Google Cloud Armor 사전 구성 WAF 규칙 개요

Google Cloud Armor 사전 구성 WAF 규칙은 오픈소스 업계 표준에서 컴파일된 서명이 수십 개 있는 복잡한 웹 애플리케이션 방화벽(WAF) 규칙입니다. 각 서명은 규칙 집합의 공격 감지 규칙에 해당합니다. Google은 이러한 규칙을 있는 그대로 제공합니다. 규칙을 사용하면 Google Cloud Armor에서 각 서명을 수동으로 정의할 필요 없이 편리한 이름의 규칙을 참조하여 고유한 트래픽 서명 수십 개를 평가할 수 있습니다.

Google Cloud Armor 사전 구성 WAF 규칙은 요구사항에 맞게 조정할 수 있습니다. 규칙을 조정하는 방법에 대한 자세한 내용은 Google Cloud Armor 사전 구성 WAF 규칙 조정을 참조하세요.

다음 표에는 Google Cloud Armor 보안 정책에 사용할 수 있는 사전 구성된 WAF 규칙의 전체 목록이 나와 있습니다. 규칙 소스는 ModSecurity Core Rule Set(CRS) 3.0 및 CRS 3.3.2입니다. 버전 3.3을 사용하여 민감도를 높이고 보호된 공격 유형의 범위를 넓히는 것이 좋습니다. CRS 3.0에 대한 지원은 계속됩니다.

CRS 3.3

Google Cloud Armor 규칙 이름 ModSecurity 규칙 이름 현재 상태
SQL 삽입 sqli-v33-stable sqli-v33-canary와 동기화
sqli-v33-canary 최신
교차 사이트 스크립팅 xss-v33-stable xss-v33-canary와 동기화
xss-v33-canary 최신
로컬 파일 포함 lfi-v33-stable lfi-v33-canary와 동기화
lfi-v33-canary 최신
원격 파일 포함 rfi-v33-stable rfi-v33-canary와 동기화
rfi-v33-canary 최신
원격 코드 실행 rce-v33-stable rce-v33-canary와 동기화
rce-v33-canary 최신
메서드 적용 methodenforcement-v33-stable methodenforcement-v33-canary와 동기화
methodenforcement-v33-canary 최신
스캐너 감지 scannerdetection-v33-stable scannerdetection-v33-canary와 동기화
scannerdetection-v33-canary 최신
프로토콜 공격 protocolattack-v33-stable protocolattack-v33-canary와 동기화
protocolattack-v33-canary 최신
PHP 삽입 공격 php-v33-stable php-v33-canary와 동기화
php-v33-canary 최신
세션 고정 공격 sessionfixation-v33-stable sessionfixation-v33-canary와 동기화
sessionfixation-v33-canary 최신
Java 공격 java-v33-stable java-v33-canary와 동기화
java-v33-canary 최신
NodeJS 공격 nodejs-v33-stable nodejs-v33-canary와 동기화
nodejs-v33-canary 최신

CRS 3.0

Google Cloud Armor 규칙 이름 ModSecurity 규칙 이름 현재 상태
SQL 삽입 sqli-stable sqli-canary와 동기화
sqli-canary 최신
교차 사이트 스크립팅 xss-stable xss-canary와 동기화
xss-canary 최신
로컬 파일 포함 lfi-stable lfi-canary와 동기화
lfi-canary 최신
원격 파일 포함 rfi-stable rfi-canary와 동기화
rfi-canary 최신
원격 코드 실행 rce-stable rce-canary와 동기화
rce-canary 최신
메서드 적용 methodenforcement-stable methodenforcement-canary와 동기화
methodenforcement-canary 최신
스캐너 감지 scannerdetection-stable scannerdetection-canary와 동기화
scannerdetection-canary 최신
프로토콜 공격 protocolattack-stable protocolattack-canary와 동기화
protocolattack-canary 최신
PHP 삽입 공격 php-stable php-canary와 동기화
php-canary 최신
세션 고정 공격 sessionfixation-stable sessionfixation-canary와 동기화
sessionfixation-canary 최신
Java 공격 Not included
NodeJS 공격 Not included

또한 모든 Google Cloud Armor 고객은 다음 cve-canary 규칙을 사용하여 다음 취약점을 감지하고 선택적으로 차단할 수 있습니다.

  • CVE-2021-44228CVE-2021-45046 Log4j RCE 취약점
  • 942550-sqli JSON 형식의 콘텐츠 취약점
Google Cloud Armor 규칙 이름 지원되는 취약점 유형
cve-canary Log4j 취약점
json-sqli-canary JSON 기반 SQL 삽입 우회 취약점

사전 구성된 ModSecurity 규칙

사전 구성된 각 WAF 규칙에는 ModSecurity paranoia 수준에 해당하는 민감도 수준이 있습니다. 민감도 수준이 낮을수록 서명의 신뢰도가 높으므로 거짓양성을 생성할 가능성이 낮습니다. 민감도 수준이 높아지면 보안이 향상되지만 거짓양성이 생성될 위험이 증가합니다.

SQL 삽입(SQLi)

다음 표에서는 SQLi 사전 구성 WAF 규칙에서 지원되는 각 서명의 서명 ID, 민감도 수준, 설명을 제공합니다.

CRS 3.3

서명 ID(규칙 ID) 민감도 수준 설명
owasp-crs-v030301-id942100-sqli 1 libinjection을 통한 SQL 삽입 공격이 감지됨
owasp-crs-v030301-id942140-sqli 1 SQL 삽입 공격: 일반적인 DB 이름이 감지됨
owasp-crs-v030301-id942160-sqli 1 sleep() 또는 benchmark()를 사용하여 블라인드 SQLi 테스트 감지
owasp-crs-v030301-id942170-sqli 1 조건부 쿼리를 포함하여 SQL 벤치마크 및 수면 삽입 시도 감지
owasp-crs-v030301-id942190-sqli 1 MSSQL 코드 실행 및 정보 수집 시도 감지
owasp-crs-v030301-id942220-sqli 1 정수 오버플로 공격 찾기
owasp-crs-v030301-id942230-sqli 1 조건부 SQL 삽입 시도 감지
owasp-crs-v030301-id942240-sqli 1 MySQL 문자 집합 전환 및 MSSQL DoS 시도 감지
owasp-crs-v030301-id942250-sqli 1 MATCH AGAINST 감지
owasp-crs-v030301-id942270-sqli 1 기본 SQL 삽입 찾기(mysql에 대한 일반적인 공격 문자열)
owasp-crs-v030301-id942280-sqli 1 Postgres pg_sleep 삽입 감지
owasp-crs-v030301-id942290-sqli 1 기본 MongoDB SQL 삽입 시도 찾기
owasp-crs-v030301-id942320-sqli 1 MySQL 및 PostgreSQL 저장 프로시져/함수 삽입 감지
owasp-crs-v030301-id942350-sqli 1 MySQL UDF 삽입 및 기타 데이터/구조 조작 시도 감지
owasp-crs-v030301-id942360-sqli 1 연결된 기본 SQL 삽입 및 SQLLFI 시도 감지
owasp-crs-v030301-id942500-sqli 1 MySQL 인라인 주석이 감지됨
owasp-crs-v030301-id942110-sqli 2 SQL 삽입 공격: 일반적인 삽입 테스트가 감지됨
owasp-crs-v030301-id942120-sqli 2 SQL 삽입 공격: SQL 연산자가 감지됨
owasp-crs-v030301-id942130-sqli 2 SQL 삽입 공격: SQL Tautology가 감지됨
owasp-crs-v030301-id942150-sqli 2 SQL 삽입 공격
owasp-crs-v030301-id942180-sqli 2 기본 SQL 인증 우회 시도 감지 1/3
owasp-crs-v030301-id942200-sqli 2 MySQL comment-/space-obfuscated 삽입 및 백틱 종료 감지
owasp-crs-v030301-id942210-sqli 2 연결된 SQL 삽입 시도 감지 1/2
owasp-crs-v030301-id942260-sqli 2 기본 SQL 인증 우회 시도 감지 2/3
owasp-crs-v030301-id942300-sqli 2 MySQL 주석 감지
owasp-crs-v030301-id942310-sqli 2 연결된 SQL 삽입 시도 감지 2/2
owasp-crs-v030301-id942330-sqli 2 기본 SQL 삽입 프로브 감지 1/2
owasp-crs-v030301-id942340-sqli 2 기본 SQL 인증 우회 시도 감지 3/3
owasp-crs-v030301-id942361-sqli 2 키워드 변경 또는 통합에 기반한 기본 SQL 삽입 감지
owasp-crs-v030301-id942370-sqli 2 기본 SQL 삽입 프로브 감지 2/3
owasp-crs-v030301-id942380-sqli 2 SQL 삽입 공격
owasp-crs-v030301-id942390-sqli 2 SQL 삽입 공격
owasp-crs-v030301-id942400-sqli 2 SQL 삽입 공격
owasp-crs-v030301-id942410-sqli 2 SQL 삽입 공격
owasp-crs-v030301-id942470-sqli 2 SQL 삽입 공격
owasp-crs-v030301-id942480-sqli 2 SQL 삽입 공격
owasp-crs-v030301-id942430-sqli 2 제한된 SQL 문자 이상 감지(args): 특수 문자 초과 수(12)
owasp-crs-v030301-id942440-sqli 2 SQL 주석 시퀀스가 감지됨
owasp-crs-v030301-id942450-sqli 2 식별된 SQL 16진수 인코딩
owasp-crs-v030301-id942510-sqli 2 틱 또는 백틱에 의한 SQLi 우회 시도 감지됨
owasp-crs-v030301-id942251-sqli 3 HAVING 삽입 감지
owasp-crs-v030301-id942490-sqli 3 기본 SQL 삽입 프로브 감지 3/3
owasp-crs-v030301-id942420-sqli 3 제한된 SQL 문자 이상 감지(쿠키): 특수 문자 초과 수(8)
owasp-crs-v030301-id942431-sqli 3 제한된 SQL 문자 이상 감지(args): 특수 문자 초과 수(6)
owasp-crs-v030301-id942460-sqli 3 메타 문자 이상 감지 알림 - 비단어 반복 문자
owasp-crs-v030301-id942101-sqli 3 libinjection을 통한 SQL 삽입 공격이 감지됨
owasp-crs-v030301-id942511-sqli 3 틱에 의한 SQLi 우회 시도가 감지됨
owasp-crs-v030301-id942421-sqli 4 제한된 SQL 문자 이상 감지(쿠키): 특수 문자 초과 수(3)
owasp-crs-v030301-id942432-sqli 4 제한된 SQL 문자 이상 감지(args): 특수 문자 초과 수(2)

CRS 3.0

서명 ID(규칙 ID) 민감도 수준 설명
Not included 1 libinjection을 통한 SQL 삽입 공격이 감지됨
owasp-crs-v030001-id942140-sqli 1 SQL 삽입 공격: 일반적인 DB 이름이 감지됨
owasp-crs-v030001-id942160-sqli 1 sleep() 또는 benchmark()를 사용하여 블라인드 SQLi 테스트 감지
owasp-crs-v030001-id942170-sqli 1 조건부 쿼리를 포함하여 SQL 벤치마크 및 수면 삽입 시도 감지
owasp-crs-v030001-id942190-sqli 1 MSSQL 코드 실행 및 정보 수집 시도 감지
owasp-crs-v030001-id942220-sqli 1 정수 오버플로 공격 찾기
owasp-crs-v030001-id942230-sqli 1 조건부 SQL 삽입 시도 감지
owasp-crs-v030001-id942240-sqli 1 MySQL 문자 집합 전환 및 MSSQL DoS 시도 감지
owasp-crs-v030001-id942250-sqli 1 MATCH AGAINST 감지
owasp-crs-v030001-id942270-sqli 1 기본 SQL 삽입 찾기(mysql에 대한 일반적인 공격 문자열)
owasp-crs-v030001-id942280-sqli 1 Postgres pg_sleep 삽입 감지
owasp-crs-v030001-id942290-sqli 1 기본 MongoDB SQL 삽입 시도 찾기
owasp-crs-v030001-id942320-sqli 1 MySQL 및 PostgreSQL 저장 프로시져/함수 삽입 감지
owasp-crs-v030001-id942350-sqli 1 MySQL UDF 삽입 및 기타 데이터/구조 조작 시도 감지
owasp-crs-v030001-id942360-sqli 1 연결된 기본 SQL 삽입 및 SQLLFI 시도 감지
Not included 1 MySQL 인라인 주석이 감지됨
owasp-crs-v030001-id942110-sqli 2 SQL 삽입 공격: 일반적인 삽입 테스트가 감지됨
owasp-crs-v030001-id942120-sqli 2 SQL 삽입 공격: SQL 연산자가 감지됨
Not included 2 SQL 삽입 공격: SQL Tautology가 감지됨
owasp-crs-v030001-id942150-sqli 2 SQL 삽입 공격
owasp-crs-v030001-id942180-sqli 2 기본 SQL 인증 우회 시도 감지 1/3
owasp-crs-v030001-id942200-sqli 2 MySQL comment-/space-obfuscated 삽입 및 백틱 종료 감지
owasp-crs-v030001-id942210-sqli 2 연결된 SQL 삽입 시도 감지 1/2
owasp-crs-v030001-id942260-sqli 2 기본 SQL 인증 우회 시도 감지 2/3
owasp-crs-v030001-id942300-sqli 2 MySQL 주석 감지
owasp-crs-v030001-id942310-sqli 2 연결된 SQL 삽입 시도 감지 2/2
owasp-crs-v030001-id942330-sqli 2 기본 SQL 삽입 프로브 감지 1/2
owasp-crs-v030001-id942340-sqli 2 기본 SQL 인증 우회 시도 감지 3/3
Not included 2 키워드 변경 또는 통합에 기반한 기본 SQL 삽입 감지
Not included 2 기본 SQL 삽입 프로브 감지 2/3
owasp-crs-v030001-id942380-sqli 2 SQL 삽입 공격
owasp-crs-v030001-id942390-sqli 2 SQL 삽입 공격
owasp-crs-v030001-id942400-sqli 2 SQL 삽입 공격
owasp-crs-v030001-id942410-sqli 2 SQL 삽입 공격
Not included 2 SQL 삽입 공격
Not included 2 SQL 삽입 공격
owasp-crs-v030001-id942430-sqli 2 제한된 SQL 문자 이상 감지(args): 특수 문자 초과 수(12)
owasp-crs-v030001-id942440-sqli 2 SQL 주석 시퀀스가 감지됨
owasp-crs-v030001-id942450-sqli 2 식별된 SQL 16진수 인코딩
Not included 2 틱 또는 백틱에 의한 SQLi 우회 시도 감지됨
owasp-crs-v030001-id942251-sqli 3 HAVING 삽입 감지
Not included 2 기본 SQL 삽입 프로브 감지 3/3
owasp-crs-v030001-id942420-sqli 3 제한된 SQL 문자 이상 감지(쿠키): 특수 문자 초과 수(8)
owasp-crs-v030001-id942431-sqli 3 제한된 SQL 문자 이상 감지(args): 특수 문자 초과 수(6)
owasp-crs-v030001-id942460-sqli 3 메타 문자 이상 감지 알림 - 비단어 반복 문자
Not included 3 libinjection을 통한 SQL 삽입 공격이 감지됨
Not included 3 틱에 의한 SQLi 우회 시도가 감지됨
owasp-crs-v030001-id942421-sqli 4 제한된 SQL 문자 이상 감지(쿠키): 특수 문자 초과 수(3)
owasp-crs-v030001-id942432-sqli 4 제한된 SQL 문자 이상 감지(args): 특수 문자 초과 수(2)

evaluatePreconfiguredExpr()을 사용해 더 큰 민감도 수준에서 서명을 중지하여 특정 민감도 수준에서 규칙을 구성할 수 있습니다.

SQLi 민감도 수준 1

evaluatePreconfiguredExpr('sqli-v33-stable',
['owasp-crs-v030301-id942110-sqli',
  'owasp-crs-v030301-id942120-sqli',
  'owasp-crs-v030301-id942130-sqli',
  'owasp-crs-v030301-id942150-sqli',
  'owasp-crs-v030301-id942180-sqli',
  'owasp-crs-v030301-id942200-sqli',
  'owasp-crs-v030301-id942210-sqli',
  'owasp-crs-v030301-id942260-sqli',
  'owasp-crs-v030301-id942300-sqli',
  'owasp-crs-v030301-id942310-sqli',
  'owasp-crs-v030301-id942330-sqli',
  'owasp-crs-v030301-id942340-sqli',
  'owasp-crs-v030301-id942361-sqli',
  'owasp-crs-v030301-id942370-sqli',
  'owasp-crs-v030301-id942380-sqli',
  'owasp-crs-v030301-id942390-sqli',
  'owasp-crs-v030301-id942400-sqli',
  'owasp-crs-v030301-id942410-sqli',
  'owasp-crs-v030301-id942470-sqli',
  'owasp-crs-v030301-id942480-sqli',
  'owasp-crs-v030301-id942430-sqli',
  'owasp-crs-v030301-id942440-sqli',
  'owasp-crs-v030301-id942450-sqli',
  'owasp-crs-v030301-id942510-sqli',
  'owasp-crs-v030301-id942251-sqli',
  'owasp-crs-v030301-id942490-sqli',
  'owasp-crs-v030301-id942420-sqli',
  'owasp-crs-v030301-id942431-sqli',
  'owasp-crs-v030301-id942460-sqli',
  'owasp-crs-v030301-id942101-sqli',
  'owasp-crs-v030301-id942511-sqli',
  'owasp-crs-v030301-id942421-sqli',
  'owasp-crs-v030301-id942432-sqli']
)
          
SQLi 민감도 수준 2

evaluatePreconfiguredExpr('sqli-v33-stable',
 ['owasp-crs-v030301-id942251-sqli',
  'owasp-crs-v030301-id942490-sqli',
  'owasp-crs-v030301-id942420-sqli',
  'owasp-crs-v030301-id942431-sqli',
  'owasp-crs-v030301-id942460-sqli',
  'owasp-crs-v030301-id942101-sqli',
  'owasp-crs-v030301-id942511-sqli',
  'owasp-crs-v030301-id942421-sqli',
  'owasp-crs-v030301-id942432-sqli']
)
SQLi 민감도 수준 3

evaluatePreconfiguredExpr('sqli-v33-stable',
        ['owasp-crs-v030301-id942421-sqli',
         'owasp-crs-v030301-id942432-sqli']
         )
SQLi 민감도 수준 4

evaluatePreconfiguredExpr('sqli-v33-stable')

또는 사전 설정된 민감도 매개변수와 함께 evaluatePreconfiguredWaf()를 사용해서 특정 민감도 수준에서 규칙을 구성할 수 있습니다. 기본적으로 규칙 집합 민감도를 구성하지 않으면 Google Cloud Armor가 모든 서명을 평가합니다.

CRS 3.3

민감도 수준 표현식
1 evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 3})
4 evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 4})

CRS 3.0

민감도 수준 표현식
1 evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 3})
4 evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 4})

교차 사이트 스크립팅(XSS)

다음 표에서는 XSS 사전 구성된 WAF 규칙에서 지원되는 각 서명의 서명 ID, 민감도 수준, 설명을 제공합니다.

CRS 3.3

서명 ID(규칙 ID) 민감도 수준 설명
owasp-crs-v030301-id941100-xss 1 libinjection을 통한 XSS 공격이 감지됨
owasp-crs-v030301-id941110-xss 1 XSS 필터 - 카테고리 1: 스크립트 태그 벡터
owasp-crs-v030301-id941120-xss 1 XSS 필터 - 카테고리 2: 이벤트 핸들러 벡터
owasp-crs-v030301-id941130-xss 1 XSS 필터 - 카테고리 3: 속성 벡터
owasp-crs-v030301-id941140-xss 1 XSS 필터 - 카테고리 4: 자바스크립트 URI 벡터
owasp-crs-v030301-id941160-xss 1 NoScript XSS InjectionChecker: HTML 삽입
owasp-crs-v030301-id941170-xss 1 NoScript XSS InjectionChecker: 속성 삽입
owasp-crs-v030301-id941180-xss 1 Node-Validator 블랙리스트 키워드
owasp-crs-v030301-id941190-xss 1 IE XSS 필터 - 공격이 감지됨
owasp-crs-v030301-id941200-xss 1 IE XSS 필터 - 공격이 감지됨
owasp-crs-v030301-id941210-xss 1 IE XSS 필터 - 공격이 감지됨
owasp-crs-v030301-id941220-xss 1 IE XSS 필터 - 공격이 감지됨
owasp-crs-v030301-id941230-xss 1 IE XSS 필터 - 공격이 감지됨
owasp-crs-v030301-id941240-xss 1 IE XSS 필터 - 공격이 감지됨
owasp-crs-v030301-id941250-xss 1 IE XSS 필터 - 공격이 감지됨
owasp-crs-v030301-id941260-xss 1 IE XSS 필터 - 공격이 감지됨
owasp-crs-v030301-id941270-xss 1 IE XSS 필터 - 공격이 감지됨
owasp-crs-v030301-id941280-xss 1 IE XSS 필터 - 공격이 감지됨
owasp-crs-v030301-id941290-xss 1 IE XSS 필터 - 공격이 감지됨
owasp-crs-v030301-id941300-xss 1 IE XSS 필터 - 공격이 감지됨
owasp-crs-v030301-id941310-xss 1 US-ASCII 형식이 잘못된 인코딩 XSS 필터 - 공격이 감지됨
owasp-crs-v030301-id941350-xss 1 UTF-7 인코딩 IE XSS - 공격이 감지됨
owasp-crs-v030301-id941360-xss 1 상형 이미지 난독화
owasp-crs-v030301-id941370-xss 1 JavaScript 전역 변수가 발견됨
owasp-crs-v030301-id941101-xss 2 libinjection을 통한 XSS 공격이 감지됨
owasp-crs-v030301-id941150-xss 2 XSS 필터 - 카테고리 5: 허용되지 않는 HTML 속성
owasp-crs-v030301-id941320-xss 2 가능한 XSS 공격이 탐지됨 - HTML 태그 핸들러
owasp-crs-v030301-id941330-xss 2 IE XSS 필터 - 공격이 감지됨
owasp-crs-v030301-id941340-xss 2 IE XSS 필터 - 공격이 감지됨
owasp-crs-v030301-id941380-xss 2 AngularJS 클라이언트측 템플릿 삽입이 감지됨

CRS 3.0

서명 ID(규칙 ID) 민감도 수준 설명
Not included 1 libinjection을 통한 XSS 공격이 감지됨
owasp-crs-v030001-id941110-xss 1 XSS 필터 - 카테고리 1: 스크립트 태그 벡터
owasp-crs-v030001-id941120-xss 1 XSS 필터 - 카테고리 2: 이벤트 핸들러 벡터
owasp-crs-v030001-id941130-xss 1 XSS 필터 - 카테고리 3: 속성 벡터
owasp-crs-v030001-id941140-xss 1 XSS 필터 - 카테고리 4: 자바스크립트 URI 벡터
owasp-crs-v030001-id941160-xss 1 NoScript XSS InjectionChecker: HTML 삽입
owasp-crs-v030001-id941170-xss 1 NoScript XSS InjectionChecker: 속성 삽입
owasp-crs-v030001-id941180-xss 1 Node-Validator 블랙리스트 키워드
owasp-crs-v030001-id941190-xss 1 IE XSS 필터 - 공격이 감지됨
owasp-crs-v030001-id941200-xss 1 IE XSS 필터 - 공격이 감지됨
owasp-crs-v030001-id941210-xss 1 IE XSS 필터 - 공격이 감지됨
owasp-crs-v030001-id941220-xss 1 IE XSS 필터 - 공격이 감지됨
owasp-crs-v030001-id941230-xss 1 IE XSS 필터 - 공격이 감지됨
owasp-crs-v030001-id941240-xss 1 IE XSS 필터 - 공격이 감지됨
owasp-crs-v030001-id941250-xss 1 IE XSS 필터 - 공격이 감지됨
owasp-crs-v030001-id941260-xss 1 IE XSS 필터 - 공격이 감지됨
owasp-crs-v030001-id941270-xss 1 IE XSS 필터 - 공격이 감지됨
owasp-crs-v030001-id941280-xss 1 IE XSS 필터 - 공격이 감지됨
owasp-crs-v030001-id941290-xss 1 IE XSS 필터 - 공격이 감지됨
owasp-crs-v030001-id941300-xss 1 IE XSS 필터 - 공격이 감지됨
owasp-crs-v030001-id941310-xss 1 US-ASCII 형식이 잘못된 인코딩 XSS 필터 - 공격이 감지됨
owasp-crs-v030001-id941350-xss 1 UTF-7 인코딩 IE XSS - 공격이 감지됨
Not included 1 JSFuck/상형체 난독화가 감지됨
Not included 1 JavaScript 전역 변수가 발견됨
Not included 2 libinjection을 통한 XSS 공격이 감지됨
owasp-crs-v030001-id941150-xss 2 XSS 필터 - 카테고리 5: 허용되지 않는 HTML 속성
owasp-crs-v030001-id941320-xss 2 가능한 XSS 공격이 탐지됨 - HTML 태그 핸들러
owasp-crs-v030001-id941330-xss 2 IE XSS 필터 - 공격이 감지됨
owasp-crs-v030001-id941340-xss 2 IE XSS 필터 - 공격이 감지됨
Not included 2 AngularJS 클라이언트측 템플릿 삽입이 감지됨

evaluatePreconfiguredExpr()을 사용해 더 큰 민감도 수준에서 서명을 중지하여 특정 민감도 수준에서 규칙을 구성할 수 있습니다.

XSS 민감도 수준 1

evaluatePreconfiguredExpr('xss-v33-stable',
['owasp-crs-v030301-id941101-xss',
  'owasp-crs-v030301-id941150-xss',
  'owasp-crs-v030301-id941320-xss',
  'owasp-crs-v030301-id941330-xss',
  'owasp-crs-v030301-id941340-xss',
  'owasp-crs-v030301-id941380-xss'
])
          


XSS의 모든 서명은 민감도 수준 2 미만입니다. 다음 구성은 다른 민감도 수준에서 작동합니다.

XSS 민감도 수준 2

evaluatePreconfiguredExpr('xss-v33-stable')

또는 사전 설정된 민감도 매개변수와 함께 evaluatePreconfiguredWaf()를 사용해서 특정 민감도 수준에서 규칙을 구성할 수 있습니다. 기본적으로 규칙 집합 민감도를 구성하지 않으면 Google Cloud Armor가 모든 서명을 평가합니다.

CRS 3.3

민감도 수준 표현식
1 evaluatePreconfiguredWaf('xss-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('xss-v33-stable', {'sensitivity': 2})

CRS 3.0

민감도 수준 표현식
1 evaluatePreconfiguredWaf('xss-stable', {'sensitivity': 1})

로컬 파일 포함(LFI)

다음 표에서는 LFI 사전 구성 WAF 규칙에서 지원되는 각 서명의 서명 ID, 민감도 수준, 설명을 제공합니다.

CRS 3.3

서명 ID(규칙 ID) 민감도 수준 설명
owasp-crs-v030301-id930100-lfi 1 경로 순회 공격(/../)
owasp-crs-v030301-id930110-lfi 1 경로 순회 공격(/../)
owasp-crs-v030301-id930120-lfi 1 OS 파일 액세스 시도
owasp-crs-v030301-id930130-lfi 1 제한된 파일 액세스 시도

CRS 3.0

서명 ID(규칙 ID) 민감도 수준 설명
owasp-crs-v030001-id930100-lfi 1 경로 순회 공격(/../)
owasp-crs-v030001-id930110-lfi 1 경로 순회 공격(/../)
owasp-crs-v030001-id930120-lfi 1 OS 파일 액세스 시도
owasp-crs-v030001-id930130-lfi 1 제한된 파일 액세스 시도

evaluatePreconfiguredExpr()을 사용해 더 큰 민감도 수준에서 서명을 중지하여 특정 민감도 수준에서 규칙을 구성할 수 있습니다. LFI의 모든 서명은 민감도 수준 1입니다. 다음 구성은 모든 민감도 수준에서 작동합니다.

LFI 민감도 수준 1

evaluatePreconfiguredExpr('lfi-v33-stable')

또는 사전 설정된 민감도 매개변수와 함께 evaluatePreconfiguredWaf()를 사용해서 특정 민감도 수준에서 규칙을 구성할 수 있습니다. LFI의 모든 서명은 민감도 수준 1입니다. 다음 구성은 모든 민감도 수준에서 작동합니다.

CRS 3.3

민감도 수준 표현식
1 evaluatePreconfiguredWaf('lfi-v33-stable', {'sensitivity': 1})

CRS 3.0

민감도 수준 표현식
1 evaluatePreconfiguredWaf('lfi-stable', {'sensitivity': 1})

원격 코드 실행(RCE)

다음 표에서는 RCE 사전 구성 WAF 규칙에서 지원되는 각 서명의 서명 ID, 민감도 수준, 설명을 제공합니다.

CRS 3.3

서명 ID(규칙 ID) 민감도 수준 설명
owasp-crs-v030301-id932100-rce 1 UNIX 명령어 삽입
owasp-crs-v030301-id932105-rce 1 UNIX 명령어 삽입
owasp-crs-v030301-id932110-rce 1 Windows 명령어 삽입
owasp-crs-v030301-id932115-rce 1 Windows 명령어 삽입
owasp-crs-v030301-id932120-rce 1 Windows PowerShell 명령어 발견됨
owasp-crs-v030301-id932130-rce 1 Unix 셸 표현식 발견됨
owasp-crs-v030301-id932140-rce 1 Windows FOR/IF 명령어 발견됨
owasp-crs-v030301-id932150-rce 1 Direct UNIX 명령어 실행
owasp-crs-v030301-id932160-rce 1 UNIX 셸 코드 발견됨
owasp-crs-v030301-id932170-rce 1 Shellshock(CVE-2014-6271)
owasp-crs-v030301-id932171-rce 1 Shellshock(CVE-2014-6271)
owasp-crs-v030301-id932180-rce 1 제한된 파일 업로드 시도
owasp-crs-v030301-id932200-rce 2 RCE 우회 기술
owasp-crs-v030301-id932106-rce 3 원격 명령어 실행: Unix 명령어 삽입
owasp-crs-v030301-id932190-rce 3 원격 명령어 실행: 와일드 카드 우회 기술 시도

CRS 3.0

서명 ID(규칙 ID) 민감도 수준 설명
owasp-crs-v030001-id932100-rce 1 UNIX 명령어 삽입
owasp-crs-v030001-id932105-rce 1 UNIX 명령어 삽입
owasp-crs-v030001-id932110-rce 1 Windows 명령어 삽입
owasp-crs-v030001-id932115-rce 1 Windows 명령어 삽입
owasp-crs-v030001-id932120-rce 1 Windows PowerShell 명령어 발견됨
owasp-crs-v030001-id932130-rce 1 Unix 셸 표현식 발견됨
owasp-crs-v030001-id932140-rce 1 Windows FOR/IF 명령어 발견됨
owasp-crs-v030001-id932150-rce 1 Direct UNIX 명령어 실행
owasp-crs-v030001-id932160-rce 1 UNIX 셸 코드 발견됨
owasp-crs-v030001-id932170-rce 1 Shellshock(CVE-2014-6271)
owasp-crs-v030001-id932171-rce 1 Shellshock(CVE-2014-6271)
Not included 1 제한된 파일 업로드 시도
Not included 2 RCE 우회 기술
Not included 3 원격 명령어 실행: Unix 명령어 삽입
Not included 3 원격 명령어 실행: 와일드 카드 우회 기술 시도

evaluatePreconfiguredExpr()을 사용해 더 큰 민감도 수준에서 서명을 중지하여 특정 민감도 수준에서 규칙을 구성할 수 있습니다. 다음 구성은 모든 민감도 수준에서 작동합니다.

RCE 민감도 수준 1

evaluatePreconfiguredExpr('rce-v33-stable',
          ['owasp-crs-v030301-id932200-rce',
           'owasp-crs-v030301-id932106-rce',
           'owasp-crs-v030301-id932190-rce'])
          
RCE 민감도 수준 2

evaluatePreconfiguredExpr('rce-v33-stable',
           [ 'owasp-crs-v030301-id932106-rce',
           'owasp-crs-v030301-id932190-rce'])
          
RCE 민감도 수준 3

evaluatePreconfiguredExpr('rce-v33-stable')

또는 사전 설정된 민감도 매개변수와 함께 evaluatePreconfiguredWaf()를 사용해서 특정 민감도 수준에서 규칙을 구성할 수 있습니다. RCE의 모든 서명은 민감도 수준 1입니다. 다음 구성은 모든 민감도 수준에서 작동합니다.

CRS 3.3

민감도 수준 표현식
1 evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 3})

CRS 3.0

민감도 수준 표현식
1 evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 3})

원격 파일 포함(RCI)

다음 표에서는 RFI 사전 구성 WAF 규칙에서 지원되는 각 서명의 서명 ID, 민감도 수준, 설명을 제공합니다.

CRS 3.3

서명 ID(규칙 ID) 민감도 수준 설명
owasp-crs-v030301-id931100-rfi 1 IP 주소를 사용하는 URL 매개변수
owasp-crs-v030301-id931110-rfi 1 URL 페이로드와 함께 사용되는 일반적인 RFI 취약 매개변수 이름
owasp-crs-v030301-id931120-rfi 1 물음표 문자(?)가 뒤에 오는 URL 페이로드
owasp-crs-v030301-id931130-rfi 2 도메인 외부 참조/링크

CRS 3.0

서명 ID(규칙 ID) 민감도 수준 설명
owasp-crs-v030001-id931100-rfi 1 IP 주소를 사용하는 URL 매개변수
owasp-crs-v030001-id931110-rfi 1 URL 페이로드와 함께 사용되는 일반적인 RFI 취약 매개변수 이름
owasp-crs-v030001-id931120-rfi 1 물음표 문자(?)가 뒤에 오는 URL 페이로드
owasp-crs-v030001-id931130-rfi 2 도메인 외부 참조/링크

evaluatePreconfiguredExpr()을 사용해 더 큰 민감도 수준에서 서명을 중지하여 특정 민감도 수준에서 규칙을 구성할 수 있습니다.

RFI 민감도 수준 1

evaluatePreconfiguredExpr('rfi-v33-stable', ['owasp-crs-v030301-id931130-rfi'])

RFI의 모든 서명은 민감도 수준 2 미만입니다. 다음 구성은 다른 민감도 수준에서 작동합니다.

RFI 민감도 수준 2

evaluatePreconfiguredExpr('rfi-v33-stable')

또는 사전 설정된 민감도 매개변수와 함께 evaluatePreconfiguredWaf()를 사용해서 특정 민감도 수준에서 규칙을 구성할 수 있습니다. 기본적으로 규칙 집합 민감도를 구성하지 않으면 Google Cloud Armor가 모든 서명을 평가합니다.

CRS 3.3

민감도 수준 표현식
1 evaluatePreconfiguredWaf('rfi-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('rfi-v33-stable', {'sensitivity': 2})

CRS 3.0

민감도 수준 표현식
1 evaluatePreconfiguredWaf('rfi-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('rfi-stable', {'sensitivity': 2})

메서드 적용

다음 표에서는 메서드 적용 사전 구성 규칙에서 지원되는 각 서명의 서명 ID, 민감도 수준, 설명을 제공합니다.

CRS 3.3

서명 ID(규칙 ID) 민감도 수준 설명
owasp-crs-v030301-id911100-methodenforcement 1 정책이 허용하지 않는 메서드

CRS 3.0

서명 ID(규칙 ID) 민감도 수준 설명
owasp-crs-v030001-id911100-methodenforcement 1 정책이 허용하지 않는 메서드

evaluatePreconfiguredExpr()을 사용해 더 큰 민감도 수준에서 서명을 중지하여 특정 민감도 수준에서 규칙을 구성할 수 있습니다. 메서드 적용의 모든 서명은 민감도 수준 1입니다. 다음 구성은 다른 민감도 수준에서 작동합니다.

메서드 적용 민감도 수준 1

evaluatePreconfiguredExpr('methodenforcement-v33-stable')

또는 사전 설정된 민감도 매개변수와 함께 evaluatePreconfiguredWaf()를 사용해서 특정 민감도 수준에서 규칙을 구성할 수 있습니다. 기본적으로 규칙 집합 민감도를 구성하지 않으면 Google Cloud Armor가 모든 서명을 평가합니다.

CRS 3.3

민감도 수준 표현식
1 evaluatePreconfiguredWaf('methodenforcement-v33-stable', {'sensitivity': 1})

CRS 3.0

민감도 수준 표현식
1 evaluatePreconfiguredWaf('methodenforcement-stable', {'sensitivity': 1})

스캐너 감지

다음 표에서는 스캐너 감지 사전 구성된 규칙에서 지원되는 각 서명의 서명 ID, 민감도 수준, 설명을 제공합니다.

CRS 3.3

서명 ID(규칙 ID) 민감도 수준 설명
owasp-crs-v030301-id913100-scannerdetection 1 보안 스캐너와 연결된 사용자 에이전트 발견
owasp-crs-v030301-id913110-scannerdetection 1 보안 스캐너와 연결된 요청 헤더 발견
owasp-crs-v030301-id913120-scannerdetection 1 보안 스캐너와 연결된 요청 파일 이름/인수 발견
owasp-crs-v030301-id913101-scannerdetection 2 스크립팅/일반 HTTP 클라이언트와 연결된 사용자 에이전트 발견
owasp-crs-v030301-id913102-scannerdetection 2 웹 크롤러/봇과 연결된 사용자 에이전트 발견

CRS 3.0

서명 ID(규칙 ID) 민감도 수준 설명
owasp-crs-v030001-id913100-scannerdetection 1 보안 스캐너와 연결된 사용자 에이전트 발견
owasp-crs-v030001-id913110-scannerdetection 1 보안 스캐너와 연결된 요청 헤더 발견
owasp-crs-v030001-id913120-scannerdetection 1 보안 스캐너와 연결된 요청 파일 이름/인수 발견
owasp-crs-v030001-id913101-scannerdetection 2 스크립팅/일반 HTTP 클라이언트와 연결된 사용자 에이전트 발견
owasp-crs-v030001-id913102-scannerdetection 2 웹 크롤러/봇과 연결된 사용자 에이전트 발견

evaluatePreconfiguredExpr()을 사용해 더 큰 민감도 수준에서 서명을 중지하여 특정 민감도 수준에서 규칙을 구성할 수 있습니다.

스캐너 감지 민감도 수준 1

evaluatePreconfiguredExpr('scannerdetection-v33-stable',
  ['owasp-crs-v030301-id913101-scannerdetection',
  'owasp-crs-v030301-id913102-scannerdetection']
)
          
스캐너 감지 민감도 수준 2

evaluatePreconfiguredExpr('scannerdetection-v33-stable')
          

또는 사전 설정된 민감도 매개변수와 함께 evaluatePreconfiguredWaf()를 사용해서 특정 민감도 수준에서 규칙을 구성할 수 있습니다. 기본적으로 규칙 집합 민감도를 구성하지 않으면 Google Cloud Armor가 모든 서명을 평가합니다.

CRS 3.3

민감도 수준 표현식
1 evaluatePreconfiguredWaf('scannerdetection-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('scannerdetection-v33-stable', {'sensitivity': 2})

CRS 3.0

민감도 수준 표현식
1 evaluatePreconfiguredWaf('scannerdetection-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('scannerdetection-stable', {'sensitivity': 2})

프로토콜 공격

다음 표는 사전 구성된 프로토콜 공격 규칙에서 지원되는 각 서명의 서명 ID, 민감도 수준, 설명을 제공합니다.

CRS 3.3

서명 ID(규칙 ID) 민감도 수준 설명
Not included 1 HTTP 요청 스머글링 공격
owasp-crs-v030301-id921110-protocolattack 1 HTTP 요청 스머글링 공격
owasp-crs-v030301-id921120-protocolattack 1 HTTP 응답 분할 공격
owasp-crs-v030301-id921130-protocolattack 1 HTTP 응답 분할 공격
owasp-crs-v030301-id921140-protocolattack 1 헤더를 통한 HTTP 헤더 삽입 공격
owasp-crs-v030301-id921150-protocolattack 1 페이로드를 통한 HTTP 헤더 삽입 공격(CR/LF 감지됨)
owasp-crs-v030301-id921160-protocolattack 1 페이로드를 통한 HTTP 헤더 삽입 공격(CR/LF 및 헤더 이름 감지됨)
owasp-crs-v030301-id921190-protocolattack 1 HTTP 분할(요청 파일 이름의 CR/LF 감지됨)
owasp-crs-v030301-id921200-protocolattack 1 LDAP 삽입 공격
owasp-crs-v030301-id921151-protocolattack 2 페이로드를 통한 HTTP 헤더 삽입 공격(CR/LF 감지됨)
owasp-crs-v030301-id921170-protocolattack 3 HTTP 매개변수 오염

CRS 3.0

서명 ID(규칙 ID) 민감도 수준 설명
owasp-crs-v030001-id921100-protocolattack 1 HTTP 요청 스머글링 공격
owasp-crs-v030001-id921110-protocolattack 1 HTTP 요청 스머글링 공격
owasp-crs-v030001-id921120-protocolattack 1 HTTP 응답 분할 공격
owasp-crs-v030001-id921130-protocolattack 1 HTTP 응답 분할 공격
owasp-crs-v030001-id921140-protocolattack 1 헤더를 통한 HTTP 헤더 삽입 공격
owasp-crs-v030001-id921150-protocolattack 1 페이로드를 통한 HTTP 헤더 삽입 공격(CR/LF 감지됨)
owasp-crs-v030001-id921160-protocolattack 1 페이로드를 통한 HTTP 헤더 삽입 공격(CR/LF 및 헤더 이름 감지됨)
Not included 1 HTTP 분할(요청 파일 이름의 CR/LF 감지됨)
Not included 1 LDAP 삽입 공격
owasp-crs-v030001-id921151-protocolattack 2 페이로드를 통한 HTTP 헤더 삽입 공격(CR/LF 감지됨)
owasp-crs-v030001-id921170-protocolattack 3 HTTP 매개변수 오염

evaluatePreconfiguredExpr()을 사용해 더 큰 민감도 수준에서 서명을 중지하여 특정 민감도 수준에서 규칙을 구성할 수 있습니다.

프로토콜 공격 민감도 수준 1

evaluatePreconfiguredExpr('protocolattack-v33-stable',
  ['owasp-crs-v030301-id921151-protocolattack',
  'owasp-crs-v030301-id921170-protocolattack']
)
          
프로토콜 공격 민감도 수준 2

evaluatePreconfiguredExpr('protocolattack-v33-stable',
  ['owasp-crs-v030301-id921170-protocolattack']
)
          
프로토콜 공격 민감도 수준 3

evaluatePreconfiguredExpr('protocolattack-v33-stable')
          

또는 사전 설정된 민감도 매개변수와 함께 evaluatePreconfiguredWaf()를 사용해서 특정 민감도 수준에서 규칙을 구성할 수 있습니다. 기본적으로 규칙 집합 민감도를 구성하지 않으면 Google Cloud Armor가 모든 서명을 평가합니다.

CRS 3.3

민감도 수준 표현식
1 evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 3})

CRS 3.0

민감도 수준 표현식
1 evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 3})

PHP

다음 표에서는 PHP 사전 구성 WAF 규칙에서 지원되는 각 서명의 서명 ID, 민감도 수준, 설명을 제공합니다.

CRS 3.3

서명 ID(규칙 ID) 민감도 수준 설명
owasp-crs-v030301-id933100-php 1 PHP 삽입 공격: PHP 공개 태그 발견됨
owasp-crs-v030301-id933110-php 1 PHP 삽입 공격: PHP 스크립트 파일 업로드 발견됨
owasp-crs-v030301-id933120-php 1 PHP 삽입 공격: 구성 지시문 발견됨
owasp-crs-v030301-id933130-php 1 PHP 삽입 공격: 변수 발견됨
owasp-crs-v030301-id933140-php 1 PHP 삽입 공격: I/O 스트림 발견됨
owasp-crs-v030301-id933200-php 1 PHP 삽입 공격: 래퍼 스키마 감지됨
owasp-crs-v030301-id933150-php 1 PHP 삽입 공격: 고위험 PHP 함수 이름 발견됨
owasp-crs-v030301-id933160-php 1 PHP 삽입 공격: 고위험 PHP 함수 호출 발견됨
owasp-crs-v030301-id933170-php 1 PHP 삽입 공격: 직렬화된 객체 삽입
owasp-crs-v030301-id933180-php 1 PHP 삽입 공격: 변수 함수 호출 발견됨
owasp-crs-v030301-id933210-php 1 PHP 삽입 공격: 변수 함수 호출 발견됨
owasp-crs-v030301-id933151-php 2 PHP 삽입 공격: 중위험 PHP 함수 이름 발견됨
owasp-crs-v030301-id933131-php 3 PHP 삽입 공격: 변수 발견됨
owasp-crs-v030301-id933161-php 3 PHP 삽입 공격: 낮은 값의 PHP 함수 호출 발견됨
owasp-crs-v030301-id933111-php 3 PHP 삽입 공격: PHP 스크립트 파일 업로드 발견됨
owasp-crs-v030301-id933190-php 3 PHP 삽입 공격: PHP 닫는 태그 발견됨

CRS 3.0

서명 ID(규칙 ID) 민감도 수준 설명
owasp-crs-v030001-id933100-php 1 PHP 삽입 공격: PHP 공개 태그 발견됨
owasp-crs-v030001-id933110-php 1 PHP 삽입 공격: PHP 스크립트 파일 업로드 발견됨
owasp-crs-v030001-id933120-php 1 PHP 삽입 공격: 구성 지시문 발견됨
owasp-crs-v030001-id933130-php 1 PHP 삽입 공격: 변수 발견됨
owasp-crs-v030001-id933140-php 1 PHP 삽입 공격: I/O 스트림 발견됨
Not included 1 PHP 삽입 공격: 래퍼 스키마 감지됨
owasp-crs-v030001-id933150-php 1 PHP 삽입 공격: 고위험 PHP 함수 이름 발견됨
owasp-crs-v030001-id933160-php 1 PHP 삽입 공격: 고위험 PHP 함수 호출 발견됨
owasp-crs-v030001-id933170-php 1 PHP 삽입 공격: 직렬화된 객체 삽입
owasp-crs-v030001-id933180-php 1 PHP 삽입 공격: 변수 함수 호출 발견됨
Not included 1 PHP 삽입 공격: 변수 함수 호출 발견됨
owasp-crs-v030001-id933151-php 2 PHP 삽입 공격: 중위험 PHP 함수 이름 발견됨
owasp-crs-v030001-id933131-php 3 PHP 삽입 공격: 변수 발견됨
owasp-crs-v030001-id933161-php 3 PHP 삽입 공격: 낮은 값의 PHP 함수 호출 발견됨
owasp-crs-v030001-id933111-php 3 PHP 삽입 공격: PHP 스크립트 파일 업로드 발견됨
Not included 3 PHP 삽입 공격: PHP 닫는 태그 발견됨

evaluatePreconfiguredExpr()을 사용해 더 큰 민감도 수준에서 서명을 중지하여 특정 민감도 수준에서 규칙을 구성할 수 있습니다.

PHP 삽입 공격 민감도 수준 1

evaluatePreconfiguredExpr('php-v33-stable',
['owasp-crs-v030301-id933151-php',
  'owasp-crs-v030301-id933131-php',
  'owasp-crs-v030301-id933161-php',
  'owasp-crs-v030301-id933111-php',
  'owasp-crs-v030301-id933190-php']
)
          
PHP 삽입 공격 민감도 수준 2

evaluatePreconfiguredExpr('php-v33-stable',
  ['owasp-crs-v0303001-id933131-php',
  'owasp-crs-v0303001-id933161-php',
  'owasp-crs-v0303001-id933111-php',
  'owasp-crs-v030301-id933190-php'])
          
PHP 삽입 공격 민감도 수준 3

evaluatePreconfiguredExpr('php-v33-stable')
          

또는 사전 설정된 민감도 매개변수와 함께 evaluatePreconfiguredWaf()를 사용해서 특정 민감도 수준에서 규칙을 구성할 수 있습니다. 기본적으로 규칙 집합 민감도를 구성하지 않으면 Google Cloud Armor가 모든 서명을 평가합니다.

CRS 3.3

민감도 수준 표현식
1 evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 3})

CRS 3.0

민감도 수준 표현식
1 evaluatePreconfiguredWaf('php-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('php-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('php-stable', {'sensitivity': 3})

세션 고정

다음 표는 세션 고정 사전 구성된 규칙에서 지원되는 각 서명의 서명 ID, 민감도 수준, 설명을 제공합니다.

CRS 3.3

서명 ID(규칙 ID) 민감도 수준 설명
owasp-crs-v030301-id943100-sessionfixation 1 가능한 세션 고정 공격: HTML에서 쿠키 값 설정
owasp-crs-v030301-id943110-sessionfixation 1 가능한 세션 고정 공격: 오프 도메인 리퍼러가 포함된 SessionID 매개변수 이름
owasp-crs-v030301-id943120-sessionfixation 1 가능한 세션 고정 공격: 리퍼러가 없는 SessionID 매개변수 이름

CRS 3.0

서명 ID(규칙 ID) 민감도 수준 설명
owasp-crs-v030001-id943100-sessionfixation 1 가능한 세션 고정 공격: HTML에서 쿠키 값 설정
owasp-crs-v030001-id943110-sessionfixation 1 가능한 세션 고정 공격: 오프 도메인 리퍼러가 포함된 SessionID 매개변수 이름
owasp-crs-v030001-id943120-sessionfixation 1 가능한 세션 고정 공격: 리퍼러가 없는 SessionID 매개변수 이름

evaluatePreconfiguredExpr()을 사용해 더 큰 민감도 수준에서 서명을 중지하여 특정 민감도 수준에서 규칙을 구성할 수 있습니다. 세션 고정의 모든 서명은 민감도 수준 1입니다. 다음 구성은 모든 민감도 수준에서 작동합니다.

세션 고정 민감도 수준 1

evaluatePreconfiguredExpr('sessionfixation-v33-stable')

또는 사전 설정된 민감도 매개변수와 함께 evaluatePreconfiguredWaf()를 사용해서 특정 민감도 수준에서 규칙을 구성할 수 있습니다. 세션 고정의 모든 서명은 민감도 수준 1입니다. 다음 구성은 모든 민감도 수준에서 작동합니다.

CRS 3.3

민감도 수준 표현식
1 evaluatePreconfiguredWaf('sessionfixation-v33-stable', {'sensitivity': 1})

CRS 3.0

민감도 수준 표현식
1 evaluatePreconfiguredWaf('sessionfixation-stable', {'sensitivity': 1})

Java 공격

다음 표에서는 자바 공격 사전 구성된 규칙에서 지원되는 각 서명의 서명 ID, 민감도 수준, 설명을 제공합니다.

CRS 3.3

서명 ID(규칙 ID) 민감도 수준 설명
owasp-crs-v030301-id944100-java 1 원격 명령어 실행: 의심스러운 Java 클래스가 감지됨
owasp-crs-v030301-id944110-java 1 원격 명령어 실행: 자바 프로세스 생성(CVE-2017-9805)
owasp-crs-v030301-id944120-java 1 원격 명령어 실행: 자바 직렬화(CVE-2015-4852)
owasp-crs-v030301-id944130-java 1 의심스러운 Java 클래스가 감지됨
owasp-crs-v030301-id944200-java 2 매직 바이트가 감지됨, 자바 직렬화를 사용 중일 가능성이 있음
owasp-crs-v030301-id944210-java 2 Base64로 인코딩된 매직 바이트가 감지됨, 자바 직렬화를 사용 중일 가능성이 있음
owasp-crs-v030301-id944240-java 2 원격 명령어 실행: 자바 직렬화(CVE-2015-4852)
owasp-crs-v030301-id944250-java 2 원격 명령어 실행: 의심스러운 Java 메서드가 감지됨
owasp-crs-v030301-id944300-java 3 일치하는 의심스러운 키워드가 있는 Base64로 인코딩된 문자열

CRS 3.0

서명 ID(규칙 ID) 민감도 수준 설명
Not included 1 원격 명령어 실행: 의심스러운 Java 클래스가 감지됨
Not included 1 원격 명령어 실행: 자바 프로세스 생성(CVE-2017-9805)
Not included 1 원격 명령어 실행: 자바 직렬화(CVE-2015-4852)
Not included 1 의심스러운 Java 클래스가 감지됨
Not included 2 매직 바이트가 감지됨, 자바 직렬화를 사용 중일 가능성이 있음
Not included 2 Base64로 인코딩된 매직 바이트가 감지됨, 자바 직렬화를 사용 중일 가능성이 있음
Not included 2 원격 명령어 실행: 자바 직렬화(CVE-2015-4852)
Not included 2 원격 명령어 실행: 의심스러운 Java 메서드가 감지됨
Not included 3 일치하는 의심스러운 키워드가 있는 Base64로 인코딩된 문자열

evaluatePreconfiguredExpr()을 사용해 더 큰 민감도 수준에서 서명을 중지하여 특정 민감도 수준에서 규칙을 구성할 수 있습니다.

Java 공격 민감도 수준 1

evaluatePreconfiguredExpr('java-v33-stable',
['owasp-crs-v030301-id944200-java',
 'owasp-crs-v030301-id944210-java',
 'owasp-crs-v030301-id944240-java',
 'owasp-crs-v030301-id944250-java',
 'owasp-crs-v030301-id944300-java'])
          
Java 공격 민감도 수준 2

evaluatePreconfiguredExpr('java-v33-stable',
['owasp-crs-v030301-id944300-java'])
          
Java 공격 민감도 수준 3

evaluatePreconfiguredExpr('java-v33-stable')
          

또는 사전 설정된 민감도 매개변수와 함께 evaluatePreconfiguredWaf()를 사용해서 특정 민감도 수준에서 규칙을 구성할 수 있습니다. 기본적으로 규칙 집합 민감도를 구성하지 않으면 Google Cloud Armor가 모든 서명을 평가합니다.

민감도 수준 표현식
1 evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 3})

NodeJS 공격

다음 표에서는 NodeJS 공격 사전 구성된 규칙에서 지원되는 각 서명의 서명 ID, 민감도 수준, 설명을 제공합니다.

다음의 사전 구성된 WAF 규칙 서명은 CRS 3.3에만 포함되어 있습니다.

CRS 3.3

서명 ID(규칙 ID) 민감도 수준 설명
owasp-crs-v030301-id934100-nodejs 1 Node.js 삽입 공격

CRS 3.0

서명 ID(규칙 ID) 민감도 수준 설명
Not included 1 Node.js 삽입 공격

evaluatePreconfiguredExpr()을 사용해 더 큰 민감도 수준에서 서명을 중지하여 특정 민감도 수준에서 규칙을 구성할 수 있습니다. NodeJS 공격의 모든 서명은 민감도 수준 1입니다. 다음 구성은 다른 민감도 수준에서 작동합니다.

NodeJS 민감도 수준 1

evaluatePreconfiguredExpr('nodejs-v33-stable')

또는 사전 설정된 민감도 매개변수와 함께 evaluatePreconfiguredWaf()를 사용해서 특정 민감도 수준에서 규칙을 구성할 수 있습니다. NodeJS 공격의 모든 서명은 민감도 수준 1입니다. 다음 구성은 다른 민감도 수준에서 작동합니다.

민감도 수준 표현식
1 evaluatePreconfiguredWaf('nodejs-v33-stable', {'sensitivity': 1})

CVE 및 기타 취약점

다음 표에서는 CVE Log4j RCE 취약점 사전 구성 규칙에서 지원되는 각 서명의 서명 ID, 민감도 수준, 설명을 제공합니다.

서명 ID(규칙 ID) 민감도 수준 설명
owasp-crs-v030001-id044228-cve 1 CVE-2021-44228CVE-2021-45046의 악용 시도를 감지하는 데 도움이 되는 기본 규칙
owasp-crs-v030001-id144228-cve 1 더 많은 우회 및 난독화 시도를 처리하기 위해 Google에서 제공하는 개선사항
owasp-crs-v030001-id244228-cve 3 더 많은 우회 및 난독화 시도를 포함하기 위한 감지 민감도 증가 및 거짓양성 감지 위험의 명목상 증가
owasp-crs-v030001-id344228-cve 3 base64 인코딩을 사용하여 더 많은 우회 및 난독화 시도를 포함하기 위한 감지 민감도 증가 및 거짓양성 감지 위험의 명목상 증가

evaluatePreconfiguredExpr()을 사용해 더 큰 민감도 수준에서 서명을 중지하여 특정 민감도 수준에서 규칙을 구성할 수 있습니다.

CVE 민감도 수준 1

evaluatePreconfiguredExpr('cve-canary', ['owasp-crs-v030001-id244228-cve',
  'owasp-crs-v030001-id344228-cve'])
          
CVE 민감도 수준 3

evaluatePreconfiguredExpr('cve-canary')

또는 사전 설정된 민감도 매개변수와 함께 evaluatePreconfiguredWaf()를 사용해서 특정 민감도 수준에서 규칙을 구성할 수 있습니다. 기본적으로 규칙 집합 민감도를 구성하지 않으면 Google Cloud Armor가 모든 서명을 평가합니다.

민감도 수준 표현식
1 evaluatePreconfiguredWaf('cve-canary', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('cve-canary', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('cve-canary', {'sensitivity': 3})

JSON 형식 콘텐츠 SQLi 취약점

다음 표에는 서명 ID, 민감도 수준, 지원되는 서명 942550-sqli의 설명이 나와 있으며, 이는 악성 공격자가 SQL 삽입 페이로드에 JSON 구문을 추가하여 WAF를 우회할 수 있는 취약점을 다룹니다.

서명 ID(규칙 ID) 민감도 수준 설명
owasp-crs-id942550-sqli 2 URL에서 발견된 SQLi 서명을 포함한 모든 JSON 기반 SQLi 벡터 감지

다음 표현식을 사용하여 서명을 배포합니다.

  evaluatePreconfiguredWaf('json-sqli-canary', {'sensitivity':0, 'opt_in_rule_ids': ['owasp-crs-id942550-sqli']})
  

또한 민감도 수준 2에서 sqli-v33-stable을 사용 설정하여 JSON 기반 SQL 삽입 우회를 완전히 처리하는 것이 좋습니다.

제한사항

Google Cloud Armor 사전 구성 WAF 규칙에는 다음과 같은 제한사항이 있습니다.

  • WAF 규칙 변경사항은 일반적으로 전달되는 데 몇 분 정도 걸립니다.
  • Google Cloud Armor는 요청 본문이 있는 HTTP 요청 유형 중에서 POST 요청만 처리합니다. Google Cloud Armor는 POST 본문 콘텐츠의 처음 8KB에 대해 사전 구성된 규칙을 평가합니다. 자세한 내용은 POST 본문 검사 제한사항을 참조하세요.
  • Google Cloud Armor는 JSON 구문 분석이 일치하는 Content-Type 헤더 값으로 사용 설정된 경우 사전 구성된 WAF 규칙을 파싱하고 적용할 수 있습니다. 자세한 내용은 JSON 파싱을 참조하세요.
  • 사전 구성된 WAF 규칙에 요청 필드 제외가 연결된 경우에는 allow 작업을 사용할 수 없습니다. 예외에 일치하는 요청은 자동으로 허용됩니다.

다음 단계