con maggiore sensibilità diversi. Tutte le firme per la fissazione della sessione sono a livello di sensibilità 1. La seguente configurazione è valida per tutti i livelli di sensibilità:

Livello di sensibilità della fissazione della sessione 1 

evaluatePreconfiguredExpr('sessionfixation-v33-stable')

In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Tutti le firme per la fissazione della sessione sono al livello di sensibilità 1. Le seguenti funziona per tutti i livelli di sensibilità:

RP 3.3

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('sessionfixation-v33-stable', {'sensitivity': 1})

RP 3.0

Livello di sensibilità Espressione
1 computePreconfigureWaf('sessionfixation-stable', {'sensitivity': 1})

Attacco Java

La tabella seguente fornisce l'ID firma, il livello di sensibilità e descrizione di ogni firma supportata nell’attacco Java preconfigurata personalizzata.

RP 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id944100-java 1 Esecuzione del comando remoto: è stata rilevata una classe Java sospetta
owasp-crs-v030301-id944110-java 1 Esecuzione di comandi remoti: creazione di processi Java (CVE-2017-9805)
owasp-crs-v030301-id944120-java 1 Esecuzione di comandi remoti: serializzazione Java (CVE-2015-4852)
owasp-crs-v030301-id944130-java 1 È stata rilevata una classe Java sospetta
owasp-crs-v030301-id944200-java 2 Byte magici rilevati, probabile serializzazione Java in uso
owasp-crs-v030301-id944210-java 2 Magic byte rilevati con codifica Base64, probabile serializzazione Java in uso
owasp-crs-v030301-id944240-java 2 Esecuzione di comandi remoti: serializzazione Java (CVE-2015-4852)
owasp-crs-v030301-id944250-java 2 Esecuzione del comando remoto: è stato rilevato un metodo Java sospetto
owasp-crs-v030301-id944300-java 3 La stringa con codifica Base64 corrisponde alla parola chiave sospetta

RP 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
Not included 1 Esecuzione del comando remoto: è stata rilevata una classe Java sospetta
Not included 1 Esecuzione di comandi remoti: creazione di processi Java (CVE-2017-9805)
Not included 1 Esecuzione di comandi remoti: serializzazione Java (CVE-2015-4852)
Not included 1 È stata rilevata una classe Java sospetta
Not included 2 Byte magici rilevati, probabile serializzazione Java in uso
Not included 2 Magic byte rilevati con codifica Base64, probabile serializzazione Java in uso
Not included 2 Esecuzione di comandi remoti: serializzazione Java (CVE-2015-4852)
Not included 2 Esecuzione del comando remoto: è stato rilevato un metodo Java sospetto
Not included 3 La stringa codificata Base64 corrisponde a una parola chiave sospetta

Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disattivare le firme a livelli di sensibilità superiori.

Livello di sensibilità agli attacchi Java 1 

evaluatePreconfiguredExpr('java-v33-stable',
['owasp-crs-v030301-id944200-java',
 'owasp-crs-v030301-id944210-java',
 'owasp-crs-v030301-id944240-java',
 'owasp-crs-v030301-id944250-java',
 'owasp-crs-v030301-id944300-java'])
Livello di sensibilità agli attacchi Java 2 

evaluatePreconfiguredExpr('java-v33-stable',
['owasp-crs-v030301-id944300-java'])
Livello di sensibilità agli attacchi Java 3 

evaluatePreconfiguredExpr('java-v33-stable')

In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Di predefinita, senza configurare la sensibilità del set di regole, Google Cloud Armor valuta tutte le firme.

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 2})
3 computePreconfigureWaf('java-v33-stable', {'sensitivity': 3})

Attacco Node.js

La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola preconfigurata per gli attacchi NodeJS.

Le seguenti firme delle regole WAF preconfigurate sono incluse solo in CRS 3.3.

RP 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id934100-nodejs 1 Attacco di inserimento di Node.js

CRS 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
Not included 1 Attacco di inserimento di Node.js

Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disattivare le firme a livelli di sensibilità superiori. Tutte le firme per l'attacco NodeJS sono a livello di sensibilità 1. La seguente configurazione funziona per altri livelli di sensibilità:

Livello di sensibilità NodeJS 1 

evaluatePreconfiguredExpr('nodejs-v33-stable')

In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Tutte le firme per gli attacchi NodeJS sono a livello di sensibilità 1. Le seguenti la configurazione funziona per altri livelli di sensibilità:

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('nodejs-v33-stable', {'sensitivity': 1})

CVE e altre vulnerabilità

La tabella seguente fornisce l'ID firma, il livello di sensibilità e descrizione di ciascuna firma supportata nella vulnerabilità RCE di CVE Log4j una regola preconfigurata.

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id044228-cve 1 Regola di base per rilevare i tentativi di exploit di CVE-2021-44228 & CVE-2021-45046
owasp-crs-v030001-id144228-cve 1 Miglioramenti forniti da Google per coprire un maggior numero di tentativi di bypass e di offuscamento
owasp-crs-v030001-id244228-cve 3 Maggiore sensibilità del rilevamento per puntare ancora di più su bypass e tentativi di offuscamento, con aumento nominale del rischio di rilevamento di falsi positivi
owasp-crs-v030001-id344228-cve 3 Maggiore sensibilità del rilevamento per scegliere come target un numero ancora maggiore di tentativi di bypass e offuscamento mediante la codifica base64, con un aumento nominale del rischio di rilevamento di falsi positivi

Puoi configurare una regola a un determinato livello di sensibilità utilizzo di evaluatePreconfiguredExpr() per disattivare le firme con maggiore sensibilità diversi.

Livello di sensibilità CVE 1 

evaluatePreconfiguredExpr('cve-canary', ['owasp-crs-v030001-id244228-cve',
  'owasp-crs-v030001-id344228-cve'])
Livello di sensibilità CVE 3 

evaluatePreconfiguredExpr('cve-canary')

In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità dell'insieme di regole, Google Cloud Armor valuta tutte le firme.

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('cve-canary', {'sensitivity': 1})
2 AssessmentPreconfigureWaf('cve-canary', {'sensitivity': 2})
3 AssessmentPreconfiguratoWaf('cve-canary', {'sensitivity': 3})

Vulnerabilità SQLi dei contenuti con formattazione JSON

La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione della firma supportata 942550-sqli, che copre la vulnerabilità in cui gli utenti malintenzionati possono aggirare il WAF aggiungendo la sintassi JSON ai payload di attacco SQL.

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-id942550-sqli 2 Rileva tutti i vettori SQLi basati su JSON, incluse le firme SQLi presenti nell'URL

Utilizza la seguente espressione per eseguire il deployment della firma:

  evaluatePreconfiguredWaf('json-sqli-canary', {'sensitivity':0, 'opt_in_rule_ids': ['owasp-crs-id942550-sqli']})

Ti consigliamo di attivare anche sqli-v33-stable al livello di sensibilità 2 per risolvere completamente i problemi Bypassa SQL injection.

Limitazioni

Le regole WAF preconfigurate di Google Cloud Armor presentano le seguenti limitazioni:

  • La propagazione delle modifiche alle regole WAF richiede in genere diversi minuti.
  • Tra i tipi di richieste HTTP con un corpo della richiesta, Google Cloud Armor elabora solo le richieste POST. Google Cloud Armor valuta i dati preconfigurati rispetto ai primi 8 kB dei contenuti del corpo di POST. Per ulteriori informazioni, consulta la limitazione relativa all'ispezione del corpo POST.
  • Google Cloud Armor può analizzare e applicare regole WAF preconfigurate quando l'analisi di JSON è abilitata con un valore dell'intestazione Content-Type corrispondente. Per ulteriori informazioni, consulta la sezione Analisi del JSON.
  • Quando un'esclusione del campo di richiesta è collegata a una regola WAF preconfigurata, non puoi usa l'azione allow. Le richieste corrispondenti all'eccezione vengono automaticamente consentite.

Passaggi successivi