Google Cloud Armor 사전 구성 WAF 규칙 개요

Google Cloud Armor 사전 구성 WAF 규칙은 오픈소스 업계 표준에서 컴파일된 서명이 수십 개 있는 복잡한 웹 애플리케이션 방화벽(WAF) 규칙입니다. 각 서명은 규칙 집합의 공격 감지 규칙에 해당합니다. Google은 이러한 규칙을 있는 그대로 제공합니다. 규칙을 사용하면 Google Cloud Armor에서 각 서명을 수동으로 정의할 필요 없이 편리한 이름의 규칙을 참조하여 고유한 트래픽 서명 수십 개를 평가할 수 있습니다.

Google Cloud Armor 사전 구성 WAF 규칙은 요구사항에 맞게 조정할 수 있습니다. 규칙을 조정하는 방법에 대한 자세한 내용은 Google Cloud Armor 사전 구성 WAF 규칙 조정을 참조하세요.

다음 표에는 Google Cloud Armor 보안 정책에 사용할 수 있는 사전 구성된 WAF 규칙의 전체 목록이 나와 있습니다. 규칙 소스는 ModSecurity Core Rule Set(CRS) 3.0 및 CRS 3.3.2입니다. 버전 3.3을 사용하여 민감도를 높이고 보호된 공격 유형의 범위를 넓히는 것이 좋습니다. CRS 3.0에 대한 지원은 계속됩니다.

CRS 3.3

Google Cloud Armor 규칙 이름	ModSecurity 규칙 이름	현재 상태
SQL 삽입	`sqli-v33-stable`	`sqli-v33-canary`와 동기화
SQL 삽입	`sqli-v33-canary`	최신
교차 사이트 스크립팅	`xss-v33-stable`	`xss-v33-canary`와 동기화
교차 사이트 스크립팅	`xss-v33-canary`	최신
로컬 파일 포함	`lfi-v33-stable`	`lfi-v33-canary`와 동기화
로컬 파일 포함	`lfi-v33-canary`	최신
원격 파일 포함	`rfi-v33-stable`	`rfi-v33-canary`와 동기화
원격 파일 포함	`rfi-v33-canary`	최신
원격 코드 실행	`rce-v33-stable`	`rce-v33-canary`와 동기화
원격 코드 실행	`rce-v33-canary`	최신
메서드 적용	`methodenforcement-v33-stable`	`methodenforcement-v33-canary`와 동기화
메서드 적용	`methodenforcement-v33-canary`	최신
스캐너 감지	`scannerdetection-v33-stable`	`scannerdetection-v33-canary`와 동기화
스캐너 감지	`scannerdetection-v33-canary`	최신
프로토콜 공격	`protocolattack-v33-stable`	`protocolattack-v33-canary`와 동기화
프로토콜 공격	`protocolattack-v33-canary`	최신
PHP 삽입 공격	`php-v33-stable`	`php-v33-canary`와 동기화
PHP 삽입 공격	`php-v33-canary`	최신
세션 고정 공격	`sessionfixation-v33-stable`	`sessionfixation-v33-canary`와 동기화
세션 고정 공격	`sessionfixation-v33-canary`	최신
Java 공격	`java-v33-stable`	`java-v33-canary`와 동기화
Java 공격	`java-v33-canary`	최신
NodeJS 공격	`nodejs-v33-stable`	`nodejs-v33-canary`와 동기화
NodeJS 공격	`nodejs-v33-canary`	최신

CRS 3.0

Google Cloud Armor 규칙 이름	ModSecurity 규칙 이름	현재 상태
SQL 삽입	`sqli-stable`	`sqli-canary`와 동기화
SQL 삽입	`sqli-canary`	최신
교차 사이트 스크립팅	`xss-stable`	`xss-canary`와 동기화
교차 사이트 스크립팅	`xss-canary`	최신
로컬 파일 포함	`lfi-stable`	`lfi-canary`와 동기화
로컬 파일 포함	`lfi-canary`	최신
원격 파일 포함	`rfi-stable`	`rfi-canary`와 동기화
원격 파일 포함	`rfi-canary`	최신
원격 코드 실행	`rce-stable`	`rce-canary`와 동기화
원격 코드 실행	`rce-canary`	최신
메서드 적용	`methodenforcement-stable`	`methodenforcement-canary`와 동기화
메서드 적용	`methodenforcement-canary`	최신
스캐너 감지	`scannerdetection-stable`	`scannerdetection-canary`와 동기화
스캐너 감지	`scannerdetection-canary`	최신
프로토콜 공격	`protocolattack-stable`	`protocolattack-canary`와 동기화
프로토콜 공격	`protocolattack-canary`	최신
PHP 삽입 공격	`php-stable`	`php-canary`와 동기화
PHP 삽입 공격	`php-canary`	최신
세션 고정 공격	`sessionfixation-stable`	`sessionfixation-canary`와 동기화
세션 고정 공격	`sessionfixation-canary`	최신
Java 공격	`Not included`
NodeJS 공격	`Not included`

또한 모든 Google Cloud Armor 고객은 다음 cve-canary 규칙을 사용하여 다음 취약점을 감지하고 선택적으로 차단할 수 있습니다.

CVE-2021-44228 및 CVE-2021-45046 Log4j RCE 취약점
942550-sqli JSON 형식의 콘텐츠 취약점

Google Cloud Armor 규칙 이름	지원되는 취약점 유형
`cve-canary`	Log4j 취약점
`json-sqli-canary`	JSON 기반 SQL 삽입 우회 취약점

사전 구성된 ModSecurity 규칙

사전 구성된 각 WAF 규칙에는 ModSecurity paranoia 수준에 해당하는 민감도 수준이 있습니다. 민감도 수준이 낮을수록 서명의 신뢰도가 높으므로 거짓양성을 생성할 가능성이 낮습니다. 민감도 수준이 높아지면 보안이 향상되지만 거짓양성이 생성될 위험이 증가합니다.

SQL 삽입(SQLi)

다음 표에서는 SQLi 사전 구성 WAF 규칙에서 지원되는 각 서명의 서명 ID, 민감도 수준, 설명을 제공합니다.

CRS 3.3

서명 ID(규칙 ID)	민감도 수준	설명
`owasp-crs-v030301-id942100-sqli`	1	libinjection을 통한 SQL 삽입 공격이 감지됨
`owasp-crs-v030301-id942140-sqli`	1	SQL 삽입 공격: 일반적인 DB 이름이 감지됨
`owasp-crs-v030301-id942160-sqli`	1	sleep() 또는 benchmark()를 사용하여 블라인드 SQLi 테스트 감지
`owasp-crs-v030301-id942170-sqli`	1	조건부 쿼리를 포함하여 SQL 벤치마크 및 수면 삽입 시도 감지
`owasp-crs-v030301-id942190-sqli`	1	MSSQL 코드 실행 및 정보 수집 시도 감지
`owasp-crs-v030301-id942220-sqli`	1	정수 오버플로 공격 찾기
`owasp-crs-v030301-id942230-sqli`	1	조건부 SQL 삽입 시도 감지
`owasp-crs-v030301-id942240-sqli`	1	MySQL 문자 집합 전환 및 MSSQL DoS 시도 감지
`owasp-crs-v030301-id942250-sqli`	1	MATCH AGAINST 감지
`owasp-crs-v030301-id942270-sqli`	1	기본 SQL 삽입 찾기(mysql에 대한 일반적인 공격 문자열)
`owasp-crs-v030301-id942280-sqli`	1	Postgres pg_sleep 삽입 감지
`owasp-crs-v030301-id942290-sqli`	1	기본 MongoDB SQL 삽입 시도 찾기
`owasp-crs-v030301-id942320-sqli`	1	MySQL 및 PostgreSQL 저장 프로시져/함수 삽입 감지
`owasp-crs-v030301-id942350-sqli`	1	MySQL UDF 삽입 및 기타 데이터/구조 조작 시도 감지
`owasp-crs-v030301-id942360-sqli`	1	연결된 기본 SQL 삽입 및 SQLLFI 시도 감지
`owasp-crs-v030301-id942500-sqli`	1	MySQL 인라인 주석이 감지됨
`owasp-crs-v030301-id942110-sqli`	2	SQL 삽입 공격: 일반적인 삽입 테스트가 감지됨
`owasp-crs-v030301-id942120-sqli`	2	SQL 삽입 공격: SQL 연산자가 감지됨
`owasp-crs-v030301-id942130-sqli`	2	SQL 삽입 공격: SQL Tautology가 감지됨
`owasp-crs-v030301-id942150-sqli`	2	SQL 삽입 공격
`owasp-crs-v030301-id942180-sqli`	2	기본 SQL 인증 우회 시도 감지 1/3
`owasp-crs-v030301-id942200-sqli`	2	MySQL comment-/space-obfuscated 삽입 및 백틱 종료 감지
`owasp-crs-v030301-id942210-sqli`	2	연결된 SQL 삽입 시도 감지 1/2
`owasp-crs-v030301-id942260-sqli`	2	기본 SQL 인증 우회 시도 감지 2/3
`owasp-crs-v030301-id942300-sqli`	2	MySQL 주석 감지
`owasp-crs-v030301-id942310-sqli`	2	연결된 SQL 삽입 시도 감지 2/2
`owasp-crs-v030301-id942330-sqli`	2	기본 SQL 삽입 프로브 감지 1/2
`owasp-crs-v030301-id942340-sqli`	2	기본 SQL 인증 우회 시도 감지 3/3
`owasp-crs-v030301-id942361-sqli`	2	키워드 변경 또는 통합에 기반한 기본 SQL 삽입 감지
`owasp-crs-v030301-id942370-sqli`	2	기본 SQL 삽입 프로브 감지 2/3
`owasp-crs-v030301-id942380-sqli`	2	SQL 삽입 공격
`owasp-crs-v030301-id942390-sqli`	2	SQL 삽입 공격
`owasp-crs-v030301-id942400-sqli`	2	SQL 삽입 공격
`owasp-crs-v030301-id942410-sqli`	2	SQL 삽입 공격
`owasp-crs-v030301-id942470-sqli`	2	SQL 삽입 공격
`owasp-crs-v030301-id942480-sqli`	2	SQL 삽입 공격
`owasp-crs-v030301-id942430-sqli`	2	제한된 SQL 문자 이상 감지(args): 특수 문자 초과 수(12)
`owasp-crs-v030301-id942440-sqli`	2	SQL 주석 시퀀스가 감지됨
`owasp-crs-v030301-id942450-sqli`	2	식별된 SQL 16진수 인코딩
`owasp-crs-v030301-id942510-sqli`	2	틱 또는 백틱에 의한 SQLi 우회 시도 감지됨
`owasp-crs-v030301-id942251-sqli`	3	HAVING 삽입 감지
`owasp-crs-v030301-id942490-sqli`	3	기본 SQL 삽입 프로브 감지 3/3
`owasp-crs-v030301-id942420-sqli`	3	제한된 SQL 문자 이상 감지(쿠키): 특수 문자 초과 수(8)
`owasp-crs-v030301-id942431-sqli`	3	제한된 SQL 문자 이상 감지(args): 특수 문자 초과 수(6)
`owasp-crs-v030301-id942460-sqli`	3	메타 문자 이상 감지 알림 - 비단어 반복 문자
`owasp-crs-v030301-id942101-sqli`	3	libinjection을 통한 SQL 삽입 공격이 감지됨
`owasp-crs-v030301-id942511-sqli`	3	틱에 의한 SQLi 우회 시도가 감지됨
`owasp-crs-v030301-id942421-sqli`	4	제한된 SQL 문자 이상 감지(쿠키): 특수 문자 초과 수(3)
`owasp-crs-v030301-id942432-sqli`	4	제한된 SQL 문자 이상 감지(args): 특수 문자 초과 수(2)

CRS 3.0

서명 ID(규칙 ID)	민감도 수준	설명
`Not included`	1	libinjection을 통한 SQL 삽입 공격이 감지됨
`owasp-crs-v030001-id942140-sqli`	1	SQL 삽입 공격: 일반적인 DB 이름이 감지됨
`owasp-crs-v030001-id942160-sqli`	1	sleep() 또는 benchmark()를 사용하여 블라인드 SQLi 테스트 감지
`owasp-crs-v030001-id942170-sqli`	1	조건부 쿼리를 포함하여 SQL 벤치마크 및 수면 삽입 시도 감지
`owasp-crs-v030001-id942190-sqli`	1	MSSQL 코드 실행 및 정보 수집 시도 감지
`owasp-crs-v030001-id942220-sqli`	1	정수 오버플로 공격 찾기
`owasp-crs-v030001-id942230-sqli`	1	조건부 SQL 삽입 시도 감지
`owasp-crs-v030001-id942240-sqli`	1	MySQL 문자 집합 전환 및 MSSQL DoS 시도 감지
`owasp-crs-v030001-id942250-sqli`	1	MATCH AGAINST 감지
`owasp-crs-v030001-id942270-sqli`	1	기본 SQL 삽입 찾기(mysql에 대한 일반적인 공격 문자열)
`owasp-crs-v030001-id942280-sqli`	1	Postgres pg_sleep 삽입 감지
`owasp-crs-v030001-id942290-sqli`	1	기본 MongoDB SQL 삽입 시도 찾기
`owasp-crs-v030001-id942320-sqli`	1	MySQL 및 PostgreSQL 저장 프로시져/함수 삽입 감지
`owasp-crs-v030001-id942350-sqli`	1	MySQL UDF 삽입 및 기타 데이터/구조 조작 시도 감지
`owasp-crs-v030001-id942360-sqli`	1	연결된 기본 SQL 삽입 및 SQLLFI 시도 감지
`Not included`	1	MySQL 인라인 주석이 감지됨
`owasp-crs-v030001-id942110-sqli`	2	SQL 삽입 공격: 일반적인 삽입 테스트가 감지됨
`owasp-crs-v030001-id942120-sqli`	2	SQL 삽입 공격: SQL 연산자가 감지됨
`Not included`	2	SQL 삽입 공격: SQL Tautology가 감지됨
`owasp-crs-v030001-id942150-sqli`	2	SQL 삽입 공격
`owasp-crs-v030001-id942180-sqli`	2	기본 SQL 인증 우회 시도 감지 1/3
`owasp-crs-v030001-id942200-sqli`	2	MySQL comment-/space-obfuscated 삽입 및 백틱 종료 감지
`owasp-crs-v030001-id942210-sqli`	2	연결된 SQL 삽입 시도 감지 1/2
`owasp-crs-v030001-id942260-sqli`	2	기본 SQL 인증 우회 시도 감지 2/3
`owasp-crs-v030001-id942300-sqli`	2	MySQL 주석 감지
`owasp-crs-v030001-id942310-sqli`	2	연결된 SQL 삽입 시도 감지 2/2
`owasp-crs-v030001-id942330-sqli`	2	기본 SQL 삽입 프로브 감지 1/2
`owasp-crs-v030001-id942340-sqli`	2	기본 SQL 인증 우회 시도 감지 3/3
`Not included`	2	키워드 변경 또는 통합에 기반한 기본 SQL 삽입 감지
`Not included`	2	기본 SQL 삽입 프로브 감지 2/3
`owasp-crs-v030001-id942380-sqli`	2	SQL 삽입 공격
`owasp-crs-v030001-id942390-sqli`	2	SQL 삽입 공격
`owasp-crs-v030001-id942400-sqli`	2	SQL 삽입 공격
`owasp-crs-v030001-id942410-sqli`	2	SQL 삽입 공격
`Not included`	2	SQL 삽입 공격
`Not included`	2	SQL 삽입 공격
`owasp-crs-v030001-id942430-sqli`	2	제한된 SQL 문자 이상 감지(args): 특수 문자 초과 수(12)
`owasp-crs-v030001-id942440-sqli`	2	SQL 주석 시퀀스가 감지됨
`owasp-crs-v030001-id942450-sqli`	2	식별된 SQL 16진수 인코딩
`Not included`	2	틱 또는 백틱에 의한 SQLi 우회 시도 감지됨
`owasp-crs-v030001-id942251-sqli`	3	HAVING 삽입 감지
`Not included`	2	기본 SQL 삽입 프로브 감지 3/3
`owasp-crs-v030001-id942420-sqli`	3	제한된 SQL 문자 이상 감지(쿠키): 특수 문자 초과 수(8)
`owasp-crs-v030001-id942431-sqli`	3	제한된 SQL 문자 이상 감지(args): 특수 문자 초과 수(6)
`owasp-crs-v030001-id942460-sqli`	3	메타 문자 이상 감지 알림 - 비단어 반복 문자
`Not included`	3	libinjection을 통한 SQL 삽입 공격이 감지됨
`Not included`	3	틱에 의한 SQLi 우회 시도가 감지됨
`owasp-crs-v030001-id942421-sqli`	4	제한된 SQL 문자 이상 감지(쿠키): 특수 문자 초과 수(3)
`owasp-crs-v030001-id942432-sqli`	4	제한된 SQL 문자 이상 감지(args): 특수 문자 초과 수(2)

evaluatePreconfiguredExpr()을 사용해 더 큰 민감도 수준에서 서명을 중지하여 특정 민감도 수준에서 규칙을 구성할 수 있습니다.

SQLi 민감도 수준 1
evaluatePreconfiguredExpr('sqli-v33-stable', ['owasp-crs-v030301-id942110-sqli', 'owasp-crs-v030301-id942120-sqli', 'owasp-crs-v030301-id942130-sqli', 'owasp-crs-v030301-id942150-sqli', 'owasp-crs-v030301-id942180-sqli', 'owasp-crs-v030301-id942200-sqli', 'owasp-crs-v030301-id942210-sqli', 'owasp-crs-v030301-id942260-sqli', 'owasp-crs-v030301-id942300-sqli', 'owasp-crs-v030301-id942310-sqli', 'owasp-crs-v030301-id942330-sqli', 'owasp-crs-v030301-id942340-sqli', 'owasp-crs-v030301-id942361-sqli', 'owasp-crs-v030301-id942370-sqli', 'owasp-crs-v030301-id942380-sqli', 'owasp-crs-v030301-id942390-sqli', 'owasp-crs-v030301-id942400-sqli', 'owasp-crs-v030301-id942410-sqli', 'owasp-crs-v030301-id942470-sqli', 'owasp-crs-v030301-id942480-sqli', 'owasp-crs-v030301-id942430-sqli', 'owasp-crs-v030301-id942440-sqli', 'owasp-crs-v030301-id942450-sqli', 'owasp-crs-v030301-id942510-sqli', 'owasp-crs-v030301-id942251-sqli', 'owasp-crs-v030301-id942490-sqli', 'owasp-crs-v030301-id942420-sqli', 'owasp-crs-v030301-id942431-sqli', 'owasp-crs-v030301-id942460-sqli', 'owasp-crs-v030301-id942101-sqli', 'owasp-crs-v030301-id942511-sqli', 'owasp-crs-v030301-id942421-sqli', 'owasp-crs-v030301-id942432-sqli'] )

SQLi 민감도 수준 1

evaluatePreconfiguredExpr('sqli-v33-stable',
['owasp-crs-v030301-id942110-sqli',
  'owasp-crs-v030301-id942120-sqli',
  'owasp-crs-v030301-id942130-sqli',
  'owasp-crs-v030301-id942150-sqli',
  'owasp-crs-v030301-id942180-sqli',
  'owasp-crs-v030301-id942200-sqli',
  'owasp-crs-v030301-id942210-sqli',
  'owasp-crs-v030301-id942260-sqli',
  'owasp-crs-v030301-id942300-sqli',
  'owasp-crs-v030301-id942310-sqli',
  'owasp-crs-v030301-id942330-sqli',
  'owasp-crs-v030301-id942340-sqli',
  'owasp-crs-v030301-id942361-sqli',
  'owasp-crs-v030301-id942370-sqli',
  'owasp-crs-v030301-id942380-sqli',
  'owasp-crs-v030301-id942390-sqli',
  'owasp-crs-v030301-id942400-sqli',
  'owasp-crs-v030301-id942410-sqli',
  'owasp-crs-v030301-id942470-sqli',
  'owasp-crs-v030301-id942480-sqli',
  'owasp-crs-v030301-id942430-sqli',
  'owasp-crs-v030301-id942440-sqli',
  'owasp-crs-v030301-id942450-sqli',
  'owasp-crs-v030301-id942510-sqli',
  'owasp-crs-v030301-id942251-sqli',
  'owasp-crs-v030301-id942490-sqli',
  'owasp-crs-v030301-id942420-sqli',
  'owasp-crs-v030301-id942431-sqli',
  'owasp-crs-v030301-id942460-sqli',
  'owasp-crs-v030301-id942101-sqli',
  'owasp-crs-v030301-id942511-sqli',
  'owasp-crs-v030301-id942421-sqli',
  'owasp-crs-v030301-id942432-sqli']
)

SQLi 민감도 수준 2
evaluatePreconfiguredExpr('sqli-v33-stable', ['owasp-crs-v030301-id942251-sqli', 'owasp-crs-v030301-id942490-sqli', 'owasp-crs-v030301-id942420-sqli', 'owasp-crs-v030301-id942431-sqli', 'owasp-crs-v030301-id942460-sqli', 'owasp-crs-v030301-id942101-sqli', 'owasp-crs-v030301-id942511-sqli', 'owasp-crs-v030301-id942421-sqli', 'owasp-crs-v030301-id942432-sqli'] )

SQLi 민감도 수준 2

evaluatePreconfiguredExpr('sqli-v33-stable',
 ['owasp-crs-v030301-id942251-sqli',
  'owasp-crs-v030301-id942490-sqli',
  'owasp-crs-v030301-id942420-sqli',
  'owasp-crs-v030301-id942431-sqli',
  'owasp-crs-v030301-id942460-sqli',
  'owasp-crs-v030301-id942101-sqli',
  'owasp-crs-v030301-id942511-sqli',
  'owasp-crs-v030301-id942421-sqli',
  'owasp-crs-v030301-id942432-sqli']
)

SQLi 민감도 수준 3
evaluatePreconfiguredExpr('sqli-v33-stable', ['owasp-crs-v030301-id942421-sqli', 'owasp-crs-v030301-id942432-sqli'] )

SQLi 민감도 수준 4
evaluatePreconfiguredExpr('sqli-v33-stable')

또는 사전 설정된 민감도 매개변수와 함께 evaluatePreconfiguredWaf()를 사용해서 특정 민감도 수준에서 규칙을 구성할 수 있습니다. 기본적으로 규칙 집합 민감도를 구성하지 않으면 Google Cloud Armor가 모든 서명을 평가합니다.

CRS 3.3

민감도 수준	표현식
1	evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 1})
2	evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 2})
3	evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 3})
4	evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 4})

CRS 3.0

민감도 수준	표현식
1	evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 1})
2	evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 2})
3	evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 3})
4	evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 4})

교차 사이트 스크립팅(XSS)

다음 표에서는 XSS 사전 구성된 WAF 규칙에서 지원되는 각 서명의 서명 ID, 민감도 수준, 설명을 제공합니다.

CRS 3.3

서명 ID(규칙 ID)	민감도 수준	설명
`owasp-crs-v030301-id941100-xss`	1	libinjection을 통한 XSS 공격이 감지됨
`owasp-crs-v030301-id941110-xss`	1	XSS 필터 - 카테고리 1: 스크립트 태그 벡터
`owasp-crs-v030301-id941120-xss`	1	XSS 필터 - 카테고리 2: 이벤트 핸들러 벡터
`owasp-crs-v030301-id941130-xss`	1	XSS 필터 - 카테고리 3: 속성 벡터
`owasp-crs-v030301-id941140-xss`	1	XSS 필터 - 카테고리 4: 자바스크립트 URI 벡터
`owasp-crs-v030301-id941160-xss`	1	NoScript XSS InjectionChecker: HTML 삽입
`owasp-crs-v030301-id941170-xss`	1	NoScript XSS InjectionChecker: 속성 삽입
`owasp-crs-v030301-id941180-xss`	1	Node-Validator 블랙리스트 키워드
`owasp-crs-v030301-id941190-xss`	1	IE XSS 필터 - 공격이 감지됨
`owasp-crs-v030301-id941200-xss`	1	IE XSS 필터 - 공격이 감지됨
`owasp-crs-v030301-id941210-xss`	1	IE XSS 필터 - 공격이 감지됨
`owasp-crs-v030301-id941220-xss`	1	IE XSS 필터 - 공격이 감지됨
`owasp-crs-v030301-id941230-xss`	1	IE XSS 필터 - 공격이 감지됨
`owasp-crs-v030301-id941240-xss`	1	IE XSS 필터 - 공격이 감지됨
`owasp-crs-v030301-id941250-xss`	1	IE XSS 필터 - 공격이 감지됨
`owasp-crs-v030301-id941260-xss`	1	IE XSS 필터 - 공격이 감지됨
`owasp-crs-v030301-id941270-xss`	1	IE XSS 필터 - 공격이 감지됨
`owasp-crs-v030301-id941280-xss`	1	IE XSS 필터 - 공격이 감지됨
`owasp-crs-v030301-id941290-xss`	1	IE XSS 필터 - 공격이 감지됨
`owasp-crs-v030301-id941300-xss`	1	IE XSS 필터 - 공격이 감지됨
`owasp-crs-v030301-id941310-xss`	1	US-ASCII 형식이 잘못된 인코딩 XSS 필터 - 공격이 감지됨
`owasp-crs-v030301-id941350-xss`	1	UTF-7 인코딩 IE XSS - 공격이 감지됨
`owasp-crs-v030301-id941360-xss`	1	상형 이미지 난독화
`owasp-crs-v030301-id941370-xss`	1	JavaScript 전역 변수가 발견됨
`owasp-crs-v030301-id941101-xss`	2	libinjection을 통한 XSS 공격이 감지됨
`owasp-crs-v030301-id941150-xss`	2	XSS 필터 - 카테고리 5: 허용되지 않는 HTML 속성
`owasp-crs-v030301-id941320-xss`	2	가능한 XSS 공격이 탐지됨 - HTML 태그 핸들러
`owasp-crs-v030301-id941330-xss`	2	IE XSS 필터 - 공격이 감지됨
`owasp-crs-v030301-id941340-xss`	2	IE XSS 필터 - 공격이 감지됨
`owasp-crs-v030301-id941380-xss`	2	AngularJS 클라이언트측 템플릿 삽입이 감지됨

CRS 3.0

서명 ID(규칙 ID)	민감도 수준	설명
`Not included`	1	libinjection을 통한 XSS 공격이 감지됨
`owasp-crs-v030001-id941110-xss`	1	XSS 필터 - 카테고리 1: 스크립트 태그 벡터
`owasp-crs-v030001-id941120-xss`	1	XSS 필터 - 카테고리 2: 이벤트 핸들러 벡터
`owasp-crs-v030001-id941130-xss`	1	XSS 필터 - 카테고리 3: 속성 벡터
`owasp-crs-v030001-id941140-xss`	1	XSS 필터 - 카테고리 4: 자바스크립트 URI 벡터
`owasp-crs-v030001-id941160-xss`	1	NoScript XSS InjectionChecker: HTML 삽입
`owasp-crs-v030001-id941170-xss`	1	NoScript XSS InjectionChecker: 속성 삽입
`owasp-crs-v030001-id941180-xss`	1	Node-Validator 블랙리스트 키워드
`owasp-crs-v030001-id941190-xss`	1	IE XSS 필터 - 공격이 감지됨
`owasp-crs-v030001-id941200-xss`	1	IE XSS 필터 - 공격이 감지됨
`owasp-crs-v030001-id941210-xss`	1	IE XSS 필터 - 공격이 감지됨
`owasp-crs-v030001-id941220-xss`	1	IE XSS 필터 - 공격이 감지됨
`owasp-crs-v030001-id941230-xss`	1	IE XSS 필터 - 공격이 감지됨
`owasp-crs-v030001-id941240-xss`	1	IE XSS 필터 - 공격이 감지됨
`owasp-crs-v030001-id941250-xss`	1	IE XSS 필터 - 공격이 감지됨
`owasp-crs-v030001-id941260-xss`	1	IE XSS 필터 - 공격이 감지됨
`owasp-crs-v030001-id941270-xss`	1	IE XSS 필터 - 공격이 감지됨
`owasp-crs-v030001-id941280-xss`	1	IE XSS 필터 - 공격이 감지됨
`owasp-crs-v030001-id941290-xss`	1	IE XSS 필터 - 공격이 감지됨
`owasp-crs-v030001-id941300-xss`	1	IE XSS 필터 - 공격이 감지됨
`owasp-crs-v030001-id941310-xss`	1	US-ASCII 형식이 잘못된 인코딩 XSS 필터 - 공격이 감지됨
`owasp-crs-v030001-id941350-xss`	1	UTF-7 인코딩 IE XSS - 공격이 감지됨
`Not included`	1	JSFuck/상형체 난독화가 감지됨
`Not included`	1	JavaScript 전역 변수가 발견됨
`Not included`	2	libinjection을 통한 XSS 공격이 감지됨
`owasp-crs-v030001-id941150-xss`	2	XSS 필터 - 카테고리 5: 허용되지 않는 HTML 속성
`owasp-crs-v030001-id941320-xss`	2	가능한 XSS 공격이 탐지됨 - HTML 태그 핸들러
`owasp-crs-v030001-id941330-xss`	2	IE XSS 필터 - 공격이 감지됨
`owasp-crs-v030001-id941340-xss`	2	IE XSS 필터 - 공격이 감지됨
`Not included`	2	AngularJS 클라이언트측 템플릿 삽입이 감지됨

evaluatePreconfiguredExpr()을 사용해 더 큰 민감도 수준에서 서명을 중지하여 특정 민감도 수준에서 규칙을 구성할 수 있습니다.

XSS 민감도 수준 1
evaluatePreconfiguredExpr('xss-v33-stable', ['owasp-crs-v030301-id941101-xss', 'owasp-crs-v030301-id941150-xss', 'owasp-crs-v030301-id941320-xss', 'owasp-crs-v030301-id941330-xss', 'owasp-crs-v030301-id941340-xss', 'owasp-crs-v030301-id941380-xss' ])

XSS 민감도 수준 1

evaluatePreconfiguredExpr('xss-v33-stable',
['owasp-crs-v030301-id941101-xss',
  'owasp-crs-v030301-id941150-xss',
  'owasp-crs-v030301-id941320-xss',
  'owasp-crs-v030301-id941330-xss',
  'owasp-crs-v030301-id941340-xss',
  'owasp-crs-v030301-id941380-xss'
])

XSS의 모든 서명은 민감도 수준 2 미만입니다. 다음 구성은 다른 민감도 수준에서 작동합니다.

XSS 민감도 수준 2
evaluatePreconfiguredExpr('xss-v33-stable')

CRS 3.3

민감도 수준	표현식
1	evaluatePreconfiguredWaf('xss-v33-stable', {'sensitivity': 1})
2	evaluatePreconfiguredWaf('xss-v33-stable', {'sensitivity': 2})

CRS 3.0

민감도 수준	표현식
1	evaluatePreconfiguredWaf('xss-stable', {'sensitivity': 1})

로컬 파일 포함(LFI)

다음 표에서는 LFI 사전 구성 WAF 규칙에서 지원되는 각 서명의 서명 ID, 민감도 수준, 설명을 제공합니다.

CRS 3.3

서명 ID(규칙 ID)	민감도 수준	설명
`owasp-crs-v030301-id930100-lfi`	1	경로 순회 공격(/../)
`owasp-crs-v030301-id930110-lfi`	1	경로 순회 공격(/../)
`owasp-crs-v030301-id930120-lfi`	1	OS 파일 액세스 시도
`owasp-crs-v030301-id930130-lfi`	1	제한된 파일 액세스 시도

CRS 3.0

서명 ID(규칙 ID)	민감도 수준	설명
`owasp-crs-v030001-id930100-lfi`	1	경로 순회 공격(/../)
`owasp-crs-v030001-id930110-lfi`	1	경로 순회 공격(/../)
`owasp-crs-v030001-id930120-lfi`	1	OS 파일 액세스 시도
`owasp-crs-v030001-id930130-lfi`	1	제한된 파일 액세스 시도

evaluatePreconfiguredExpr()을 사용해 더 큰 민감도 수준에서 서명을 중지하여 특정 민감도 수준에서 규칙을 구성할 수 있습니다. LFI의 모든 서명은 민감도 수준 1입니다. 다음 구성은 모든 민감도 수준에서 작동합니다.

LFI 민감도 수준 1
evaluatePreconfiguredExpr('lfi-v33-stable')

또는 사전 설정된 민감도 매개변수와 함께 evaluatePreconfiguredWaf()를 사용해서 특정 민감도 수준에서 규칙을 구성할 수 있습니다. LFI의 모든 서명은 민감도 수준 1입니다. 다음 구성은 모든 민감도 수준에서 작동합니다.

CRS 3.3

민감도 수준	표현식
1	evaluatePreconfiguredWaf('lfi-v33-stable', {'sensitivity': 1})

CRS 3.0

민감도 수준	표현식
1	evaluatePreconfiguredWaf('lfi-stable', {'sensitivity': 1})

원격 코드 실행(RCE)

다음 표에서는 RCE 사전 구성 WAF 규칙에서 지원되는 각 서명의 서명 ID, 민감도 수준, 설명을 제공합니다.

CRS 3.3

서명 ID(규칙 ID)	민감도 수준	설명
`owasp-crs-v030301-id932100-rce`	1	UNIX 명령어 삽입
`owasp-crs-v030301-id932105-rce`	1	UNIX 명령어 삽입
`owasp-crs-v030301-id932110-rce`	1	Windows 명령어 삽입
`owasp-crs-v030301-id932115-rce`	1	Windows 명령어 삽입
`owasp-crs-v030301-id932120-rce`	1	Windows PowerShell 명령어 발견됨
`owasp-crs-v030301-id932130-rce`	1	Unix 셸 표현식 발견됨
`owasp-crs-v030301-id932140-rce`	1	Windows FOR/IF 명령어 발견됨
`owasp-crs-v030301-id932150-rce`	1	Direct UNIX 명령어 실행
`owasp-crs-v030301-id932160-rce`	1	UNIX 셸 코드 발견됨
`owasp-crs-v030301-id932170-rce`	1	Shellshock(CVE-2014-6271)
`owasp-crs-v030301-id932171-rce`	1	Shellshock(CVE-2014-6271)
`owasp-crs-v030301-id932180-rce`	1	제한된 파일 업로드 시도
`owasp-crs-v030301-id932200-rce`	2	RCE 우회 기술
`owasp-crs-v030301-id932106-rce`	3	원격 명령어 실행: Unix 명령어 삽입
`owasp-crs-v030301-id932190-rce`	3	원격 명령어 실행: 와일드 카드 우회 기술 시도

CRS 3.0

서명 ID(규칙 ID)	민감도 수준	설명
`owasp-crs-v030001-id932100-rce`	1	UNIX 명령어 삽입
`owasp-crs-v030001-id932105-rce`	1	UNIX 명령어 삽입
`owasp-crs-v030001-id932110-rce`	1	Windows 명령어 삽입
`owasp-crs-v030001-id932115-rce`	1	Windows 명령어 삽입
`owasp-crs-v030001-id932120-rce`	1	Windows PowerShell 명령어 발견됨
`owasp-crs-v030001-id932130-rce`	1	Unix 셸 표현식 발견됨
`owasp-crs-v030001-id932140-rce`	1	Windows FOR/IF 명령어 발견됨
`owasp-crs-v030001-id932150-rce`	1	Direct UNIX 명령어 실행
`owasp-crs-v030001-id932160-rce`	1	UNIX 셸 코드 발견됨
`owasp-crs-v030001-id932170-rce`	1	Shellshock(CVE-2014-6271)
`owasp-crs-v030001-id932171-rce`	1	Shellshock(CVE-2014-6271)
`Not included`	1	제한된 파일 업로드 시도
`Not included`	2	RCE 우회 기술
`Not included`	3	원격 명령어 실행: Unix 명령어 삽입
`Not included`	3	원격 명령어 실행: 와일드 카드 우회 기술 시도

evaluatePreconfiguredExpr()을 사용해 더 큰 민감도 수준에서 서명을 중지하여 특정 민감도 수준에서 규칙을 구성할 수 있습니다. 다음 구성은 모든 민감도 수준에서 작동합니다.

RCE 민감도 수준 1
evaluatePreconfiguredExpr('rce-v33-stable', ['owasp-crs-v030301-id932200-rce', 'owasp-crs-v030301-id932106-rce', 'owasp-crs-v030301-id932190-rce'])

RCE 민감도 수준 2
evaluatePreconfiguredExpr('rce-v33-stable', [ 'owasp-crs-v030301-id932106-rce', 'owasp-crs-v030301-id932190-rce'])

RCE 민감도 수준 3
evaluatePreconfiguredExpr('rce-v33-stable')

또는 사전 설정된 민감도 매개변수와 함께 evaluatePreconfiguredWaf()를 사용해서 특정 민감도 수준에서 규칙을 구성할 수 있습니다. RCE의 모든 서명은 민감도 수준 1입니다. 다음 구성은 모든 민감도 수준에서 작동합니다.

CRS 3.3

민감도 수준	표현식
1	evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 1})
2	evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 2})
3	evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 3})

CRS 3.0

민감도 수준	표현식
1	evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 1})
2	evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 2})
3	evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 3})

원격 파일 포함(RCI)

다음 표에서는 RFI 사전 구성 WAF 규칙에서 지원되는 각 서명의 서명 ID, 민감도 수준, 설명을 제공합니다.

CRS 3.3

서명 ID(규칙 ID)	민감도 수준	설명
`owasp-crs-v030301-id931100-rfi`	1	IP 주소를 사용하는 URL 매개변수
`owasp-crs-v030301-id931110-rfi`	1	URL 페이로드와 함께 사용되는 일반적인 RFI 취약 매개변수 이름
`owasp-crs-v030301-id931120-rfi`	1	물음표 문자(?)가 뒤에 오는 URL 페이로드
`owasp-crs-v030301-id931130-rfi`	2	도메인 외부 참조/링크

CRS 3.0

서명 ID(규칙 ID)	민감도 수준	설명
`owasp-crs-v030001-id931100-rfi`	1	IP 주소를 사용하는 URL 매개변수
`owasp-crs-v030001-id931110-rfi`	1	URL 페이로드와 함께 사용되는 일반적인 RFI 취약 매개변수 이름
`owasp-crs-v030001-id931120-rfi`	1	물음표 문자(?)가 뒤에 오는 URL 페이로드
`owasp-crs-v030001-id931130-rfi`	2	도메인 외부 참조/링크

evaluatePreconfiguredExpr()을 사용해 더 큰 민감도 수준에서 서명을 중지하여 특정 민감도 수준에서 규칙을 구성할 수 있습니다.

RFI 민감도 수준 1
evaluatePreconfiguredExpr('rfi-v33-stable', ['owasp-crs-v030301-id931130-rfi'])

RFI의 모든 서명은 민감도 수준 2 미만입니다. 다음 구성은 다른 민감도 수준에서 작동합니다.

RFI 민감도 수준 2
evaluatePreconfiguredExpr('rfi-v33-stable')

CRS 3.3

민감도 수준	표현식
1	evaluatePreconfiguredWaf('rfi-v33-stable', {'sensitivity': 1})
2	evaluatePreconfiguredWaf('rfi-v33-stable', {'sensitivity': 2})

CRS 3.0

민감도 수준	표현식
1	evaluatePreconfiguredWaf('rfi-stable', {'sensitivity': 1})
2	evaluatePreconfiguredWaf('rfi-stable', {'sensitivity': 2})

메서드 적용

다음 표에서는 메서드 적용 사전 구성 규칙에서 지원되는 각 서명의 서명 ID, 민감도 수준, 설명을 제공합니다.

CRS 3.3

서명 ID(규칙 ID)	민감도 수준	설명
`owasp-crs-v030301-id911100-methodenforcement`	1	정책이 허용하지 않는 메서드

CRS 3.0

서명 ID(규칙 ID)	민감도 수준	설명
`owasp-crs-v030001-id911100-methodenforcement`	1	정책이 허용하지 않는 메서드

evaluatePreconfiguredExpr()을 사용해 더 큰 민감도 수준에서 서명을 중지하여 특정 민감도 수준에서 규칙을 구성할 수 있습니다. 메서드 적용의 모든 서명은 민감도 수준 1입니다. 다음 구성은 다른 민감도 수준에서 작동합니다.

메서드 적용 민감도 수준 1
evaluatePreconfiguredExpr('methodenforcement-v33-stable')

CRS 3.3

민감도 수준	표현식
1	evaluatePreconfiguredWaf('methodenforcement-v33-stable', {'sensitivity': 1})

CRS 3.0

민감도 수준	표현식
1	evaluatePreconfiguredWaf('methodenforcement-stable', {'sensitivity': 1})

스캐너 감지

다음 표에서는 스캐너 감지 사전 구성된 규칙에서 지원되는 각 서명의 서명 ID, 민감도 수준, 설명을 제공합니다.

CRS 3.3

서명 ID(규칙 ID)	민감도 수준	설명
`owasp-crs-v030301-id913100-scannerdetection`	1	보안 스캐너와 연결된 사용자 에이전트 발견
`owasp-crs-v030301-id913110-scannerdetection`	1	보안 스캐너와 연결된 요청 헤더 발견
`owasp-crs-v030301-id913120-scannerdetection`	1	보안 스캐너와 연결된 요청 파일 이름/인수 발견
`owasp-crs-v030301-id913101-scannerdetection`	2	스크립팅/일반 HTTP 클라이언트와 연결된 사용자 에이전트 발견
`owasp-crs-v030301-id913102-scannerdetection`	2	웹 크롤러/봇과 연결된 사용자 에이전트 발견

CRS 3.0

서명 ID(규칙 ID)	민감도 수준	설명
`owasp-crs-v030001-id913100-scannerdetection`	1	보안 스캐너와 연결된 사용자 에이전트 발견
`owasp-crs-v030001-id913110-scannerdetection`	1	보안 스캐너와 연결된 요청 헤더 발견
`owasp-crs-v030001-id913120-scannerdetection`	1	보안 스캐너와 연결된 요청 파일 이름/인수 발견
`owasp-crs-v030001-id913101-scannerdetection`	2	스크립팅/일반 HTTP 클라이언트와 연결된 사용자 에이전트 발견
`owasp-crs-v030001-id913102-scannerdetection`	2	웹 크롤러/봇과 연결된 사용자 에이전트 발견

evaluatePreconfiguredExpr()을 사용해 더 큰 민감도 수준에서 서명을 중지하여 특정 민감도 수준에서 규칙을 구성할 수 있습니다.

스캐너 감지 민감도 수준 1
evaluatePreconfiguredExpr('scannerdetection-v33-stable', ['owasp-crs-v030301-id913101-scannerdetection', 'owasp-crs-v030301-id913102-scannerdetection'] )

스캐너 감지 민감도 수준 2
evaluatePreconfiguredExpr('scannerdetection-v33-stable')

CRS 3.3

민감도 수준	표현식
1	evaluatePreconfiguredWaf('scannerdetection-v33-stable', {'sensitivity': 1})
2	evaluatePreconfiguredWaf('scannerdetection-v33-stable', {'sensitivity': 2})

CRS 3.0

민감도 수준	표현식
1	evaluatePreconfiguredWaf('scannerdetection-stable', {'sensitivity': 1})
2	evaluatePreconfiguredWaf('scannerdetection-stable', {'sensitivity': 2})

프로토콜 공격

다음 표는 사전 구성된 프로토콜 공격 규칙에서 지원되는 각 서명의 서명 ID, 민감도 수준, 설명을 제공합니다.

CRS 3.3

서명 ID(규칙 ID)	민감도 수준	설명
`Not included`	1	HTTP 요청 스머글링 공격
`owasp-crs-v030301-id921110-protocolattack`	1	HTTP 요청 스머글링 공격
`owasp-crs-v030301-id921120-protocolattack`	1	HTTP 응답 분할 공격
`owasp-crs-v030301-id921130-protocolattack`	1	HTTP 응답 분할 공격
`owasp-crs-v030301-id921140-protocolattack`	1	헤더를 통한 HTTP 헤더 삽입 공격
`owasp-crs-v030301-id921150-protocolattack`	1	페이로드를 통한 HTTP 헤더 삽입 공격(CR/LF 감지됨)
`owasp-crs-v030301-id921160-protocolattack`	1	페이로드를 통한 HTTP 헤더 삽입 공격(CR/LF 및 헤더 이름 감지됨)
`owasp-crs-v030301-id921190-protocolattack`	1	HTTP 분할(요청 파일 이름의 CR/LF 감지됨)
`owasp-crs-v030301-id921200-protocolattack`	1	LDAP 삽입 공격
`owasp-crs-v030301-id921151-protocolattack`	2	페이로드를 통한 HTTP 헤더 삽입 공격(CR/LF 감지됨)
`owasp-crs-v030301-id921170-protocolattack`	3	HTTP 매개변수 오염

CRS 3.0

서명 ID(규칙 ID)	민감도 수준	설명
`owasp-crs-v030001-id921100-protocolattack`	1	HTTP 요청 스머글링 공격
`owasp-crs-v030001-id921110-protocolattack`	1	HTTP 요청 스머글링 공격
`owasp-crs-v030001-id921120-protocolattack`	1	HTTP 응답 분할 공격
`owasp-crs-v030001-id921130-protocolattack`	1	HTTP 응답 분할 공격
`owasp-crs-v030001-id921140-protocolattack`	1	헤더를 통한 HTTP 헤더 삽입 공격
`owasp-crs-v030001-id921150-protocolattack`	1	페이로드를 통한 HTTP 헤더 삽입 공격(CR/LF 감지됨)
`owasp-crs-v030001-id921160-protocolattack`	1	페이로드를 통한 HTTP 헤더 삽입 공격(CR/LF 및 헤더 이름 감지됨)
`Not included`	1	HTTP 분할(요청 파일 이름의 CR/LF 감지됨)
`Not included`	1	LDAP 삽입 공격
`owasp-crs-v030001-id921151-protocolattack`	2	페이로드를 통한 HTTP 헤더 삽입 공격(CR/LF 감지됨)
`owasp-crs-v030001-id921170-protocolattack`	3	HTTP 매개변수 오염

evaluatePreconfiguredExpr()을 사용해 더 큰 민감도 수준에서 서명을 중지하여 특정 민감도 수준에서 규칙을 구성할 수 있습니다.

프로토콜 공격 민감도 수준 1
evaluatePreconfiguredExpr('protocolattack-v33-stable', ['owasp-crs-v030301-id921151-protocolattack', 'owasp-crs-v030301-id921170-protocolattack'] )

프로토콜 공격 민감도 수준 2
evaluatePreconfiguredExpr('protocolattack-v33-stable', ['owasp-crs-v030301-id921170-protocolattack'] )

프로토콜 공격 민감도 수준 3
evaluatePreconfiguredExpr('protocolattack-v33-stable')

CRS 3.3

민감도 수준	표현식
1	evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 1})
2	evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 2})
3	evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 3})

CRS 3.0

민감도 수준	표현식
1	evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 1})
2	evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 2})
3	evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 3})

PHP

다음 표에서는 PHP 사전 구성 WAF 규칙에서 지원되는 각 서명의 서명 ID, 민감도 수준, 설명을 제공합니다.

CRS 3.3

서명 ID(규칙 ID)	민감도 수준	설명
`owasp-crs-v030301-id933100-php`	1	PHP 삽입 공격: PHP 공개 태그 발견됨
`owasp-crs-v030301-id933110-php`	1	PHP 삽입 공격: PHP 스크립트 파일 업로드 발견됨
`owasp-crs-v030301-id933120-php`	1	PHP 삽입 공격: 구성 지시문 발견됨
`owasp-crs-v030301-id933130-php`	1	PHP 삽입 공격: 변수 발견됨
`owasp-crs-v030301-id933140-php`	1	PHP 삽입 공격: I/O 스트림 발견됨
`owasp-crs-v030301-id933200-php`	1	PHP 삽입 공격: 래퍼 스키마 감지됨
`owasp-crs-v030301-id933150-php`	1	PHP 삽입 공격: 고위험 PHP 함수 이름 발견됨
`owasp-crs-v030301-id933160-php`	1	PHP 삽입 공격: 고위험 PHP 함수 호출 발견됨
`owasp-crs-v030301-id933170-php`	1	PHP 삽입 공격: 직렬화된 객체 삽입
`owasp-crs-v030301-id933180-php`	1	PHP 삽입 공격: 변수 함수 호출 발견됨
`owasp-crs-v030301-id933210-php`	1	PHP 삽입 공격: 변수 함수 호출 발견됨
`owasp-crs-v030301-id933151-php`	2	PHP 삽입 공격: 중위험 PHP 함수 이름 발견됨
`owasp-crs-v030301-id933131-php`	3	PHP 삽입 공격: 변수 발견됨
`owasp-crs-v030301-id933161-php`	3	PHP 삽입 공격: 낮은 값의 PHP 함수 호출 발견됨
`owasp-crs-v030301-id933111-php`	3	PHP 삽입 공격: PHP 스크립트 파일 업로드 발견됨
`owasp-crs-v030301-id933190-php`	3	PHP 삽입 공격: PHP 닫는 태그 발견됨

CRS 3.0

서명 ID(규칙 ID)	민감도 수준	설명
`owasp-crs-v030001-id933100-php`	1	PHP 삽입 공격: PHP 공개 태그 발견됨
`owasp-crs-v030001-id933110-php`	1	PHP 삽입 공격: PHP 스크립트 파일 업로드 발견됨
`owasp-crs-v030001-id933120-php`	1	PHP 삽입 공격: 구성 지시문 발견됨
`owasp-crs-v030001-id933130-php`	1	PHP 삽입 공격: 변수 발견됨
`owasp-crs-v030001-id933140-php`	1	PHP 삽입 공격: I/O 스트림 발견됨
`Not included`	1	PHP 삽입 공격: 래퍼 스키마 감지됨
`owasp-crs-v030001-id933150-php`	1	PHP 삽입 공격: 고위험 PHP 함수 이름 발견됨
`owasp-crs-v030001-id933160-php`	1	PHP 삽입 공격: 고위험 PHP 함수 호출 발견됨
`owasp-crs-v030001-id933170-php`	1	PHP 삽입 공격: 직렬화된 객체 삽입
`owasp-crs-v030001-id933180-php`	1	PHP 삽입 공격: 변수 함수 호출 발견됨
`Not included`	1	PHP 삽입 공격: 변수 함수 호출 발견됨
`owasp-crs-v030001-id933151-php`	2	PHP 삽입 공격: 중위험 PHP 함수 이름 발견됨
`owasp-crs-v030001-id933131-php`	3	PHP 삽입 공격: 변수 발견됨
`owasp-crs-v030001-id933161-php`	3	PHP 삽입 공격: 낮은 값의 PHP 함수 호출 발견됨
`owasp-crs-v030001-id933111-php`	3	PHP 삽입 공격: PHP 스크립트 파일 업로드 발견됨
`Not included`	3	PHP 삽입 공격: PHP 닫는 태그 발견됨

evaluatePreconfiguredExpr()을 사용해 더 큰 민감도 수준에서 서명을 중지하여 특정 민감도 수준에서 규칙을 구성할 수 있습니다.

PHP 삽입 공격 민감도 수준 1

evaluatePreconfiguredExpr('php-v33-stable',
['owasp-crs-v030301-id933151-php',
  'owasp-crs-v030301-id933131-php',
  'owasp-crs-v030301-id933161-php',
  'owasp-crs-v030301-id933111-php',
  'owasp-crs-v030301-id933190-php']
)

PHP 삽입 공격 민감도 수준 2
evaluatePreconfiguredExpr('php-v33-stable', ['owasp-crs-v0303001-id933131-php', 'owasp-crs-v0303001-id933161-php', 'owasp-crs-v0303001-id933111-php', 'owasp-crs-v030301-id933190-php'])

PHP 삽입 공격 민감도 수준 3
evaluatePreconfiguredExpr('php-v33-stable')

CRS 3.3

민감도 수준	표현식
1	evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 1})
2	evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 2})
3	evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 3})

CRS 3.0

민감도 수준	표현식
1	evaluatePreconfiguredWaf('php-stable', {'sensitivity': 1})
2	evaluatePreconfiguredWaf('php-stable', {'sensitivity': 2})
3	evaluatePreconfiguredWaf('php-stable', {'sensitivity': 3})

세션 고정

다음 표는 세션 고정 사전 구성된 규칙에서 지원되는 각 서명의 서명 ID, 민감도 수준, 설명을 제공합니다.

CRS 3.3

서명 ID(규칙 ID)	민감도 수준	설명
`owasp-crs-v030301-id943100-sessionfixation`	1	가능한 세션 고정 공격: HTML에서 쿠키 값 설정
`owasp-crs-v030301-id943110-sessionfixation`	1	가능한 세션 고정 공격: 오프 도메인 리퍼러가 포함된 SessionID 매개변수 이름
`owasp-crs-v030301-id943120-sessionfixation`	1	가능한 세션 고정 공격: 리퍼러가 없는 SessionID 매개변수 이름

CRS 3.0

서명 ID(규칙 ID)	민감도 수준	설명
`owasp-crs-v030001-id943100-sessionfixation`	1	가능한 세션 고정 공격: HTML에서 쿠키 값 설정
`owasp-crs-v030001-id943110-sessionfixation`	1	가능한 세션 고정 공격: 오프 도메인 리퍼러가 포함된 SessionID 매개변수 이름
`owasp-crs-v030001-id943120-sessionfixation`	1	가능한 세션 고정 공격: 리퍼러가 없는 SessionID 매개변수 이름

evaluatePreconfiguredExpr()을 사용해 더 큰 민감도 수준에서 서명을 중지하여 특정 민감도 수준에서 규칙을 구성할 수 있습니다. 세션 고정의 모든 서명은 민감도 수준 1입니다. 다음 구성은 모든 민감도 수준에서 작동합니다.

세션 고정 민감도 수준 1
evaluatePreconfiguredExpr('sessionfixation-v33-stable')

또는 사전 설정된 민감도 매개변수와 함께 evaluatePreconfiguredWaf()를 사용해서 특정 민감도 수준에서 규칙을 구성할 수 있습니다. 세션 고정의 모든 서명은 민감도 수준 1입니다. 다음 구성은 모든 민감도 수준에서 작동합니다.

CRS 3.3

민감도 수준	표현식
1	evaluatePreconfiguredWaf('sessionfixation-v33-stable', {'sensitivity': 1})

CRS 3.0

민감도 수준	표현식
1	evaluatePreconfiguredWaf('sessionfixation-stable', {'sensitivity': 1})

Java 공격

다음 표에서는 자바 공격 사전 구성된 규칙에서 지원되는 각 서명의 서명 ID, 민감도 수준, 설명을 제공합니다.

CRS 3.3

서명 ID(규칙 ID)	민감도 수준	설명
`owasp-crs-v030301-id944100-java`	1	원격 명령어 실행: 의심스러운 Java 클래스가 감지됨
`owasp-crs-v030301-id944110-java`	1	원격 명령어 실행: 자바 프로세스 생성(CVE-2017-9805)
`owasp-crs-v030301-id944120-java`	1	원격 명령어 실행: 자바 직렬화(CVE-2015-4852)
`owasp-crs-v030301-id944130-java`	1	의심스러운 Java 클래스가 감지됨
`owasp-crs-v030301-id944200-java`	2	매직 바이트가 감지됨, 자바 직렬화를 사용 중일 가능성이 있음
`owasp-crs-v030301-id944210-java`	2	Base64로 인코딩된 매직 바이트가 감지됨, 자바 직렬화를 사용 중일 가능성이 있음
`owasp-crs-v030301-id944240-java`	2	원격 명령어 실행: 자바 직렬화(CVE-2015-4852)
`owasp-crs-v030301-id944250-java`	2	원격 명령어 실행: 의심스러운 Java 메서드가 감지됨
`owasp-crs-v030301-id944300-java`	3	일치하는 의심스러운 키워드가 있는 Base64로 인코딩된 문자열

CRS 3.0

서명 ID(규칙 ID)	민감도 수준	설명
`Not included`	1	원격 명령어 실행: 의심스러운 Java 클래스가 감지됨
`Not included`	1	원격 명령어 실행: 자바 프로세스 생성(CVE-2017-9805)
`Not included`	1	원격 명령어 실행: 자바 직렬화(CVE-2015-4852)
`Not included`	1	의심스러운 Java 클래스가 감지됨
`Not included`	2	매직 바이트가 감지됨, 자바 직렬화를 사용 중일 가능성이 있음
`Not included`	2	Base64로 인코딩된 매직 바이트가 감지됨, 자바 직렬화를 사용 중일 가능성이 있음
`Not included`	2	원격 명령어 실행: 자바 직렬화(CVE-2015-4852)
`Not included`	2	원격 명령어 실행: 의심스러운 Java 메서드가 감지됨
`Not included`	3	일치하는 의심스러운 키워드가 있는 Base64로 인코딩된 문자열

evaluatePreconfiguredExpr()을 사용해 더 큰 민감도 수준에서 서명을 중지하여 특정 민감도 수준에서 규칙을 구성할 수 있습니다.

Java 공격 민감도 수준 1

evaluatePreconfiguredExpr('java-v33-stable',
['owasp-crs-v030301-id944200-java',
 'owasp-crs-v030301-id944210-java',
 'owasp-crs-v030301-id944240-java',
 'owasp-crs-v030301-id944250-java',
 'owasp-crs-v030301-id944300-java'])

Java 공격 민감도 수준 2
evaluatePreconfiguredExpr('java-v33-stable', ['owasp-crs-v030301-id944300-java'])

Java 공격 민감도 수준 3
evaluatePreconfiguredExpr('java-v33-stable')

민감도 수준	표현식
1	evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 1})
2	evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 2})
3	evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 3})

NodeJS 공격

다음 표에서는 NodeJS 공격 사전 구성된 규칙에서 지원되는 각 서명의 서명 ID, 민감도 수준, 설명을 제공합니다.

다음의 사전 구성된 WAF 규칙 서명은 CRS 3.3에만 포함되어 있습니다.

CRS 3.3

서명 ID(규칙 ID)	민감도 수준	설명
`owasp-crs-v030301-id934100-nodejs`	1	Node.js 삽입 공격

CRS 3.0

서명 ID(규칙 ID)	민감도 수준	설명
`Not included`	1	Node.js 삽입 공격

evaluatePreconfiguredExpr()을 사용해 더 큰 민감도 수준에서 서명을 중지하여 특정 민감도 수준에서 규칙을 구성할 수 있습니다. NodeJS 공격의 모든 서명은 민감도 수준 1입니다. 다음 구성은 다른 민감도 수준에서 작동합니다.

NodeJS 민감도 수준 1
evaluatePreconfiguredExpr('nodejs-v33-stable')

또는 사전 설정된 민감도 매개변수와 함께 evaluatePreconfiguredWaf()를 사용해서 특정 민감도 수준에서 규칙을 구성할 수 있습니다. NodeJS 공격의 모든 서명은 민감도 수준 1입니다. 다음 구성은 다른 민감도 수준에서 작동합니다.

민감도 수준	표현식
1	evaluatePreconfiguredWaf('nodejs-v33-stable', {'sensitivity': 1})

CVE 및 기타 취약점

다음 표에서는 CVE Log4j RCE 취약점 사전 구성 규칙에서 지원되는 각 서명의 서명 ID, 민감도 수준, 설명을 제공합니다.

서명 ID(규칙 ID)	민감도 수준	설명
`owasp-crs-v030001-id044228-cve`	1	`CVE-2021-44228` 및 `CVE-2021-45046`의 악용 시도를 감지하는 데 도움이 되는 기본 규칙
`owasp-crs-v030001-id144228-cve`	1	더 많은 우회 및 난독화 시도를 처리하기 위해 Google에서 제공하는 개선사항
`owasp-crs-v030001-id244228-cve`	3	더 많은 우회 및 난독화 시도를 포함하기 위한 감지 민감도 증가 및 거짓양성 감지 위험의 명목상 증가
`owasp-crs-v030001-id344228-cve`	3	base64 인코딩을 사용하여 더 많은 우회 및 난독화 시도를 포함하기 위한 감지 민감도 증가 및 거짓양성 감지 위험의 명목상 증가

evaluatePreconfiguredExpr()을 사용해 더 큰 민감도 수준에서 서명을 중지하여 특정 민감도 수준에서 규칙을 구성할 수 있습니다.

CVE 민감도 수준 1
evaluatePreconfiguredExpr('cve-canary', ['owasp-crs-v030001-id244228-cve', 'owasp-crs-v030001-id344228-cve'])

CVE 민감도 수준 3
evaluatePreconfiguredExpr('cve-canary')

민감도 수준	표현식
1	evaluatePreconfiguredWaf('cve-canary', {'sensitivity': 1})
2	evaluatePreconfiguredWaf('cve-canary', {'sensitivity': 2})
3	evaluatePreconfiguredWaf('cve-canary', {'sensitivity': 3})

JSON 형식 콘텐츠 SQLi 취약점

다음 표에는 서명 ID, 민감도 수준, 지원되는 서명 942550-sqli의 설명이 나와 있으며, 이는 악성 공격자가 SQL 삽입 페이로드에 JSON 구문을 추가하여 WAF를 우회할 수 있는 취약점을 다룹니다.

서명 ID(규칙 ID)	민감도 수준	설명
`owasp-crs-id942550-sqli`	2	URL에서 발견된 SQLi 서명을 포함한 모든 JSON 기반 SQLi 벡터 감지

다음 표현식을 사용하여 서명을 배포합니다.

  evaluatePreconfiguredWaf('json-sqli-canary', {'sensitivity':0, 'opt_in_rule_ids': ['owasp-crs-id942550-sqli']})

또한 민감도 수준 2에서 sqli-v33-stable을 사용 설정하여 JSON 기반 SQL 삽입 우회를 완전히 처리하는 것이 좋습니다.

제한사항

Google Cloud Armor 사전 구성 WAF 규칙에는 다음과 같은 제한사항이 있습니다.

WAF 규칙 변경사항은 일반적으로 전달되는 데 몇 분 정도 걸립니다.
Google Cloud Armor는 요청 본문이 있는 HTTP 요청 유형 중에서 POST 요청만 처리합니다. Google Cloud Armor는 POST 본문 콘텐츠의 처음 8KB에 대해 사전 구성된 규칙을 평가합니다. 자세한 내용은 POST 본문 검사 제한사항을 참조하세요.
Google Cloud Armor는 JSON 구문 분석이 일치하는 Content-Type 헤더 값으로 사용 설정된 경우 사전 구성된 WAF 규칙을 파싱하고 적용할 수 있습니다. 자세한 내용은 JSON 파싱을 참조하세요.
사전 구성된 WAF 규칙에 요청 필드 제외가 연결된 경우에는 allow 작업을 사용할 수 없습니다. 예외에 일치하는 요청은 자동으로 허용됩니다.

Google Cloud Armor 사전 구성 WAF 규칙 개요

CRS 3.3

CRS 3.0

사전 구성된 ModSecurity 규칙

SQL 삽입(SQLi)

CRS 3.3

CRS 3.0

CRS 3.3

CRS 3.0

교차 사이트 스크립팅(XSS)

CRS 3.3

CRS 3.0

CRS 3.3

CRS 3.0

로컬 파일 포함(LFI)

CRS 3.3

CRS 3.0

CRS 3.3

CRS 3.0

원격 코드 실행(RCE)

CRS 3.3

CRS 3.0

CRS 3.3

CRS 3.0

원격 파일 포함(RCI)

CRS 3.3

CRS 3.0

CRS 3.3

CRS 3.0

메서드 적용

CRS 3.3

CRS 3.0

CRS 3.3

CRS 3.0

스캐너 감지

CRS 3.3

CRS 3.0

CRS 3.3

CRS 3.0

프로토콜 공격

CRS 3.3

CRS 3.0

CRS 3.3

CRS 3.0

PHP

CRS 3.3

CRS 3.0

CRS 3.3

CRS 3.0

세션 고정

CRS 3.3

CRS 3.0

CRS 3.3

CRS 3.0

Java 공격

CRS 3.3

CRS 3.0

NodeJS 공격

CRS 3.3

CRS 3.0

CVE 및 기타 취약점

JSON 형식 콘텐츠 SQLi 취약점

제한사항

다음 단계