Panoramica delle regole WAF preconfigurate di Google Cloud Armor
Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
Le regole WAF preconfigurate di Google Cloud Armor sono regole WAF complesse con decine di firme compilate da standard di settore open source. Ogni firma corrisponde a una regola
di rilevamento degli attacchi nel set di regole. Google offre queste regole così come sono. Le regole consentono a Google Cloud Armor di valutare decine di firme diverse per il traffico facendo riferimento a regole con nomi appropriati, anziché richiedere la definizione manuale di ogni firma.
La seguente tabella contiene un elenco completo delle regole WAF preconfigurate disponibili per l'utilizzo in un criterio di sicurezza di Google Cloud Armor. Le origini delle regole sono ModSecurity Core Rules Set (CRS) 3.0 e CRS 3.3.
Ti consigliamo di utilizzare la versione 3.3 per una maggiore sensibilità e per una maggiore portata di tipi di attacchi protetti. Il supporto per CRS 3.0 è continuo.
RP 3.3
Nome regola di Google Cloud Armor
Nome regola ModSecurity
Stato corrente
SQL injection
sqli-v33-stable
Sincronizzato con sqli-v33-canary
sqli-v33-canary
Più recente
Cross-site scripting (XSS)
xss-v33-stable
Sincronizzato con xss-v33-canary
xss-v33-canary
Più recente
Inclusione di file locali
lfi-v33-stable
Sincronizzato con lfi-v33-canary
lfi-v33-canary
Più recente
Inclusione di file da remoto
rfi-v33-stable
Sincronizzato con rfi-v33-canary
rfi-v33-canary
Più recente
Esecuzione di codice da remoto
rce-v33-stable
Sincronizzato con rce-v33-canary
rce-v33-canary
Più recente
Applicazione del metodo
methodenforcement-v33-stable
Sincronizzato con methodenforcement-v33-canary
methodenforcement-v33-canary
Più recente
Rilevamento dello scanner
scannerdetection-v33-stable
Sincronizzato con scannerdetection-v33-canary
scannerdetection-v33-canary
Più recente
Attacco di protocollo
protocolattack-v33-stable
Sincronizzato con protocolattack-v33-canary
protocolattack-v33-canary
Più recente
attacco iniezione PHP
php-v33-stable
Sincronizzato con php-v33-canary
php-v33-canary
Più recente
Attacco di correzione sessione
sessionfixation-v33-stable
Sincronizzato con sessionfixation-v33-canary
sessionfixation-v33-canary
Più recente
attacco Java
java-v33-stable
Sincronizzato con java-v33-canary
java-v33-canary
Più recente
Attacco NodeJS
nodejs-v33-stable
Sincronizzato con nodejs-v33-canary
nodejs-v33-canary
Più recente
CRS 3.0
Nome regola di Google Cloud Armor
Nome regola ModSecurity
Stato corrente
SQL injection
sqli-stable
Sincronizzato con sqli-canary
sqli-canary
Più recente
Cross-site scripting (XSS)
xss-stable
Sincronizzato con xss-canary
xss-canary
Più recente
Inclusione di file locali
lfi-stable
Sincronizzato con lfi-canary
lfi-canary
Più recente
Inclusione di file da remoto
rfi-stable
Sincronizzato con rfi-canary
rfi-canary
Più recente
Esecuzione di codice da remoto
rce-stable
Sincronizzato con rce-canary
rce-canary
Più recente
Applicazione del metodo
methodenforcement-stable
Sincronizzato con methodenforcement-canary
methodenforcement-canary
Più recente
Rilevamento dello scanner
scannerdetection-stable
Sincronizzato con scannerdetection-canary
scannerdetection-canary
Più recente
Attacco di protocollo
protocolattack-stable
Sincronizzato con protocolattack-canary
protocolattack-canary
Più recente
attacco iniezione PHP
php-stable
Sincronizzato con php-canary
php-canary
Più recente
Attacco di correzione sessione
sessionfixation-stable
Sincronizzato con sessionfixation-canary
sessionfixation-canary
Più recente
attacco Java
Not included
Attacco NodeJS
Not included
Inoltre, le seguenti regole cve-canary sono disponibili per tutti i clienti di Google Cloud Armor per rilevare e bloccare le vulnerabilità seguenti:
CVE-2021-44228 e CVE-2021-45046 vulnerabilità Log4j RCE
942550-sqli vulnerabilità dei contenuti con formato JSON
Nome regola di Google Cloud Armor
Tipi di vulnerabilità coperti
cve-canary
Vulnerabilità di Log4j
json-sqli-canary
Vulnerabilità di bypass dell'SQL injection basata su JSON
Regole ModSecurity preconfigurate
Ogni regola WAF preconfigurata ha un livello di sensibilità che corrisponde a un livello di paranoia di ModSecurity.
Un livello di sensibilità inferiore indica una firma di confidenza più alta, che ha meno probabilità di generare un falso positivo. Un livello di sensibilità più elevato aumenta la sicurezza, ma aumenta anche il rischio di generare un falso positivo.
SQL injection (SQLi)
La seguente tabella fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola WAF preconfigurata SQLi.
RP 3.3
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030301-id942100-sqli
1
Attacco SQL injection rilevato tramite libinjection
owasp-crs-v030301-id942140-sqli
1
Attacco SQL injection: rilevati comuni nomi DB
owasp-crs-v030301-id942160-sqli
1
Rileva i test SQLi ciechi utilizzando Sleep() o benchmark()
owasp-crs-v030301-id942170-sqli
1
Rileva il benchmark SQL e i tentativi di inserimento del sonno, incluse le query condizionali
owasp-crs-v030301-id942190-sqli
1
Rileva l'esecuzione di codice MSSQL e i tentativi di raccolta di informazioni
owasp-crs-v030301-id942220-sqli
1
Cerca attacchi di overflow di numeri interi
owasp-crs-v030301-id942230-sqli
1
Rileva i tentativi di SQL injection condizionale
owasp-crs-v030301-id942240-sqli
1
Rileva l'opzione del set di caratteri MySQL e i tentativi DoS MSSQL
owasp-crs-v030301-id942250-sqli
1
Rileva CORRISPONDENZA CONTRO
owasp-crs-v030301-id942270-sqli
1
Cerca SQL injection di base; stringa di attacco comune per MySql
owasp-crs-v030301-id942280-sqli
1
Rileva l'iniezione pg_sleep in Postgres
owasp-crs-v030301-id942290-sqli
1
Trova i tentativi di iniezione di base di MongoDB SQL
owasp-crs-v030301-id942320-sqli
1
Rileva le iniezioni di stored procedure/funzioni MySQL e PostgreSQL
owasp-crs-v030301-id942350-sqli
1
Rileva l'inserimento di UDF MySQL e altri tentativi di manipolazione di dati/struttura
owasp-crs-v030301-id942360-sqli
1
Rileva i tentativi di SQL injection di base e SQLLFI concatenati
owasp-crs-v030301-id942500-sqli
1
Rilevato commento in linea MySQL
owasp-crs-v030301-id942110-sqli
2
Attacco SQL injection: rilevamento comune dei test di iniezione
Rileva i tentativi di bypass dell'autenticazione SQL di base 1/3
owasp-crs-v030001-id942200-sqli
2
Rileva le iniezioni di commenti/spazio offuscati di MySQL e la terminazione dell'accento grave
owasp-crs-v030001-id942210-sqli
2
Rileva i tentativi di SQL injection concatenati 1/2
owasp-crs-v030001-id942260-sqli
2
Rileva i tentativi di bypass dell'autenticazione SQL di base 2/3
owasp-crs-v030001-id942300-sqli
2
Rileva i commenti MySQL
owasp-crs-v030001-id942310-sqli
2
Rileva i tentativi di SQL injection concatenati 2/2
owasp-crs-v030001-id942330-sqli
2
Rileva i probe di SQL injection classici 1/2
owasp-crs-v030001-id942340-sqli
2
Rileva i tentativi di bypass dell'autenticazione SQL di base 3/3
Not included
2
Rileva l'SQL injection di base in base all'alterazione o all'unione delle parole chiave
Not included
2
Rileva i probe di SQL injection classici 2/3
owasp-crs-v030001-id942380-sqli
2
attacco di SQL injection
owasp-crs-v030001-id942390-sqli
2
attacco di SQL injection
owasp-crs-v030001-id942400-sqli
2
attacco di SQL injection
owasp-crs-v030001-id942410-sqli
2
attacco di SQL injection
Not included
2
attacco di SQL injection
Not included
2
attacco di SQL injection
owasp-crs-v030001-id942430-sqli
2
Rilevamento limitato di anomalie dei caratteri SQL (args): numero di caratteri speciali superato (12)
owasp-crs-v030001-id942440-sqli
2
Sequenza di commenti SQL rilevata
owasp-crs-v030001-id942450-sqli
2
Codifica esadecimale SQL identificata
Not included
2
Tentativo di bypass SQLi rilevato da segni di graduazione o apici inversi
owasp-crs-v030001-id942251-sqli
3
Rileva HAVING iniezioni
Not included
2
Rileva i probe di SQL injection classici 3/3
owasp-crs-v030001-id942420-sqli
3
Rilevamento limitato di anomalie dei caratteri SQL (cookie): numero di caratteri speciali superato (8)
owasp-crs-v030001-id942431-sqli
3
Rilevamento limitato di anomalie dei caratteri SQL (args): numero di caratteri speciali superato (6)
owasp-crs-v030001-id942460-sqli
3
Avviso per il rilevamento di anomalie di meta-caratteri - caratteri ripetitivi non contenenti parole
Not included
3
Attacco SQL injection rilevato tramite libinjection
Not included
3
Tentativo di bypass SQLi rilevato da segni di graduazione
owasp-crs-v030001-id942421-sqli
4
Rilevamento limitato di anomalie dei caratteri SQL (cookie): numero di caratteri speciali superato (3)
owasp-crs-v030001-id942432-sqli
4
Rilevamento limitato di anomalie dei caratteri SQL (args): numero di caratteri speciali superato (2)
Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disabilitare le firme a livelli di sensibilità maggiori.
In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità del set di regole, Google Cloud Armor valuta tutte le firme.
La seguente tabella fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola WAF preconfigurata XSS.
RP 3.3
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030301-id941100-xss
1
Attacco XSS rilevato tramite libiniezione
owasp-crs-v030301-id941110-xss
1
Filtro XSS - Categoria 1: Vettore tag script
owasp-crs-v030301-id941120-xss
1
Filtro XSS - Categoria 2: vettore gestore di eventi
owasp-crs-v030301-id941130-xss
1
Filtro XSS - Categoria 3: Vettore attributo
owasp-crs-v030301-id941140-xss
1
Filtro XSS - Categoria 4: vettore URI JavaScript
owasp-crs-v030301-id941160-xss
1
NoScript XSS InjectionChecker: inserimento di codice HTML
owasp-crs-v030301-id941170-xss
1
NoScript XSS InjectionChecker: inserimento di attributi
owasp-crs-v030301-id941180-xss
1
Parole chiave della lista nera dello strumento di convalida dei nodi
owasp-crs-v030301-id941190-xss
1
Filtri IE XSS - Attacco rilevato
owasp-crs-v030301-id941200-xss
1
Filtri IE XSS - Attacco rilevato
owasp-crs-v030301-id941210-xss
1
Filtri IE XSS - Attacco rilevato
owasp-crs-v030301-id941220-xss
1
Filtri IE XSS - Attacco rilevato
owasp-crs-v030301-id941230-xss
1
Filtri IE XSS - Attacco rilevato
owasp-crs-v030301-id941240-xss
1
Filtri IE XSS - Attacco rilevato
owasp-crs-v030301-id941250-xss
1
Filtri IE XSS - Attacco rilevato
owasp-crs-v030301-id941260-xss
1
Filtri IE XSS - Attacco rilevato
owasp-crs-v030301-id941270-xss
1
Filtri IE XSS - Attacco rilevato
owasp-crs-v030301-id941280-xss
1
Filtri IE XSS - Attacco rilevato
owasp-crs-v030301-id941290-xss
1
Filtri IE XSS - Attacco rilevato
owasp-crs-v030301-id941300-xss
1
Filtri IE XSS - Attacco rilevato
owasp-crs-v030301-id941310-xss
1
Filtro XSS di codifica con formato errato US-ASCII - Attacco rilevato
owasp-crs-v030301-id941350-xss
1
Codifica UTF-7 IE XSS - Attacco rilevato
owasp-crs-v030301-id941360-xss
1
È stato rilevato un offuscamento della geroglifia
owasp-crs-v030301-id941370-xss
1
Variabile globale JavaScript trovata
owasp-crs-v030301-id941101-xss
2
Attacco XSS rilevato tramite libiniezione
owasp-crs-v030301-id941150-xss
2
Filtro XSS - Categoria 5: attributi HTML non consentiti
owasp-crs-v030301-id941320-xss
2
Possibile attacco XSS rilevato - Gestore di tag HTML
owasp-crs-v030301-id941330-xss
2
Filtri IE XSS - Attacco rilevato
owasp-crs-v030301-id941340-xss
2
Filtri IE XSS - Attacco rilevato
owasp-crs-v030301-id941380-xss
2
Iniezione del modello lato client AngularJS rilevata
CRS 3.0
ID firma (ID regola)
Livello di sensibilità
Descrizione
Not included
1
Attacco XSS rilevato tramite libiniezione
owasp-crs-v030001-id941110-xss
1
Filtro XSS - Categoria 1: Vettore tag script
owasp-crs-v030001-id941120-xss
1
Filtro XSS - Categoria 2: vettore gestore di eventi
owasp-crs-v030001-id941130-xss
1
Filtro XSS - Categoria 3: Vettore attributo
owasp-crs-v030001-id941140-xss
1
Filtro XSS - Categoria 4: vettore URI JavaScript
owasp-crs-v030001-id941160-xss
1
NoScript XSS InjectionChecker: inserimento di codice HTML
owasp-crs-v030001-id941170-xss
1
NoScript XSS InjectionChecker: inserimento di attributi
owasp-crs-v030001-id941180-xss
1
Parole chiave della lista nera dello strumento di convalida dei nodi
owasp-crs-v030001-id941190-xss
1
Filtri IE XSS - Attacco rilevato
owasp-crs-v030001-id941200-xss
1
Filtri IE XSS - Attacco rilevato
owasp-crs-v030001-id941210-xss
1
Filtri IE XSS - Attacco rilevato
owasp-crs-v030001-id941220-xss
1
Filtri IE XSS - Attacco rilevato
owasp-crs-v030001-id941230-xss
1
Filtri IE XSS - Attacco rilevato
owasp-crs-v030001-id941240-xss
1
Filtri IE XSS - Attacco rilevato
owasp-crs-v030001-id941250-xss
1
Filtri IE XSS - Attacco rilevato
owasp-crs-v030001-id941260-xss
1
Filtri IE XSS - Attacco rilevato
owasp-crs-v030001-id941270-xss
1
Filtri IE XSS - Attacco rilevato
owasp-crs-v030001-id941280-xss
1
Filtri IE XSS - Attacco rilevato
owasp-crs-v030001-id941290-xss
1
Filtri IE XSS - Attacco rilevato
owasp-crs-v030001-id941300-xss
1
Filtri IE XSS - Attacco rilevato
owasp-crs-v030001-id941310-xss
1
Filtro XSS di codifica con formato errato US-ASCII - Attacco rilevato
owasp-crs-v030001-id941350-xss
1
Codifica UTF-7 IE XSS - Attacco rilevato
Not included
1
JSFuck / offuscamento della geroglifia rilevato
Not included
1
Variabile globale JavaScript trovata
Not included
2
Attacco XSS rilevato tramite libiniezione
owasp-crs-v030001-id941150-xss
2
Filtro XSS - Categoria 5: attributi HTML non consentiti
owasp-crs-v030001-id941320-xss
2
Possibile attacco XSS rilevato - Gestore di tag HTML
owasp-crs-v030001-id941330-xss
2
Filtri IE XSS - Attacco rilevato
owasp-crs-v030001-id941340-xss
2
Filtri IE XSS - Attacco rilevato
Not included
2
Iniezione del modello lato client AngularJS rilevata
Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disabilitare le firme a livelli di sensibilità maggiori.
Tutte le firme per XSS sono al di sotto del livello di sensibilità 2. La seguente configurazione funziona per altri livelli di sensibilità:
Livello di sensibilità XSS 2
evaluatePreconfiguredExpr('xss-v33-stable')
In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità del set di regole, Google Cloud Armor valuta tutte le firme.
La seguente tabella fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola WAF preconfigurata LFI.
RP 3.3
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030301-id930100-lfi
1
Attacco Path Traversal (/../)
owasp-crs-v030301-id930110-lfi
1
Attacco Path Traversal (/../)
owasp-crs-v030301-id930120-lfi
1
Tentativo di accesso al file del sistema operativo
owasp-crs-v030301-id930130-lfi
1
Tentativo di accesso ai file limitato
CRS 3.0
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030001-id930100-lfi
1
Attacco Path Traversal (/../)
owasp-crs-v030001-id930110-lfi
1
Attacco Path Traversal (/../)
owasp-crs-v030001-id930120-lfi
1
Tentativo di accesso al file del sistema operativo
owasp-crs-v030001-id930130-lfi
1
Tentativo di accesso ai file limitato
Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disabilitare le firme a livelli di sensibilità maggiori. Tutte le firme per LFI sono al livello di sensibilità 1. La seguente configurazione funziona per tutti i livelli di sensibilità:
Livello di sensibilità LFI 1
evaluatePreconfiguredExpr('lfi-v33-stable')
In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Tutte le firme per LFI sono al livello di sensibilità 1. La seguente configurazione funziona per tutti i livelli di sensibilità:
La seguente tabella fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola WAF preconfigurata RCE.
RP 3.3
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030301-id932100-rce
1
aggiunta dei comandi UNIX
owasp-crs-v030301-id932105-rce
1
aggiunta dei comandi UNIX
owasp-crs-v030301-id932110-rce
1
aggiunta dei comandi di Windows
owasp-crs-v030301-id932115-rce
1
aggiunta dei comandi di Windows
owasp-crs-v030301-id932120-rce
1
Comando di Windows PowerShell trovato
owasp-crs-v030301-id932130-rce
1
Espressione Shell Unix trovata
owasp-crs-v030301-id932140-rce
1
Comando Windows FOR/IF trovato
owasp-crs-v030301-id932150-rce
1
Esecuzione diretta del comando UNIX
owasp-crs-v030301-id932160-rce
1
Codice shell UNIX trovato
owasp-crs-v030301-id932170-rce
1
Shellshock (CVE-2014-6271)
owasp-crs-v030301-id932171-rce
1
Shellshock (CVE-2014-6271)
owasp-crs-v030301-id932180-rce
1
Tentativo di caricamento file limitato
owasp-crs-v030301-id932200-rce
2
Tecnica di bypass RCE
owasp-crs-v030301-id932106-rce
3
Esecuzione del comando remoto: inserimento dei comandi Unix
owasp-crs-v030301-id932190-rce
3
Esecuzione del comando remoto: tentativo di esclusione del carattere jolly
CRS 3.0
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030001-id932100-rce
1
aggiunta dei comandi UNIX
owasp-crs-v030001-id932105-rce
1
aggiunta dei comandi UNIX
owasp-crs-v030001-id932110-rce
1
aggiunta dei comandi di Windows
owasp-crs-v030001-id932115-rce
1
aggiunta dei comandi di Windows
owasp-crs-v030001-id932120-rce
1
Comando di Windows PowerShell trovato
owasp-crs-v030001-id932130-rce
1
Espressione Shell Unix trovata
owasp-crs-v030001-id932140-rce
1
Comando Windows FOR/IF trovato
owasp-crs-v030001-id932150-rce
1
Esecuzione diretta del comando UNIX
owasp-crs-v030001-id932160-rce
1
Codice shell UNIX trovato
owasp-crs-v030001-id932170-rce
1
Shellshock (CVE-2014-6271)
owasp-crs-v030001-id932171-rce
1
Shellshock (CVE-2014-6271)
Not included
1
Tentativo di caricamento file limitato
Not included
2
Tecnica di bypass RCE
Not included
3
Esecuzione del comando remoto: inserimento dei comandi Unix
Not included
3
Esecuzione del comando remoto: tentativo di esclusione del carattere jolly
Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disabilitare le firme a livelli di sensibilità maggiori. La seguente configurazione funziona per tutti i livelli di sensibilità:
In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Tutte le firme per RCE sono al livello di sensibilità 1. La seguente configurazione funziona per tutti i livelli di sensibilità:
La seguente tabella fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola WAF preconfigurata RFI.
RP 3.3
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030301-id931100-rfi
1
Parametro URL che utilizza l'indirizzo IP
owasp-crs-v030301-id931110-rfi
1
Nome del parametro vulnerabile RFI comune utilizzato con payload URL
owasp-crs-v030301-id931120-rfi
1
Payload URL utilizzato con carattere punto interrogativo finale (?)
owasp-crs-v030301-id931130-rfi
2
Riferimento/link esterno al dominio
CRS 3.0
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030001-id931100-rfi
1
Parametro URL che utilizza l'indirizzo IP
owasp-crs-v030001-id931110-rfi
1
Nome del parametro vulnerabile RFI comune utilizzato con payload URL
owasp-crs-v030001-id931120-rfi
1
Payload URL utilizzato con carattere punto interrogativo finale (?)
owasp-crs-v030001-id931130-rfi
2
Riferimento/link esterno al dominio
Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disabilitare le firme a livelli di sensibilità maggiori.
Tutte le firme per RFI sono al di sotto del livello di sensibilità 2. La seguente configurazione funziona per altri livelli di sensibilità:
Livello di sensibilità RFI 2
evaluatePreconfiguredExpr('rfi-v33-stable')
In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità del set di regole, Google Cloud Armor valuta tutte le firme.
La seguente tabella fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola preconfigurata di applicazione del metodo.
RP 3.3
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030301-id911100-methodenforcement
1
Metodo non consentito dal criterio
CRS 3.0
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030001-id911100-methodenforcement
1
Metodo non consentito dal criterio
Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disabilitare le firme a livelli di sensibilità maggiori. Tutte le firme per l'applicazione del metodo sono al livello di sensibilità 1. La
configurazione seguente funziona per altri livelli di sensibilità:
In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità del set di regole, Google Cloud Armor valuta tutte le firme.
La seguente tabella fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola preconfigurata di rilevamento dello scanner.
RP 3.3
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030301-id913100-scannerdetection
1
Rilevato user agent associato allo scanner di sicurezza
owasp-crs-v030301-id913110-scannerdetection
1
Intestazione della richiesta trovata associata allo scanner di sicurezza
owasp-crs-v030301-id913120-scannerdetection
1
Trovato nome/argomento della richiesta associato allo scanner di sicurezza
owasp-crs-v030301-id913101-scannerdetection
2
Rilevato user agent associato a scripting/client HTTP generico
owasp-crs-v030301-id913102-scannerdetection
2
Rilevato user agent associato a web crawler/bot
CRS 3.0
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030001-id913100-scannerdetection
1
Rilevato user agent associato allo scanner di sicurezza
owasp-crs-v030001-id913110-scannerdetection
1
Intestazione della richiesta trovata associata allo scanner di sicurezza
owasp-crs-v030001-id913120-scannerdetection
1
Trovato nome/argomento della richiesta associato allo scanner di sicurezza
owasp-crs-v030001-id913101-scannerdetection
2
Rilevato user agent associato a scripting/client HTTP generico
owasp-crs-v030001-id913102-scannerdetection
2
Rilevato user agent associato a web crawler/bot
Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disabilitare le firme a livelli di sensibilità maggiori.
Livello di sensibilità del rilevamento dello scanner 1
In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità del set di regole, Google Cloud Armor valuta tutte le firme.
La seguente tabella fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola preconfigurata per l'attacco di protocollo.
RP 3.3
ID firma (ID regola)
Livello di sensibilità
Descrizione
Not included
1
Attacco di traffico di richieste HTTP
owasp-crs-v030301-id921110-protocolattack
1
Attacco di traffico di richieste HTTP
owasp-crs-v030301-id921120-protocolattack
1
Attacco di suddivisione delle risposte HTTP
owasp-crs-v030301-id921130-protocolattack
1
Attacco di suddivisione delle risposte HTTP
owasp-crs-v030301-id921140-protocolattack
1
Attacco HTTP Header Injection tramite intestazioni
owasp-crs-v030301-id921150-protocolattack
1
Attacco HTTP Header Injection tramite payload (CR/LF rilevato)
owasp-crs-v030301-id921160-protocolattack
1
Attacco HTTP Header Injection tramite payload (CR/LF e nome-intestazione rilevati)
owasp-crs-v030301-id921190-protocolattack
1
Suddivisione HTTP (CR/LF rilevata nel nome file della richiesta)
owasp-crs-v030301-id921200-protocolattack
1
Attacco LDAP Injection
owasp-crs-v030301-id921151-protocolattack
2
Attacco HTTP Header Injection tramite payload (CR/LF rilevato)
owasp-crs-v030301-id921170-protocolattack
3
Inquinamento dei parametri HTTP
CRS 3.0
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030001-id921100-protocolattack
1
Attacco di traffico di richieste HTTP
owasp-crs-v030001-id921110-protocolattack
1
Attacco di traffico di richieste HTTP
owasp-crs-v030001-id921120-protocolattack
1
Attacco di suddivisione delle risposte HTTP
owasp-crs-v030001-id921130-protocolattack
1
Attacco di suddivisione delle risposte HTTP
owasp-crs-v030001-id921140-protocolattack
1
Attacco HTTP Header Injection tramite intestazioni
owasp-crs-v030001-id921150-protocolattack
1
Attacco HTTP Header Injection tramite payload (CR/LF rilevato)
owasp-crs-v030001-id921160-protocolattack
1
Attacco HTTP Header Injection tramite payload (CR/LF e nome-intestazione rilevati)
Not included
1
Suddivisione HTTP (CR/LF rilevata nel nome file della richiesta)
Not included
1
Attacco LDAP Injection
owasp-crs-v030001-id921151-protocolattack
2
Attacco HTTP Header Injection tramite payload (CR/LF rilevato)
owasp-crs-v030001-id921170-protocolattack
3
Inquinamento dei parametri HTTP
Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disabilitare le firme a livelli di sensibilità maggiori.
Livello di sensibilità all’attacco del protocollo 1
In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità del set di regole, Google Cloud Armor valuta tutte le firme.
La seguente tabella fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola WAF preconfigurata PHP.
RP 3.3
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030301-id933100-php
1
Attacco PHP Injection: trovato tag aperto PHP
owasp-crs-v030301-id933110-php
1
Attacco PHP Injection: caricamento del file di script PHP
owasp-crs-v030301-id933120-php
1
Attacco PHP: rilevamento della direttiva di configurazione
owasp-crs-v030301-id933130-php
1
Attacco PHP Injection: Variabili trovate
owasp-crs-v030301-id933140-php
1
Attacco PHP Injection: rilevamento di flusso I/O
owasp-crs-v030301-id933200-php
1
Attacco PHP Injection: schema wrapper rilevato
owasp-crs-v030301-id933150-php
1
Attacco PHP Injection: trovato nome funzione PHP ad alto rischio
owasp-crs-v030301-id933160-php
1
Attacco a PHP: chiamata di funzione PHP ad alto rischio trovata
owasp-crs-v030301-id933170-php
1
Attacco a PHP: inserimento di oggetti serializzati
owasp-crs-v030301-id933180-php
1
Attacco a PHP: chiamata di funzione variabile trovata
owasp-crs-v030301-id933210-php
1
Attacco a PHP: chiamata di funzione variabile trovata
owasp-crs-v030301-id933151-php
2
Attacco PHP Injection: trovato nome funzione PHP a rischio medio
owasp-crs-v030301-id933131-php
3
Attacco PHP Injection: Variabili trovate
owasp-crs-v030301-id933161-php
3
Attacco PHP: chiamata di funzione PHP di scarso valore trovata
owasp-crs-v030301-id933111-php
3
Attacco PHP Injection: caricamento del file di script PHP
owasp-crs-v030301-id933190-php
3
Attacco PHP Injection: trovato tag di chiusura PHP
CRS 3.0
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030001-id933100-php
1
Attacco PHP Injection: trovato tag aperto PHP
owasp-crs-v030001-id933110-php
1
Attacco PHP Injection: caricamento del file di script PHP
owasp-crs-v030001-id933120-php
1
Attacco PHP: rilevamento della direttiva di configurazione
owasp-crs-v030001-id933130-php
1
Attacco PHP Injection: Variabili trovate
owasp-crs-v030001-id933140-php
1
Attacco PHP Injection: rilevamento di flusso I/O
Not included
1
Attacco PHP Injection: schema wrapper rilevato
owasp-crs-v030001-id933150-php
1
Attacco PHP Injection: trovato nome funzione PHP ad alto rischio
owasp-crs-v030001-id933160-php
1
Attacco a PHP: chiamata di funzione PHP ad alto rischio trovata
owasp-crs-v030001-id933170-php
1
Attacco a PHP: inserimento di oggetti serializzati
owasp-crs-v030001-id933180-php
1
Attacco a PHP: chiamata di funzione variabile trovata
Not included
1
Attacco a PHP: chiamata di funzione variabile trovata
owasp-crs-v030001-id933151-php
2
Attacco PHP Injection: trovato nome funzione PHP a rischio medio
owasp-crs-v030001-id933131-php
3
Attacco PHP Injection: Variabili trovate
owasp-crs-v030001-id933161-php
3
Attacco PHP: chiamata di funzione PHP di scarso valore trovata
owasp-crs-v030001-id933111-php
3
Attacco PHP Injection: caricamento del file di script PHP
Not included
3
Attacco PHP Injection: trovato tag di chiusura PHP
Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disabilitare le firme a livelli di sensibilità maggiori.
In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità del set di regole, Google Cloud Armor valuta tutte le firme.
La seguente tabella fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola preconfigurata di fissazione della sessione.
RP 3.3
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030301-id943100-sessionfixation
1
Possibile attacco di correzione della sessione: impostazione dei valori dei cookie in HTML
owasp-crs-v030301-id943110-sessionfixation
1
Possibile attacco di fissazione della sessione: nome parametro SessionID con referer esterno al dominio
owasp-crs-v030301-id943120-sessionfixation
1
Possibile attacco di fissazione della sessione: nome parametro SessionID senza referer
CRS 3.0
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030001-id943100-sessionfixation
1
Possibile attacco di correzione della sessione: impostazione dei valori dei cookie in HTML
owasp-crs-v030001-id943110-sessionfixation
1
Possibile attacco di fissazione della sessione: nome parametro SessionID con referer esterno al dominio
owasp-crs-v030001-id943120-sessionfixation
1
Possibile attacco di fissazione della sessione: nome parametro SessionID senza referer
Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disabilitare le firme a livelli di sensibilità maggiori. Tutte le firme per la fissazione della sessione sono al livello di sensibilità 1. La seguente configurazione funziona per tutti i livelli di sensibilità:
Livello di sensibilità di fissaggio della sessione 1
In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Tutte le firme per la fissazione della sessione sono al livello di sensibilità 1. La seguente configurazione funziona per tutti i livelli di sensibilità:
La seguente tabella fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola preconfigurata per l'attacco Java.
RP 3.3
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030301-id944100-java
1
Esecuzione del comando remoto: rilevata una classe Java sospetta
owasp-crs-v030301-id944110-java
1
Esecuzione del comando remoto: generazione del processo Java (CVE-2017-9805)
owasp-crs-v030301-id944120-java
1
Esecuzione del comando remoto: serializzazione Java (CVE-2015-4852)
owasp-crs-v030301-id944130-java
1
È stata rilevata una classe Java sospetta
owasp-crs-v030301-id944200-java
2
Byte magici rilevati, probabile serializzazione Java in uso
owasp-crs-v030301-id944210-java
2
Byte magici rilevati con codifica Base64, probabile serializzazione Java in uso
owasp-crs-v030301-id944240-java
2
Esecuzione del comando remoto: serializzazione Java (CVE-2015-4852)
owasp-crs-v030301-id944250-java
2
Esecuzione del comando remoto: rilevato metodo Java sospetto
owasp-crs-v030301-id944300-java
3
La stringa codificata Base64 corrisponde a una parola chiave sospetta
CRS 3.0
ID firma (ID regola)
Livello di sensibilità
Descrizione
Not included
1
Esecuzione del comando remoto: rilevata una classe Java sospetta
Not included
1
Esecuzione del comando remoto: generazione del processo Java (CVE-2017-9805)
Not included
1
Esecuzione del comando remoto: serializzazione Java (CVE-2015-4852)
Not included
1
È stata rilevata una classe Java sospetta
Not included
2
Byte magici rilevati, probabile serializzazione Java in uso
Not included
2
Byte magici rilevati con codifica Base64, probabile serializzazione Java in uso
Not included
2
Esecuzione del comando remoto: serializzazione Java (CVE-2015-4852)
Not included
2
Esecuzione del comando remoto: rilevato metodo Java sospetto
Not included
3
La stringa codificata Base64 corrisponde a una parola chiave sospetta
Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disabilitare le firme a livelli di sensibilità maggiori.
In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità del set di regole, Google Cloud Armor valuta tutte le firme.
La seguente tabella fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola preconfigurata per l'attacco NodeJS.
Le seguenti firme preconfigurate delle regole WAF sono incluse solo in CRS
3.3.
RP 3.3
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030301-id934100-nodejs
1
Attacco a iniezione Node.js
CRS 3.0
ID firma (ID regola)
Livello di sensibilità
Descrizione
Not included
1
Attacco a iniezione Node.js
Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disabilitare le firme a livelli di sensibilità maggiori. Tutte le firme per l'attacco NodeJS sono al livello di sensibilità 1. La
configurazione seguente funziona per altri livelli di sensibilità:
Livello di sensibilità NodeJS 1
evaluatePreconfiguredExpr('nodejs-v33-stable')
In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Tutte le firme per l'attacco NodeJS sono al livello di sensibilità 1. La seguente configurazione funziona per altri livelli di sensibilità:
La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola preconfigurata per la vulnerabilità CVE Log4j RCE.
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030001-id044228-cve
1
Regola di base per rilevare i tentativi di exploit di CVE-2021-44228
e CVE-2021-45046
owasp-crs-v030001-id144228-cve
1
Miglioramenti forniti da Google per coprire un numero maggiore di tentativi di bypass e offuscamento
owasp-crs-v030001-id244228-cve
3
Maggiore sensibilità del rilevamento per colpire ancora più tentativi di bypass e offuscamento, con un aumento nominale del rischio di rilevamento di falsi positivi
owasp-crs-v030001-id344228-cve
3
Maggiore sensibilità del rilevamento per scegliere come target ancora più tentativi di bypass e offuscamento utilizzando la codifica Base64, con un aumento nominale del rischio di rilevamento di falsi positivi
Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disabilitare le firme a livelli di sensibilità maggiori.
In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità del set di regole, Google Cloud Armor valuta tutte le firme.
La seguente tabella fornisce l'ID firma, il livello di sensibilità e la descrizione della firma supportata 942550-sqli, che copre la vulnerabilità in cui utenti malintenzionati possono bypassare il WAF aggiungendo la sintassi JSON ai payload di SQL injection.
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-id942550-sqli
2
Rileva tutti i vettori SQLi basati su JSON, incluse le firme SQLi trovate nell'URL
Utilizza la seguente espressione per eseguire il deployment della firma:
Ti consigliamo di attivare anche sqli-v33-stable al livello di sensibilità 2 per risolvere completamente i bypass di SQL injection basati su JSON.
Limitazioni
Le regole WAF preconfigurate di Google Cloud Armor presentano le seguenti limitazioni:
Tra i tipi di richieste HTTP con un corpo della richiesta, Google Cloud Armor elabora solo le richieste POST. Google Cloud Armor valuta le regole preconfigurate
in base ai primi 8 kB di contenuti del corpo di POST. Per maggiori informazioni, consulta le limitazioni relative all'ispezione del corpo di POST.
Google Cloud Armor può analizzare e applicare regole WAF preconfigurate quando l'analisi JSON è abilitata con un valore di intestazione Content-Type corrispondente. Per ulteriori informazioni, consulta la pagina Analisi JSON.