Visão geral das regras WAF pré-configuradas do Google Cloud Armor

As regras WAF pré-configuradas do Google Cloud Armor são regras complexas do firewall de aplicativos da Web (WAF, na sigla em inglês) com dezenas de assinaturas compiladas a partir dos padrões do setor de código aberto. Cada assinatura corresponde a uma regra de detecção de ataque no conjunto de regras. O Google oferece essas regras no estado em que se encontram. Elas permitem que o Google Cloud Armor avalie dezenas de assinaturas de tráfego distintas consultando regras com nomes convenientes, em vez de exigir que você defina cada assinatura manualmente.

As regras WAF pré-configuradas do Google Cloud Armor podem ser ajustadas para atender melhor às suas necessidades. Para mais informações sobre como ajustar as regras, consulte Ajustar as regras WAF pré-configuradas do Google Cloud Armor.

A tabela a seguir contém uma lista abrangente de regras do WAF pré-configuradas que estão disponíveis para uso em uma política de segurança do Google Cloud Armor. As origens de regras são o Conjunto de regras principais (CRS) do ModSecurity 3.0 e o CRS 3.3.2. Recomendamos o uso da versão 3.3 para aumentar a sensibilidade e abrangência de tipos de ataque protegidos. A compatibilidade com o CRS 3.0 está em andamento.

CRS 3.3

Nome da regra do Google Cloud Armor Nome da regra do ModSecurity Status atual
Injeção de SQL sqli-v33-stable Sincronizado com sqli-v33-canary
sqli-v33-canary Mais recente
Scripting em vários locais xss-v33-stable Sincronizado com xss-v33-canary
xss-v33-canary Mais recente
Inclusão de arquivo local lfi-v33-stable Sincronizado com lfi-v33-canary
lfi-v33-canary Mais recente
Inclusão de arquivo remoto rfi-v33-stable Sincronizado com rfi-v33-canary
rfi-v33-canary Mais recente
Execução remota de código rce-v33-stable Sincronizado com rce-v33-canary
rce-v33-canary Mais recente
Aplicação de métodos methodenforcement-v33-stable Sincronizado com methodenforcement-v33-canary
methodenforcement-v33-canary Mais recente
Detecção de verificação scannerdetection-v33-stable Sincronizado com scannerdetection-v33-canary
scannerdetection-v33-canary Mais recente
Ataque de protocolo protocolattack-v33-stable Sincronizado com protocolattack-v33-canary
protocolattack-v33-canary Mais recente
Ataque de injeção PHP php-v33-stable Sincronizado com php-v33-canary
php-v33-canary Mais recente
Ataque de fixação de sessão sessionfixation-v33-stable Sincronizado com sessionfixation-v33-canary
sessionfixation-v33-canary Mais recente
Ataque de Java java-v33-stable Sincronizado com java-v33-canary
java-v33-canary Mais recente
Ataque de NodeJS nodejs-v33-stable Sincronizado com nodejs-v33-canary
nodejs-v33-canary Mais recente

CRS 3.0

Nome da regra do Google Cloud Armor Nome da regra do ModSecurity Status atual
Injeção de SQL sqli-stable Sincronizado com sqli-canary
sqli-canary Mais recente
Scripting em vários locais xss-stable Sincronizado com xss-canary
xss-canary Mais recente
Inclusão de arquivo local lfi-stable Sincronizado com lfi-canary
lfi-canary Mais recente
Inclusão de arquivo remoto rfi-stable Sincronizado com rfi-canary
rfi-canary Mais recente
Execução remota de código rce-stable Sincronizado com rce-canary
rce-canary Mais recente
Aplicação de métodos methodenforcement-stable Sincronizado com methodenforcement-canary
methodenforcement-canary Mais recente
Detecção de verificação scannerdetection-stable Sincronizado com scannerdetection-canary
scannerdetection-canary Mais recente
Ataque de protocolo protocolattack-stable Sincronizado com protocolattack-canary
protocolattack-canary Mais recente
Ataque de injeção PHP php-stable Sincronizado com php-canary
php-canary Mais recente
Ataque de fixação de sessão sessionfixation-stable Sincronizado com sessionfixation-canary
sessionfixation-canary Mais recente
Ataque de Java Not included
Ataque de NodeJS Not included

Além disso, as regras cve-canary a seguir estão disponíveis para todos os clientes do Google Cloud Armor para ajudá-los a detectar e, se quiserem, bloquear estas vulnerabilidades:

  • Vulnerabilidades de RCE Log4j CVE-2021-44228 e CVE-2021-45046
  • Vulnerabilidade de conteúdo no formato JSON 942550-sqli
Nome da regra do Google Cloud Armor Tipos de vulnerabilidade cobertos
cve-canary Vulnerabilidade do Log4j
json-sqli-canary Vulnerabilidade de desvio por injeção SQL baseada em JSON

Regras ModSecurity pré-configuradas

Cada regra WAF pré-configurada tem um nível de sensibilidade que corresponde a um nível de paranoia do ModSecurity. Um nível de sensibilidade mais baixo indica uma assinatura com maior confiança, o que diminui a probabilidade de gerar um falso positivo. Um nível de sensibilidade mais alto aumenta a segurança, mas também aumenta o risco de gerar um falso positivo.

Injeção de SQL (SQLi)

A tabela a seguir fornece o ID da assinatura, o nível de confidencialidade e a descrição de cada assinatura compatível na regra WAF pré-configurada do SQLi.

CRS 3.3

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
owasp-crs-v030301-id942100-sqli 1 Ataque de injeção de SQL detectado por libinjectão
owasp-crs-v030301-id942140-sqli 1 Ataque de injeção de SQL: nomes comuns de banco de dados detectados
owasp-crs-v030301-id942160-sqli 1 Detecta testes de SQLi cegos usando sleep() ou benchmark()
owasp-crs-v030301-id942170-sqli 1 Detecta tentativas de injeção de SQL com sleep e benchmark, incluindo consultas condicionais
owasp-crs-v030301-id942190-sqli 1 Detecta execução de código MSSQL e tentativas de coleta de informações
owasp-crs-v030301-id942220-sqli 1 Procura ataques de fluxo intenso de números inteiros
owasp-crs-v030301-id942230-sqli 1 Detecta tentativas condicionais de injeção de SQL
owasp-crs-v030301-id942240-sqli 1 Detecta troca de charset do MySQL e tentativas de DoS do MSSQL
owasp-crs-v030301-id942250-sqli 1 Detecta MATCH AGAINST
owasp-crs-v030301-id942270-sqli 1 Procura injeção de SQL básica e string de ataque comum para o MySQL
owasp-crs-v030301-id942280-sqli 1 Detecta a injeção de pg_sleep do Postgres
owasp-crs-v030301-id942290-sqli 1 Localiza tentativas básicas de injeção de SQL no MongoDB
owasp-crs-v030301-id942320-sqli 1 Detecta injeções de procedimento/função armazenadas em MySQL e PostgreSQL
owasp-crs-v030301-id942350-sqli 1 Detecta injeção de UDF no MySQL e outras tentativas de manipulação de dados/estrutura
owasp-crs-v030301-id942360-sqli 1 Detecta injeção de SQL concatenada básica e tentativas de SQLLFI
owasp-crs-v030301-id942500-sqli 1 Comentário in-line do MySQL detectado
owasp-crs-v030301-id942110-sqli 2 Ataque de injeção SQL: teste de injeção comum detectado
owasp-crs-v030301-id942120-sqli 2 Ataque de injeção SQL: operador SQL detectado
owasp-crs-v030301-id942130-sqli 2 Ataque de injeção de SQL: Tautologia SQL detectada
owasp-crs-v030301-id942150-sqli 2 Ataque de injeção SQL
owasp-crs-v030301-id942180-sqli 2 Detecta tentativas básicas de desvio de autenticação SQL (1/3)
owasp-crs-v030301-id942200-sqli 2 Detecta injeções de MySQL ofuscadas por espaço/comentários e terminadas em crase
owasp-crs-v030301-id942210-sqli 2 Detecta tentativas de injeção SQL encadeadas (1/2)
owasp-crs-v030301-id942260-sqli 2 Detecta tentativas básicas de desvio de autenticação SQL (2/3)
owasp-crs-v030301-id942300-sqli 2 Detecta comentários no MySQL
owasp-crs-v030301-id942310-sqli 2 Detecta tentativas de injeção SQL encadeadas (2/2)
owasp-crs-v030301-id942330-sqli 2 Detecta sondagens clássicas de injeção SQL (1/2)
owasp-crs-v030301-id942340-sqli 2 Detecta tentativas básicas de desvio de autenticação SQL (3/3)
owasp-crs-v030301-id942361-sqli 2 Detecta injeção básica de SQL com base na união ou alteração de palavra-chave
owasp-crs-v030301-id942370-sqli 2 Detecta sondagens clássicas de injeção SQL (2/3)
owasp-crs-v030301-id942380-sqli 2 Ataque de injeção SQL
owasp-crs-v030301-id942390-sqli 2 Ataque de injeção SQL
owasp-crs-v030301-id942400-sqli 2 Ataque de injeção SQL
owasp-crs-v030301-id942410-sqli 2 Ataque de injeção SQL
owasp-crs-v030301-id942470-sqli 2 Ataque de injeção SQL
owasp-crs-v030301-id942480-sqli 2 Ataque de injeção SQL
owasp-crs-v030301-id942430-sqli 2 Detecção de anomalias de caracteres SQL restritos (argumentos): número de caracteres especiais excedido (12)
owasp-crs-v030301-id942440-sqli 2 Sequência de comentários no SQL detectada
owasp-crs-v030301-id942450-sqli 2 Codificação hexadecimal do SQL identificada
owasp-crs-v030301-id942510-sqli 2 Tentativas de ignorar o SQLi identificadas por marcações ou crase
owasp-crs-v030301-id942251-sqli 3 Detecta injeções de HAVING
owasp-crs-v030301-id942490-sqli 3 Detecta sondagens clássicas de injeção SQL (3/3)
owasp-crs-v030301-id942420-sqli 3 Detecção de anomalias de caracteres SQL restritos (cookies): número de caracteres especiais excedido (8)
owasp-crs-v030301-id942431-sqli 3 Detecção de anomalias de caracteres SQL restritos (argumentos): número de caracteres especiais excedido (6)
owasp-crs-v030301-id942460-sqli 3 Alerta de detecção de anomalias de metacaracteres: caracteres repetitivos que não são palavras
owasp-crs-v030301-id942101-sqli 3 Ataque de injeção de SQL detectado por libinjectão
owasp-crs-v030301-id942511-sqli 3 Tentativa de ignorar SQLi por marcações detectadas
owasp-crs-v030301-id942421-sqli 4 Detecção de anomalias de caracteres SQL restritos (cookies): número de caracteres especiais excedido (3)
owasp-crs-v030301-id942432-sqli 4 Detecção de anomalias de caracteres SQL restritos (argumentos): número de caracteres especiais excedido (2)

CRS 3.0

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
Not included 1 Ataque de injeção de SQL detectado por libinjectão
owasp-crs-v030001-id942140-sqli 1 Ataque de injeção de SQL: nomes comuns de banco de dados detectados
owasp-crs-v030001-id942160-sqli 1 Detecta testes de SQLi cegos usando sleep() ou benchmark()
owasp-crs-v030001-id942170-sqli 1 Detecta tentativas de injeção de SQL com sleep e benchmark, incluindo consultas condicionais
owasp-crs-v030001-id942190-sqli 1 Detecta execução de código MSSQL e tentativas de coleta de informações
owasp-crs-v030001-id942220-sqli 1 Procura ataques de fluxo intenso de números inteiros
owasp-crs-v030001-id942230-sqli 1 Detecta tentativas condicionais de injeção de SQL
owasp-crs-v030001-id942240-sqli 1 Detecta troca de charset do MySQL e tentativas de DoS do MSSQL
owasp-crs-v030001-id942250-sqli 1 Detecta MATCH AGAINST
owasp-crs-v030001-id942270-sqli 1 Procura injeção de SQL básica e string de ataque comum para o MySQL
owasp-crs-v030001-id942280-sqli 1 Detecta a injeção de pg_sleep do Postgres
owasp-crs-v030001-id942290-sqli 1 Localiza tentativas básicas de injeção de SQL no MongoDB
owasp-crs-v030001-id942320-sqli 1 Detecta injeções de procedimento/função armazenadas em MySQL e PostgreSQL
owasp-crs-v030001-id942350-sqli 1 Detecta injeção de UDF no MySQL e outras tentativas de manipulação de dados/estrutura
owasp-crs-v030001-id942360-sqli 1 Detecta injeção de SQL concatenada básica e tentativas de SQLLFI
Not included 1 Comentário in-line do MySQL detectado
owasp-crs-v030001-id942110-sqli 2 Ataque de injeção SQL: teste de injeção comum detectado
owasp-crs-v030001-id942120-sqli 2 Ataque de injeção SQL: operador SQL detectado
Not included 2 Ataque de injeção de SQL: Tautologia SQL detectada
owasp-crs-v030001-id942150-sqli 2 Ataque de injeção SQL
owasp-crs-v030001-id942180-sqli 2 Detecta tentativas básicas de desvio de autenticação SQL (1/3)
owasp-crs-v030001-id942200-sqli 2 Detecta injeções de MySQL ofuscadas por espaço/comentários e terminadas em crase
owasp-crs-v030001-id942210-sqli 2 Detecta tentativas de injeção SQL encadeadas (1/2)
owasp-crs-v030001-id942260-sqli 2 Detecta tentativas básicas de desvio de autenticação SQL (2/3)
owasp-crs-v030001-id942300-sqli 2 Detecta comentários no MySQL
owasp-crs-v030001-id942310-sqli 2 Detecta tentativas de injeção SQL encadeadas (2/2)
owasp-crs-v030001-id942330-sqli 2 Detecta sondagens clássicas de injeção SQL (1/2)
owasp-crs-v030001-id942340-sqli 2 Detecta tentativas básicas de desvio de autenticação SQL (3/3)
Not included 2 Detecta injeção básica de SQL com base na união ou alteração de palavra-chave
Not included 2 Detecta sondagens clássicas de injeção SQL (2/3)
owasp-crs-v030001-id942380-sqli 2 Ataque de injeção SQL
owasp-crs-v030001-id942390-sqli 2 Ataque de injeção SQL
owasp-crs-v030001-id942400-sqli 2 Ataque de injeção SQL
owasp-crs-v030001-id942410-sqli 2 Ataque de injeção SQL
Not included 2 Ataque de injeção SQL
Not included 2 Ataque de injeção SQL
owasp-crs-v030001-id942430-sqli 2 Detecção de anomalias de caracteres SQL restritos (argumentos): número de caracteres especiais excedido (12)
owasp-crs-v030001-id942440-sqli 2 Sequência de comentários no SQL detectada
owasp-crs-v030001-id942450-sqli 2 Codificação hexadecimal do SQL identificada
Not included 2 Tentativas de ignorar o SQLi identificadas por marcações ou crase
owasp-crs-v030001-id942251-sqli 3 Detecta injeções de HAVING
Not included 2 Detecta sondagens clássicas de injeção SQL (3/3)
owasp-crs-v030001-id942420-sqli 3 Detecção de anomalias de caracteres SQL restritos (cookies): número de caracteres especiais excedido (8)
owasp-crs-v030001-id942431-sqli 3 Detecção de anomalias de caracteres SQL restritos (argumentos): número de caracteres especiais excedido (6)
owasp-crs-v030001-id942460-sqli 3 Alerta de detecção de anomalias de metacaracteres: caracteres repetitivos que não são palavras
Not included 3 Ataque de injeção de SQL detectado por libinjectão
Not included 3 Tentativa de ignorar SQLi por marcações detectadas
owasp-crs-v030001-id942421-sqli 4 Detecção de anomalias de caracteres SQL restritos (cookies): número de caracteres especiais excedido (3)
owasp-crs-v030001-id942432-sqli 4 Detecção de anomalias de caracteres SQL restritos (argumentos): número de caracteres especiais excedido (2)

Você pode configurar uma regra em um nível de sensibilidade específico usando evaluatePreconfiguredExpr() para desativar assinaturas em níveis de sensibilidade maiores.

Nível 1 de sensibilidade do SQLi

evaluatePreconfiguredExpr('sqli-v33-stable',
['owasp-crs-v030301-id942110-sqli',
  'owasp-crs-v030301-id942120-sqli',
  'owasp-crs-v030301-id942130-sqli',
  'owasp-crs-v030301-id942150-sqli',
  'owasp-crs-v030301-id942180-sqli',
  'owasp-crs-v030301-id942200-sqli',
  'owasp-crs-v030301-id942210-sqli',
  'owasp-crs-v030301-id942260-sqli',
  'owasp-crs-v030301-id942300-sqli',
  'owasp-crs-v030301-id942310-sqli',
  'owasp-crs-v030301-id942330-sqli',
  'owasp-crs-v030301-id942340-sqli',
  'owasp-crs-v030301-id942361-sqli',
  'owasp-crs-v030301-id942370-sqli',
  'owasp-crs-v030301-id942380-sqli',
  'owasp-crs-v030301-id942390-sqli',
  'owasp-crs-v030301-id942400-sqli',
  'owasp-crs-v030301-id942410-sqli',
  'owasp-crs-v030301-id942470-sqli',
  'owasp-crs-v030301-id942480-sqli',
  'owasp-crs-v030301-id942430-sqli',
  'owasp-crs-v030301-id942440-sqli',
  'owasp-crs-v030301-id942450-sqli',
  'owasp-crs-v030301-id942510-sqli',
  'owasp-crs-v030301-id942251-sqli',
  'owasp-crs-v030301-id942490-sqli',
  'owasp-crs-v030301-id942420-sqli',
  'owasp-crs-v030301-id942431-sqli',
  'owasp-crs-v030301-id942460-sqli',
  'owasp-crs-v030301-id942101-sqli',
  'owasp-crs-v030301-id942511-sqli',
  'owasp-crs-v030301-id942421-sqli',
  'owasp-crs-v030301-id942432-sqli']
)
          
Nível 2 de sensibilidade do SQLi

evaluatePreconfiguredExpr('sqli-v33-stable',
 ['owasp-crs-v030301-id942251-sqli',
  'owasp-crs-v030301-id942490-sqli',
  'owasp-crs-v030301-id942420-sqli',
  'owasp-crs-v030301-id942431-sqli',
  'owasp-crs-v030301-id942460-sqli',
  'owasp-crs-v030301-id942101-sqli',
  'owasp-crs-v030301-id942511-sqli',
  'owasp-crs-v030301-id942421-sqli',
  'owasp-crs-v030301-id942432-sqli']
)
Nível 3 de sensibilidade do SQLi

evaluatePreconfiguredExpr('sqli-v33-stable',
        ['owasp-crs-v030301-id942421-sqli',
         'owasp-crs-v030301-id942432-sqli']
         )
Nível 4 de sensibilidade do SQLi

evaluatePreconfiguredExpr('sqli-v33-stable')

Como alternativa, você pode configurar uma regra em um nível de sensibilidade específico usando evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Por padrão, sem configurar a sensibilidade do conjunto de regras, o Google Cloud Armor avalia todas as assinaturas.

CRS 3.3

Nível de sensibilidade Expressão
1 evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 3})
4 evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 4})

CRS 3.0

Nível de sensibilidade Expressão
1 evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 3})
4 evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 4})

Scripting em vários locais (XSS)

A tabela a seguir mostra o código da assinatura, o nível de confidencialidade e a descrição de cada assinatura compatível na regra WAF pré-configurada XSS.

CRS 3.3

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
owasp-crs-v030301-id941100-xss 1 Ataque de XSS detectado por libinjectão
owasp-crs-v030301-id941110-xss 1 Filtro XSS - Categoria 1: vetor de tag de script
owasp-crs-v030301-id941120-xss 1 Filtro XSS - categoria 2: vetor de manipulador de eventos
owasp-crs-v030301-id941130-xss 1 Filtro XSS - Categoria 3: vetor de atributo
owasp-crs-v030301-id941140-xss 1 Filtro XSS - Categoria 4: vetor de URI de JavaScript
owasp-crs-v030301-id941160-xss 1 Verificador de injeção de XSS em NoScript: injeção de HTML
owasp-crs-v030301-id941170-xss 1 Verificador de injeção de XSS em NoScript: injeção de atributo
owasp-crs-v030301-id941180-xss 1 Palavras-chave da lista de proibições do validador de nó
owasp-crs-v030301-id941190-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030301-id941200-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030301-id941210-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030301-id941220-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030301-id941230-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030301-id941240-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030301-id941250-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030301-id941260-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030301-id941270-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030301-id941280-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030301-id941290-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030301-id941300-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030301-id941310-xss 1 Filtro XSS de codificação mal formada US-ASCII: ataque detectado
owasp-crs-v030301-id941350-xss 1 XSS de codificação UTF-7 no IE: ataque detectado
owasp-crs-v030301-id941360-xss 1 Ofuscação de hieróglifos detectada
owasp-crs-v030301-id941370-xss 1 Variável global do JavaScript encontrada
owasp-crs-v030301-id941101-xss 2 Ataque de XSS detectado por libinjectão
owasp-crs-v030301-id941150-xss 2 Filtro XSS - Categoria 5: atributos HTML não permitidos
owasp-crs-v030301-id941320-xss 2 Possível ataque XSS detectado: manipulador de tags HTML
owasp-crs-v030301-id941330-xss 2 Filtros XSS do IE: ataque detectado
owasp-crs-v030301-id941340-xss 2 Filtros XSS do IE: ataque detectado
owasp-crs-v030301-id941380-xss 2 Injeção de modelo do lado do cliente da AngularJS detectada

CRS 3.0

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
Not included 1 Ataque de XSS detectado por libinjectão
owasp-crs-v030001-id941110-xss 1 Filtro XSS - Categoria 1: vetor de tag de script
owasp-crs-v030001-id941120-xss 1 Filtro XSS - categoria 2: vetor de manipulador de eventos
owasp-crs-v030001-id941130-xss 1 Filtro XSS - Categoria 3: vetor de atributo
owasp-crs-v030001-id941140-xss 1 Filtro XSS - Categoria 4: vetor de URI de JavaScript
owasp-crs-v030001-id941160-xss 1 Verificador de injeção de XSS em NoScript: injeção de HTML
owasp-crs-v030001-id941170-xss 1 Verificador de injeção de XSS em NoScript: injeção de atributo
owasp-crs-v030001-id941180-xss 1 Palavras-chave da lista de proibições do validador de nó
owasp-crs-v030001-id941190-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030001-id941200-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030001-id941210-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030001-id941220-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030001-id941230-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030001-id941240-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030001-id941250-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030001-id941260-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030001-id941270-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030001-id941280-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030001-id941290-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030001-id941300-xss 1 Filtros XSS do IE: ataque detectado
owasp-crs-v030001-id941310-xss 1 Filtro XSS de codificação mal formada US-ASCII: ataque detectado
owasp-crs-v030001-id941350-xss 1 XSS de codificação UTF-7 no IE: ataque detectado
Not included 1 Ofuscação de JSFuck / hieróglifo detectada
Not included 1 Variável global do JavaScript encontrada
Not included 2 Ataque de XSS detectado por libinjectão
owasp-crs-v030001-id941150-xss 2 Filtro XSS - Categoria 5: atributos HTML não permitidos
owasp-crs-v030001-id941320-xss 2 Possível ataque XSS detectado: manipulador de tags HTML
owasp-crs-v030001-id941330-xss 2 Filtros XSS do IE: ataque detectado
owasp-crs-v030001-id941340-xss 2 Filtros XSS do IE: ataque detectado
Not included 2 Injeção de modelo do lado do cliente da AngularJS detectada

Você pode configurar uma regra em um nível de sensibilidade específico usando evaluatePreconfiguredExpr() para desativar assinaturas em níveis de sensibilidade maiores.

Nível 1 de sensibilidade XSS

evaluatePreconfiguredExpr('xss-v33-stable',
['owasp-crs-v030301-id941101-xss',
  'owasp-crs-v030301-id941150-xss',
  'owasp-crs-v030301-id941320-xss',
  'owasp-crs-v030301-id941330-xss',
  'owasp-crs-v030301-id941340-xss',
  'owasp-crs-v030301-id941380-xss'
])
          


Todas as assinaturas de XSS estão abaixo do nível 2 de sensibilidade. A configuração a seguir funciona para outros níveis de sensibilidade:

Níveis 2 de sensibilidade XSS

evaluatePreconfiguredExpr('xss-v33-stable')

Como alternativa, você pode configurar uma regra em um nível de sensibilidade específico usando evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Por padrão, sem configurar a sensibilidade do conjunto de regras, o Google Cloud Armor avalia todas as assinaturas.

CRS 3.3

Nível de sensibilidade Expressão
1 evaluatePreconfiguredWaf('xss-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('xss-v33-stable', {'sensitivity': 2})

CRS 3.0

Nível de sensibilidade Expressão
1 evaluatePreconfiguredWaf('xss-stable', {'sensitivity': 1})

Inclusão de arquivos locais (LFI, na sigla em inglês)

A tabela a seguir mostra o ID da assinatura, o nível de sensibilidade e a descrição de cada assinatura compatível na regra WAF pré-configurada do LFI.

CRS 3.3

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
owasp-crs-v030301-id930100-lfi 1 Ataque de passagem de caminho (/../)
owasp-crs-v030301-id930110-lfi 1 Ataque de passagem de caminho (/../)
owasp-crs-v030301-id930120-lfi 1 Tentativa de acessar arquivos do SO
owasp-crs-v030301-id930130-lfi 1 Tentativa de acessar arquivos restritos

CRS 3.0

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
owasp-crs-v030001-id930100-lfi 1 Ataque de passagem de caminho (/../)
owasp-crs-v030001-id930110-lfi 1 Ataque de passagem de caminho (/../)
owasp-crs-v030001-id930120-lfi 1 Tentativa de acessar arquivos do SO
owasp-crs-v030001-id930130-lfi 1 Tentativa de acessar arquivos restritos

Você pode configurar uma regra em um nível de sensibilidade específico usando evaluatePreconfiguredExpr() para desativar assinaturas em níveis de sensibilidade maiores. Todas as assinaturas de LFI estão no nível 1 de sensibilidade. A configuração a seguir funciona para todos os níveis de sensibilidade:

Nível 1 de sensibilidade da LFI

evaluatePreconfiguredExpr('lfi-v33-stable')

Como alternativa, você pode configurar uma regra em um nível de sensibilidade específico usando evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Todas as assinaturas de LFI estão no nível 1 de sensibilidade. A configuração a seguir funciona para todos os níveis de sensibilidade:

CRS 3.3

Nível de sensibilidade Expressão
1 evaluatePreconfiguredWaf('lfi-v33-stable', {'sensitivity': 1})

CRS 3.0

Nível de sensibilidade Expressão
1 evaluatePreconfiguredWaf('lfi-stable', {'sensitivity': 1})

Execução de código remoto (RCE, na sigla em inglês)

A tabela a seguir fornece o ID da assinatura, o nível de confidencialidade e a descrição de cada assinatura compatível na regra WAF pré-configurada do RCE.

CRS 3.3

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
owasp-crs-v030301-id932100-rce 1 Injeção de comando do UNIX
owasp-crs-v030301-id932105-rce 1 Injeção de comando do UNIX
owasp-crs-v030301-id932110-rce 1 Injeção de comando do Windows
owasp-crs-v030301-id932115-rce 1 Injeção de comando do Windows
owasp-crs-v030301-id932120-rce 1 Comando do PowerShell do Windows encontrado
owasp-crs-v030301-id932130-rce 1 Expressão de shell do Unix encontrada
owasp-crs-v030301-id932140-rce 1 Comando FOR/IF do Windows encontrado
owasp-crs-v030301-id932150-rce 1 Execução direta de comando do UNIX
owasp-crs-v030301-id932160-rce 1 Código de shell do UNIX encontrado
owasp-crs-v030301-id932170-rce 1 Shellshock (CVE-2014-6271)
owasp-crs-v030301-id932171-rce 1 Shellshock (CVE-2014-6271)
owasp-crs-v030301-id932180-rce 1 Tentativa restrita de upload de arquivos
owasp-crs-v030301-id932200-rce 2 Técnicas de ignorar RCE
owasp-crs-v030301-id932106-rce 3 Execução de comandos remotos: injeção de comandos Unix
owasp-crs-v030301-id932190-rce 3 Execução de comando remoto: tentativa de técnica de pular caracteres curinga

CRS 3.0

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
owasp-crs-v030001-id932100-rce 1 Injeção de comando do UNIX
owasp-crs-v030001-id932105-rce 1 Injeção de comando do UNIX
owasp-crs-v030001-id932110-rce 1 Injeção de comando do Windows
owasp-crs-v030001-id932115-rce 1 Injeção de comando do Windows
owasp-crs-v030001-id932120-rce 1 Comando do PowerShell do Windows encontrado
owasp-crs-v030001-id932130-rce 1 Expressão de shell do Unix encontrada
owasp-crs-v030001-id932140-rce 1 Comando FOR/IF do Windows encontrado
owasp-crs-v030001-id932150-rce 1 Execução direta de comando do UNIX
owasp-crs-v030001-id932160-rce 1 Código de shell do UNIX encontrado
owasp-crs-v030001-id932170-rce 1 Shellshock (CVE-2014-6271)
owasp-crs-v030001-id932171-rce 1 Shellshock (CVE-2014-6271)
Not included 1 Tentativa restrita de upload de arquivos
Not included 2 Técnicas de ignorar RCE
Not included 3 Execução de comandos remotos: injeção de comandos Unix
Not included 3 Execução de comando remoto: tentativa de técnica de pular caracteres curinga

Você pode configurar uma regra em um nível de sensibilidade específico usando evaluatePreconfiguredExpr() para desativar assinaturas em níveis de sensibilidade maiores. A configuração a seguir funciona para todos os níveis de sensibilidade:

Nível 1 de sensibilidade de RCE

evaluatePreconfiguredExpr('rce-v33-stable',
          ['owasp-crs-v030301-id932200-rce',
           'owasp-crs-v030301-id932106-rce',
           'owasp-crs-v030301-id932190-rce'])
          
Nível 2 de sensibilidade do RCE

evaluatePreconfiguredExpr('rce-v33-stable',
           [ 'owasp-crs-v030301-id932106-rce',
           'owasp-crs-v030301-id932190-rce'])
          
Nível 3 de sensibilidade do RCE

evaluatePreconfiguredExpr('rce-v33-stable')

Como alternativa, você pode configurar uma regra em um nível de sensibilidade específico usando evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Todas as assinaturas de RCE estão no nível 1 de sensibilidade. A configuração a seguir funciona para todos os níveis de sensibilidade:

CRS 3.3

Nível de sensibilidade Expressão
1 evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 3})

CRS 3.0

Nível de sensibilidade Expressão
1 evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 3})

Inclusão de arquivo remoto (RFI, na sigla em inglês)

A tabela a seguir fornece o ID da assinatura, o nível de confidencialidade e a descrição de cada assinatura compatível na regra WAF pré-configurada do RFI.

CRS 3.3

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
owasp-crs-v030301-id931100-rfi 1 Parâmetro de URL que usa um endereço IP
owasp-crs-v030301-id931110-rfi 1 Nome de parâmetro comum vulnerável a RFI usado com payload do URL
owasp-crs-v030301-id931120-rfi 1 Payload do URL usado com caractere de ponto de interrogação (?) no final
owasp-crs-v030301-id931130-rfi 2 Referência/link fora do domínio

CRS 3.0

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
owasp-crs-v030001-id931100-rfi 1 Parâmetro de URL que usa um endereço IP
owasp-crs-v030001-id931110-rfi 1 Nome de parâmetro comum vulnerável a RFI usado com payload do URL
owasp-crs-v030001-id931120-rfi 1 Payload do URL usado com caractere de ponto de interrogação (?) no final
owasp-crs-v030001-id931130-rfi 2 Referência/link fora do domínio

Você pode configurar uma regra em um nível de sensibilidade específico usando evaluatePreconfiguredExpr() para desativar assinaturas em níveis de sensibilidade maiores.

Níveis 2, 3 e 4 de sensibilidade RFI

evaluatePreconfiguredExpr('rfi-v33-stable', ['owasp-crs-v030301-id931130-rfi'])

Todas as assinaturas para RF estão abaixo do nível de sensibilidade 2. A configuração a seguir funciona para outros níveis de sensibilidade:

Níveis 2 de sensibilidade RFI

evaluatePreconfiguredExpr('rfi-v33-stable')

Como alternativa, você pode configurar uma regra em um nível de sensibilidade específico usando evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Por padrão, sem configurar a sensibilidade do conjunto de regras, o Google Cloud Armor avalia todas as assinaturas.

CRS 3.3

Nível de sensibilidade Expressão
1 evaluatePreconfiguredWaf('rfi-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('rfi-v33-stable', {'sensitivity': 2})

CRS 3.0

Nível de sensibilidade Expressão
1 evaluatePreconfiguredWaf('rfi-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('rfi-stable', {'sensitivity': 2})

Aplicação de métodos

A tabela a seguir mostra o ID, o nível de confidencialidade e a descrição de cada assinatura compatível na regra pré-configurada da aplicação do método.

CRS 3.3

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
owasp-crs-v030301-id911100-methodenforcement 1 Método não permitido por política

CRS 3.0

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
owasp-crs-v030001-id911100-methodenforcement 1 Método não permitido por política

Você pode configurar uma regra em um nível de sensibilidade específico usando evaluatePreconfiguredExpr() para desativar assinaturas em níveis de sensibilidade maiores. Todas as assinaturas para a aplicação do método estão no nível 1 de sensibilidade. A configuração a seguir funciona para outros níveis de sensibilidade:

Nível 1 de sensibilidade do programa

evaluatePreconfiguredExpr('methodenforcement-v33-stable')

Como alternativa, você pode configurar uma regra em um nível de sensibilidade específico usando evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Por padrão, sem configurar a sensibilidade do conjunto de regras, o Google Cloud Armor avalia todas as assinaturas.

CRS 3.3

Nível de sensibilidade Expressão
1 evaluatePreconfiguredWaf('methodenforcement-v33-stable', {'sensitivity': 1})

CRS 3.0

Nível de sensibilidade Expressão
1 evaluatePreconfiguredWaf('methodenforcement-stable', {'sensitivity': 1})

Detecção de verificação

A tabela a seguir fornece o ID da assinatura, o nível de confidencialidade e a descrição de cada assinatura compatível na regra pré-configurada da detecção do scanner.

CRS 3.3

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
owasp-crs-v030301-id913100-scannerdetection 1 Encontramos o user-agent associado à verificação de segurança
owasp-crs-v030301-id913110-scannerdetection 1 Encontramos o cabeçalho da solicitação associado à verificação de segurança
owasp-crs-v030301-id913120-scannerdetection 1 Encontramos o nome de arquivo/argumento associado à verificação de segurança
owasp-crs-v030301-id913101-scannerdetection 2 Encontramos o user-agent associado ao client HTTP genérico/de script
owasp-crs-v030301-id913102-scannerdetection 2 Encontramos o user-agent associado ao bot/rastreador da Web

CRS 3.0

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
owasp-crs-v030001-id913100-scannerdetection 1 Encontramos o user-agent associado à verificação de segurança
owasp-crs-v030001-id913110-scannerdetection 1 Encontramos o cabeçalho da solicitação associado à verificação de segurança
owasp-crs-v030001-id913120-scannerdetection 1 Encontramos o nome de arquivo/argumento associado à verificação de segurança
owasp-crs-v030001-id913101-scannerdetection 2 Encontramos o user-agent associado ao client HTTP genérico/de script
owasp-crs-v030001-id913102-scannerdetection 2 Encontramos o user-agent associado ao bot/rastreador da Web

Você pode configurar uma regra em um nível de sensibilidade específico usando evaluatePreconfiguredExpr() para desativar assinaturas em níveis de sensibilidade maiores.

Nível 1 de sensibilidade à detecção de scanner

evaluatePreconfiguredExpr('scannerdetection-v33-stable',
  ['owasp-crs-v030301-id913101-scannerdetection',
  'owasp-crs-v030301-id913102-scannerdetection']
)
          
Nível 2 de sensibilidade à detecção de scanner

evaluatePreconfiguredExpr('scannerdetection-v33-stable')
          

Como alternativa, você pode configurar uma regra em um nível de sensibilidade específico usando evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Por padrão, sem configurar a sensibilidade do conjunto de regras, o Google Cloud Armor avalia todas as assinaturas.

CRS 3.3

Nível de sensibilidade Expressão
1 evaluatePreconfiguredWaf('scannerdetection-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('scannerdetection-v33-stable', {'sensitivity': 2})

CRS 3.0

Nível de sensibilidade Expressão
1 evaluatePreconfiguredWaf('scannerdetection-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('scannerdetection-stable', {'sensitivity': 2})

Ataque de protocolo

A tabela a seguir fornece o ID da assinatura, o nível de confidencialidade e a descrição de cada assinatura compatível na regra pré-configurada do ataque de protocolo.

CRS 3.3

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
Not included 1 Ataque de contrabando de solicitação HTTP
owasp-crs-v030301-id921110-protocolattack 1 Ataque de contrabando de solicitação HTTP
owasp-crs-v030301-id921120-protocolattack 1 Ataque de divisão de resposta HTTP
owasp-crs-v030301-id921130-protocolattack 1 Ataque de divisão de resposta HTTP
owasp-crs-v030301-id921140-protocolattack 1 Ataque de injeção de cabeçalho HTTP via cabeçalhos
owasp-crs-v030301-id921150-protocolattack 1 Ataque de injeção de cabeçalho HTTP por meio de payload (CR/LF detectado)
owasp-crs-v030301-id921160-protocolattack 1 Ataque de injeção de cabeçalho HTTP por meio de payload (CR/LF e nome do cabeçalho detectado)
owasp-crs-v030301-id921190-protocolattack 1 Divisão HTTP (CR/LF no nome de arquivo da solicitação detectado)
owasp-crs-v030301-id921200-protocolattack 1 Ataque de injeção LDAP
owasp-crs-v030301-id921151-protocolattack 2 Ataque de injeção de cabeçalho HTTP por meio de payload (CR/LF detectado)
owasp-crs-v030301-id921170-protocolattack 3 Poluição do parâmetro HTTP

CRS 3.0

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
owasp-crs-v030001-id921100-protocolattack 1 Ataque de contrabando de solicitação HTTP
owasp-crs-v030001-id921110-protocolattack 1 Ataque de contrabando de solicitação HTTP
owasp-crs-v030001-id921120-protocolattack 1 Ataque de divisão de resposta HTTP
owasp-crs-v030001-id921130-protocolattack 1 Ataque de divisão de resposta HTTP
owasp-crs-v030001-id921140-protocolattack 1 Ataque de injeção de cabeçalho HTTP via cabeçalhos
owasp-crs-v030001-id921150-protocolattack 1 Ataque de injeção de cabeçalho HTTP por meio de payload (CR/LF detectado)
owasp-crs-v030001-id921160-protocolattack 1 Ataque de injeção de cabeçalho HTTP por meio de payload (CR/LF e nome do cabeçalho detectado)
Not included 1 Divisão HTTP (CR/LF no nome de arquivo da solicitação detectado)
Not included 1 Ataque de injeção LDAP
owasp-crs-v030001-id921151-protocolattack 2 Ataque de injeção de cabeçalho HTTP por meio de payload (CR/LF detectado)
owasp-crs-v030001-id921170-protocolattack 3 Poluição do parâmetro HTTP

Você pode configurar uma regra em um nível de sensibilidade específico usando evaluatePreconfiguredExpr() para desativar assinaturas em níveis de sensibilidade maiores.

Nível 1 de sensibilidade a ataques de protocolo

evaluatePreconfiguredExpr('protocolattack-v33-stable',
  ['owasp-crs-v030301-id921151-protocolattack',
  'owasp-crs-v030301-id921170-protocolattack']
)
          
Nível 2 de sensibilidade a ataques de protocolo

evaluatePreconfiguredExpr('protocolattack-v33-stable',
  ['owasp-crs-v030301-id921170-protocolattack']
)
          
Nível 3 de sensibilidade a ataques de protocolo

evaluatePreconfiguredExpr('protocolattack-v33-stable')
          

Como alternativa, você pode configurar uma regra em um nível de sensibilidade específico usando evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Por padrão, sem configurar a sensibilidade do conjunto de regras, o Google Cloud Armor avalia todas as assinaturas.

CRS 3.3

Nível de sensibilidade Expressão
1 evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 3})

CRS 3.0

Nível de sensibilidade Expressão
1 evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 3})

PHP

A tabela a seguir mostra o ID da assinatura, o nível de sensibilidade e a descrição de cada assinatura compatível na regra WAF pré-configurada do PHP.

CRS 3.3

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
owasp-crs-v030301-id933100-php 1 Ataque de injeção do PHP: tag aberta de PHP encontrada
owasp-crs-v030301-id933110-php 1 Ataque de injeção PHP: upload do arquivo de script PHP encontrado
owasp-crs-v030301-id933120-php 1 Ataque de injeção do PHP: diretiva de configuração encontrada
owasp-crs-v030301-id933130-php 1 Ataque de injeção do PHP: variáveis encontradas
owasp-crs-v030301-id933140-php 1 Ataque de injeção do PHP: fluxo de E/S encontrado
owasp-crs-v030301-id933200-php 1 Ataque de injeção de PHP: esquema de wrapper detectado
owasp-crs-v030301-id933150-php 1 Ataque de injeção PHP: nome da função PHP de alto risco encontrado
owasp-crs-v030301-id933160-php 1 Ataque de injeção do PHP: chamada de função PHP de alto risco encontrada
owasp-crs-v030301-id933170-php 1 Ataque de injeção PHP: injeção de objeto serializado
owasp-crs-v030301-id933180-php 1 Ataque de injeção do PHP: chamada de função variável encontrada
owasp-crs-v030301-id933210-php 1 Ataque de injeção do PHP: chamada de função variável encontrada
owasp-crs-v030301-id933151-php 2 Ataque de injeção do PHP: nome da função PHP de risco médio encontrado
owasp-crs-v030301-id933131-php 3 Ataque de injeção do PHP: variáveis encontradas
owasp-crs-v030301-id933161-php 3 Ataque de injeção PHP: chamada de função PHP de baixo valor encontrada
owasp-crs-v030301-id933111-php 3 Ataque de injeção PHP: upload do arquivo de script PHP encontrado
owasp-crs-v030301-id933190-php 3 Ataque de injeção do PHP: tag fechada de PHP encontrada

CRS 3.0

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
owasp-crs-v030001-id933100-php 1 Ataque de injeção do PHP: tag aberta de PHP encontrada
owasp-crs-v030001-id933110-php 1 Ataque de injeção PHP: upload do arquivo de script PHP encontrado
owasp-crs-v030001-id933120-php 1 Ataque de injeção do PHP: diretiva de configuração encontrada
owasp-crs-v030001-id933130-php 1 Ataque de injeção do PHP: variáveis encontradas
owasp-crs-v030001-id933140-php 1 Ataque de injeção do PHP: fluxo de E/S encontrado
Not included 1 Ataque de injeção de PHP: esquema de wrapper detectado
owasp-crs-v030001-id933150-php 1 Ataque de injeção PHP: nome da função PHP de alto risco encontrado
owasp-crs-v030001-id933160-php 1 Ataque de injeção do PHP: chamada de função PHP de alto risco encontrada
owasp-crs-v030001-id933170-php 1 Ataque de injeção PHP: injeção de objeto serializado
owasp-crs-v030001-id933180-php 1 Ataque de injeção do PHP: chamada de função variável encontrada
Not included 1 Ataque de injeção do PHP: chamada de função variável encontrada
owasp-crs-v030001-id933151-php 2 Ataque de injeção do PHP: nome da função PHP de risco médio encontrado
owasp-crs-v030001-id933131-php 3 Ataque de injeção do PHP: variáveis encontradas
owasp-crs-v030001-id933161-php 3 Ataque de injeção PHP: chamada de função PHP de baixo valor encontrada
owasp-crs-v030001-id933111-php 3 Ataque de injeção PHP: upload do arquivo de script PHP encontrado
Not included 3 Ataque de injeção do PHP: tag fechada de PHP encontrada

Você pode configurar uma regra em um nível de sensibilidade específico usando evaluatePreconfiguredExpr() para desativar assinaturas em níveis de sensibilidade maiores.

Nível 1 da sensibilidade a ataques de injeção de PHP

evaluatePreconfiguredExpr('php-v33-stable',
['owasp-crs-v030301-id933151-php',
  'owasp-crs-v030301-id933131-php',
  'owasp-crs-v030301-id933161-php',
  'owasp-crs-v030301-id933111-php',
  'owasp-crs-v030301-id933190-php']
)
          
Nível 2 da sensibilidade a ataques de injeção de PHP

evaluatePreconfiguredExpr('php-v33-stable',
  ['owasp-crs-v0303001-id933131-php',
  'owasp-crs-v0303001-id933161-php',
  'owasp-crs-v0303001-id933111-php',
  'owasp-crs-v030301-id933190-php'])
          
Nível 3 da sensibilidade a ataques de injeção de PHP

evaluatePreconfiguredExpr('php-v33-stable')
          

Como alternativa, você pode configurar uma regra em um nível de sensibilidade específico usando evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Por padrão, sem configurar a sensibilidade do conjunto de regras, o Google Cloud Armor avalia todas as assinaturas.

CRS 3.3

Nível de sensibilidade Expressão
1 evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 3})

CRS 3.0

Nível de sensibilidade Expressão
1 evaluatePreconfiguredWaf('php-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('php-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('php-stable', {'sensitivity': 3})

Correção da sessão

A tabela a seguir fornece o ID da assinatura, o nível de confidencialidade e a descrição de cada assinatura compatível na regra pré-configurada da correção de sessão.

CRS 3.3

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
owasp-crs-v030301-id943100-sessionfixation 1 Possível ataque de correção de sessão: configuração de valores de cookies em HTML
owasp-crs-v030301-id943110-sessionfixation 1 Possível ataque de fixação de sessão: nome do parâmetro SessionID com referência fora do domínio
owasp-crs-v030301-id943120-sessionfixation 1 Possível ataque de fixação de sessão: nome do parâmetro SessionID sem referência

CRS 3.0

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
owasp-crs-v030001-id943100-sessionfixation 1 Possível ataque de correção de sessão: configuração de valores de cookies em HTML
owasp-crs-v030001-id943110-sessionfixation 1 Possível ataque de fixação de sessão: nome do parâmetro SessionID com referência fora do domínio
owasp-crs-v030001-id943120-sessionfixation 1 Possível ataque de fixação de sessão: nome do parâmetro SessionID sem referência

Você pode configurar uma regra em um nível de sensibilidade específico usando evaluatePreconfiguredExpr() para desativar assinaturas em níveis de sensibilidade maiores. Todas as assinaturas para correção de sessão estão no nível 1 de sensibilidade. A configuração a seguir funciona para todos os níveis de sensibilidade:

Nível 1 de sensibilidade da Correção de sessões

evaluatePreconfiguredExpr('sessionfixation-v33-stable')

Como alternativa, você pode configurar uma regra em um nível de sensibilidade específico usando evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Todas as assinaturas para correção de sessão estão no nível 1 de sensibilidade. A configuração a seguir funciona para todos os níveis de sensibilidade:

CRS 3.3

Nível de sensibilidade Expressão
1 evaluatePreconfiguredWaf('sessionfixation-v33-stable', {'sensitivity': 1})

CRS 3.0

Nível de sensibilidade Expressão
1 evaluatePreconfiguredWaf('sessionfixation-stable', {'sensitivity': 1})

Ataque de Java

A tabela a seguir fornece o ID de assinatura, o nível de confidencialidade e a descrição de cada assinatura compatível na regra pré-configurada do ataque de Java.

CRS 3.3

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
owasp-crs-v030301-id944100-java 1 Execução de comando remota: classe Java suspeita detectada
owasp-crs-v030301-id944110-java 1 Execução de comando remota: geração de processos Java (CVE-2017-9805)
owasp-crs-v030301-id944120-java 1 Execução de comando remota: serialização Java (CVE-2015-4852)
owasp-crs-v030301-id944130-java 1 Classe Java suspeita detectada
owasp-crs-v030301-id944200-java 2 Bytes mágicos detectados, possível serialização Java em uso
owasp-crs-v030301-id944210-java 2 Bytes mágicos detectados codificados em Base64 com uma provável serialização Java em uso
owasp-crs-v030301-id944240-java 2 Execução de comando remota: serialização Java (CVE-2015-4852)
owasp-crs-v030301-id944250-java 2 Execução de comando remota: método Java suspeito detectada
owasp-crs-v030301-id944300-java 3 String codificada em Base64 correspondente a uma palavra-chave suspeita

CRS 3.0

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
Not included 1 Execução de comando remota: classe Java suspeita detectada
Not included 1 Execução de comando remota: geração de processos Java (CVE-2017-9805)
Not included 1 Execução de comando remota: serialização Java (CVE-2015-4852)
Not included 1 Classe Java suspeita detectada
Not included 2 Bytes mágicos detectados, possível serialização Java em uso
Not included 2 Bytes mágicos detectados codificados em Base64 com uma provável serialização Java em uso
Not included 2 Execução de comando remota: serialização Java (CVE-2015-4852)
Not included 2 Execução de comando remota: método Java suspeito detectada
Not included 3 String codificada em Base64 correspondente a uma palavra-chave suspeita

Você pode configurar uma regra em um nível de sensibilidade específico usando evaluatePreconfiguredExpr() para desativar assinaturas em níveis de sensibilidade maiores.

Nível 1 de sensibilidade a ataques de Java

evaluatePreconfiguredExpr('java-v33-stable',
['owasp-crs-v030301-id944200-java',
 'owasp-crs-v030301-id944210-java',
 'owasp-crs-v030301-id944240-java',
 'owasp-crs-v030301-id944250-java',
 'owasp-crs-v030301-id944300-java'])
          
Nível 2 de sensibilidade a ataques de Java

evaluatePreconfiguredExpr('java-v33-stable',
['owasp-crs-v030301-id944300-java'])
          
Nível 3 de sensibilidade a ataques de Java

evaluatePreconfiguredExpr('java-v33-stable')
          

Como alternativa, você pode configurar uma regra em um nível de sensibilidade específico usando evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Por padrão, sem configurar a sensibilidade do conjunto de regras, o Google Cloud Armor avalia todas as assinaturas.

Nível de sensibilidade Expressão
1 evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 3})

Ataque de NodeJS

A tabela a seguir fornece o ID de assinatura, o nível de confidencialidade e a descrição de cada assinatura compatível na regra pré-configurada do ataque de NodeJS.

As assinaturas de regras WAF pré-configuradas a seguir estão incluídas apenas no CRS 3.3.

CRS 3.3

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
owasp-crs-v030301-id934100-nodejs 1 Ataque de injeção de Node.js

CRS 3.0

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
Not included 1 Ataque de injeção de Node.js

Você pode configurar uma regra em um nível de sensibilidade específico usando evaluatePreconfiguredExpr() para desativar assinaturas em níveis de sensibilidade maiores. Todas as assinaturas de ataque NodeJS estão no nível 1 de sensibilidade. A configuração a seguir funciona para outros níveis de sensibilidade:

Nível 1 de sensibilidade do NodeJS

evaluatePreconfiguredExpr('nodejs-v33-stable')

Como alternativa, você pode configurar uma regra em um nível de sensibilidade específico usando evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Todas as assinaturas de ataque do NodeJS estão no nível 1 de sensibilidade. A configuração a seguir funciona para outros níveis de sensibilidade:

Nível de sensibilidade Expressão
1 evaluatePreconfiguredWaf('nodejs-v33-stable', {'sensitivity': 1})

CVEs e outras vulnerabilidades

A tabela a seguir contém o ID da assinatura, o nível de sensibilidade e a descrição de cada assinatura compatível na regra pré-configurada da vulnerabilidade de RCE Log4j do CVE.

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
owasp-crs-v030001-id044228-cve 1 Regra de base para ajudar a detectar tentativas de exploração de CVE-2021-44228 e CVE-2021-45046
owasp-crs-v030001-id144228-cve 1 Melhorias fornecidas pelo Google para cobrir mais tentativas de desvio e ofuscação
owasp-crs-v030001-id244228-cve 3 Aumento da sensibilidade da detecção para segmentar ainda mais tentativas de desvio e ofuscação, com aumento nominal do risco de detecção de falso positivo
owasp-crs-v030001-id344228-cve 3 Aumento da sensibilidade da detecção para segmentar ainda mais tentativas de desvio e ofuscação, usando a codificação Base64, com aumento nominal do risco de detecção de falsos positivos.

Você pode configurar uma regra em um nível de sensibilidade específico usando evaluatePreconfiguredExpr() para desativar assinaturas em níveis de sensibilidade maiores.

Nível 1 de sensibilidade da CVE

evaluatePreconfiguredExpr('cve-canary', ['owasp-crs-v030001-id244228-cve',
  'owasp-crs-v030001-id344228-cve'])
          
Nível 3 de sensibilidade da CVE

evaluatePreconfiguredExpr('cve-canary')

Como alternativa, você pode configurar uma regra em um nível de sensibilidade específico usando evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Por padrão, sem configurar a sensibilidade do conjunto de regras, o Google Cloud Armor avalia todas as assinaturas.

Nível de sensibilidade Expressão
1 evaluatePreconfiguredWaf('cve-canary', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('cve-canary', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('cve-canary', {'sensitivity': 3})

Vulnerabilidade SQLi de conteúdo no formato JSON

A tabela a seguir contém o ID da assinatura, o nível de sensibilidade e a descrição da assinatura compatível 942550-sqli, que abrange a vulnerabilidade em que invasores mal-intencionados podem ignorar o WAF anexando sintaxe JSON ao payloads de injeção de SQL.

ID da assinatura (ID da regra) Nível de sensibilidade Descrição
owasp-crs-id942550-sqli 2 Detecta todos os vetores SQLi baseados em JSON, incluindo assinaturas SQLi encontradas no URL

Use a expressão a seguir para implantar a assinatura:

  evaluatePreconfiguredWaf('json-sqli-canary', {'sensitivity':0, 'opt_in_rule_ids': ['owasp-crs-id942550-sqli']})
  

Recomendamos que você também ative sqli-v33-stable no nível de sensibilidade 2 para lidar totalmente com os desvios por injeção SQL baseados em JSON.

Limitações

As regras WAF pré-configuradas do Google Cloud Armor têm as seguintes limitações:

  • As mudanças de regras do WAF geralmente levam vários minutos para serem propagadas.
  • Entre os tipos de solicitações HTTPS com um corpo de solicitação, o Google Cloud Armor processa apenas solicitações POST. O Google Cloud Armor avalia regras pré-configuradas com base nos primeiros 8 KB de conteúdo do corpo POST. Para mais informações, consulte Limitação da inspeção corporal POST.
  • O Google Cloud Armor pode analisar e aplicar regras WAF pré-configuradas quando a análise JSON está ativada com um valor de cabeçalho Content-Type correspondente. Para mais informações, consulte Análise JSON.
  • Quando você tem uma exclusão de campo de solicitação anexada a uma regra WAF pré-configurada, não é possível usar a ação allow. As solicitações que correspondem à exceção são permitidas automaticamente.

A seguir