Übersicht über die vorkonfigurierten WAF-Regeln für Google Cloud Armor

Vorkonfigurierte WAF-Regeln für Google Cloud Armor sind komplexe Web Application Firewall (WAF)-Regeln mit Dutzenden von Signaturen, die aus Open-Source-Branchenstandards kompiliert wurden. Jede Signatur entspricht einer Angriffserkennungsregel im Regelsatz. Google bietet diese Regeln wie besehen an. Die Regeln ermöglichen es Google Cloud Armor, Dutzende von unterschiedlichen Traffic-Signaturen auszuwerten. Dabei bezieht sich Google Cloud Armor auf Regeln, die praktischerweise benannt sind, anstatt dass Sie jede Signatur manuell definieren müssen.

Vorkonfigurierte WAF-Regeln für Google Cloud Armor können an Ihre Anforderungen angepasst werden. Weitere Informationen zum Optimieren der Regeln finden Sie unter Vorkonfigurierte WAF-Regeln für Google Cloud Armor optimieren.

Die folgende Tabelle enthält eine umfassende Liste vorkonfigurierter WAF-Regeln, die in einer Google Cloud Armor-Sicherheitsrichtlinie verwendet werden können. Die Regelquellen sind ModSecurity Core Rule Set (CRS) 3.0 und CRS 3.3.2. Wir empfehlen Ihnen, Version 3.3 zu verwenden, um die Empfindlichkeit zu erhöhen und eine Vielzahl geschützter Angriffstypen zu erhalten. Derzeit wird CRS 3.0 unterstützt.

CRS 3.3

Name der Google Cloud Armor-Regel Name der ModSecurity-Regel Aktueller Status
SQL-Einschleusung sqli-v33-stable Mit sqli-v33-canary synchronisiert
sqli-v33-canary Neueste
Cross-Site-Scripting xss-v33-stable Mit xss-v33-canary synchronisiert
xss-v33-canary Neueste
Aufnahme lokaler Dateien lfi-v33-stable Mit lfi-v33-canary synchronisiert
lfi-v33-canary Neueste
Remote-Datei einschließen rfi-v33-stable Mit rfi-v33-canary synchronisiert
rfi-v33-canary Neueste
Codeausführung per Fernzugriff rce-v33-stable Mit rce-v33-canary synchronisiert
rce-v33-canary Neueste
Methodenerzwingung methodenforcement-v33-stable Mit methodenforcement-v33-canary synchronisiert
methodenforcement-v33-canary Neueste
Scannererkennung scannerdetection-v33-stable Mit scannerdetection-v33-canary synchronisiert
scannerdetection-v33-canary Neueste
Protokollangriff protocolattack-v33-stable Mit protocolattack-v33-canary synchronisiert
protocolattack-v33-canary Neueste
PHP-Injection-Angriff php-v33-stable Mit php-v33-canary synchronisiert
php-v33-canary Neueste
Sitzungsfixierungsangriff sessionfixation-v33-stable Mit sessionfixation-v33-canary synchronisiert
sessionfixation-v33-canary Neueste
Java-Angriff java-v33-stable Mit java-v33-canary synchronisiert
java-v33-canary Neueste
NodeJS-Angriff nodejs-v33-stable Mit nodejs-v33-canary synchronisiert
nodejs-v33-canary Neueste

CRS 3.0

Name der Google Cloud Armor-Regel Name der ModSecurity-Regel Aktueller Status
SQL-Einschleusung sqli-stable Mit sqli-canary synchronisiert
sqli-canary Neueste
Cross-Site-Scripting xss-stable Mit xss-canary synchronisiert
xss-canary Neueste
Aufnahme lokaler Dateien lfi-stable Mit lfi-canary synchronisiert
lfi-canary Neueste
Remote-Datei einschließen rfi-stable Mit rfi-canary synchronisiert
rfi-canary Neueste
Codeausführung per Fernzugriff rce-stable Mit rce-canary synchronisiert
rce-canary Neueste
Methodenerzwingung methodenforcement-stable Mit methodenforcement-canary synchronisiert
methodenforcement-canary Neueste
Scannererkennung scannerdetection-stable Mit scannerdetection-canary synchronisiert
scannerdetection-canary Neueste
Protokollangriff protocolattack-stable Mit protocolattack-canary synchronisiert
protocolattack-canary Neueste
PHP-Injection-Angriff php-stable Mit php-canary synchronisiert
php-canary Neueste
Sitzungsfixierungsangriff sessionfixation-stable Mit sessionfixation-canary synchronisiert
sessionfixation-canary Neueste
Java-Angriff Not included
NodeJS-Angriff Not included

Darüber hinaus stehen allen Google Cloud Armor-Kunden die folgenden cve-canary-Regeln zur Verfügung, um die folgenden Sicherheitslücken zu erkennen und optional zu blockieren:

  • Log4j-RCE-Sicherheitslücken CVE-2021-44228 und CVE-2021-45046
  • 942550-sqli Sicherheitslücke bei JSON-formatierten Inhalten
Name der Google Cloud Armor-Regel Abgedeckte Sicherheitslückentypen
cve-canary Log4j-Sicherheitslücke
json-sqli-canary JSON-basierte SQL-Injection-Umgehungslücke

Vorkonfigurierte ModSecurity-Regeln

Jede vorkonfigurierte WAF-Regel hat eine Empfindlichkeitsstufe, die einer ModSecurity-Paranoia-Ebene entspricht. Eine niedrigere Empfindlichkeitsstufe weist auf eine vertrauenswürdigere Signatur hin, bei der die Wahrscheinlichkeit eines falsch-positiven Ergebnisses geringer ist. Eine höhere Empfindlichkeitsstufe erhöht die Sicherheit, erhöht aber auch das Risiko, ein falsch-positives Ergebnis zu erzeugen.

SQL-Injection (SQLi)

Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten WAF-Regel für SQLi.

CRS 3.3

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030301-id942100-sqli 1 SQL-Injection-Angriff über libinjection erkannt
owasp-crs-v030301-id942140-sqli 1 Angriff mit SQL-Einschleusung: Allgemeine DB-Namen erkannt
owasp-crs-v030301-id942160-sqli 1 Erkennt blinde SQLI-Tests mit sleep() oder benchmark().
owasp-crs-v030301-id942170-sqli 1 Erkennt SQL-Benchmark- und Sleep-Einschleusungsversuche, einschließlich bedingter Abfragen
owasp-crs-v030301-id942190-sqli 1 Erkennt MSSQL-Codeausführung und Informationserfassungsversuche
owasp-crs-v030301-id942220-sqli 1 Sucht nach Integer-Overflow-Angriffen
owasp-crs-v030301-id942230-sqli 1 Erkennt Angriffsversuche mit bedingter SQL-Einschleusung.
owasp-crs-v030301-id942240-sqli 1 Erkennt MySQL-Zeichensatzwechsel und MSSQL-DoS-Angriffsversuche
owasp-crs-v030301-id942250-sqli 1 Erkennt MATCH AGAINST
owasp-crs-v030301-id942270-sqli 1 Sucht nach einfachen eingeschleuster SQL-Befehlen; gängiger Angriffs-String für MySQL
owasp-crs-v030301-id942280-sqli 1 Erkennt Postgres pg_sleep-Einschleusung
owasp-crs-v030301-id942290-sqli 1 Erkennt Angriffsversuche mit grundlegender MongoDB SQL-Einschleusung
owasp-crs-v030301-id942320-sqli 1 Erkennt Einschleusungen von gespeicherten Prozeduren/Funktionen für MySQL und PostgreSQL.
owasp-crs-v030301-id942350-sqli 1 Erkennt MySQL-UDF-Einschleusungen und andere Versuche der Manipulation von Daten bzw. der Struktur
owasp-crs-v030301-id942360-sqli 1 Erkennt Versuche des Verkettens einfacher eingeschleuster SQL-Befehle und von SQL/LFI
owasp-crs-v030301-id942500-sqli 1 MySQL-Inline-Kommentar erkannt
owasp-crs-v030301-id942110-sqli 2 Angriff mit SQL-Einschleusung: Allgemeine Tests auf Befehlseinschleusung erkannt
owasp-crs-v030301-id942120-sqli 2 Angriff mit SQL-Einschleusung: SQL-Operator erkannt
owasp-crs-v030301-id942130-sqli 2 Angriff mit SQL-Einschleusung: SQL-Numtology erkannt
owasp-crs-v030301-id942150-sqli 2 Angriff mit SQL-Einschleusung
owasp-crs-v030301-id942180-sqli 2 Erkennt Umgehungsversuche der einfachen SQL-Authentifizierung 1/3
owasp-crs-v030301-id942200-sqli 2 Erkennt durch MySQL-Kommentare oder -Leerzeichen verschleierte Einschleusungen und die Terminierung per Backtick
owasp-crs-v030301-id942210-sqli 2 Erkennt verkettete SQL-Einschleusungsversuche
owasp-crs-v030301-id942260-sqli 2 Erkennt Umgehungsversuche der einfachen SQL-Authentifizierung 2/3
owasp-crs-v030301-id942300-sqli 2 Erkennt MySQL-Kommentare
owasp-crs-v030301-id942310-sqli 2 Erkennt verkettete SQL-Einschleusungsversuche 2/2
owasp-crs-v030301-id942330-sqli 2 Erkennt Probings von klassischen SQL-Einschleusungen 1/2
owasp-crs-v030301-id942340-sqli 2 Erkennt Umgehungsversuche der einfachen SQL-Authentifizierung 3/3
owasp-crs-v030301-id942361-sqli 2 Erkennt einfache SQL-Einschleusungen basierend auf Schlüsselwortänderungen oder Union
owasp-crs-v030301-id942370-sqli 2 Erkennt Probings von klassischen SQL-Einschleusungen 2/3
owasp-crs-v030301-id942380-sqli 2 Angriff mit SQL-Einschleusung
owasp-crs-v030301-id942390-sqli 2 Angriff mit SQL-Einschleusung
owasp-crs-v030301-id942400-sqli 2 Angriff mit SQL-Einschleusung
owasp-crs-v030301-id942410-sqli 2 Angriff mit SQL-Einschleusung
owasp-crs-v030301-id942470-sqli 2 Angriff mit SQL-Einschleusung
owasp-crs-v030301-id942480-sqli 2 Angriff mit SQL-Einschleusung
owasp-crs-v030301-id942430-sqli 2 Eingeschränkte Anomalieerkennung für SQL-Zeichen (Argumente): Anzahl von Sonderzeichen überschritten (12)
owasp-crs-v030301-id942440-sqli 2 SQL-Kommentarsequenz erkannt
owasp-crs-v030301-id942450-sqli 2 SQL-Hex-Codierung erkannt
owasp-crs-v030301-id942510-sqli 2 SQLi-Umgang durch erkannte Ticks oder Graviszeichen
owasp-crs-v030301-id942251-sqli 3 Erkennt HAVING-Einschleusungen
owasp-crs-v030301-id942490-sqli 3 Erkennt Probings von klassischen SQL-Einschleusungen 3/3
owasp-crs-v030301-id942420-sqli 3 Eingeschränkte Anomalieerkennung für SQL-Zeichen (Cookies): Anzahl von Sonderzeichen überschritten (8)
owasp-crs-v030301-id942431-sqli 3 Eingeschränkte Anomalieerkennung für SQL-Zeichen (Argumente): Anzahl von Sonderzeichen überschritten (6)
owasp-crs-v030301-id942460-sqli 3 Warnung: Erkennung einer Metazeichenanomalie – Wiederholte Non-Word-Zeichen
owasp-crs-v030301-id942101-sqli 3 SQL-Injection-Angriff über libinjection erkannt
owasp-crs-v030301-id942511-sqli 3 SQLi-Umgehungsversuch durch erkannte Ticks
owasp-crs-v030301-id942421-sqli 4 Eingeschränkte Anomalieerkennung für SQL-Zeichen (Cookies): Anzahl von Sonderzeichen überschritten (3)
owasp-crs-v030301-id942432-sqli 4 Eingeschränkte Anomalieerkennung für SQL-Zeichen (Argumente): Anzahl von Sonderzeichen überschritten (2)

CRS 3.0

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
Not included 1 SQL-Injection-Angriff über libinjection erkannt
owasp-crs-v030001-id942140-sqli 1 Angriff mit SQL-Einschleusung: Allgemeine DB-Namen erkannt
owasp-crs-v030001-id942160-sqli 1 Erkennt blinde SQLI-Tests mit sleep() oder benchmark().
owasp-crs-v030001-id942170-sqli 1 Erkennt SQL-Benchmark- und Sleep-Einschleusungsversuche, einschließlich bedingter Abfragen
owasp-crs-v030001-id942190-sqli 1 Erkennt MSSQL-Codeausführung und Informationserfassungsversuche
owasp-crs-v030001-id942220-sqli 1 Sucht nach Integer-Overflow-Angriffen
owasp-crs-v030001-id942230-sqli 1 Erkennt Angriffsversuche mit bedingter SQL-Einschleusung.
owasp-crs-v030001-id942240-sqli 1 Erkennt MySQL-Zeichensatzwechsel und MSSQL-DoS-Angriffsversuche
owasp-crs-v030001-id942250-sqli 1 Erkennt MATCH AGAINST
owasp-crs-v030001-id942270-sqli 1 Sucht nach einfachen eingeschleuster SQL-Befehlen; gängiger Angriffs-String für MySQL
owasp-crs-v030001-id942280-sqli 1 Erkennt Postgres pg_sleep-Einschleusung
owasp-crs-v030001-id942290-sqli 1 Erkennt Angriffsversuche mit grundlegender MongoDB SQL-Einschleusung
owasp-crs-v030001-id942320-sqli 1 Erkennt Einschleusungen von gespeicherten Prozeduren/Funktionen für MySQL und PostgreSQL.
owasp-crs-v030001-id942350-sqli 1 Erkennt MySQL-UDF-Einschleusungen und andere Versuche der Manipulation von Daten bzw. der Struktur
owasp-crs-v030001-id942360-sqli 1 Erkennt Versuche des Verkettens einfacher eingeschleuster SQL-Befehle und von SQL/LFI
Not included 1 MySQL-Inline-Kommentar erkannt
owasp-crs-v030001-id942110-sqli 2 Angriff mit SQL-Einschleusung: Allgemeine Tests auf Befehlseinschleusung erkannt
owasp-crs-v030001-id942120-sqli 2 Angriff mit SQL-Einschleusung: SQL-Operator erkannt
Not included 2 Angriff mit SQL-Einschleusung: SQL-Numtology erkannt
owasp-crs-v030001-id942150-sqli 2 Angriff mit SQL-Einschleusung
owasp-crs-v030001-id942180-sqli 2 Erkennt Umgehungsversuche der einfachen SQL-Authentifizierung 1/3
owasp-crs-v030001-id942200-sqli 2 Erkennt durch MySQL-Kommentare oder -Leerzeichen verschleierte Einschleusungen und die Terminierung per Backtick
owasp-crs-v030001-id942210-sqli 2 Erkennt verkettete SQL-Einschleusungsversuche
owasp-crs-v030001-id942260-sqli 2 Erkennt Umgehungsversuche der einfachen SQL-Authentifizierung 2/3
owasp-crs-v030001-id942300-sqli 2 Erkennt MySQL-Kommentare
owasp-crs-v030001-id942310-sqli 2 Erkennt verkettete SQL-Einschleusungsversuche 2/2
owasp-crs-v030001-id942330-sqli 2 Erkennt Probings von klassischen SQL-Einschleusungen 1/2
owasp-crs-v030001-id942340-sqli 2 Erkennt Umgehungsversuche der einfachen SQL-Authentifizierung 3/3
Not included 2 Erkennt einfache SQL-Einschleusungen basierend auf Schlüsselwortänderungen oder Union
Not included 2 Erkennt Probings von klassischen SQL-Einschleusungen 2/3
owasp-crs-v030001-id942380-sqli 2 Angriff mit SQL-Einschleusung
owasp-crs-v030001-id942390-sqli 2 Angriff mit SQL-Einschleusung
owasp-crs-v030001-id942400-sqli 2 Angriff mit SQL-Einschleusung
owasp-crs-v030001-id942410-sqli 2 Angriff mit SQL-Einschleusung
Not included 2 Angriff mit SQL-Einschleusung
Not included 2 Angriff mit SQL-Einschleusung
owasp-crs-v030001-id942430-sqli 2 Eingeschränkte Anomalieerkennung für SQL-Zeichen (Argumente): Anzahl von Sonderzeichen überschritten (12)
owasp-crs-v030001-id942440-sqli 2 SQL-Kommentarsequenz erkannt
owasp-crs-v030001-id942450-sqli 2 SQL-Hex-Codierung erkannt
Not included 2 SQLi-Umgang durch erkannte Ticks oder Graviszeichen
owasp-crs-v030001-id942251-sqli 3 Erkennt HAVING-Einschleusungen
Not included 2 Erkennt Probings von klassischen SQL-Einschleusungen 3/3
owasp-crs-v030001-id942420-sqli 3 Eingeschränkte Anomalieerkennung für SQL-Zeichen (Cookies): Anzahl von Sonderzeichen überschritten (8)
owasp-crs-v030001-id942431-sqli 3 Eingeschränkte Anomalieerkennung für SQL-Zeichen (Argumente): Anzahl von Sonderzeichen überschritten (6)
owasp-crs-v030001-id942460-sqli 3 Warnung: Erkennung einer Metazeichenanomalie – Wiederholte Non-Word-Zeichen
Not included 3 SQL-Injection-Angriff über libinjection erkannt
Not included 3 SQLi-Umgehungsversuch durch erkannte Ticks
owasp-crs-v030001-id942421-sqli 4 Eingeschränkte Anomalieerkennung für SQL-Zeichen (Cookies): Anzahl von Sonderzeichen überschritten (3)
owasp-crs-v030001-id942432-sqli 4 Eingeschränkte Anomalieerkennung für SQL-Zeichen (Argumente): Anzahl von Sonderzeichen überschritten (2)

Sie können eine Regel für eine bestimmte Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredExpr(), um Signaturen für höhere Empfindlichkeitsstufen zu deaktivieren.

SQLi-Empfindlichkeitsstufe 1

evaluatePreconfiguredExpr('sqli-v33-stable',
['owasp-crs-v030301-id942110-sqli',
  'owasp-crs-v030301-id942120-sqli',
  'owasp-crs-v030301-id942130-sqli',
  'owasp-crs-v030301-id942150-sqli',
  'owasp-crs-v030301-id942180-sqli',
  'owasp-crs-v030301-id942200-sqli',
  'owasp-crs-v030301-id942210-sqli',
  'owasp-crs-v030301-id942260-sqli',
  'owasp-crs-v030301-id942300-sqli',
  'owasp-crs-v030301-id942310-sqli',
  'owasp-crs-v030301-id942330-sqli',
  'owasp-crs-v030301-id942340-sqli',
  'owasp-crs-v030301-id942361-sqli',
  'owasp-crs-v030301-id942370-sqli',
  'owasp-crs-v030301-id942380-sqli',
  'owasp-crs-v030301-id942390-sqli',
  'owasp-crs-v030301-id942400-sqli',
  'owasp-crs-v030301-id942410-sqli',
  'owasp-crs-v030301-id942470-sqli',
  'owasp-crs-v030301-id942480-sqli',
  'owasp-crs-v030301-id942430-sqli',
  'owasp-crs-v030301-id942440-sqli',
  'owasp-crs-v030301-id942450-sqli',
  'owasp-crs-v030301-id942510-sqli',
  'owasp-crs-v030301-id942251-sqli',
  'owasp-crs-v030301-id942490-sqli',
  'owasp-crs-v030301-id942420-sqli',
  'owasp-crs-v030301-id942431-sqli',
  'owasp-crs-v030301-id942460-sqli',
  'owasp-crs-v030301-id942101-sqli',
  'owasp-crs-v030301-id942511-sqli',
  'owasp-crs-v030301-id942421-sqli',
  'owasp-crs-v030301-id942432-sqli']
)
          
SQLi-Empfindlichkeitsstufe 2

evaluatePreconfiguredExpr('sqli-v33-stable',
 ['owasp-crs-v030301-id942251-sqli',
  'owasp-crs-v030301-id942490-sqli',
  'owasp-crs-v030301-id942420-sqli',
  'owasp-crs-v030301-id942431-sqli',
  'owasp-crs-v030301-id942460-sqli',
  'owasp-crs-v030301-id942101-sqli',
  'owasp-crs-v030301-id942511-sqli',
  'owasp-crs-v030301-id942421-sqli',
  'owasp-crs-v030301-id942432-sqli']
)
SQLi-Empfindlichkeitsstufe 3

evaluatePreconfiguredExpr('sqli-v33-stable',
        ['owasp-crs-v030301-id942421-sqli',
         'owasp-crs-v030301-id942432-sqli']
         )
SQLi-Empfindlichkeitsstufe 4

evaluatePreconfiguredExpr('sqli-v33-stable')

Alternativ können Sie eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Standardmäßig wertet Google Cloud Armor alle Signaturen aus, ohne die Empfindlichkeit des Regelsatzes zu konfigurieren.

CRS 3.3

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 3})
4 evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 4})

CRS 3.0

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 3})
4 evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 4})

Cross-Site-Scripting (XSS)

Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten WAF-Regel für XSS.

CRS 3.3

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030301-id941100-xss 1 XSS-Angriff über Lobinjection erkannt
owasp-crs-v030301-id941110-xss 1 XSS-Filter – Kategorie 1: Skript-Tag-Vektor
owasp-crs-v030301-id941120-xss 1 XSS-Filter – Kategorie 2: Event-Handler-Vektor
owasp-crs-v030301-id941130-xss 1 XSS-Filter – Kategorie 3: Attributvektor
owasp-crs-v030301-id941140-xss 1 XSS-Filter – Kategorie 4: JavaScript-URI-Vektor
owasp-crs-v030301-id941160-xss 1 NoScript XSS InjectionChecker: HTML-Einschleusung
owasp-crs-v030301-id941170-xss 1 NoScript XSS InjectionChecker: Attributeinschleusung
owasp-crs-v030301-id941180-xss 1 Keywords von schwarzer Liste für Knotenvalidierung
owasp-crs-v030301-id941190-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030301-id941200-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030301-id941210-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030301-id941220-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030301-id941230-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030301-id941240-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030301-id941250-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030301-id941260-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030301-id941270-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030301-id941280-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030301-id941290-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030301-id941300-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030301-id941310-xss 1 Falsch formatierte US-ASCII-Codierung für XSS-Filter – Angriff erkannt
owasp-crs-v030301-id941350-xss 1 UTF-7-Codierung – IE XSS – Angriff erkannt
owasp-crs-v030301-id941360-xss 1 Hierarchie-Verschleierung erkannt
owasp-crs-v030301-id941370-xss 1 Globale JavaScript-Variable gefunden
owasp-crs-v030301-id941101-xss 2 XSS-Angriff über Lobinjection erkannt
owasp-crs-v030301-id941150-xss 2 XSS-Filter – Kategorie 5 = Unzulässige HTML-Attribute
owasp-crs-v030301-id941320-xss 2 Möglicher XSS-Angriff erkannt – HTML-Tag-Handler
owasp-crs-v030301-id941330-xss 2 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030301-id941340-xss 2 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030301-id941380-xss 2 AngularJS-Clientvorlagenvorlage erkannt

CRS 3.0

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
Not included 1 XSS-Angriff über Lobinjection erkannt
owasp-crs-v030001-id941110-xss 1 XSS-Filter – Kategorie 1: Skript-Tag-Vektor
owasp-crs-v030001-id941120-xss 1 XSS-Filter – Kategorie 2: Event-Handler-Vektor
owasp-crs-v030001-id941130-xss 1 XSS-Filter – Kategorie 3: Attributvektor
owasp-crs-v030001-id941140-xss 1 XSS-Filter – Kategorie 4: JavaScript-URI-Vektor
owasp-crs-v030001-id941160-xss 1 NoScript XSS InjectionChecker: HTML-Einschleusung
owasp-crs-v030001-id941170-xss 1 NoScript XSS InjectionChecker: Attributeinschleusung
owasp-crs-v030001-id941180-xss 1 Keywords von schwarzer Liste für Knotenvalidierung
owasp-crs-v030001-id941190-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941200-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941210-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941220-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941230-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941240-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941250-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941260-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941270-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941280-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941290-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941300-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941310-xss 1 Falsch formatierte US-ASCII-Codierung für XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941350-xss 1 UTF-7-Codierung – IE XSS – Angriff erkannt
Not included 1 JSFuck / Hieroglyphy-Verschleierung erkannt
Not included 1 Globale JavaScript-Variable gefunden
Not included 2 XSS-Angriff über Lobinjection erkannt
owasp-crs-v030001-id941150-xss 2 XSS-Filter – Kategorie 5 = Unzulässige HTML-Attribute
owasp-crs-v030001-id941320-xss 2 Möglicher XSS-Angriff erkannt – HTML-Tag-Handler
owasp-crs-v030001-id941330-xss 2 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941340-xss 2 IE-XSS-Filter – Angriff erkannt
Not included 2 AngularJS-Clientvorlagenvorlage erkannt

Sie können eine Regel für eine bestimmte Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredExpr(), um Signaturen für höhere Empfindlichkeitsstufen zu deaktivieren.

XSS-Empfindlichkeitsstufe 1

evaluatePreconfiguredExpr('xss-v33-stable',
['owasp-crs-v030301-id941101-xss',
  'owasp-crs-v030301-id941150-xss',
  'owasp-crs-v030301-id941320-xss',
  'owasp-crs-v030301-id941330-xss',
  'owasp-crs-v030301-id941340-xss',
  'owasp-crs-v030301-id941380-xss'
])
          


Alle Signaturen für XSS liegen unter der Empfindlichkeitsstufe 2. Die folgende Konfiguration funktioniert für andere Empfindlichkeitsstufen:

XSS-Empfindlichkeitsstufe 2

evaluatePreconfiguredExpr('xss-v33-stable')

Alternativ können Sie eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Standardmäßig wertet Google Cloud Armor alle Signaturen aus, ohne die Empfindlichkeit des Regelsatzes zu konfigurieren.

CRS 3.3

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('xss-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('xss-v33-stable', {'sensitivity': 2})

CRS 3.0

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('xss-stable', {'sensitivity': 1})

Aufnahme lokaler Dateien (Local File Inclusion, LFI)

Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten WAF-Regel für LFI.

CRS 3.3

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030301-id930100-lfi 1 Angriff mit Pfaddurchlauf (/../)
owasp-crs-v030301-id930110-lfi 1 Angriff mit Pfaddurchlauf (/../)
owasp-crs-v030301-id930120-lfi 1 Zugriffsversuch auf Betriebssystemdatei
owasp-crs-v030301-id930130-lfi 1 Zugriffsversuch auf Datei mit eingeschränktem Zugriff

CRS 3.0

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030001-id930100-lfi 1 Angriff mit Pfaddurchlauf (/../)
owasp-crs-v030001-id930110-lfi 1 Angriff mit Pfaddurchlauf (/../)
owasp-crs-v030001-id930120-lfi 1 Zugriffsversuch auf Betriebssystemdatei
owasp-crs-v030001-id930130-lfi 1 Zugriffsversuch auf Datei mit eingeschränktem Zugriff

Sie können eine Regel für eine bestimmte Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredExpr(), um Signaturen für höhere Empfindlichkeitsstufen zu deaktivieren. Alle Signaturen für LFI entsprechen der Empfindlichkeitsstufe 1. Die folgende Konfiguration funktioniert für alle Empfindlichkeitsstufen:

LFI-Empfindlichkeitsstufe 1

evaluatePreconfiguredExpr('lfi-v33-stable')

Alternativ können Sie eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Alle Signaturen für LFI entsprechen der Empfindlichkeitsstufe 1. Die folgende Konfiguration funktioniert für alle Empfindlichkeitsstufen:

CRS 3.3

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('lfi-v33-stable', {'sensitivity': 1})

CRS 3.0

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('lfi-stable', {'sensitivity': 1})

Codeausführung per Fernzugriff (Remote Code Execution, RCE)

Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten WAF-Regel für RCE.

CRS 3.3

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030301-id932100-rce 1 UNIX-Befehlseinschleusung
owasp-crs-v030301-id932105-rce 1 UNIX-Befehlseinschleusung
owasp-crs-v030301-id932110-rce 1 Windows-Befehlseinschleusung
owasp-crs-v030301-id932115-rce 1 Windows-Befehlseinschleusung
owasp-crs-v030301-id932120-rce 1 Windows PowerShell-Befehl gefunden
owasp-crs-v030301-id932130-rce 1 Unix Shell-Ausdruck gefunden
owasp-crs-v030301-id932140-rce 1 Windows-FOR/IF-Befehl gefunden
owasp-crs-v030301-id932150-rce 1 Direkte Ausführung von UNIX-Befehlen
owasp-crs-v030301-id932160-rce 1 UNIX-Shell-Code gefunden
owasp-crs-v030301-id932170-rce 1 Shellshock (CVE-2014-6271)
owasp-crs-v030301-id932171-rce 1 Shellshock (CVE-2014-6271)
owasp-crs-v030301-id932180-rce 1 Eingeschränkter Dateiupload-Versuch
owasp-crs-v030301-id932200-rce 2 RCE-Bypass-Methode
owasp-crs-v030301-id932106-rce 3 Remotebefehlsausführung: Unix-Befehlseinschleusung
owasp-crs-v030301-id932190-rce 3 Remote Command Execution: Versuch, einen Platzhalter zu umgehen

CRS 3.0

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030001-id932100-rce 1 UNIX-Befehlseinschleusung
owasp-crs-v030001-id932105-rce 1 UNIX-Befehlseinschleusung
owasp-crs-v030001-id932110-rce 1 Windows-Befehlseinschleusung
owasp-crs-v030001-id932115-rce 1 Windows-Befehlseinschleusung
owasp-crs-v030001-id932120-rce 1 Windows PowerShell-Befehl gefunden
owasp-crs-v030001-id932130-rce 1 Unix Shell-Ausdruck gefunden
owasp-crs-v030001-id932140-rce 1 Windows-FOR/IF-Befehl gefunden
owasp-crs-v030001-id932150-rce 1 Direkte Ausführung von UNIX-Befehlen
owasp-crs-v030001-id932160-rce 1 UNIX-Shell-Code gefunden
owasp-crs-v030001-id932170-rce 1 Shellshock (CVE-2014-6271)
owasp-crs-v030001-id932171-rce 1 Shellshock (CVE-2014-6271)
Not included 1 Eingeschränkter Dateiupload-Versuch
Not included 2 RCE-Bypass-Methode
Not included 3 Remotebefehlsausführung: Unix-Befehlseinschleusung
Not included 3 Remote Command Execution: Versuch, einen Platzhalter zu umgehen

Sie können eine Regel für eine bestimmte Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredExpr(), um Signaturen für höhere Empfindlichkeitsstufen zu deaktivieren. Die folgende Konfiguration funktioniert für alle Empfindlichkeitsstufen:

RCE-Empfindlichkeitsstufe 1

evaluatePreconfiguredExpr('rce-v33-stable',
          ['owasp-crs-v030301-id932200-rce',
           'owasp-crs-v030301-id932106-rce',
           'owasp-crs-v030301-id932190-rce'])
          
RCE-Empfindlichkeitsstufe 2

evaluatePreconfiguredExpr('rce-v33-stable',
           [ 'owasp-crs-v030301-id932106-rce',
           'owasp-crs-v030301-id932190-rce'])
          
RCE-Empfindlichkeitsstufe 3

evaluatePreconfiguredExpr('rce-v33-stable')

Alternativ können Sie eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Alle Signaturen für RCE entsprechen der Empfindlichkeitsstufe 1. Die folgende Konfiguration funktioniert für alle Empfindlichkeitsstufen:

CRS 3.3

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 3})

CRS 3.0

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 3})

Datei-Aufnahme per Fernzugriff (Remote File Inclusion, RFI)

Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten WAF-Regel für RFI.

CRS 3.3

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030301-id931100-rfi 1 Verwendung von IP-Adresse für URL-Parameter
owasp-crs-v030301-id931110-rfi 1 Verwendung eines häufigen und für RFI anfälligen Parameternamens mit URL-Nutzlast
owasp-crs-v030301-id931120-rfi 1 Verwendung von URL-Nutzlast mit nachgestelltem Fragezeichen (?)
owasp-crs-v030301-id931130-rfi 2 Domain-externer Verweis/Link

CRS 3.0

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030001-id931100-rfi 1 Verwendung von IP-Adresse für URL-Parameter
owasp-crs-v030001-id931110-rfi 1 Verwendung eines häufigen und für RFI anfälligen Parameternamens mit URL-Nutzlast
owasp-crs-v030001-id931120-rfi 1 Verwendung von URL-Nutzlast mit nachgestelltem Fragezeichen (?)
owasp-crs-v030001-id931130-rfi 2 Domain-externer Verweis/Link

Sie können eine Regel für eine bestimmte Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredExpr(), um Signaturen für höhere Empfindlichkeitsstufen zu deaktivieren.

RFI-Empfindlichkeitsstufe 1

evaluatePreconfiguredExpr('rfi-v33-stable', ['owasp-crs-v030301-id931130-rfi'])

Alle Signaturen für RFI liegen unter der Empfindlichkeitsstufe 2. Die folgende Konfiguration funktioniert für andere Empfindlichkeitsstufen:

RFI-Empfindlichkeitsstufe 2

evaluatePreconfiguredExpr('rfi-v33-stable')

Alternativ können Sie eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Standardmäßig wertet Google Cloud Armor alle Signaturen aus, ohne die Empfindlichkeit des Regelsatzes zu konfigurieren.

CRS 3.3

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('rfi-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('rfi-v33-stable', {'sensitivity': 2})

CRS 3.0

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('rfi-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('rfi-stable', {'sensitivity': 2})

Methodenerzwingung

Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten Methodenerzwingungsregel.

CRS 3.3

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030301-id911100-methodenforcement 1 Methode ist gemäß Richtlinie nicht zulässig

CRS 3.0

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030001-id911100-methodenforcement 1 Methode ist gemäß Richtlinie nicht zulässig

Sie können eine Regel für eine bestimmte Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredExpr(), um Signaturen für höhere Empfindlichkeitsstufen zu deaktivieren. Alle Signaturen für die Methodenerzwingung entsprechen der Empfindlichkeitsstufe 1. Die folgende Konfiguration funktioniert für andere Empfindlichkeitsstufen:

Empfindlichkeitsstufe 1 für Methodenerzwingung

evaluatePreconfiguredExpr('methodenforcement-v33-stable')

Alternativ können Sie eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Standardmäßig wertet Google Cloud Armor alle Signaturen aus, ohne die Empfindlichkeit des Regelsatzes zu konfigurieren.

CRS 3.3

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('methodenforcement-v33-stable', {'sensitivity': 1})

CRS 3.0

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('methodenforcement-stable', {'sensitivity': 1})

Scannererkennung

Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten Scannererkennungsregel.

CRS 3.3

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030301-id913100-scannerdetection 1 User-Agent gefunden, der mit dem Sicherheitsscanner verknüpft ist
owasp-crs-v030301-id913110-scannerdetection 1 Anfrageheader gefunden, der mit dem Sicherheitsscanner verknüpft ist
owasp-crs-v030301-id913120-scannerdetection 1 Dateiname oder Argument für Anfrage gefunden, der/das mit dem Sicherheitsscanner verknüpft ist
owasp-crs-v030301-id913101-scannerdetection 2 User-Agent gefunden, der mit Scripting/generischem HTTP-Client verknüpft ist
owasp-crs-v030301-id913102-scannerdetection 2 User-Agent gefunden, der mit Web-Crawler/Bot verknüpft ist

CRS 3.0

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030001-id913100-scannerdetection 1 User-Agent gefunden, der mit dem Sicherheitsscanner verknüpft ist
owasp-crs-v030001-id913110-scannerdetection 1 Anfrageheader gefunden, der mit dem Sicherheitsscanner verknüpft ist
owasp-crs-v030001-id913120-scannerdetection 1 Dateiname oder Argument für Anfrage gefunden, der/das mit dem Sicherheitsscanner verknüpft ist
owasp-crs-v030001-id913101-scannerdetection 2 User-Agent gefunden, der mit Scripting/generischem HTTP-Client verknüpft ist
owasp-crs-v030001-id913102-scannerdetection 2 User-Agent gefunden, der mit Web-Crawler/Bot verknüpft ist

Sie können eine Regel für eine bestimmte Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredExpr(), um Signaturen für höhere Empfindlichkeitsstufen zu deaktivieren.

Empfindlichkeitsstufe 1 der Scannererkennung

evaluatePreconfiguredExpr('scannerdetection-v33-stable',
  ['owasp-crs-v030301-id913101-scannerdetection',
  'owasp-crs-v030301-id913102-scannerdetection']
)
          
Empfindlichkeitsstufe 2 der Scannererkennung

evaluatePreconfiguredExpr('scannerdetection-v33-stable')
          

Alternativ können Sie eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Standardmäßig wertet Google Cloud Armor alle Signaturen aus, ohne die Empfindlichkeit des Regelsatzes zu konfigurieren.

CRS 3.3

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('scannerdetection-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('scannerdetection-v33-stable', {'sensitivity': 2})

CRS 3.0

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('scannerdetection-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('scannerdetection-stable', {'sensitivity': 2})

Protokollangriff

Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten Protokollangriffsregel.

CRS 3.3

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
Not included 1 HTTP-Anfrage-Schmuggelangriff
owasp-crs-v030301-id921110-protocolattack 1 HTTP-Anfrage-Schmuggelangriff
owasp-crs-v030301-id921120-protocolattack 1 HTTP-Antwort-Aufteilungsangriff
owasp-crs-v030301-id921130-protocolattack 1 HTTP-Antwort-Aufteilungsangriff
owasp-crs-v030301-id921140-protocolattack 1 HTTP-Header-Injection-Angriff über Header
owasp-crs-v030301-id921150-protocolattack 1 HTTP-Header-Injection-Angriff über Nutzlast (CR/LF erkannt)
owasp-crs-v030301-id921160-protocolattack 1 HTTP-Header-Injection-Angriff über Nutzlast (CR/LF und Header-Name erkannt)
owasp-crs-v030301-id921190-protocolattack 1 HTTP-Aufteilung (CR/LF im Dateinamen der Anfrage erkannt)
owasp-crs-v030301-id921200-protocolattack 1 Angriff mit LDAP-Einschleusung
owasp-crs-v030301-id921151-protocolattack 2 HTTP-Header-Injection-Angriff über Nutzlast (CR/LF erkannt)
owasp-crs-v030301-id921170-protocolattack 3 HTTP-Parameter-Pollution

CRS 3.0

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030001-id921100-protocolattack 1 HTTP-Anfrage-Schmuggelangriff
owasp-crs-v030001-id921110-protocolattack 1 HTTP-Anfrage-Schmuggelangriff
owasp-crs-v030001-id921120-protocolattack 1 HTTP-Antwort-Aufteilungsangriff
owasp-crs-v030001-id921130-protocolattack 1 HTTP-Antwort-Aufteilungsangriff
owasp-crs-v030001-id921140-protocolattack 1 HTTP-Header-Injection-Angriff über Header
owasp-crs-v030001-id921150-protocolattack 1 HTTP-Header-Injection-Angriff über Nutzlast (CR/LF erkannt)
owasp-crs-v030001-id921160-protocolattack 1 HTTP-Header-Injection-Angriff über Nutzlast (CR/LF und Header-Name erkannt)
Not included 1 HTTP-Aufteilung (CR/LF im Dateinamen der Anfrage erkannt)
Not included 1 Angriff mit LDAP-Einschleusung
owasp-crs-v030001-id921151-protocolattack 2 HTTP-Header-Injection-Angriff über Nutzlast (CR/LF erkannt)
owasp-crs-v030001-id921170-protocolattack 3 HTTP-Parameter-Pollution

Sie können eine Regel für eine bestimmte Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredExpr(), um Signaturen für höhere Empfindlichkeitsstufen zu deaktivieren.

Empfindlichkeitsstufe 1 für Protokollangriff

evaluatePreconfiguredExpr('protocolattack-v33-stable',
  ['owasp-crs-v030301-id921151-protocolattack',
  'owasp-crs-v030301-id921170-protocolattack']
)
          
Empfindlichkeitsstufe 2 für Protokollangriff

evaluatePreconfiguredExpr('protocolattack-v33-stable',
  ['owasp-crs-v030301-id921170-protocolattack']
)
          
Empfindlichkeitsstufe 3 für Protokollangriff

evaluatePreconfiguredExpr('protocolattack-v33-stable')
          

Alternativ können Sie eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Standardmäßig wertet Google Cloud Armor alle Signaturen aus, ohne die Empfindlichkeit des Regelsatzes zu konfigurieren.

CRS 3.3

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 3})

CRS 3.0

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 3})

PHP

Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten WAF-Regel für PHP.

CRS 3.3

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030301-id933100-php 1 PHP-Injektionsangriff: PHP Open Tag gefunden
owasp-crs-v030301-id933110-php 1 PHP-Injektionsangriff: PHP-Skriptdatei-Upload gefunden
owasp-crs-v030301-id933120-php 1 PHP-Injektionsangriff: Konfigurationsanweisung gefunden
owasp-crs-v030301-id933130-php 1 PHP-Injektionsangriff: Variablen gefunden
owasp-crs-v030301-id933140-php 1 PHP-Injektionsangriff: E/A-Stream gefunden
owasp-crs-v030301-id933200-php 1 PHP-Injektionsangriff: Wrapper-Schema erkannt
owasp-crs-v030301-id933150-php 1 PHP-Injektionsangriff: PHP-Funktionsname mit hohem Risiko gefunden
owasp-crs-v030301-id933160-php 1 PHP-Injektionsangriff: PHP-Funktionsaufruf mit hohem Risiko gefunden
owasp-crs-v030301-id933170-php 1 PHP-Injektionsangriff: Serialisierte Objektinjektion
owasp-crs-v030301-id933180-php 1 PHP-Injektionsangriff: Variabler Funktionsaufruf gefunden
owasp-crs-v030301-id933210-php 1 PHP-Injektionsangriff: Variabler Funktionsaufruf gefunden
owasp-crs-v030301-id933151-php 2 PHP-Injektionsangriff: PHP-Funktionsname mit mittlerem Risiko gefunden
owasp-crs-v030301-id933131-php 3 PHP-Injektionsangriff: Variablen gefunden
owasp-crs-v030301-id933161-php 3 PHP-Injektionsangriff: PHP-Funktionsaufruf mit niedrigem Wert gefunden
owasp-crs-v030301-id933111-php 3 PHP-Injektionsangriff: PHP-Skriptdatei-Upload gefunden
owasp-crs-v030301-id933190-php 3 PHP-Injektionsangriff: PHP Closing Tag gefunden

CRS 3.0

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030001-id933100-php 1 PHP-Injektionsangriff: PHP Open Tag gefunden
owasp-crs-v030001-id933110-php 1 PHP-Injektionsangriff: PHP-Skriptdatei-Upload gefunden
owasp-crs-v030001-id933120-php 1 PHP-Injektionsangriff: Konfigurationsanweisung gefunden
owasp-crs-v030001-id933130-php 1 PHP-Injektionsangriff: Variablen gefunden
owasp-crs-v030001-id933140-php 1 PHP-Injektionsangriff: E/A-Stream gefunden
Not included 1 PHP-Injektionsangriff: Wrapper-Schema erkannt
owasp-crs-v030001-id933150-php 1 PHP-Injektionsangriff: PHP-Funktionsname mit hohem Risiko gefunden
owasp-crs-v030001-id933160-php 1 PHP-Injektionsangriff: PHP-Funktionsaufruf mit hohem Risiko gefunden
owasp-crs-v030001-id933170-php 1 PHP-Injektionsangriff: Serialisierte Objektinjektion
owasp-crs-v030001-id933180-php 1 PHP-Injektionsangriff: Variabler Funktionsaufruf gefunden
Not included 1 PHP-Injektionsangriff: Variabler Funktionsaufruf gefunden
owasp-crs-v030001-id933151-php 2 PHP-Injektionsangriff: PHP-Funktionsname mit mittlerem Risiko gefunden
owasp-crs-v030001-id933131-php 3 PHP-Injektionsangriff: Variablen gefunden
owasp-crs-v030001-id933161-php 3 PHP-Injektionsangriff: PHP-Funktionsaufruf mit niedrigem Wert gefunden
owasp-crs-v030001-id933111-php 3 PHP-Injektionsangriff: PHP-Skriptdatei-Upload gefunden
Not included 3 PHP-Injektionsangriff: PHP Closing Tag gefunden

Sie können eine Regel für eine bestimmte Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredExpr(), um Signaturen für höhere Empfindlichkeitsstufen zu deaktivieren.

Empfindlichkeitsstufe 1 für PHP-Injektionsangriff

evaluatePreconfiguredExpr('php-v33-stable',
['owasp-crs-v030301-id933151-php',
  'owasp-crs-v030301-id933131-php',
  'owasp-crs-v030301-id933161-php',
  'owasp-crs-v030301-id933111-php',
  'owasp-crs-v030301-id933190-php']
)
          
Empfindlichkeitsstufe 2 für PHP-Injektionsangriff

evaluatePreconfiguredExpr('php-v33-stable',
  ['owasp-crs-v0303001-id933131-php',
  'owasp-crs-v0303001-id933161-php',
  'owasp-crs-v0303001-id933111-php',
  'owasp-crs-v030301-id933190-php'])
          
Empfindlichkeitsstufe 3 für PHP-Injektionsangriff

evaluatePreconfiguredExpr('php-v33-stable')
          

Alternativ können Sie eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Standardmäßig wertet Google Cloud Armor alle Signaturen aus, ohne die Empfindlichkeit des Regelsatzes zu konfigurieren.

CRS 3.3

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 3})

CRS 3.0

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('php-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('php-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('php-stable', {'sensitivity': 3})

Sitzungsfixierung

Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten Sitzungsfixierungsregel.

CRS 3.3

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030301-id943100-sessionfixation 1 Möglicher Sitzungsfixierungsangriff: Cookie-Werte in HTML festlegen
owasp-crs-v030301-id943110-sessionfixation 1 Möglicher Sitzungsfixierungsangriff: SessionID-Parametername mit Verweis außerhalb der Domain
owasp-crs-v030301-id943120-sessionfixation 1 Möglicher Sitzungsfixierungsangriff: SessionID-Parametername ohne Verweis

CRS 3.0

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030001-id943100-sessionfixation 1 Möglicher Sitzungsfixierungsangriff: Cookie-Werte in HTML festlegen
owasp-crs-v030001-id943110-sessionfixation 1 Möglicher Sitzungsfixierungsangriff: SessionID-Parametername mit Verweis außerhalb der Domain
owasp-crs-v030001-id943120-sessionfixation 1 Möglicher Sitzungsfixierungsangriff: SessionID-Parametername ohne Verweis

Sie können eine Regel für eine bestimmte Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredExpr(), um Signaturen für höhere Empfindlichkeitsstufen zu deaktivieren. Alle Signaturen für die Sitzungsfixierung entsprechen der Empfindlichkeitsstufe 1. Die folgende Konfiguration funktioniert für alle Empfindlichkeitsstufen:

Empfindlichkeitsstufe 1 für Sitzungsfixierung

evaluatePreconfiguredExpr('sessionfixation-v33-stable')

Alternativ können Sie eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Alle Signaturen für die Sitzungsfixierung entsprechen der Empfindlichkeitsstufe 1. Die folgende Konfiguration funktioniert für alle Empfindlichkeitsstufen:

CRS 3.3

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('sessionfixation-v33-stable', {'sensitivity': 1})

CRS 3.0

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('sessionfixation-stable', {'sensitivity': 1})

Java-Angriff

Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten Java-Angriffsregel.

CRS 3.3

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030301-id944100-java 1 Remote-Befehlsausführung: Verdächtige Java-Klasse erkannt
owasp-crs-v030301-id944110-java 1 Remote-Befehlsausführung: Java-Prozess erzeugen (CVE-2017-9805)
owasp-crs-v030301-id944120-java 1 Remote-Befehlsausführung: Java-Serialisierung (CVE-2015-4852)
owasp-crs-v030301-id944130-java 1 Verdächtige Java-Klasse erkannt
owasp-crs-v030301-id944200-java 2 Magische Bytes erkannt, wahrscheinliche Java-Serialisierung
owasp-crs-v030301-id944210-java 2 Magische Bytes erkannt, Base64-codiert, wahrscheinlich Java-Serialisierung verwendet
owasp-crs-v030301-id944240-java 2 Remote-Befehlsausführung: Java-Serialisierung (CVE-2015-4852)
owasp-crs-v030301-id944250-java 2 Remote-Befehlsausführung: Verdächtige Java-Methode erkannt
owasp-crs-v030301-id944300-java 3 Base64-codierter String, der mit verdächtigem Suchbegriff übereinstimmt

CRS 3.0

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
Not included 1 Remote-Befehlsausführung: Verdächtige Java-Klasse erkannt
Not included 1 Remote-Befehlsausführung: Java-Prozess erzeugen (CVE-2017-9805)
Not included 1 Remote-Befehlsausführung: Java-Serialisierung (CVE-2015-4852)
Not included 1 Verdächtige Java-Klasse erkannt
Not included 2 Magische Bytes erkannt, wahrscheinliche Java-Serialisierung
Not included 2 Magische Bytes erkannt, Base64-codiert, wahrscheinlich Java-Serialisierung verwendet
Not included 2 Remote-Befehlsausführung: Java-Serialisierung (CVE-2015-4852)
Not included 2 Remote-Befehlsausführung: Verdächtige Java-Methode erkannt
Not included 3 Base64-codierter String, der mit verdächtigem Suchbegriff übereinstimmt

Sie können eine Regel für eine bestimmte Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredExpr(), um Signaturen für höhere Empfindlichkeitsstufen zu deaktivieren.

Empfindlichkeitsstufe 1 für Java-Angriff

evaluatePreconfiguredExpr('java-v33-stable',
['owasp-crs-v030301-id944200-java',
 'owasp-crs-v030301-id944210-java',
 'owasp-crs-v030301-id944240-java',
 'owasp-crs-v030301-id944250-java',
 'owasp-crs-v030301-id944300-java'])
          
Empfindlichkeitsstufe 2 für Java-Angriff

evaluatePreconfiguredExpr('java-v33-stable',
['owasp-crs-v030301-id944300-java'])
          
Empfindlichkeitsstufe 3 für Java-Angriff

evaluatePreconfiguredExpr('java-v33-stable')
          

Alternativ können Sie eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Standardmäßig wertet Google Cloud Armor alle Signaturen aus, ohne die Empfindlichkeit des Regelsatzes zu konfigurieren.

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 3})

NodeJS-Angriff

Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten NodeJS-Angriffsregel.

Die folgenden vorkonfigurierten WAF-Regelsignaturen sind nur in CRS 3.3 enthalten.

CRS 3.3

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030301-id934100-nodejs 1 Node.js-Injektionsangriff

CRS 3.0

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
Not included 1 Node.js-Injektionsangriff

Sie können eine Regel für eine bestimmte Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredExpr(), um Signaturen für höhere Empfindlichkeitsstufen zu deaktivieren. Alle Signaturen für NodeJS-Angriffe entsprechen der Empfindlichkeitsstufe 1. Die folgende Konfiguration funktioniert für andere Empfindlichkeitsstufen:

NodeJS-Empfindlichkeitsstufe 1

evaluatePreconfiguredExpr('nodejs-v33-stable')

Alternativ können Sie eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Alle Signaturen für den NodeJS-Angriff entsprechen der Empfindlichkeitsstufe 1. Die folgende Konfiguration funktioniert für andere Empfindlichkeitsstufen:

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('nodejs-v33-stable', {'sensitivity': 1})

CVEs und andere Sicherheitslücken

Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten Regel für die CVE-Log4j-RCE-Sicherheitslücke.

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030001-id044228-cve 1 Basisregel zur Erkennung von Exploit-Versuchen von CVE-2021-44228 und CVE-2021-45046
owasp-crs-v030001-id144228-cve 1 Von Google bereitgestellte Verbesserungen, um mehr Umgehungs- und Verschleierungsversuche abzudecken
owasp-crs-v030001-id244228-cve 3 Erhöhte Empfindlichkeit der Erkennung, um noch mehr Umgehungs- und Verschleierungsversuche zu erkennen, wobei das Risiko einer falsch-positiven Erkennung nur geringfügig steigt
owasp-crs-v030001-id344228-cve 3 Erhöhte Empfindlichkeit der Erkennung, um noch mehr Umgehungs- und Verschleierungsversuche mit base64-Codierung zu erkennen, wobei das Risiko einer falsch-positiven Erkennung nur geringfügig steigt

Sie können eine Regel für eine bestimmte Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredExpr(), um Signaturen für höhere Empfindlichkeitsstufen zu deaktivieren.

CVE-Empfindlichkeitsstufe 1

evaluatePreconfiguredExpr('cve-canary', ['owasp-crs-v030001-id244228-cve',
  'owasp-crs-v030001-id344228-cve'])
          
CVE-Empfindlichkeitsstufe 3

evaluatePreconfiguredExpr('cve-canary')

Alternativ können Sie eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Standardmäßig wertet Google Cloud Armor alle Signaturen aus, ohne die Empfindlichkeit des Regelsatzes zu konfigurieren.

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('cve-canary', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('cve-canary', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('cve-canary', {'sensitivity': 3})

SQL-Injection-Sicherheitslücke bei JSON-formatierten Inhalten

Die folgende Tabelle enthält die Signatur-ID, die Empfindlichkeitsstufe und die Beschreibung der unterstützten Signatur 942550-sqli. Diese Signatur deckt die Sicherheitslücke ab, bei der böswillige Angreifer die WAF umgehen können, indem sie SQL-Injection-Nutzlasten JSON-Syntax hinzufügen.

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-id942550-sqli 2 Erkennt alle JSON-basierten SQLi-Vektoren, einschließlich SQLi-Signaturen, die in der URL gefunden werden

Verwenden Sie den folgenden Ausdruck, um die Signatur bereitzustellen:

  evaluatePreconfiguredWaf('json-sqli-canary', {'sensitivity':0, 'opt_in_rule_ids': ['owasp-crs-id942550-sqli']})
  

Wir empfehlen, sqli-v33-stable auch auf Sensibilitätsstufe 2 zu aktivieren, um JSON-basierte SQL-Injection-Umgehungen vollständig zu beheben.

Beschränkungen

Vorkonfigurierte WAF-Regeln für Google Cloud Armor unterliegen den folgenden Einschränkungen:

  • Es kann einige Minuten dauern, bis WAF-Regeln übernommen werden.
  • Von den HTTP-Anfragetypen mit einem Anfragetext verarbeitet Google Cloud Armor nur POST-Anfragen. Google Cloud Armor wertet vorkonfigurierte Regeln für die ersten 8 KB des Textinhalts POST aus. Weitere Informationen finden Sie unter POST-Beschränkung von Textkörperinspektion.
  • Google Cloud Armor kann vorkonfigurierte WAF-Regeln parsen und anwenden, wenn die JSON-Analyse mit einem übereinstimmenden Content-Type-Headerwert aktiviert ist. Weitere Informationen finden Sie unter JSON-Parsing.
  • Wenn einer vorkonfigurierten WAF-Regel ein Anfragefeldausschluss zugeordnet ist, können Sie die Aktion allow nicht verwenden. Anfragen, die der Ausnahme entsprechen, werden automatisch zugelassen.

Nächste Schritte