Panoramica delle regole WAF preconfigurate di Google Cloud Armor

Le regole WAF preconfigurate di Google Cloud Armor sono regole WAF complesse con decine di firme compilate da standard di settore open source. Ogni firma corrisponde a una regola di rilevamento degli attacchi nel set di regole. Google offre queste regole così come sono. Le regole consentono a Google Cloud Armor di valutare decine di firme diverse per il traffico facendo riferimento a regole con nomi appropriati, anziché richiedere la definizione manuale di ogni firma.

Le regole WAF preconfigurate di Google Cloud Armor possono essere ottimizzate in base alle tue esigenze. Per ulteriori informazioni su come ottimizzare le regole, consulta Ottimizzare le regole WAF preconfigurate di Google Cloud Armor.

La seguente tabella contiene un elenco completo delle regole WAF preconfigurate disponibili per l'utilizzo in un criterio di sicurezza di Google Cloud Armor. Le origini delle regole sono ModSecurity Core Rules Set (CRS) 3.0 e CRS 3.3. Ti consigliamo di utilizzare la versione 3.3 per una maggiore sensibilità e per una maggiore portata di tipi di attacchi protetti. Il supporto per CRS 3.0 è continuo.

RP 3.3

Nome regola di Google Cloud Armor Nome regola ModSecurity Stato corrente
SQL injection sqli-v33-stable Sincronizzato con sqli-v33-canary
sqli-v33-canary Più recente
Cross-site scripting (XSS) xss-v33-stable Sincronizzato con xss-v33-canary
xss-v33-canary Più recente
Inclusione di file locali lfi-v33-stable Sincronizzato con lfi-v33-canary
lfi-v33-canary Più recente
Inclusione di file da remoto rfi-v33-stable Sincronizzato con rfi-v33-canary
rfi-v33-canary Più recente
Esecuzione di codice da remoto rce-v33-stable Sincronizzato con rce-v33-canary
rce-v33-canary Più recente
Applicazione del metodo methodenforcement-v33-stable Sincronizzato con methodenforcement-v33-canary
methodenforcement-v33-canary Più recente
Rilevamento dello scanner scannerdetection-v33-stable Sincronizzato con scannerdetection-v33-canary
scannerdetection-v33-canary Più recente
Attacco di protocollo protocolattack-v33-stable Sincronizzato con protocolattack-v33-canary
protocolattack-v33-canary Più recente
attacco iniezione PHP php-v33-stable Sincronizzato con php-v33-canary
php-v33-canary Più recente
Attacco di correzione sessione sessionfixation-v33-stable Sincronizzato con sessionfixation-v33-canary
sessionfixation-v33-canary Più recente
attacco Java java-v33-stable Sincronizzato con java-v33-canary
java-v33-canary Più recente
Attacco NodeJS nodejs-v33-stable Sincronizzato con nodejs-v33-canary
nodejs-v33-canary Più recente

CRS 3.0

Nome regola di Google Cloud Armor Nome regola ModSecurity Stato corrente
SQL injection sqli-stable Sincronizzato con sqli-canary
sqli-canary Più recente
Cross-site scripting (XSS) xss-stable Sincronizzato con xss-canary
xss-canary Più recente
Inclusione di file locali lfi-stable Sincronizzato con lfi-canary
lfi-canary Più recente
Inclusione di file da remoto rfi-stable Sincronizzato con rfi-canary
rfi-canary Più recente
Esecuzione di codice da remoto rce-stable Sincronizzato con rce-canary
rce-canary Più recente
Applicazione del metodo methodenforcement-stable Sincronizzato con methodenforcement-canary
methodenforcement-canary Più recente
Rilevamento dello scanner scannerdetection-stable Sincronizzato con scannerdetection-canary
scannerdetection-canary Più recente
Attacco di protocollo protocolattack-stable Sincronizzato con protocolattack-canary
protocolattack-canary Più recente
attacco iniezione PHP php-stable Sincronizzato con php-canary
php-canary Più recente
Attacco di correzione sessione sessionfixation-stable Sincronizzato con sessionfixation-canary
sessionfixation-canary Più recente
attacco Java Not included
Attacco NodeJS Not included

Inoltre, le seguenti regole cve-canary sono disponibili per tutti i clienti di Google Cloud Armor per rilevare e bloccare le vulnerabilità seguenti:

  • CVE-2021-44228 e CVE-2021-45046 vulnerabilità Log4j RCE
  • 942550-sqli vulnerabilità dei contenuti con formato JSON
Nome regola di Google Cloud Armor Tipi di vulnerabilità coperti
cve-canary Vulnerabilità di Log4j
json-sqli-canary Vulnerabilità di bypass dell'SQL injection basata su JSON

Regole ModSecurity preconfigurate

Ogni regola WAF preconfigurata ha un livello di sensibilità che corrisponde a un livello di paranoia di ModSecurity. Un livello di sensibilità inferiore indica una firma di confidenza più alta, che ha meno probabilità di generare un falso positivo. Un livello di sensibilità più elevato aumenta la sicurezza, ma aumenta anche il rischio di generare un falso positivo.

SQL injection (SQLi)

La seguente tabella fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola WAF preconfigurata SQLi.

RP 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id942100-sqli 1 Attacco SQL injection rilevato tramite libinjection
owasp-crs-v030301-id942140-sqli 1 Attacco SQL injection: rilevati comuni nomi DB
owasp-crs-v030301-id942160-sqli 1 Rileva i test SQLi ciechi utilizzando Sleep() o benchmark()
owasp-crs-v030301-id942170-sqli 1 Rileva il benchmark SQL e i tentativi di inserimento del sonno, incluse le query condizionali
owasp-crs-v030301-id942190-sqli 1 Rileva l'esecuzione di codice MSSQL e i tentativi di raccolta di informazioni
owasp-crs-v030301-id942220-sqli 1 Cerca attacchi di overflow di numeri interi
owasp-crs-v030301-id942230-sqli 1 Rileva i tentativi di SQL injection condizionale
owasp-crs-v030301-id942240-sqli 1 Rileva l'opzione del set di caratteri MySQL e i tentativi DoS MSSQL
owasp-crs-v030301-id942250-sqli 1 Rileva CORRISPONDENZA CONTRO
owasp-crs-v030301-id942270-sqli 1 Cerca SQL injection di base; stringa di attacco comune per MySql
owasp-crs-v030301-id942280-sqli 1 Rileva l'iniezione pg_sleep in Postgres
owasp-crs-v030301-id942290-sqli 1 Trova i tentativi di iniezione di base di MongoDB SQL
owasp-crs-v030301-id942320-sqli 1 Rileva le iniezioni di stored procedure/funzioni MySQL e PostgreSQL
owasp-crs-v030301-id942350-sqli 1 Rileva l'inserimento di UDF MySQL e altri tentativi di manipolazione di dati/struttura
owasp-crs-v030301-id942360-sqli 1 Rileva i tentativi di SQL injection di base e SQLLFI concatenati
owasp-crs-v030301-id942500-sqli 1 Rilevato commento in linea MySQL
owasp-crs-v030301-id942110-sqli 2 Attacco SQL injection: rilevamento comune dei test di iniezione
owasp-crs-v030301-id942120-sqli 2 Attacco SQL injection: rilevato dall'operatore SQL
owasp-crs-v030301-id942130-sqli 2 Attacco SQL injection: tautologia SQL rilevata
owasp-crs-v030301-id942150-sqli 2 attacco di SQL injection
owasp-crs-v030301-id942180-sqli 2 Rileva i tentativi di bypass dell'autenticazione SQL di base 1/3
owasp-crs-v030301-id942200-sqli 2 Rileva le iniezioni di commenti/spazio offuscati di MySQL e la terminazione dell'accento grave
owasp-crs-v030301-id942210-sqli 2 Rileva i tentativi di SQL injection concatenati 1/2
owasp-crs-v030301-id942260-sqli 2 Rileva i tentativi di bypass dell'autenticazione SQL di base 2/3
owasp-crs-v030301-id942300-sqli 2 Rileva i commenti MySQL
owasp-crs-v030301-id942310-sqli 2 Rileva i tentativi di SQL injection concatenati 2/2
owasp-crs-v030301-id942330-sqli 2 Rileva i probe di SQL injection classici 1/2
owasp-crs-v030301-id942340-sqli 2 Rileva i tentativi di bypass dell'autenticazione SQL di base 3/3
owasp-crs-v030301-id942361-sqli 2 Rileva l'SQL injection di base in base all'alterazione o all'unione delle parole chiave
owasp-crs-v030301-id942370-sqli 2 Rileva i probe di SQL injection classici 2/3
owasp-crs-v030301-id942380-sqli 2 attacco di SQL injection
owasp-crs-v030301-id942390-sqli 2 attacco di SQL injection
owasp-crs-v030301-id942400-sqli 2 attacco di SQL injection
owasp-crs-v030301-id942410-sqli 2 attacco di SQL injection
owasp-crs-v030301-id942470-sqli 2 attacco di SQL injection
owasp-crs-v030301-id942480-sqli 2 attacco di SQL injection
owasp-crs-v030301-id942430-sqli 2 Rilevamento limitato di anomalie dei caratteri SQL (args): numero di caratteri speciali superato (12)
owasp-crs-v030301-id942440-sqli 2 Sequenza di commenti SQL rilevata
owasp-crs-v030301-id942450-sqli 2 Codifica esadecimale SQL identificata
owasp-crs-v030301-id942510-sqli 2 Tentativo di bypass SQLi rilevato da segni di graduazione o apici inversi
owasp-crs-v030301-id942251-sqli 3 Rileva HAVING iniezioni
owasp-crs-v030301-id942490-sqli 3 Rileva i probe di SQL injection classici 3/3
owasp-crs-v030301-id942420-sqli 3 Rilevamento limitato di anomalie dei caratteri SQL (cookie): numero di caratteri speciali superato (8)
owasp-crs-v030301-id942431-sqli 3 Rilevamento limitato di anomalie dei caratteri SQL (args): numero di caratteri speciali superato (6)
owasp-crs-v030301-id942460-sqli 3 Avviso per il rilevamento di anomalie di meta-caratteri - caratteri ripetitivi non contenenti parole
owasp-crs-v030301-id942101-sqli 3 Attacco SQL injection rilevato tramite libinjection
owasp-crs-v030301-id942511-sqli 3 Tentativo di bypass SQLi rilevato da segni di graduazione
owasp-crs-v030301-id942421-sqli 4 Rilevamento limitato di anomalie dei caratteri SQL (cookie): numero di caratteri speciali superato (3)
owasp-crs-v030301-id942432-sqli 4 Rilevamento limitato di anomalie dei caratteri SQL (args): numero di caratteri speciali superato (2)

CRS 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
Not included 1 Attacco SQL injection rilevato tramite libinjection
owasp-crs-v030001-id942140-sqli 1 Attacco SQL injection: rilevati comuni nomi DB
owasp-crs-v030001-id942160-sqli 1 Rileva i test SQLi ciechi utilizzando Sleep() o benchmark()
owasp-crs-v030001-id942170-sqli 1 Rileva il benchmark SQL e i tentativi di inserimento del sonno, incluse le query condizionali
owasp-crs-v030001-id942190-sqli 1 Rileva l'esecuzione di codice MSSQL e i tentativi di raccolta di informazioni
owasp-crs-v030001-id942220-sqli 1 Cerca attacchi di overflow di numeri interi
owasp-crs-v030001-id942230-sqli 1 Rileva i tentativi di SQL injection condizionale
owasp-crs-v030001-id942240-sqli 1 Rileva l'opzione del set di caratteri MySQL e i tentativi DoS MSSQL
owasp-crs-v030001-id942250-sqli 1 Rileva CORRISPONDENZA CONTRO
owasp-crs-v030001-id942270-sqli 1 Cerca SQL injection di base; stringa di attacco comune per MySql
owasp-crs-v030001-id942280-sqli 1 Rileva l'iniezione pg_sleep in Postgres
owasp-crs-v030001-id942290-sqli 1 Trova i tentativi di iniezione di base di MongoDB SQL
owasp-crs-v030001-id942320-sqli 1 Rileva le iniezioni di stored procedure/funzioni MySQL e PostgreSQL
owasp-crs-v030001-id942350-sqli 1 Rileva l'inserimento di UDF MySQL e altri tentativi di manipolazione di dati/struttura
owasp-crs-v030001-id942360-sqli 1 Rileva i tentativi di SQL injection di base e SQLLFI concatenati
Not included 1 Rilevato commento in linea MySQL
owasp-crs-v030001-id942110-sqli 2 Attacco SQL injection: rilevamento comune dei test di iniezione
owasp-crs-v030001-id942120-sqli 2 Attacco SQL injection: rilevato dall'operatore SQL
Not included 2 Attacco SQL injection: tautologia SQL rilevata
owasp-crs-v030001-id942150-sqli 2 attacco di SQL injection
owasp-crs-v030001-id942180-sqli 2 Rileva i tentativi di bypass dell'autenticazione SQL di base 1/3
owasp-crs-v030001-id942200-sqli 2 Rileva le iniezioni di commenti/spazio offuscati di MySQL e la terminazione dell'accento grave
owasp-crs-v030001-id942210-sqli 2 Rileva i tentativi di SQL injection concatenati 1/2
owasp-crs-v030001-id942260-sqli 2 Rileva i tentativi di bypass dell'autenticazione SQL di base 2/3
owasp-crs-v030001-id942300-sqli 2 Rileva i commenti MySQL
owasp-crs-v030001-id942310-sqli 2 Rileva i tentativi di SQL injection concatenati 2/2
owasp-crs-v030001-id942330-sqli 2 Rileva i probe di SQL injection classici 1/2
owasp-crs-v030001-id942340-sqli 2 Rileva i tentativi di bypass dell'autenticazione SQL di base 3/3
Not included 2 Rileva l'SQL injection di base in base all'alterazione o all'unione delle parole chiave
Not included 2 Rileva i probe di SQL injection classici 2/3
owasp-crs-v030001-id942380-sqli 2 attacco di SQL injection
owasp-crs-v030001-id942390-sqli 2 attacco di SQL injection
owasp-crs-v030001-id942400-sqli 2 attacco di SQL injection
owasp-crs-v030001-id942410-sqli 2 attacco di SQL injection
Not included 2 attacco di SQL injection
Not included 2 attacco di SQL injection
owasp-crs-v030001-id942430-sqli 2 Rilevamento limitato di anomalie dei caratteri SQL (args): numero di caratteri speciali superato (12)
owasp-crs-v030001-id942440-sqli 2 Sequenza di commenti SQL rilevata
owasp-crs-v030001-id942450-sqli 2 Codifica esadecimale SQL identificata
Not included 2 Tentativo di bypass SQLi rilevato da segni di graduazione o apici inversi
owasp-crs-v030001-id942251-sqli 3 Rileva HAVING iniezioni
Not included 2 Rileva i probe di SQL injection classici 3/3
owasp-crs-v030001-id942420-sqli 3 Rilevamento limitato di anomalie dei caratteri SQL (cookie): numero di caratteri speciali superato (8)
owasp-crs-v030001-id942431-sqli 3 Rilevamento limitato di anomalie dei caratteri SQL (args): numero di caratteri speciali superato (6)
owasp-crs-v030001-id942460-sqli 3 Avviso per il rilevamento di anomalie di meta-caratteri - caratteri ripetitivi non contenenti parole
Not included 3 Attacco SQL injection rilevato tramite libinjection
Not included 3 Tentativo di bypass SQLi rilevato da segni di graduazione
owasp-crs-v030001-id942421-sqli 4 Rilevamento limitato di anomalie dei caratteri SQL (cookie): numero di caratteri speciali superato (3)
owasp-crs-v030001-id942432-sqli 4 Rilevamento limitato di anomalie dei caratteri SQL (args): numero di caratteri speciali superato (2)

Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disabilitare le firme a livelli di sensibilità maggiori.

Livello di sensibilità SQLi 1 


evaluatePreconfiguredExpr('sqli-v33-stable',
['owasp-crs-v030301-id942110-sqli',
  'owasp-crs-v030301-id942120-sqli',
  'owasp-crs-v030301-id942130-sqli',
  'owasp-crs-v030301-id942150-sqli',
  'owasp-crs-v030301-id942180-sqli',
  'owasp-crs-v030301-id942200-sqli',
  'owasp-crs-v030301-id942210-sqli',
  'owasp-crs-v030301-id942260-sqli',
  'owasp-crs-v030301-id942300-sqli',
  'owasp-crs-v030301-id942310-sqli',
  'owasp-crs-v030301-id942330-sqli',
  'owasp-crs-v030301-id942340-sqli',
  'owasp-crs-v030301-id942361-sqli',
  'owasp-crs-v030301-id942370-sqli',
  'owasp-crs-v030301-id942380-sqli',
  'owasp-crs-v030301-id942390-sqli',
  'owasp-crs-v030301-id942400-sqli',
  'owasp-crs-v030301-id942410-sqli',
  'owasp-crs-v030301-id942470-sqli',
  'owasp-crs-v030301-id942480-sqli',
  'owasp-crs-v030301-id942430-sqli',
  'owasp-crs-v030301-id942440-sqli',
  'owasp-crs-v030301-id942450-sqli',
  'owasp-crs-v030301-id942510-sqli',
  'owasp-crs-v030301-id942251-sqli',
  'owasp-crs-v030301-id942490-sqli',
  'owasp-crs-v030301-id942420-sqli',
  'owasp-crs-v030301-id942431-sqli',
  'owasp-crs-v030301-id942460-sqli',
  'owasp-crs-v030301-id942101-sqli',
  'owasp-crs-v030301-id942511-sqli',
  'owasp-crs-v030301-id942421-sqli',
  'owasp-crs-v030301-id942432-sqli']
)
Livello di sensibilità SQLi 2 


evaluatePreconfiguredExpr('sqli-v33-stable',
 ['owasp-crs-v030301-id942251-sqli',
  'owasp-crs-v030301-id942490-sqli',
  'owasp-crs-v030301-id942420-sqli',
  'owasp-crs-v030301-id942431-sqli',
  'owasp-crs-v030301-id942460-sqli',
  'owasp-crs-v030301-id942101-sqli',
  'owasp-crs-v030301-id942511-sqli',
  'owasp-crs-v030301-id942421-sqli',
  'owasp-crs-v030301-id942432-sqli']
)
Livello di sensibilità SQLi 3 


evaluatePreconfiguredExpr('sqli-v33-stable',
        ['owasp-crs-v030301-id942421-sqli',
         'owasp-crs-v030301-id942432-sqli']
         )
Livello di sensibilità SQLi 4 


evaluatePreconfiguredExpr('sqli-v33-stable')

In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità del set di regole, Google Cloud Armor valuta tutte le firme.

RP 3.3

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 3})
4 evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 4})

CRS 3.0

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 3})
4 evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 4})

Cross-site scripting (XSS)

La seguente tabella fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola WAF preconfigurata XSS.

RP 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id941100-xss 1 Attacco XSS rilevato tramite libiniezione
owasp-crs-v030301-id941110-xss 1 Filtro XSS - Categoria 1: Vettore tag script
owasp-crs-v030301-id941120-xss 1 Filtro XSS - Categoria 2: vettore gestore di eventi
owasp-crs-v030301-id941130-xss 1 Filtro XSS - Categoria 3: Vettore attributo
owasp-crs-v030301-id941140-xss 1 Filtro XSS - Categoria 4: vettore URI JavaScript
owasp-crs-v030301-id941160-xss 1 NoScript XSS InjectionChecker: inserimento di codice HTML
owasp-crs-v030301-id941170-xss 1 NoScript XSS InjectionChecker: inserimento di attributi
owasp-crs-v030301-id941180-xss 1 Parole chiave della lista nera dello strumento di convalida dei nodi
owasp-crs-v030301-id941190-xss 1 Filtri IE XSS - Attacco rilevato
owasp-crs-v030301-id941200-xss 1 Filtri IE XSS - Attacco rilevato
owasp-crs-v030301-id941210-xss 1 Filtri IE XSS - Attacco rilevato
owasp-crs-v030301-id941220-xss 1 Filtri IE XSS - Attacco rilevato
owasp-crs-v030301-id941230-xss 1 Filtri IE XSS - Attacco rilevato
owasp-crs-v030301-id941240-xss 1 Filtri IE XSS - Attacco rilevato
owasp-crs-v030301-id941250-xss 1 Filtri IE XSS - Attacco rilevato
owasp-crs-v030301-id941260-xss 1 Filtri IE XSS - Attacco rilevato
owasp-crs-v030301-id941270-xss 1 Filtri IE XSS - Attacco rilevato
owasp-crs-v030301-id941280-xss 1 Filtri IE XSS - Attacco rilevato
owasp-crs-v030301-id941290-xss 1 Filtri IE XSS - Attacco rilevato
owasp-crs-v030301-id941300-xss 1 Filtri IE XSS - Attacco rilevato
owasp-crs-v030301-id941310-xss 1 Filtro XSS di codifica con formato errato US-ASCII - Attacco rilevato
owasp-crs-v030301-id941350-xss 1 Codifica UTF-7 IE XSS - Attacco rilevato
owasp-crs-v030301-id941360-xss 1 È stato rilevato un offuscamento della geroglifia
owasp-crs-v030301-id941370-xss 1 Variabile globale JavaScript trovata
owasp-crs-v030301-id941101-xss 2 Attacco XSS rilevato tramite libiniezione
owasp-crs-v030301-id941150-xss 2 Filtro XSS - Categoria 5: attributi HTML non consentiti
owasp-crs-v030301-id941320-xss 2 Possibile attacco XSS rilevato - Gestore di tag HTML
owasp-crs-v030301-id941330-xss 2 Filtri IE XSS - Attacco rilevato
owasp-crs-v030301-id941340-xss 2 Filtri IE XSS - Attacco rilevato
owasp-crs-v030301-id941380-xss 2 Iniezione del modello lato client AngularJS rilevata

CRS 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
Not included 1 Attacco XSS rilevato tramite libiniezione
owasp-crs-v030001-id941110-xss 1 Filtro XSS - Categoria 1: Vettore tag script
owasp-crs-v030001-id941120-xss 1 Filtro XSS - Categoria 2: vettore gestore di eventi
owasp-crs-v030001-id941130-xss 1 Filtro XSS - Categoria 3: Vettore attributo
owasp-crs-v030001-id941140-xss 1 Filtro XSS - Categoria 4: vettore URI JavaScript
owasp-crs-v030001-id941160-xss 1 NoScript XSS InjectionChecker: inserimento di codice HTML
owasp-crs-v030001-id941170-xss 1 NoScript XSS InjectionChecker: inserimento di attributi
owasp-crs-v030001-id941180-xss 1 Parole chiave della lista nera dello strumento di convalida dei nodi
owasp-crs-v030001-id941190-xss 1 Filtri IE XSS - Attacco rilevato
owasp-crs-v030001-id941200-xss 1 Filtri IE XSS - Attacco rilevato
owasp-crs-v030001-id941210-xss 1 Filtri IE XSS - Attacco rilevato
owasp-crs-v030001-id941220-xss 1 Filtri IE XSS - Attacco rilevato
owasp-crs-v030001-id941230-xss 1 Filtri IE XSS - Attacco rilevato
owasp-crs-v030001-id941240-xss 1 Filtri IE XSS - Attacco rilevato
owasp-crs-v030001-id941250-xss 1 Filtri IE XSS - Attacco rilevato
owasp-crs-v030001-id941260-xss 1 Filtri IE XSS - Attacco rilevato
owasp-crs-v030001-id941270-xss 1 Filtri IE XSS - Attacco rilevato
owasp-crs-v030001-id941280-xss 1 Filtri IE XSS - Attacco rilevato
owasp-crs-v030001-id941290-xss 1 Filtri IE XSS - Attacco rilevato
owasp-crs-v030001-id941300-xss 1 Filtri IE XSS - Attacco rilevato
owasp-crs-v030001-id941310-xss 1 Filtro XSS di codifica con formato errato US-ASCII - Attacco rilevato
owasp-crs-v030001-id941350-xss 1 Codifica UTF-7 IE XSS - Attacco rilevato
Not included 1 JSFuck / offuscamento della geroglifia rilevato
Not included 1 Variabile globale JavaScript trovata
Not included 2 Attacco XSS rilevato tramite libiniezione
owasp-crs-v030001-id941150-xss 2 Filtro XSS - Categoria 5: attributi HTML non consentiti
owasp-crs-v030001-id941320-xss 2 Possibile attacco XSS rilevato - Gestore di tag HTML
owasp-crs-v030001-id941330-xss 2 Filtri IE XSS - Attacco rilevato
owasp-crs-v030001-id941340-xss 2 Filtri IE XSS - Attacco rilevato
Not included 2 Iniezione del modello lato client AngularJS rilevata

Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disabilitare le firme a livelli di sensibilità maggiori.

Livello di sensibilità XSS 1 


evaluatePreconfiguredExpr('xss-v33-stable',
['owasp-crs-v030301-id941101-xss',
  'owasp-crs-v030301-id941150-xss',
  'owasp-crs-v030301-id941320-xss',
  'owasp-crs-v030301-id941330-xss',
  'owasp-crs-v030301-id941340-xss',
  'owasp-crs-v030301-id941380-xss'
])


Tutte le firme per XSS sono al di sotto del livello di sensibilità 2. La seguente configurazione funziona per altri livelli di sensibilità:

Livello di sensibilità XSS 2 


evaluatePreconfiguredExpr('xss-v33-stable')

In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità del set di regole, Google Cloud Armor valuta tutte le firme.

RP 3.3

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('xss-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('xss-v33-stable', {'sensitivity': 2})

CRS 3.0

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('xss-stable', {'sensitivity': 1})

Inclusione di file locali (LFI)

La seguente tabella fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola WAF preconfigurata LFI.

RP 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id930100-lfi 1 Attacco Path Traversal (/../)
owasp-crs-v030301-id930110-lfi 1 Attacco Path Traversal (/../)
owasp-crs-v030301-id930120-lfi 1 Tentativo di accesso al file del sistema operativo
owasp-crs-v030301-id930130-lfi 1 Tentativo di accesso ai file limitato

CRS 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id930100-lfi 1 Attacco Path Traversal (/../)
owasp-crs-v030001-id930110-lfi 1 Attacco Path Traversal (/../)
owasp-crs-v030001-id930120-lfi 1 Tentativo di accesso al file del sistema operativo
owasp-crs-v030001-id930130-lfi 1 Tentativo di accesso ai file limitato

Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disabilitare le firme a livelli di sensibilità maggiori. Tutte le firme per LFI sono al livello di sensibilità 1. La seguente configurazione funziona per tutti i livelli di sensibilità:

Livello di sensibilità LFI 1 


evaluatePreconfiguredExpr('lfi-v33-stable')

In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Tutte le firme per LFI sono al livello di sensibilità 1. La seguente configurazione funziona per tutti i livelli di sensibilità:

RP 3.3

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('lfi-v33-stable', {'sensitivity': 1})

CRS 3.0

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('lfi-stable', {'sensitivity': 1})

Esecuzione di codice remoto (RCE)

La seguente tabella fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola WAF preconfigurata RCE.

RP 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id932100-rce 1 aggiunta dei comandi UNIX
owasp-crs-v030301-id932105-rce 1 aggiunta dei comandi UNIX
owasp-crs-v030301-id932110-rce 1 aggiunta dei comandi di Windows
owasp-crs-v030301-id932115-rce 1 aggiunta dei comandi di Windows
owasp-crs-v030301-id932120-rce 1 Comando di Windows PowerShell trovato
owasp-crs-v030301-id932130-rce 1 Espressione Shell Unix trovata
owasp-crs-v030301-id932140-rce 1 Comando Windows FOR/IF trovato
owasp-crs-v030301-id932150-rce 1 Esecuzione diretta del comando UNIX
owasp-crs-v030301-id932160-rce 1 Codice shell UNIX trovato
owasp-crs-v030301-id932170-rce 1 Shellshock (CVE-2014-6271)
owasp-crs-v030301-id932171-rce 1 Shellshock (CVE-2014-6271)
owasp-crs-v030301-id932180-rce 1 Tentativo di caricamento file limitato
owasp-crs-v030301-id932200-rce 2 Tecnica di bypass RCE
owasp-crs-v030301-id932106-rce 3 Esecuzione del comando remoto: inserimento dei comandi Unix
owasp-crs-v030301-id932190-rce 3 Esecuzione del comando remoto: tentativo di esclusione del carattere jolly

CRS 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id932100-rce 1 aggiunta dei comandi UNIX
owasp-crs-v030001-id932105-rce 1 aggiunta dei comandi UNIX
owasp-crs-v030001-id932110-rce 1 aggiunta dei comandi di Windows
owasp-crs-v030001-id932115-rce 1 aggiunta dei comandi di Windows
owasp-crs-v030001-id932120-rce 1 Comando di Windows PowerShell trovato
owasp-crs-v030001-id932130-rce 1 Espressione Shell Unix trovata
owasp-crs-v030001-id932140-rce 1 Comando Windows FOR/IF trovato
owasp-crs-v030001-id932150-rce 1 Esecuzione diretta del comando UNIX
owasp-crs-v030001-id932160-rce 1 Codice shell UNIX trovato
owasp-crs-v030001-id932170-rce 1 Shellshock (CVE-2014-6271)
owasp-crs-v030001-id932171-rce 1 Shellshock (CVE-2014-6271)
Not included 1 Tentativo di caricamento file limitato
Not included 2 Tecnica di bypass RCE
Not included 3 Esecuzione del comando remoto: inserimento dei comandi Unix
Not included 3 Esecuzione del comando remoto: tentativo di esclusione del carattere jolly

Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disabilitare le firme a livelli di sensibilità maggiori. La seguente configurazione funziona per tutti i livelli di sensibilità:

Livello di sensibilità RCE 1 


evaluatePreconfiguredExpr('rce-v33-stable',
          ['owasp-crs-v030301-id932200-rce',
           'owasp-crs-v030301-id932106-rce',
           'owasp-crs-v030301-id932190-rce'])
Livello di sensibilità RCE 2 


evaluatePreconfiguredExpr('rce-v33-stable',
           [ 'owasp-crs-v030301-id932106-rce',
           'owasp-crs-v030301-id932190-rce'])
Livello di sensibilità RCE 3 


evaluatePreconfiguredExpr('rce-v33-stable')

In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Tutte le firme per RCE sono al livello di sensibilità 1. La seguente configurazione funziona per tutti i livelli di sensibilità:

RP 3.3

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 3})

CRS 3.0

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 3})

Inclusione da remoto di file (RFI)

La seguente tabella fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola WAF preconfigurata RFI.

RP 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id931100-rfi 1 Parametro URL che utilizza l'indirizzo IP
owasp-crs-v030301-id931110-rfi 1 Nome del parametro vulnerabile RFI comune utilizzato con payload URL
owasp-crs-v030301-id931120-rfi 1 Payload URL utilizzato con carattere punto interrogativo finale (?)
owasp-crs-v030301-id931130-rfi 2 Riferimento/link esterno al dominio

CRS 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id931100-rfi 1 Parametro URL che utilizza l'indirizzo IP
owasp-crs-v030001-id931110-rfi 1 Nome del parametro vulnerabile RFI comune utilizzato con payload URL
owasp-crs-v030001-id931120-rfi 1 Payload URL utilizzato con carattere punto interrogativo finale (?)
owasp-crs-v030001-id931130-rfi 2 Riferimento/link esterno al dominio

Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disabilitare le firme a livelli di sensibilità maggiori.

Livello di sensibilità RFI 1 


evaluatePreconfiguredExpr('rfi-v33-stable', ['owasp-crs-v030301-id931130-rfi'])

Tutte le firme per RFI sono al di sotto del livello di sensibilità 2. La seguente configurazione funziona per altri livelli di sensibilità:

Livello di sensibilità RFI 2 


evaluatePreconfiguredExpr('rfi-v33-stable')

In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità del set di regole, Google Cloud Armor valuta tutte le firme.

RP 3.3

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('rfi-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('rfi-v33-stable', {'sensitivity': 2})

CRS 3.0

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('rfi-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('rfi-stable', {'sensitivity': 2})

Applicazione del metodo

La seguente tabella fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola preconfigurata di applicazione del metodo.

RP 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id911100-methodenforcement 1 Metodo non consentito dal criterio

CRS 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id911100-methodenforcement 1 Metodo non consentito dal criterio

Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disabilitare le firme a livelli di sensibilità maggiori. Tutte le firme per l'applicazione del metodo sono al livello di sensibilità 1. La configurazione seguente funziona per altri livelli di sensibilità:

Livello di sensibilità applicazione del metodo 1 


evaluatePreconfiguredExpr('methodenforcement-v33-stable')

In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità del set di regole, Google Cloud Armor valuta tutte le firme.

RP 3.3

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('methodenforcement-v33-stable', {'sensitivity': 1})

CRS 3.0

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('methodenforcement-stable', {'sensitivity': 1})

Rilevamento dello scanner

La seguente tabella fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola preconfigurata di rilevamento dello scanner.

RP 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id913100-scannerdetection 1 Rilevato user agent associato allo scanner di sicurezza
owasp-crs-v030301-id913110-scannerdetection 1 Intestazione della richiesta trovata associata allo scanner di sicurezza
owasp-crs-v030301-id913120-scannerdetection 1 Trovato nome/argomento della richiesta associato allo scanner di sicurezza
owasp-crs-v030301-id913101-scannerdetection 2 Rilevato user agent associato a scripting/client HTTP generico
owasp-crs-v030301-id913102-scannerdetection 2 Rilevato user agent associato a web crawler/bot

CRS 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id913100-scannerdetection 1 Rilevato user agent associato allo scanner di sicurezza
owasp-crs-v030001-id913110-scannerdetection 1 Intestazione della richiesta trovata associata allo scanner di sicurezza
owasp-crs-v030001-id913120-scannerdetection 1 Trovato nome/argomento della richiesta associato allo scanner di sicurezza
owasp-crs-v030001-id913101-scannerdetection 2 Rilevato user agent associato a scripting/client HTTP generico
owasp-crs-v030001-id913102-scannerdetection 2 Rilevato user agent associato a web crawler/bot

Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disabilitare le firme a livelli di sensibilità maggiori.

Livello di sensibilità del rilevamento dello scanner 1 


evaluatePreconfiguredExpr('scannerdetection-v33-stable',
  ['owasp-crs-v030301-id913101-scannerdetection',
  'owasp-crs-v030301-id913102-scannerdetection']
)
Livello di sensibilità del rilevamento dello scanner 2 


evaluatePreconfiguredExpr('scannerdetection-v33-stable')

In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità del set di regole, Google Cloud Armor valuta tutte le firme.

RP 3.3

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('scannerdetection-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('scannerdetection-v33-stable', {'sensitivity': 2})

CRS 3.0

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('scannerdetection-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('scannerdetection-stable', {'sensitivity': 2})

Attacco di protocollo

La seguente tabella fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola preconfigurata per l'attacco di protocollo.

RP 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
Not included 1 Attacco di traffico di richieste HTTP
owasp-crs-v030301-id921110-protocolattack 1 Attacco di traffico di richieste HTTP
owasp-crs-v030301-id921120-protocolattack 1 Attacco di suddivisione delle risposte HTTP
owasp-crs-v030301-id921130-protocolattack 1 Attacco di suddivisione delle risposte HTTP
owasp-crs-v030301-id921140-protocolattack 1 Attacco HTTP Header Injection tramite intestazioni
owasp-crs-v030301-id921150-protocolattack 1 Attacco HTTP Header Injection tramite payload (CR/LF rilevato)
owasp-crs-v030301-id921160-protocolattack 1 Attacco HTTP Header Injection tramite payload (CR/LF e nome-intestazione rilevati)
owasp-crs-v030301-id921190-protocolattack 1 Suddivisione HTTP (CR/LF rilevata nel nome file della richiesta)
owasp-crs-v030301-id921200-protocolattack 1 Attacco LDAP Injection
owasp-crs-v030301-id921151-protocolattack 2 Attacco HTTP Header Injection tramite payload (CR/LF rilevato)
owasp-crs-v030301-id921170-protocolattack 3 Inquinamento dei parametri HTTP

CRS 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id921100-protocolattack 1 Attacco di traffico di richieste HTTP
owasp-crs-v030001-id921110-protocolattack 1 Attacco di traffico di richieste HTTP
owasp-crs-v030001-id921120-protocolattack 1 Attacco di suddivisione delle risposte HTTP
owasp-crs-v030001-id921130-protocolattack 1 Attacco di suddivisione delle risposte HTTP
owasp-crs-v030001-id921140-protocolattack 1 Attacco HTTP Header Injection tramite intestazioni
owasp-crs-v030001-id921150-protocolattack 1 Attacco HTTP Header Injection tramite payload (CR/LF rilevato)
owasp-crs-v030001-id921160-protocolattack 1 Attacco HTTP Header Injection tramite payload (CR/LF e nome-intestazione rilevati)
Not included 1 Suddivisione HTTP (CR/LF rilevata nel nome file della richiesta)
Not included 1 Attacco LDAP Injection
owasp-crs-v030001-id921151-protocolattack 2 Attacco HTTP Header Injection tramite payload (CR/LF rilevato)
owasp-crs-v030001-id921170-protocolattack 3 Inquinamento dei parametri HTTP

Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disabilitare le firme a livelli di sensibilità maggiori.

Livello di sensibilità all’attacco del protocollo 1 


evaluatePreconfiguredExpr('protocolattack-v33-stable',
  ['owasp-crs-v030301-id921151-protocolattack',
  'owasp-crs-v030301-id921170-protocolattack']
)
Livello di sensibilità all’attacco del protocollo 2 


evaluatePreconfiguredExpr('protocolattack-v33-stable',
  ['owasp-crs-v030301-id921170-protocolattack']
)
Livello di sensibilità all’attacco del protocollo 3 


evaluatePreconfiguredExpr('protocolattack-v33-stable')

In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità del set di regole, Google Cloud Armor valuta tutte le firme.

RP 3.3

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 3})

CRS 3.0

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 3})

PHP

La seguente tabella fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola WAF preconfigurata PHP.

RP 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id933100-php 1 Attacco PHP Injection: trovato tag aperto PHP
owasp-crs-v030301-id933110-php 1 Attacco PHP Injection: caricamento del file di script PHP
owasp-crs-v030301-id933120-php 1 Attacco PHP: rilevamento della direttiva di configurazione
owasp-crs-v030301-id933130-php 1 Attacco PHP Injection: Variabili trovate
owasp-crs-v030301-id933140-php 1 Attacco PHP Injection: rilevamento di flusso I/O
owasp-crs-v030301-id933200-php 1 Attacco PHP Injection: schema wrapper rilevato
owasp-crs-v030301-id933150-php 1 Attacco PHP Injection: trovato nome funzione PHP ad alto rischio
owasp-crs-v030301-id933160-php 1 Attacco a PHP: chiamata di funzione PHP ad alto rischio trovata
owasp-crs-v030301-id933170-php 1 Attacco a PHP: inserimento di oggetti serializzati
owasp-crs-v030301-id933180-php 1 Attacco a PHP: chiamata di funzione variabile trovata
owasp-crs-v030301-id933210-php 1 Attacco a PHP: chiamata di funzione variabile trovata
owasp-crs-v030301-id933151-php 2 Attacco PHP Injection: trovato nome funzione PHP a rischio medio
owasp-crs-v030301-id933131-php 3 Attacco PHP Injection: Variabili trovate
owasp-crs-v030301-id933161-php 3 Attacco PHP: chiamata di funzione PHP di scarso valore trovata
owasp-crs-v030301-id933111-php 3 Attacco PHP Injection: caricamento del file di script PHP
owasp-crs-v030301-id933190-php 3 Attacco PHP Injection: trovato tag di chiusura PHP

CRS 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id933100-php 1 Attacco PHP Injection: trovato tag aperto PHP
owasp-crs-v030001-id933110-php 1 Attacco PHP Injection: caricamento del file di script PHP
owasp-crs-v030001-id933120-php 1 Attacco PHP: rilevamento della direttiva di configurazione
owasp-crs-v030001-id933130-php 1 Attacco PHP Injection: Variabili trovate
owasp-crs-v030001-id933140-php 1 Attacco PHP Injection: rilevamento di flusso I/O
Not included 1 Attacco PHP Injection: schema wrapper rilevato
owasp-crs-v030001-id933150-php 1 Attacco PHP Injection: trovato nome funzione PHP ad alto rischio
owasp-crs-v030001-id933160-php 1 Attacco a PHP: chiamata di funzione PHP ad alto rischio trovata
owasp-crs-v030001-id933170-php 1 Attacco a PHP: inserimento di oggetti serializzati
owasp-crs-v030001-id933180-php 1 Attacco a PHP: chiamata di funzione variabile trovata
Not included 1 Attacco a PHP: chiamata di funzione variabile trovata
owasp-crs-v030001-id933151-php 2 Attacco PHP Injection: trovato nome funzione PHP a rischio medio
owasp-crs-v030001-id933131-php 3 Attacco PHP Injection: Variabili trovate
owasp-crs-v030001-id933161-php 3 Attacco PHP: chiamata di funzione PHP di scarso valore trovata
owasp-crs-v030001-id933111-php 3 Attacco PHP Injection: caricamento del file di script PHP
Not included 3 Attacco PHP Injection: trovato tag di chiusura PHP

Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disabilitare le firme a livelli di sensibilità maggiori.

Livello di sensibilità attacco PHP Injection 1 


evaluatePreconfiguredExpr('php-v33-stable',
['owasp-crs-v030301-id933151-php',
  'owasp-crs-v030301-id933131-php',
  'owasp-crs-v030301-id933161-php',
  'owasp-crs-v030301-id933111-php',
  'owasp-crs-v030301-id933190-php']
)
Livello di sensibilità all’attacco di PHP 2 


evaluatePreconfiguredExpr('php-v33-stable',
  ['owasp-crs-v0303001-id933131-php',
  'owasp-crs-v0303001-id933161-php',
  'owasp-crs-v0303001-id933111-php',
  'owasp-crs-v030301-id933190-php'])
Livello di sensibilità all’attacco di PHP 3 


evaluatePreconfiguredExpr('php-v33-stable')

In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità del set di regole, Google Cloud Armor valuta tutte le firme.

RP 3.3

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 3})

CRS 3.0

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('php-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('php-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('php-stable', {'sensitivity': 3})

Fissazione sessione

La seguente tabella fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola preconfigurata di fissazione della sessione.

RP 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id943100-sessionfixation 1 Possibile attacco di correzione della sessione: impostazione dei valori dei cookie in HTML
owasp-crs-v030301-id943110-sessionfixation 1 Possibile attacco di fissazione della sessione: nome parametro SessionID con referer esterno al dominio
owasp-crs-v030301-id943120-sessionfixation 1 Possibile attacco di fissazione della sessione: nome parametro SessionID senza referer

CRS 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id943100-sessionfixation 1 Possibile attacco di correzione della sessione: impostazione dei valori dei cookie in HTML
owasp-crs-v030001-id943110-sessionfixation 1 Possibile attacco di fissazione della sessione: nome parametro SessionID con referer esterno al dominio
owasp-crs-v030001-id943120-sessionfixation 1 Possibile attacco di fissazione della sessione: nome parametro SessionID senza referer

Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disabilitare le firme a livelli di sensibilità maggiori. Tutte le firme per la fissazione della sessione sono al livello di sensibilità 1. La seguente configurazione funziona per tutti i livelli di sensibilità:

Livello di sensibilità di fissaggio della sessione 1 


evaluatePreconfiguredExpr('sessionfixation-v33-stable')

In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Tutte le firme per la fissazione della sessione sono al livello di sensibilità 1. La seguente configurazione funziona per tutti i livelli di sensibilità:

RP 3.3

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('sessionfixation-v33-stable', {'sensitivity': 1})

CRS 3.0

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('sessionfixation-stable', {'sensitivity': 1})

attacco Java

La seguente tabella fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola preconfigurata per l'attacco Java.

RP 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id944100-java 1 Esecuzione del comando remoto: rilevata una classe Java sospetta
owasp-crs-v030301-id944110-java 1 Esecuzione del comando remoto: generazione del processo Java (CVE-2017-9805)
owasp-crs-v030301-id944120-java 1 Esecuzione del comando remoto: serializzazione Java (CVE-2015-4852)
owasp-crs-v030301-id944130-java 1 È stata rilevata una classe Java sospetta
owasp-crs-v030301-id944200-java 2 Byte magici rilevati, probabile serializzazione Java in uso
owasp-crs-v030301-id944210-java 2 Byte magici rilevati con codifica Base64, probabile serializzazione Java in uso
owasp-crs-v030301-id944240-java 2 Esecuzione del comando remoto: serializzazione Java (CVE-2015-4852)
owasp-crs-v030301-id944250-java 2 Esecuzione del comando remoto: rilevato metodo Java sospetto
owasp-crs-v030301-id944300-java 3 La stringa codificata Base64 corrisponde a una parola chiave sospetta

CRS 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
Not included 1 Esecuzione del comando remoto: rilevata una classe Java sospetta
Not included 1 Esecuzione del comando remoto: generazione del processo Java (CVE-2017-9805)
Not included 1 Esecuzione del comando remoto: serializzazione Java (CVE-2015-4852)
Not included 1 È stata rilevata una classe Java sospetta
Not included 2 Byte magici rilevati, probabile serializzazione Java in uso
Not included 2 Byte magici rilevati con codifica Base64, probabile serializzazione Java in uso
Not included 2 Esecuzione del comando remoto: serializzazione Java (CVE-2015-4852)
Not included 2 Esecuzione del comando remoto: rilevato metodo Java sospetto
Not included 3 La stringa codificata Base64 corrisponde a una parola chiave sospetta

Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disabilitare le firme a livelli di sensibilità maggiori.

Livello di sensibilità all'attacco Java 1 


evaluatePreconfiguredExpr('java-v33-stable',
['owasp-crs-v030301-id944200-java',
 'owasp-crs-v030301-id944210-java',
 'owasp-crs-v030301-id944240-java',
 'owasp-crs-v030301-id944250-java',
 'owasp-crs-v030301-id944300-java'])
Livello di sensibilità agli attacchi Java 2 


evaluatePreconfiguredExpr('java-v33-stable',
['owasp-crs-v030301-id944300-java'])
Livello di sensibilità all'attacco Java 3 


evaluatePreconfiguredExpr('java-v33-stable')

In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità del set di regole, Google Cloud Armor valuta tutte le firme.

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 3})

Attacco NodeJS

La seguente tabella fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola preconfigurata per l'attacco NodeJS.

Le seguenti firme preconfigurate delle regole WAF sono incluse solo in CRS 3.3.

RP 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id934100-nodejs 1 Attacco a iniezione Node.js

CRS 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
Not included 1 Attacco a iniezione Node.js

Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disabilitare le firme a livelli di sensibilità maggiori. Tutte le firme per l'attacco NodeJS sono al livello di sensibilità 1. La configurazione seguente funziona per altri livelli di sensibilità:

Livello di sensibilità NodeJS 1 


evaluatePreconfiguredExpr('nodejs-v33-stable')

In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Tutte le firme per l'attacco NodeJS sono al livello di sensibilità 1. La seguente configurazione funziona per altri livelli di sensibilità:

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('nodejs-v33-stable', {'sensitivity': 1})

CVE e altre vulnerabilità

La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola preconfigurata per la vulnerabilità CVE Log4j RCE.

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id044228-cve 1 Regola di base per rilevare i tentativi di exploit di CVE-2021-44228 e CVE-2021-45046
owasp-crs-v030001-id144228-cve 1 Miglioramenti forniti da Google per coprire un numero maggiore di tentativi di bypass e offuscamento
owasp-crs-v030001-id244228-cve 3 Maggiore sensibilità del rilevamento per colpire ancora più tentativi di bypass e offuscamento, con un aumento nominale del rischio di rilevamento di falsi positivi
owasp-crs-v030001-id344228-cve 3 Maggiore sensibilità del rilevamento per scegliere come target ancora più tentativi di bypass e offuscamento utilizzando la codifica Base64, con un aumento nominale del rischio di rilevamento di falsi positivi

Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disabilitare le firme a livelli di sensibilità maggiori.

Livello di sensibilità CVE 


evaluatePreconfiguredExpr('cve-canary', ['owasp-crs-v030001-id244228-cve',
  'owasp-crs-v030001-id344228-cve'])
Livello di sensibilità CVE 


evaluatePreconfiguredExpr('cve-canary')

In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità del set di regole, Google Cloud Armor valuta tutte le firme.

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('cve-canary', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('cve-canary', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('cve-canary', {'sensitivity': 3})

Vulnerabilità SQLi per contenuti con formato JSON

La seguente tabella fornisce l'ID firma, il livello di sensibilità e la descrizione della firma supportata 942550-sqli, che copre la vulnerabilità in cui utenti malintenzionati possono bypassare il WAF aggiungendo la sintassi JSON ai payload di SQL injection.

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-id942550-sqli 2 Rileva tutti i vettori SQLi basati su JSON, incluse le firme SQLi trovate nell'URL

Utilizza la seguente espressione per eseguire il deployment della firma:

  evaluatePreconfiguredWaf('json-sqli-canary', {'sensitivity':0, 'opt_in_rule_ids': ['owasp-crs-id942550-sqli']})

Ti consigliamo di attivare anche sqli-v33-stable al livello di sensibilità 2 per risolvere completamente i bypass di SQL injection basati su JSON.

Limitazioni

Le regole WAF preconfigurate di Google Cloud Armor presentano le seguenti limitazioni:

  • Tra i tipi di richieste HTTP con un corpo della richiesta, Google Cloud Armor elabora solo le richieste POST. Google Cloud Armor valuta le regole preconfigurate in base ai primi 8 kB di contenuti del corpo di POST. Per maggiori informazioni, consulta le limitazioni relative all'ispezione del corpo di POST.
  • Google Cloud Armor può analizzare e applicare regole WAF preconfigurate quando l'analisi JSON è abilitata con un valore di intestazione Content-Type corrispondente. Per ulteriori informazioni, consulta la pagina Analisi JSON.

Passaggi successivi