Übersicht über die vorkonfigurierten WAF-Regeln für Google Cloud Armor
Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
Vorkonfigurierte WAF-Regeln für Google Cloud Armor sind komplexe Web Application Firewall (WAF)-Regeln mit Dutzenden von Signaturen, die aus Open-Source-Branchenstandards kompiliert wurden. Jede Signatur entspricht einer Angriffserkennungsregel im Regelsatz. Google bietet diese Regeln wie besehen an. Die Regeln ermöglichen es Google Cloud Armor, Dutzende von unterschiedlichen Traffic-Signaturen auszuwerten. Dabei bezieht sich Google Cloud Armor auf Regeln, die praktischerweise benannt sind, anstatt dass Sie jede Signatur manuell definieren müssen.
Die folgende Tabelle enthält eine umfassende Liste vorkonfigurierter WAF-Regeln, die in einer Google Cloud Armor-Sicherheitsrichtlinie verwendet werden können. Die Regelquellen sind ModSecurity Core Rule Set (CRS) 3.0 und CRS 3.3.2.
Wir empfehlen Ihnen, Version 3.3 zu verwenden, um die Empfindlichkeit zu erhöhen und eine Vielzahl geschützter Angriffstypen zu erhalten. Derzeit wird CRS 3.0 unterstützt.
CRS 3.3
Name der Google Cloud Armor-Regel
Name der ModSecurity-Regel
Aktueller Status
SQL-Einschleusung
sqli-v33-stable
Mit sqli-v33-canary synchronisiert
sqli-v33-canary
Neueste
Cross-Site-Scripting
xss-v33-stable
Mit xss-v33-canary synchronisiert
xss-v33-canary
Neueste
Aufnahme lokaler Dateien
lfi-v33-stable
Mit lfi-v33-canary synchronisiert
lfi-v33-canary
Neueste
Remote-Datei einschließen
rfi-v33-stable
Mit rfi-v33-canary synchronisiert
rfi-v33-canary
Neueste
Codeausführung per Fernzugriff
rce-v33-stable
Mit rce-v33-canary synchronisiert
rce-v33-canary
Neueste
Methodenerzwingung
methodenforcement-v33-stable
Mit methodenforcement-v33-canary synchronisiert
methodenforcement-v33-canary
Neueste
Scannererkennung
scannerdetection-v33-stable
Mit scannerdetection-v33-canary synchronisiert
scannerdetection-v33-canary
Neueste
Protokollangriff
protocolattack-v33-stable
Mit protocolattack-v33-canary synchronisiert
protocolattack-v33-canary
Neueste
PHP-Injection-Angriff
php-v33-stable
Mit php-v33-canary synchronisiert
php-v33-canary
Neueste
Sitzungsfixierungsangriff
sessionfixation-v33-stable
Mit sessionfixation-v33-canary synchronisiert
sessionfixation-v33-canary
Neueste
Java-Angriff
java-v33-stable
Mit java-v33-canary synchronisiert
java-v33-canary
Neueste
NodeJS-Angriff
nodejs-v33-stable
Mit nodejs-v33-canary synchronisiert
nodejs-v33-canary
Neueste
CRS 3.0
Name der Google Cloud Armor-Regel
Name der ModSecurity-Regel
Aktueller Status
SQL-Einschleusung
sqli-stable
Mit sqli-canary synchronisiert
sqli-canary
Neueste
Cross-Site-Scripting
xss-stable
Mit xss-canary synchronisiert
xss-canary
Neueste
Aufnahme lokaler Dateien
lfi-stable
Mit lfi-canary synchronisiert
lfi-canary
Neueste
Remote-Datei einschließen
rfi-stable
Mit rfi-canary synchronisiert
rfi-canary
Neueste
Codeausführung per Fernzugriff
rce-stable
Mit rce-canary synchronisiert
rce-canary
Neueste
Methodenerzwingung
methodenforcement-stable
Mit methodenforcement-canary synchronisiert
methodenforcement-canary
Neueste
Scannererkennung
scannerdetection-stable
Mit scannerdetection-canary synchronisiert
scannerdetection-canary
Neueste
Protokollangriff
protocolattack-stable
Mit protocolattack-canary synchronisiert
protocolattack-canary
Neueste
PHP-Injection-Angriff
php-stable
Mit php-canary synchronisiert
php-canary
Neueste
Sitzungsfixierungsangriff
sessionfixation-stable
Mit sessionfixation-canary synchronisiert
sessionfixation-canary
Neueste
Java-Angriff
Not included
NodeJS-Angriff
Not included
Darüber hinaus stehen allen Google Cloud Armor-Kunden die folgenden cve-canary-Regeln zur Verfügung, um die folgenden Sicherheitslücken zu erkennen und optional zu blockieren:
Log4j-RCE-Sicherheitslücken CVE-2021-44228 und CVE-2021-45046
942550-sqli Sicherheitslücke bei JSON-formatierten Inhalten
Name der Google Cloud Armor-Regel
Abgedeckte Sicherheitslückentypen
cve-canary
Log4j-Sicherheitslücke
json-sqli-canary
JSON-basierte SQL-Injection-Umgehungslücke
Vorkonfigurierte ModSecurity-Regeln
Jede vorkonfigurierte WAF-Regel hat eine Empfindlichkeitsstufe, die einer ModSecurity-Paranoia-Ebene entspricht.
Eine niedrigere Empfindlichkeitsstufe weist auf eine vertrauenswürdigere Signatur hin, bei der die Wahrscheinlichkeit eines falsch-positiven Ergebnisses geringer ist. Eine höhere Empfindlichkeitsstufe erhöht die Sicherheit, erhöht aber auch das Risiko, ein falsch-positives Ergebnis zu erzeugen.
SQL-Injection (SQLi)
Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten WAF-Regel für SQLi.
CRS 3.3
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
owasp-crs-v030301-id942100-sqli
1
SQL-Injection-Angriff über libinjection erkannt
owasp-crs-v030301-id942140-sqli
1
Angriff mit SQL-Einschleusung: Allgemeine DB-Namen erkannt
owasp-crs-v030301-id942160-sqli
1
Erkennt blinde SQLI-Tests mit sleep() oder benchmark().
owasp-crs-v030301-id942170-sqli
1
Erkennt SQL-Benchmark- und Sleep-Einschleusungsversuche, einschließlich bedingter Abfragen
owasp-crs-v030301-id942190-sqli
1
Erkennt MSSQL-Codeausführung und Informationserfassungsversuche
owasp-crs-v030301-id942220-sqli
1
Sucht nach Integer-Overflow-Angriffen
owasp-crs-v030301-id942230-sqli
1
Erkennt Angriffsversuche mit bedingter SQL-Einschleusung.
owasp-crs-v030301-id942240-sqli
1
Erkennt MySQL-Zeichensatzwechsel und MSSQL-DoS-Angriffsversuche
owasp-crs-v030301-id942250-sqli
1
Erkennt MATCH AGAINST
owasp-crs-v030301-id942270-sqli
1
Sucht nach einfachen eingeschleuster SQL-Befehlen; gängiger Angriffs-String für MySQL
owasp-crs-v030301-id942280-sqli
1
Erkennt Postgres pg_sleep-Einschleusung
owasp-crs-v030301-id942290-sqli
1
Erkennt Angriffsversuche mit grundlegender MongoDB SQL-Einschleusung
owasp-crs-v030301-id942320-sqli
1
Erkennt Einschleusungen von gespeicherten Prozeduren/Funktionen für MySQL und PostgreSQL.
owasp-crs-v030301-id942350-sqli
1
Erkennt MySQL-UDF-Einschleusungen und andere Versuche der Manipulation von Daten bzw. der Struktur
owasp-crs-v030301-id942360-sqli
1
Erkennt Versuche des Verkettens einfacher eingeschleuster SQL-Befehle und von SQL/LFI
owasp-crs-v030301-id942500-sqli
1
MySQL-Inline-Kommentar erkannt
owasp-crs-v030301-id942110-sqli
2
Angriff mit SQL-Einschleusung: Allgemeine Tests auf Befehlseinschleusung erkannt
owasp-crs-v030301-id942120-sqli
2
Angriff mit SQL-Einschleusung: SQL-Operator erkannt
owasp-crs-v030301-id942130-sqli
2
Angriff mit SQL-Einschleusung: SQL-Numtology erkannt
owasp-crs-v030301-id942150-sqli
2
Angriff mit SQL-Einschleusung
owasp-crs-v030301-id942180-sqli
2
Erkennt Umgehungsversuche der einfachen SQL-Authentifizierung 1/3
owasp-crs-v030301-id942200-sqli
2
Erkennt durch MySQL-Kommentare oder -Leerzeichen verschleierte Einschleusungen und die Terminierung per Backtick
owasp-crs-v030301-id942210-sqli
2
Erkennt verkettete SQL-Einschleusungsversuche
owasp-crs-v030301-id942260-sqli
2
Erkennt Umgehungsversuche der einfachen SQL-Authentifizierung 2/3
owasp-crs-v030301-id942300-sqli
2
Erkennt MySQL-Kommentare
owasp-crs-v030301-id942310-sqli
2
Erkennt verkettete SQL-Einschleusungsversuche 2/2
owasp-crs-v030301-id942330-sqli
2
Erkennt Probings von klassischen SQL-Einschleusungen 1/2
owasp-crs-v030301-id942340-sqli
2
Erkennt Umgehungsversuche der einfachen SQL-Authentifizierung 3/3
owasp-crs-v030301-id942361-sqli
2
Erkennt einfache SQL-Einschleusungen basierend auf Schlüsselwortänderungen oder Union
owasp-crs-v030301-id942370-sqli
2
Erkennt Probings von klassischen SQL-Einschleusungen 2/3
owasp-crs-v030301-id942380-sqli
2
Angriff mit SQL-Einschleusung
owasp-crs-v030301-id942390-sqli
2
Angriff mit SQL-Einschleusung
owasp-crs-v030301-id942400-sqli
2
Angriff mit SQL-Einschleusung
owasp-crs-v030301-id942410-sqli
2
Angriff mit SQL-Einschleusung
owasp-crs-v030301-id942470-sqli
2
Angriff mit SQL-Einschleusung
owasp-crs-v030301-id942480-sqli
2
Angriff mit SQL-Einschleusung
owasp-crs-v030301-id942430-sqli
2
Eingeschränkte Anomalieerkennung für SQL-Zeichen (Argumente): Anzahl von Sonderzeichen überschritten (12)
owasp-crs-v030301-id942440-sqli
2
SQL-Kommentarsequenz erkannt
owasp-crs-v030301-id942450-sqli
2
SQL-Hex-Codierung erkannt
owasp-crs-v030301-id942510-sqli
2
SQLi-Umgang durch erkannte Ticks oder Graviszeichen
owasp-crs-v030301-id942251-sqli
3
Erkennt HAVING-Einschleusungen
owasp-crs-v030301-id942490-sqli
3
Erkennt Probings von klassischen SQL-Einschleusungen 3/3
owasp-crs-v030301-id942420-sqli
3
Eingeschränkte Anomalieerkennung für SQL-Zeichen (Cookies): Anzahl von Sonderzeichen überschritten (8)
owasp-crs-v030301-id942431-sqli
3
Eingeschränkte Anomalieerkennung für SQL-Zeichen (Argumente): Anzahl von Sonderzeichen überschritten (6)
owasp-crs-v030301-id942460-sqli
3
Warnung: Erkennung einer Metazeichenanomalie – Wiederholte Non-Word-Zeichen
owasp-crs-v030301-id942101-sqli
3
SQL-Injection-Angriff über libinjection erkannt
owasp-crs-v030301-id942511-sqli
3
SQLi-Umgehungsversuch durch erkannte Ticks
owasp-crs-v030301-id942421-sqli
4
Eingeschränkte Anomalieerkennung für SQL-Zeichen (Cookies): Anzahl von Sonderzeichen überschritten (3)
owasp-crs-v030301-id942432-sqli
4
Eingeschränkte Anomalieerkennung für SQL-Zeichen (Argumente): Anzahl von Sonderzeichen überschritten (2)
CRS 3.0
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
Not included
1
SQL-Injection-Angriff über libinjection erkannt
owasp-crs-v030001-id942140-sqli
1
Angriff mit SQL-Einschleusung: Allgemeine DB-Namen erkannt
owasp-crs-v030001-id942160-sqli
1
Erkennt blinde SQLI-Tests mit sleep() oder benchmark().
owasp-crs-v030001-id942170-sqli
1
Erkennt SQL-Benchmark- und Sleep-Einschleusungsversuche, einschließlich bedingter Abfragen
owasp-crs-v030001-id942190-sqli
1
Erkennt MSSQL-Codeausführung und Informationserfassungsversuche
owasp-crs-v030001-id942220-sqli
1
Sucht nach Integer-Overflow-Angriffen
owasp-crs-v030001-id942230-sqli
1
Erkennt Angriffsversuche mit bedingter SQL-Einschleusung.
owasp-crs-v030001-id942240-sqli
1
Erkennt MySQL-Zeichensatzwechsel und MSSQL-DoS-Angriffsversuche
owasp-crs-v030001-id942250-sqli
1
Erkennt MATCH AGAINST
owasp-crs-v030001-id942270-sqli
1
Sucht nach einfachen eingeschleuster SQL-Befehlen; gängiger Angriffs-String für MySQL
owasp-crs-v030001-id942280-sqli
1
Erkennt Postgres pg_sleep-Einschleusung
owasp-crs-v030001-id942290-sqli
1
Erkennt Angriffsversuche mit grundlegender MongoDB SQL-Einschleusung
owasp-crs-v030001-id942320-sqli
1
Erkennt Einschleusungen von gespeicherten Prozeduren/Funktionen für MySQL und PostgreSQL.
owasp-crs-v030001-id942350-sqli
1
Erkennt MySQL-UDF-Einschleusungen und andere Versuche der Manipulation von Daten bzw. der Struktur
owasp-crs-v030001-id942360-sqli
1
Erkennt Versuche des Verkettens einfacher eingeschleuster SQL-Befehle und von SQL/LFI
Not included
1
MySQL-Inline-Kommentar erkannt
owasp-crs-v030001-id942110-sqli
2
Angriff mit SQL-Einschleusung: Allgemeine Tests auf Befehlseinschleusung erkannt
owasp-crs-v030001-id942120-sqli
2
Angriff mit SQL-Einschleusung: SQL-Operator erkannt
Not included
2
Angriff mit SQL-Einschleusung: SQL-Numtology erkannt
owasp-crs-v030001-id942150-sqli
2
Angriff mit SQL-Einschleusung
owasp-crs-v030001-id942180-sqli
2
Erkennt Umgehungsversuche der einfachen SQL-Authentifizierung 1/3
owasp-crs-v030001-id942200-sqli
2
Erkennt durch MySQL-Kommentare oder -Leerzeichen verschleierte Einschleusungen und die Terminierung per Backtick
owasp-crs-v030001-id942210-sqli
2
Erkennt verkettete SQL-Einschleusungsversuche
owasp-crs-v030001-id942260-sqli
2
Erkennt Umgehungsversuche der einfachen SQL-Authentifizierung 2/3
owasp-crs-v030001-id942300-sqli
2
Erkennt MySQL-Kommentare
owasp-crs-v030001-id942310-sqli
2
Erkennt verkettete SQL-Einschleusungsversuche 2/2
owasp-crs-v030001-id942330-sqli
2
Erkennt Probings von klassischen SQL-Einschleusungen 1/2
owasp-crs-v030001-id942340-sqli
2
Erkennt Umgehungsversuche der einfachen SQL-Authentifizierung 3/3
Not included
2
Erkennt einfache SQL-Einschleusungen basierend auf Schlüsselwortänderungen oder Union
Not included
2
Erkennt Probings von klassischen SQL-Einschleusungen 2/3
owasp-crs-v030001-id942380-sqli
2
Angriff mit SQL-Einschleusung
owasp-crs-v030001-id942390-sqli
2
Angriff mit SQL-Einschleusung
owasp-crs-v030001-id942400-sqli
2
Angriff mit SQL-Einschleusung
owasp-crs-v030001-id942410-sqli
2
Angriff mit SQL-Einschleusung
Not included
2
Angriff mit SQL-Einschleusung
Not included
2
Angriff mit SQL-Einschleusung
owasp-crs-v030001-id942430-sqli
2
Eingeschränkte Anomalieerkennung für SQL-Zeichen (Argumente): Anzahl von Sonderzeichen überschritten (12)
owasp-crs-v030001-id942440-sqli
2
SQL-Kommentarsequenz erkannt
owasp-crs-v030001-id942450-sqli
2
SQL-Hex-Codierung erkannt
Not included
2
SQLi-Umgang durch erkannte Ticks oder Graviszeichen
owasp-crs-v030001-id942251-sqli
3
Erkennt HAVING-Einschleusungen
Not included
2
Erkennt Probings von klassischen SQL-Einschleusungen 3/3
owasp-crs-v030001-id942420-sqli
3
Eingeschränkte Anomalieerkennung für SQL-Zeichen (Cookies): Anzahl von Sonderzeichen überschritten (8)
owasp-crs-v030001-id942431-sqli
3
Eingeschränkte Anomalieerkennung für SQL-Zeichen (Argumente): Anzahl von Sonderzeichen überschritten (6)
owasp-crs-v030001-id942460-sqli
3
Warnung: Erkennung einer Metazeichenanomalie – Wiederholte Non-Word-Zeichen
Not included
3
SQL-Injection-Angriff über libinjection erkannt
Not included
3
SQLi-Umgehungsversuch durch erkannte Ticks
owasp-crs-v030001-id942421-sqli
4
Eingeschränkte Anomalieerkennung für SQL-Zeichen (Cookies): Anzahl von Sonderzeichen überschritten (3)
owasp-crs-v030001-id942432-sqli
4
Eingeschränkte Anomalieerkennung für SQL-Zeichen (Argumente): Anzahl von Sonderzeichen überschritten (2)
Sie können eine Regel für eine bestimmte Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredExpr(), um Signaturen für höhere Empfindlichkeitsstufen zu deaktivieren.
Alternativ können Sie eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Standardmäßig wertet Google Cloud Armor alle Signaturen aus, ohne die Empfindlichkeit des Regelsatzes zu konfigurieren.
Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten WAF-Regel für XSS.
Keywords von schwarzer Liste für Knotenvalidierung
owasp-crs-v030001-id941190-xss
1
IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941200-xss
1
IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941210-xss
1
IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941220-xss
1
IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941230-xss
1
IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941240-xss
1
IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941250-xss
1
IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941260-xss
1
IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941270-xss
1
IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941280-xss
1
IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941290-xss
1
IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941300-xss
1
IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941310-xss
1
Falsch formatierte US-ASCII-Codierung für XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941350-xss
1
UTF-7-Codierung – IE XSS – Angriff erkannt
Not included
1
JSFuck / Hieroglyphy-Verschleierung erkannt
Not included
1
Globale JavaScript-Variable gefunden
Not included
2
XSS-Angriff über Lobinjection erkannt
owasp-crs-v030001-id941150-xss
2
XSS-Filter – Kategorie 5 = Unzulässige HTML-Attribute
owasp-crs-v030001-id941320-xss
2
Möglicher XSS-Angriff erkannt – HTML-Tag-Handler
owasp-crs-v030001-id941330-xss
2
IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941340-xss
2
IE-XSS-Filter – Angriff erkannt
Not included
2
AngularJS-Clientvorlagenvorlage erkannt
Sie können eine Regel für eine bestimmte Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredExpr(), um Signaturen für höhere Empfindlichkeitsstufen zu deaktivieren.
Alle Signaturen für XSS liegen unter der Empfindlichkeitsstufe 2. Die folgende Konfiguration funktioniert für andere Empfindlichkeitsstufen:
XSS-Empfindlichkeitsstufe 2
evaluatePreconfiguredExpr('xss-v33-stable')
Alternativ können Sie eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Standardmäßig wertet Google Cloud Armor alle Signaturen aus, ohne die Empfindlichkeit des Regelsatzes zu konfigurieren.
Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten WAF-Regel für LFI.
CRS 3.3
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
owasp-crs-v030301-id930100-lfi
1
Angriff mit Pfaddurchlauf (/../)
owasp-crs-v030301-id930110-lfi
1
Angriff mit Pfaddurchlauf (/../)
owasp-crs-v030301-id930120-lfi
1
Zugriffsversuch auf Betriebssystemdatei
owasp-crs-v030301-id930130-lfi
1
Zugriffsversuch auf Datei mit eingeschränktem Zugriff
CRS 3.0
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
owasp-crs-v030001-id930100-lfi
1
Angriff mit Pfaddurchlauf (/../)
owasp-crs-v030001-id930110-lfi
1
Angriff mit Pfaddurchlauf (/../)
owasp-crs-v030001-id930120-lfi
1
Zugriffsversuch auf Betriebssystemdatei
owasp-crs-v030001-id930130-lfi
1
Zugriffsversuch auf Datei mit eingeschränktem Zugriff
Sie können eine Regel für eine bestimmte Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredExpr(), um Signaturen für höhere Empfindlichkeitsstufen zu deaktivieren. Alle Signaturen für LFI entsprechen der Empfindlichkeitsstufe 1. Die folgende Konfiguration funktioniert für alle Empfindlichkeitsstufen:
LFI-Empfindlichkeitsstufe 1
evaluatePreconfiguredExpr('lfi-v33-stable')
Alternativ können Sie eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Alle Signaturen für LFI entsprechen der Empfindlichkeitsstufe 1. Die folgende Konfiguration funktioniert für alle Empfindlichkeitsstufen:
Codeausführung per Fernzugriff (Remote Code Execution, RCE)
Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten WAF-Regel für RCE.
Remote Command Execution: Versuch, einen Platzhalter zu umgehen
Sie können eine Regel für eine bestimmte Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredExpr(), um Signaturen für höhere Empfindlichkeitsstufen zu deaktivieren. Die folgende Konfiguration funktioniert für alle Empfindlichkeitsstufen:
Alternativ können Sie eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Alle Signaturen für RCE entsprechen der Empfindlichkeitsstufe 1. Die folgende Konfiguration funktioniert für alle Empfindlichkeitsstufen:
Datei-Aufnahme per Fernzugriff (Remote File Inclusion, RFI)
Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten WAF-Regel für RFI.
CRS 3.3
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
owasp-crs-v030301-id931100-rfi
1
Verwendung von IP-Adresse für URL-Parameter
owasp-crs-v030301-id931110-rfi
1
Verwendung eines häufigen und für RFI anfälligen Parameternamens mit URL-Nutzlast
owasp-crs-v030301-id931120-rfi
1
Verwendung von URL-Nutzlast mit nachgestelltem Fragezeichen (?)
owasp-crs-v030301-id931130-rfi
2
Domain-externer Verweis/Link
CRS 3.0
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
owasp-crs-v030001-id931100-rfi
1
Verwendung von IP-Adresse für URL-Parameter
owasp-crs-v030001-id931110-rfi
1
Verwendung eines häufigen und für RFI anfälligen Parameternamens mit URL-Nutzlast
owasp-crs-v030001-id931120-rfi
1
Verwendung von URL-Nutzlast mit nachgestelltem Fragezeichen (?)
owasp-crs-v030001-id931130-rfi
2
Domain-externer Verweis/Link
Sie können eine Regel für eine bestimmte Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredExpr(), um Signaturen für höhere Empfindlichkeitsstufen zu deaktivieren.
Alle Signaturen für RFI liegen unter der Empfindlichkeitsstufe 2. Die folgende Konfiguration funktioniert für andere Empfindlichkeitsstufen:
RFI-Empfindlichkeitsstufe 2
evaluatePreconfiguredExpr('rfi-v33-stable')
Alternativ können Sie eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Standardmäßig wertet Google Cloud Armor alle Signaturen aus, ohne die Empfindlichkeit des Regelsatzes zu konfigurieren.
Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten Methodenerzwingungsregel.
CRS 3.3
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
owasp-crs-v030301-id911100-methodenforcement
1
Methode ist gemäß Richtlinie nicht zulässig
CRS 3.0
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
owasp-crs-v030001-id911100-methodenforcement
1
Methode ist gemäß Richtlinie nicht zulässig
Sie können eine Regel für eine bestimmte Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredExpr(), um Signaturen für höhere Empfindlichkeitsstufen zu deaktivieren. Alle Signaturen für die Methodenerzwingung entsprechen der Empfindlichkeitsstufe 1. Die folgende Konfiguration funktioniert für andere Empfindlichkeitsstufen:
Alternativ können Sie eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Standardmäßig wertet Google Cloud Armor alle Signaturen aus, ohne die Empfindlichkeit des Regelsatzes zu konfigurieren.
Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten Scannererkennungsregel.
CRS 3.3
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
owasp-crs-v030301-id913100-scannerdetection
1
User-Agent gefunden, der mit dem Sicherheitsscanner verknüpft ist
owasp-crs-v030301-id913110-scannerdetection
1
Anfrageheader gefunden, der mit dem Sicherheitsscanner verknüpft ist
owasp-crs-v030301-id913120-scannerdetection
1
Dateiname oder Argument für Anfrage gefunden, der/das mit dem Sicherheitsscanner verknüpft ist
owasp-crs-v030301-id913101-scannerdetection
2
User-Agent gefunden, der mit Scripting/generischem HTTP-Client verknüpft ist
owasp-crs-v030301-id913102-scannerdetection
2
User-Agent gefunden, der mit Web-Crawler/Bot verknüpft ist
CRS 3.0
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
owasp-crs-v030001-id913100-scannerdetection
1
User-Agent gefunden, der mit dem Sicherheitsscanner verknüpft ist
owasp-crs-v030001-id913110-scannerdetection
1
Anfrageheader gefunden, der mit dem Sicherheitsscanner verknüpft ist
owasp-crs-v030001-id913120-scannerdetection
1
Dateiname oder Argument für Anfrage gefunden, der/das mit dem Sicherheitsscanner verknüpft ist
owasp-crs-v030001-id913101-scannerdetection
2
User-Agent gefunden, der mit Scripting/generischem HTTP-Client verknüpft ist
owasp-crs-v030001-id913102-scannerdetection
2
User-Agent gefunden, der mit Web-Crawler/Bot verknüpft ist
Sie können eine Regel für eine bestimmte Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredExpr(), um Signaturen für höhere Empfindlichkeitsstufen zu deaktivieren.
Alternativ können Sie eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Standardmäßig wertet Google Cloud Armor alle Signaturen aus, ohne die Empfindlichkeit des Regelsatzes zu konfigurieren.
Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten Protokollangriffsregel.
CRS 3.3
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
Not included
1
HTTP-Anfrage-Schmuggelangriff
owasp-crs-v030301-id921110-protocolattack
1
HTTP-Anfrage-Schmuggelangriff
owasp-crs-v030301-id921120-protocolattack
1
HTTP-Antwort-Aufteilungsangriff
owasp-crs-v030301-id921130-protocolattack
1
HTTP-Antwort-Aufteilungsangriff
owasp-crs-v030301-id921140-protocolattack
1
HTTP-Header-Injection-Angriff über Header
owasp-crs-v030301-id921150-protocolattack
1
HTTP-Header-Injection-Angriff über Nutzlast (CR/LF erkannt)
owasp-crs-v030301-id921160-protocolattack
1
HTTP-Header-Injection-Angriff über Nutzlast (CR/LF und Header-Name erkannt)
owasp-crs-v030301-id921190-protocolattack
1
HTTP-Aufteilung (CR/LF im Dateinamen der Anfrage erkannt)
owasp-crs-v030301-id921200-protocolattack
1
Angriff mit LDAP-Einschleusung
owasp-crs-v030301-id921151-protocolattack
2
HTTP-Header-Injection-Angriff über Nutzlast (CR/LF erkannt)
owasp-crs-v030301-id921170-protocolattack
3
HTTP-Parameter-Pollution
CRS 3.0
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
owasp-crs-v030001-id921100-protocolattack
1
HTTP-Anfrage-Schmuggelangriff
owasp-crs-v030001-id921110-protocolattack
1
HTTP-Anfrage-Schmuggelangriff
owasp-crs-v030001-id921120-protocolattack
1
HTTP-Antwort-Aufteilungsangriff
owasp-crs-v030001-id921130-protocolattack
1
HTTP-Antwort-Aufteilungsangriff
owasp-crs-v030001-id921140-protocolattack
1
HTTP-Header-Injection-Angriff über Header
owasp-crs-v030001-id921150-protocolattack
1
HTTP-Header-Injection-Angriff über Nutzlast (CR/LF erkannt)
owasp-crs-v030001-id921160-protocolattack
1
HTTP-Header-Injection-Angriff über Nutzlast (CR/LF und Header-Name erkannt)
Not included
1
HTTP-Aufteilung (CR/LF im Dateinamen der Anfrage erkannt)
Not included
1
Angriff mit LDAP-Einschleusung
owasp-crs-v030001-id921151-protocolattack
2
HTTP-Header-Injection-Angriff über Nutzlast (CR/LF erkannt)
owasp-crs-v030001-id921170-protocolattack
3
HTTP-Parameter-Pollution
Sie können eine Regel für eine bestimmte Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredExpr(), um Signaturen für höhere Empfindlichkeitsstufen zu deaktivieren.
Alternativ können Sie eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Standardmäßig wertet Google Cloud Armor alle Signaturen aus, ohne die Empfindlichkeit des Regelsatzes zu konfigurieren.
Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten WAF-Regel für PHP.
Sie können eine Regel für eine bestimmte Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredExpr(), um Signaturen für höhere Empfindlichkeitsstufen zu deaktivieren.
Alternativ können Sie eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Standardmäßig wertet Google Cloud Armor alle Signaturen aus, ohne die Empfindlichkeit des Regelsatzes zu konfigurieren.
Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten Sitzungsfixierungsregel.
CRS 3.3
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
owasp-crs-v030301-id943100-sessionfixation
1
Möglicher Sitzungsfixierungsangriff: Cookie-Werte in HTML festlegen
owasp-crs-v030301-id943110-sessionfixation
1
Möglicher Sitzungsfixierungsangriff: SessionID-Parametername mit Verweis außerhalb der Domain
owasp-crs-v030301-id943120-sessionfixation
1
Möglicher Sitzungsfixierungsangriff: SessionID-Parametername ohne Verweis
CRS 3.0
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
owasp-crs-v030001-id943100-sessionfixation
1
Möglicher Sitzungsfixierungsangriff: Cookie-Werte in HTML festlegen
owasp-crs-v030001-id943110-sessionfixation
1
Möglicher Sitzungsfixierungsangriff: SessionID-Parametername mit Verweis außerhalb der Domain
owasp-crs-v030001-id943120-sessionfixation
1
Möglicher Sitzungsfixierungsangriff: SessionID-Parametername ohne Verweis
Sie können eine Regel für eine bestimmte Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredExpr(), um Signaturen für höhere Empfindlichkeitsstufen zu deaktivieren. Alle Signaturen für die Sitzungsfixierung entsprechen der Empfindlichkeitsstufe 1. Die folgende Konfiguration funktioniert für alle Empfindlichkeitsstufen:
Alternativ können Sie eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Alle Signaturen für die Sitzungsfixierung entsprechen der Empfindlichkeitsstufe 1. Die folgende Konfiguration funktioniert für alle Empfindlichkeitsstufen:
Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten Java-Angriffsregel.
Base64-codierter String, der mit verdächtigem Suchbegriff übereinstimmt
Sie können eine Regel für eine bestimmte Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredExpr(), um Signaturen für höhere Empfindlichkeitsstufen zu deaktivieren.
Alternativ können Sie eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Standardmäßig wertet Google Cloud Armor alle Signaturen aus, ohne die Empfindlichkeit des Regelsatzes zu konfigurieren.
Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten NodeJS-Angriffsregel.
Die folgenden vorkonfigurierten WAF-Regelsignaturen sind nur in CRS 3.3 enthalten.
CRS 3.3
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
owasp-crs-v030301-id934100-nodejs
1
Node.js-Injektionsangriff
CRS 3.0
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
Not included
1
Node.js-Injektionsangriff
Sie können eine Regel für eine bestimmte Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredExpr(), um Signaturen für höhere Empfindlichkeitsstufen zu deaktivieren. Alle Signaturen für NodeJS-Angriffe entsprechen der Empfindlichkeitsstufe 1. Die folgende Konfiguration funktioniert für andere Empfindlichkeitsstufen:
NodeJS-Empfindlichkeitsstufe 1
evaluatePreconfiguredExpr('nodejs-v33-stable')
Alternativ können Sie eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Alle Signaturen für den NodeJS-Angriff entsprechen der Empfindlichkeitsstufe 1. Die folgende Konfiguration funktioniert für andere Empfindlichkeitsstufen:
Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten Regel für die CVE-Log4j-RCE-Sicherheitslücke.
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
owasp-crs-v030001-id044228-cve
1
Basisregel zur Erkennung von Exploit-Versuchen von CVE-2021-44228 und CVE-2021-45046
owasp-crs-v030001-id144228-cve
1
Von Google bereitgestellte Verbesserungen, um mehr Umgehungs- und Verschleierungsversuche abzudecken
owasp-crs-v030001-id244228-cve
3
Erhöhte Empfindlichkeit der Erkennung, um noch mehr Umgehungs- und Verschleierungsversuche zu erkennen, wobei das Risiko einer falsch-positiven Erkennung nur geringfügig steigt
owasp-crs-v030001-id344228-cve
3
Erhöhte Empfindlichkeit der Erkennung, um noch mehr Umgehungs- und Verschleierungsversuche mit base64-Codierung zu erkennen, wobei das Risiko einer falsch-positiven Erkennung nur geringfügig steigt
Sie können eine Regel für eine bestimmte Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredExpr(), um Signaturen für höhere Empfindlichkeitsstufen zu deaktivieren.
Alternativ können Sie eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Standardmäßig wertet Google Cloud Armor alle Signaturen aus, ohne die Empfindlichkeit des Regelsatzes zu konfigurieren.
SQL-Injection-Sicherheitslücke bei JSON-formatierten Inhalten
Die folgende Tabelle enthält die Signatur-ID, die Empfindlichkeitsstufe und die Beschreibung der unterstützten Signatur 942550-sqli. Diese Signatur deckt die Sicherheitslücke ab, bei der böswillige Angreifer die WAF umgehen können, indem sie SQL-Injection-Nutzlasten JSON-Syntax hinzufügen.
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
owasp-crs-id942550-sqli
2
Erkennt alle JSON-basierten SQLi-Vektoren, einschließlich SQLi-Signaturen, die in der URL gefunden werden
Verwenden Sie den folgenden Ausdruck, um die Signatur bereitzustellen:
Wir empfehlen, sqli-v33-stable auch auf Sensibilitätsstufe 2 zu aktivieren, um JSON-basierte SQL-Injection-Umgehungen vollständig zu beheben.
Beschränkungen
Vorkonfigurierte WAF-Regeln für Google Cloud Armor unterliegen den folgenden Einschränkungen:
Es kann einige Minuten dauern, bis WAF-Regeln übernommen werden.
Von den HTTP-Anfragetypen mit einem Anfragetext verarbeitet Google Cloud Armor nur POST-Anfragen. Google Cloud Armor wertet vorkonfigurierte Regeln für die ersten 8 KB des Textinhalts POST aus. Weitere Informationen finden Sie unter POST-Beschränkung von Textkörperinspektion.
Google Cloud Armor kann vorkonfigurierte WAF-Regeln parsen und anwenden, wenn die JSON-Analyse mit einem übereinstimmenden Content-Type-Headerwert aktiviert ist. Weitere Informationen finden Sie unter JSON-Parsing.
Wenn einer vorkonfigurierten WAF-Regel ein Anfragefeldausschluss zugeordnet ist, können Sie die Aktion allow nicht verwenden. Anfragen, die der Ausnahme entsprechen, werden automatisch zugelassen.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Hard to understand","hardToUnderstand","thumb-down"],["Incorrect information or sample code","incorrectInformationOrSampleCode","thumb-down"],["Missing the information/samples I need","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2024-12-21 (UTC)."],[],[]]