Visão geral das regras WAF pré-configuradas do Google Cloud Armor
Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
As regras WAF pré-configuradas do Google Cloud Armor são regras complexas do firewall de aplicativos da Web (WAF, na sigla em inglês)
com dezenas de assinaturas compiladas a partir dos padrões do setor de código
aberto. Cada assinatura corresponde a uma regra de detecção
de ataque no conjunto de regras. O Google oferece essas regras no estado em que se encontram. Elas permitem que o Google Cloud Armor avalie dezenas de assinaturas de tráfego distintas consultando regras com nomes convenientes, em vez de exigir que você defina cada assinatura manualmente.
A tabela a seguir contém uma lista abrangente de regras do WAF pré-configuradas
que estão disponíveis para uso em uma política de segurança do Google Cloud Armor. As
origens de regras são
o Conjunto de regras principais (CRS 3.0) do ModSecurity
e o CRS 3.3.
Recomendamos o uso da versão 3.3 para aumentar a sensibilidade e abrangência de tipos de ataque protegidos. A compatibilidade com o CRS 3.0 está em andamento.
CRS 3.3
Nome da regra do Google Cloud Armor
Nome da regra do ModSecurity
Status atual
Injeção de SQL
sqli-v33-stable
Sincronizado com sqli-v33-canary
sqli-v33-canary
Mais recente
Scripting em vários locais
xss-v33-stable
Sincronizado com xss-v33-canary
xss-v33-canary
Mais recente
Inclusão de arquivo local
lfi-v33-stable
Sincronizado com lfi-v33-canary
lfi-v33-canary
Mais recente
Inclusão de arquivo remoto
rfi-v33-stable
Sincronizado com rfi-v33-canary
rfi-v33-canary
Mais recente
Execução remota de código
rce-v33-stable
Sincronizado com rce-v33-canary
rce-v33-canary
Mais recente
Aplicação de métodos
methodenforcement-v33-stable
Sincronizado com methodenforcement-v33-canary
methodenforcement-v33-canary
Mais recente
Detecção de verificação
scannerdetection-v33-stable
Sincronizado com scannerdetection-v33-canary
scannerdetection-v33-canary
Mais recente
Ataque de protocolo
protocolattack-v33-stable
Sincronizado com protocolattack-v33-canary
protocolattack-v33-canary
Mais recente
Ataque de injeção PHP
php-v33-stable
Sincronizado com php-v33-canary
php-v33-canary
Mais recente
Ataque de fixação de sessão
sessionfixation-v33-stable
Sincronizado com sessionfixation-v33-canary
sessionfixation-v33-canary
Mais recente
Ataque de Java
java-v33-stable
Sincronizado com java-v33-canary
java-v33-canary
Mais recente
Ataque de NodeJS
nodejs-v33-stable
Sincronizado com nodejs-v33-canary
nodejs-v33-canary
Mais recente
CRS 3.0
Nome da regra do Google Cloud Armor
Nome da regra do ModSecurity
Status atual
Injeção de SQL
sqli-stable
Sincronizado com sqli-canary
sqli-canary
Mais recente
Scripting em vários locais
xss-stable
Sincronizado com xss-canary
xss-canary
Mais recente
Inclusão de arquivo local
lfi-stable
Sincronizado com lfi-canary
lfi-canary
Mais recente
Inclusão de arquivo remoto
rfi-stable
Sincronizado com rfi-canary
rfi-canary
Mais recente
Execução remota de código
rce-stable
Sincronizado com rce-canary
rce-canary
Mais recente
Aplicação de métodos
methodenforcement-stable
Sincronizado com methodenforcement-canary
methodenforcement-canary
Mais recente
Detecção de verificação
scannerdetection-stable
Sincronizado com scannerdetection-canary
scannerdetection-canary
Mais recente
Ataque de protocolo
protocolattack-stable
Sincronizado com protocolattack-canary
protocolattack-canary
Mais recente
Ataque de injeção PHP
php-stable
Sincronizado com php-canary
php-canary
Mais recente
Ataque de fixação de sessão
sessionfixation-stable
Sincronizado com sessionfixation-canary
sessionfixation-canary
Mais recente
Ataque de Java
Not included
Ataque de NodeJS
Not included
Além disso, as regras cve-canary a seguir estão disponíveis para todos os clientes do Google Cloud Armor para ajudá-los a detectar e, se quiserem, bloquear estas vulnerabilidades:
Vulnerabilidades de RCE Log4j CVE-2021-44228 e CVE-2021-45046
Vulnerabilidade de conteúdo no formato JSON 942550-sqli
Nome da regra do Google Cloud Armor
Tipos de vulnerabilidade cobertos
cve-canary
Vulnerabilidade do Log4j
json-sqli-canary
Vulnerabilidade de desvio por injeção SQL baseada em JSON
Regras ModSecurity pré-configuradas
Cada regra WAF pré-configurada tem um nível de sensibilidade que corresponde a um nível de paranoia do ModSecurity.
Um nível de sensibilidade mais baixo indica uma assinatura com maior confiança, o que diminui a probabilidade de gerar um falso positivo. Um nível de sensibilidade mais alto aumenta a
segurança, mas também aumenta o risco de gerar um falso positivo.
Injeção de SQL (SQLi)
A tabela a seguir fornece o ID da assinatura, o nível de confidencialidade e a descrição de cada assinatura compatível na regra WAF pré-configurada do SQLi.
CRS 3.3
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
owasp-crs-v030301-id942100-sqli
1
Ataque de injeção de SQL detectado por libinjectão
owasp-crs-v030301-id942140-sqli
1
Ataque de injeção de SQL: nomes comuns de banco de dados detectados
owasp-crs-v030301-id942160-sqli
1
Detecta testes de SQLi cegos usando sleep() ou benchmark()
owasp-crs-v030301-id942170-sqli
1
Detecta tentativas de injeção de SQL com sleep e benchmark, incluindo consultas condicionais
owasp-crs-v030301-id942190-sqli
1
Detecta execução de código MSSQL e tentativas de coleta de informações
owasp-crs-v030301-id942220-sqli
1
Procura ataques de fluxo intenso de números inteiros
owasp-crs-v030301-id942230-sqli
1
Detecta tentativas condicionais de injeção de SQL
owasp-crs-v030301-id942240-sqli
1
Detecta troca de charset do MySQL e tentativas de DoS do MSSQL
owasp-crs-v030301-id942250-sqli
1
Detecta MATCH AGAINST
owasp-crs-v030301-id942270-sqli
1
Procura injeção de SQL básica e string de ataque comum para o MySQL
owasp-crs-v030301-id942280-sqli
1
Detecta a injeção de pg_sleep do Postgres
owasp-crs-v030301-id942290-sqli
1
Localiza tentativas básicas de injeção de SQL no MongoDB
owasp-crs-v030301-id942320-sqli
1
Detecta injeções de procedimento/função armazenadas em MySQL e PostgreSQL
owasp-crs-v030301-id942350-sqli
1
Detecta injeção de UDF no MySQL e outras tentativas de manipulação de dados/estrutura
owasp-crs-v030301-id942360-sqli
1
Detecta injeção de SQL concatenada básica e tentativas de SQLLFI
owasp-crs-v030301-id942500-sqli
1
Comentário in-line do MySQL detectado
owasp-crs-v030301-id942110-sqli
2
Ataque de injeção SQL: teste de injeção comum detectado
owasp-crs-v030301-id942120-sqli
2
Ataque de injeção SQL: operador SQL detectado
owasp-crs-v030301-id942130-sqli
2
Ataque de injeção de SQL: Tautologia SQL detectada
owasp-crs-v030301-id942150-sqli
2
Ataque de injeção SQL
owasp-crs-v030301-id942180-sqli
2
Detecta tentativas básicas de desvio de autenticação SQL (1/3)
owasp-crs-v030301-id942200-sqli
2
Detecta injeções de MySQL ofuscadas por espaço/comentários e terminadas em crase
owasp-crs-v030301-id942210-sqli
2
Detecta tentativas de injeção SQL encadeadas (1/2)
owasp-crs-v030301-id942260-sqli
2
Detecta tentativas básicas de desvio de autenticação SQL (2/3)
owasp-crs-v030301-id942300-sqli
2
Detecta comentários no MySQL
owasp-crs-v030301-id942310-sqli
2
Detecta tentativas de injeção SQL encadeadas (2/2)
owasp-crs-v030301-id942330-sqli
2
Detecta sondagens clássicas de injeção SQL (1/2)
owasp-crs-v030301-id942340-sqli
2
Detecta tentativas básicas de desvio de autenticação SQL (3/3)
owasp-crs-v030301-id942361-sqli
2
Detecta injeção básica de SQL com base na união ou alteração de palavra-chave
owasp-crs-v030301-id942370-sqli
2
Detecta sondagens clássicas de injeção SQL (2/3)
owasp-crs-v030301-id942380-sqli
2
Ataque de injeção SQL
owasp-crs-v030301-id942390-sqli
2
Ataque de injeção SQL
owasp-crs-v030301-id942400-sqli
2
Ataque de injeção SQL
owasp-crs-v030301-id942410-sqli
2
Ataque de injeção SQL
owasp-crs-v030301-id942470-sqli
2
Ataque de injeção SQL
owasp-crs-v030301-id942480-sqli
2
Ataque de injeção SQL
owasp-crs-v030301-id942430-sqli
2
Detecção de anomalias de caracteres SQL restritos (argumentos): número de caracteres especiais excedido (12)
owasp-crs-v030301-id942440-sqli
2
Sequência de comentários no SQL detectada
owasp-crs-v030301-id942450-sqli
2
Codificação hexadecimal do SQL identificada
owasp-crs-v030301-id942510-sqli
2
Tentativas de ignorar o SQLi identificadas por marcações ou crase
owasp-crs-v030301-id942251-sqli
3
Detecta injeções de HAVING
owasp-crs-v030301-id942490-sqli
3
Detecta sondagens clássicas de injeção SQL (3/3)
owasp-crs-v030301-id942420-sqli
3
Detecção de anomalias de caracteres SQL restritos (cookies): número de caracteres especiais excedido (8)
owasp-crs-v030301-id942431-sqli
3
Detecção de anomalias de caracteres SQL restritos (argumentos): número de caracteres especiais excedido (6)
owasp-crs-v030301-id942460-sqli
3
Alerta de detecção de anomalias de metacaracteres: caracteres repetitivos que não são palavras
owasp-crs-v030301-id942101-sqli
3
Ataque de injeção de SQL detectado por libinjectão
owasp-crs-v030301-id942511-sqli
3
Tentativa de ignorar SQLi por marcações detectadas
owasp-crs-v030301-id942421-sqli
4
Detecção de anomalias de caracteres SQL restritos (cookies): número de caracteres especiais excedido (3)
owasp-crs-v030301-id942432-sqli
4
Detecção de anomalias de caracteres SQL restritos (argumentos): número de caracteres especiais excedido (2)
CRS 3.0
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
Not included
1
Ataque de injeção de SQL detectado por libinjectão
owasp-crs-v030001-id942140-sqli
1
Ataque de injeção de SQL: nomes comuns de banco de dados detectados
owasp-crs-v030001-id942160-sqli
1
Detecta testes de SQLi cegos usando sleep() ou benchmark()
owasp-crs-v030001-id942170-sqli
1
Detecta tentativas de injeção de SQL com sleep e benchmark, incluindo consultas condicionais
owasp-crs-v030001-id942190-sqli
1
Detecta execução de código MSSQL e tentativas de coleta de informações
owasp-crs-v030001-id942220-sqli
1
Procura ataques de fluxo intenso de números inteiros
owasp-crs-v030001-id942230-sqli
1
Detecta tentativas condicionais de injeção de SQL
owasp-crs-v030001-id942240-sqli
1
Detecta troca de charset do MySQL e tentativas de DoS do MSSQL
owasp-crs-v030001-id942250-sqli
1
Detecta MATCH AGAINST
owasp-crs-v030001-id942270-sqli
1
Procura injeção de SQL básica e string de ataque comum para o MySQL
owasp-crs-v030001-id942280-sqli
1
Detecta a injeção de pg_sleep do Postgres
owasp-crs-v030001-id942290-sqli
1
Localiza tentativas básicas de injeção de SQL no MongoDB
owasp-crs-v030001-id942320-sqli
1
Detecta injeções de procedimento/função armazenadas em MySQL e PostgreSQL
owasp-crs-v030001-id942350-sqli
1
Detecta injeção de UDF no MySQL e outras tentativas de manipulação de dados/estrutura
owasp-crs-v030001-id942360-sqli
1
Detecta injeção de SQL concatenada básica e tentativas de SQLLFI
Not included
1
Comentário in-line do MySQL detectado
owasp-crs-v030001-id942110-sqli
2
Ataque de injeção SQL: teste de injeção comum detectado
owasp-crs-v030001-id942120-sqli
2
Ataque de injeção SQL: operador SQL detectado
Not included
2
Ataque de injeção de SQL: Tautologia SQL detectada
owasp-crs-v030001-id942150-sqli
2
Ataque de injeção SQL
owasp-crs-v030001-id942180-sqli
2
Detecta tentativas básicas de desvio de autenticação SQL (1/3)
owasp-crs-v030001-id942200-sqli
2
Detecta injeções de MySQL ofuscadas por espaço/comentários e terminadas em crase
owasp-crs-v030001-id942210-sqli
2
Detecta tentativas de injeção SQL encadeadas (1/2)
owasp-crs-v030001-id942260-sqli
2
Detecta tentativas básicas de desvio de autenticação SQL (2/3)
owasp-crs-v030001-id942300-sqli
2
Detecta comentários no MySQL
owasp-crs-v030001-id942310-sqli
2
Detecta tentativas de injeção SQL encadeadas (2/2)
owasp-crs-v030001-id942330-sqli
2
Detecta sondagens clássicas de injeção SQL (1/2)
owasp-crs-v030001-id942340-sqli
2
Detecta tentativas básicas de desvio de autenticação SQL (3/3)
Not included
2
Detecta injeção básica de SQL com base na união ou alteração de palavra-chave
Not included
2
Detecta sondagens clássicas de injeção SQL (2/3)
owasp-crs-v030001-id942380-sqli
2
Ataque de injeção SQL
owasp-crs-v030001-id942390-sqli
2
Ataque de injeção SQL
owasp-crs-v030001-id942400-sqli
2
Ataque de injeção SQL
owasp-crs-v030001-id942410-sqli
2
Ataque de injeção SQL
Not included
2
Ataque de injeção SQL
Not included
2
Ataque de injeção SQL
owasp-crs-v030001-id942430-sqli
2
Detecção de anomalias de caracteres SQL restritos (argumentos): número de caracteres especiais excedido (12)
owasp-crs-v030001-id942440-sqli
2
Sequência de comentários no SQL detectada
owasp-crs-v030001-id942450-sqli
2
Codificação hexadecimal do SQL identificada
Not included
2
Tentativas de ignorar o SQLi identificadas por marcações ou crase
owasp-crs-v030001-id942251-sqli
3
Detecta injeções de HAVING
Not included
2
Detecta sondagens clássicas de injeção SQL (3/3)
owasp-crs-v030001-id942420-sqli
3
Detecção de anomalias de caracteres SQL restritos (cookies): número de caracteres especiais excedido (8)
owasp-crs-v030001-id942431-sqli
3
Detecção de anomalias de caracteres SQL restritos (argumentos): número de caracteres especiais excedido (6)
owasp-crs-v030001-id942460-sqli
3
Alerta de detecção de anomalias de metacaracteres: caracteres repetitivos que não são palavras
Not included
3
Ataque de injeção de SQL detectado por libinjectão
Not included
3
Tentativa de ignorar SQLi por marcações detectadas
owasp-crs-v030001-id942421-sqli
4
Detecção de anomalias de caracteres SQL restritos (cookies): número de caracteres especiais excedido (3)
owasp-crs-v030001-id942432-sqli
4
Detecção de anomalias de caracteres SQL restritos (argumentos): número de caracteres especiais excedido (2)
Você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredExpr() para desativar assinaturas em níveis de
sensibilidade maiores.
Como alternativa, você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Por
padrão, sem configurar a sensibilidade do conjunto de regras, o Google Cloud Armor
avalia todas as assinaturas.
A tabela a seguir mostra o código da assinatura, o nível de confidencialidade e a descrição de cada assinatura compatível na regra WAF pré-configurada XSS.
CRS 3.3
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
owasp-crs-v030301-id941100-xss
1
Ataque de XSS detectado por libinjectão
owasp-crs-v030301-id941110-xss
1
Filtro XSS - Categoria 1: vetor de tag de script
owasp-crs-v030301-id941120-xss
1
Filtro XSS - categoria 2: vetor de manipulador de eventos
owasp-crs-v030301-id941130-xss
1
Filtro XSS - Categoria 3: vetor de atributo
owasp-crs-v030301-id941140-xss
1
Filtro XSS - Categoria 4: vetor de URI de JavaScript
owasp-crs-v030301-id941160-xss
1
Verificador de injeção de XSS em NoScript: injeção de HTML
owasp-crs-v030301-id941170-xss
1
Verificador de injeção de XSS em NoScript: injeção de atributo
owasp-crs-v030301-id941180-xss
1
Palavras-chave da lista de proibições do validador de nó
owasp-crs-v030301-id941190-xss
1
Filtros XSS do IE: ataque detectado
owasp-crs-v030301-id941200-xss
1
Filtros XSS do IE: ataque detectado
owasp-crs-v030301-id941210-xss
1
Filtros XSS do IE: ataque detectado
owasp-crs-v030301-id941220-xss
1
Filtros XSS do IE: ataque detectado
owasp-crs-v030301-id941230-xss
1
Filtros XSS do IE: ataque detectado
owasp-crs-v030301-id941240-xss
1
Filtros XSS do IE: ataque detectado
owasp-crs-v030301-id941250-xss
1
Filtros XSS do IE: ataque detectado
owasp-crs-v030301-id941260-xss
1
Filtros XSS do IE: ataque detectado
owasp-crs-v030301-id941270-xss
1
Filtros XSS do IE: ataque detectado
owasp-crs-v030301-id941280-xss
1
Filtros XSS do IE: ataque detectado
owasp-crs-v030301-id941290-xss
1
Filtros XSS do IE: ataque detectado
owasp-crs-v030301-id941300-xss
1
Filtros XSS do IE: ataque detectado
owasp-crs-v030301-id941310-xss
1
Filtro XSS de codificação mal formada US-ASCII: ataque detectado
owasp-crs-v030301-id941350-xss
1
XSS de codificação UTF-7 no IE: ataque detectado
owasp-crs-v030301-id941360-xss
1
Ofuscação de hieróglifos detectada
owasp-crs-v030301-id941370-xss
1
Variável global do JavaScript encontrada
owasp-crs-v030301-id941101-xss
2
Ataque de XSS detectado por libinjectão
owasp-crs-v030301-id941150-xss
2
Filtro XSS - Categoria 5: atributos HTML não permitidos
owasp-crs-v030301-id941320-xss
2
Possível ataque XSS detectado: manipulador de tags HTML
owasp-crs-v030301-id941330-xss
2
Filtros XSS do IE: ataque detectado
owasp-crs-v030301-id941340-xss
2
Filtros XSS do IE: ataque detectado
owasp-crs-v030301-id941380-xss
2
Injeção de modelo do lado do cliente da AngularJS detectada
CRS 3.0
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
Not included
1
Ataque de XSS detectado por libinjectão
owasp-crs-v030001-id941110-xss
1
Filtro XSS - Categoria 1: vetor de tag de script
owasp-crs-v030001-id941120-xss
1
Filtro XSS - categoria 2: vetor de manipulador de eventos
owasp-crs-v030001-id941130-xss
1
Filtro XSS - Categoria 3: vetor de atributo
owasp-crs-v030001-id941140-xss
1
Filtro XSS - Categoria 4: vetor de URI de JavaScript
owasp-crs-v030001-id941160-xss
1
Verificador de injeção de XSS em NoScript: injeção de HTML
owasp-crs-v030001-id941170-xss
1
Verificador de injeção de XSS em NoScript: injeção de atributo
owasp-crs-v030001-id941180-xss
1
Palavras-chave da lista de proibições do validador de nó
owasp-crs-v030001-id941190-xss
1
Filtros XSS do IE: ataque detectado
owasp-crs-v030001-id941200-xss
1
Filtros XSS do IE: ataque detectado
owasp-crs-v030001-id941210-xss
1
Filtros XSS do IE: ataque detectado
owasp-crs-v030001-id941220-xss
1
Filtros XSS do IE: ataque detectado
owasp-crs-v030001-id941230-xss
1
Filtros XSS do IE: ataque detectado
owasp-crs-v030001-id941240-xss
1
Filtros XSS do IE: ataque detectado
owasp-crs-v030001-id941250-xss
1
Filtros XSS do IE: ataque detectado
owasp-crs-v030001-id941260-xss
1
Filtros XSS do IE: ataque detectado
owasp-crs-v030001-id941270-xss
1
Filtros XSS do IE: ataque detectado
owasp-crs-v030001-id941280-xss
1
Filtros XSS do IE: ataque detectado
owasp-crs-v030001-id941290-xss
1
Filtros XSS do IE: ataque detectado
owasp-crs-v030001-id941300-xss
1
Filtros XSS do IE: ataque detectado
owasp-crs-v030001-id941310-xss
1
Filtro XSS de codificação mal formada US-ASCII: ataque detectado
owasp-crs-v030001-id941350-xss
1
XSS de codificação UTF-7 no IE: ataque detectado
Not included
1
Ofuscação de JSFuck / hieróglifo detectada
Not included
1
Variável global do JavaScript encontrada
Not included
2
Ataque de XSS detectado por libinjectão
owasp-crs-v030001-id941150-xss
2
Filtro XSS - Categoria 5: atributos HTML não permitidos
owasp-crs-v030001-id941320-xss
2
Possível ataque XSS detectado: manipulador de tags HTML
owasp-crs-v030001-id941330-xss
2
Filtros XSS do IE: ataque detectado
owasp-crs-v030001-id941340-xss
2
Filtros XSS do IE: ataque detectado
Not included
2
Injeção de modelo do lado do cliente da AngularJS detectada
Você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredExpr() para desativar assinaturas em níveis de
sensibilidade maiores.
Todas as assinaturas de XSS estão abaixo do nível 2 de sensibilidade. A configuração
a seguir funciona para outros níveis de sensibilidade:
Níveis 2 de sensibilidade XSS
evaluatePreconfiguredExpr('xss-v33-stable')
Como alternativa, você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Por
padrão, sem configurar a sensibilidade do conjunto de regras, o Google Cloud Armor
avalia todas as assinaturas.
Inclusão de arquivos locais (LFI, na sigla em inglês)
A tabela a seguir mostra o ID da assinatura, o nível de sensibilidade e a
descrição de cada assinatura compatível na regra WAF pré-configurada do LFI.
CRS 3.3
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
owasp-crs-v030301-id930100-lfi
1
Ataque de passagem de caminho (/../)
owasp-crs-v030301-id930110-lfi
1
Ataque de passagem de caminho (/../)
owasp-crs-v030301-id930120-lfi
1
Tentativa de acessar arquivos do SO
owasp-crs-v030301-id930130-lfi
1
Tentativa de acessar arquivos restritos
CRS 3.0
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
owasp-crs-v030001-id930100-lfi
1
Ataque de passagem de caminho (/../)
owasp-crs-v030001-id930110-lfi
1
Ataque de passagem de caminho (/../)
owasp-crs-v030001-id930120-lfi
1
Tentativa de acessar arquivos do SO
owasp-crs-v030001-id930130-lfi
1
Tentativa de acessar arquivos restritos
Você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredExpr() para desativar assinaturas em níveis de
sensibilidade maiores. Todas as assinaturas de LFI estão no nível 1 de sensibilidade. A configuração a seguir
funciona para todos os níveis de sensibilidade:
Nível 1 de sensibilidade da LFI
evaluatePreconfiguredExpr('lfi-v33-stable')
Como alternativa, você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Todas as assinaturas de LFI estão no nível 1 de sensibilidade. A configuração a seguir
funciona para todos os níveis de sensibilidade:
Execução de código remoto (RCE, na sigla em inglês)
A tabela a seguir fornece o ID da assinatura, o nível de confidencialidade e a descrição de cada assinatura compatível na regra WAF pré-configurada do RCE.
CRS 3.3
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
owasp-crs-v030301-id932100-rce
1
Injeção de comando do UNIX
owasp-crs-v030301-id932105-rce
1
Injeção de comando do UNIX
owasp-crs-v030301-id932110-rce
1
Injeção de comando do Windows
owasp-crs-v030301-id932115-rce
1
Injeção de comando do Windows
owasp-crs-v030301-id932120-rce
1
Comando do PowerShell do Windows encontrado
owasp-crs-v030301-id932130-rce
1
Expressão de shell do Unix encontrada
owasp-crs-v030301-id932140-rce
1
Comando FOR/IF do Windows encontrado
owasp-crs-v030301-id932150-rce
1
Execução direta de comando do UNIX
owasp-crs-v030301-id932160-rce
1
Código de shell do UNIX encontrado
owasp-crs-v030301-id932170-rce
1
Shellshock (CVE-2014-6271)
owasp-crs-v030301-id932171-rce
1
Shellshock (CVE-2014-6271)
owasp-crs-v030301-id932180-rce
1
Tentativa restrita de upload de arquivos
owasp-crs-v030301-id932200-rce
2
Técnicas de ignorar RCE
owasp-crs-v030301-id932106-rce
3
Execução de comandos remotos: injeção de comandos Unix
owasp-crs-v030301-id932190-rce
3
Execução de comando remoto: tentativa de técnica de pular caracteres curinga
CRS 3.0
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
owasp-crs-v030001-id932100-rce
1
Injeção de comando do UNIX
owasp-crs-v030001-id932105-rce
1
Injeção de comando do UNIX
owasp-crs-v030001-id932110-rce
1
Injeção de comando do Windows
owasp-crs-v030001-id932115-rce
1
Injeção de comando do Windows
owasp-crs-v030001-id932120-rce
1
Comando do PowerShell do Windows encontrado
owasp-crs-v030001-id932130-rce
1
Expressão de shell do Unix encontrada
owasp-crs-v030001-id932140-rce
1
Comando FOR/IF do Windows encontrado
owasp-crs-v030001-id932150-rce
1
Execução direta de comando do UNIX
owasp-crs-v030001-id932160-rce
1
Código de shell do UNIX encontrado
owasp-crs-v030001-id932170-rce
1
Shellshock (CVE-2014-6271)
owasp-crs-v030001-id932171-rce
1
Shellshock (CVE-2014-6271)
Not included
1
Tentativa restrita de upload de arquivos
Not included
2
Técnicas de ignorar RCE
Not included
3
Execução de comandos remotos: injeção de comandos Unix
Not included
3
Execução de comando remoto: tentativa de técnica de pular caracteres curinga
Você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredExpr() para desativar assinaturas em níveis de
sensibilidade maiores. A configuração a seguir funciona para todos os níveis de sensibilidade:
Como alternativa, você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Todas as assinaturas de RCE estão no nível 1 de sensibilidade. A configuração a seguir
funciona para todos os níveis de sensibilidade:
Inclusão de arquivo remoto (RFI, na sigla em inglês)
A tabela a seguir fornece o ID da assinatura, o nível de confidencialidade e
a descrição de cada assinatura compatível na regra WAF pré-configurada do RFI.
CRS 3.3
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
owasp-crs-v030301-id931100-rfi
1
Parâmetro de URL que usa um endereço IP
owasp-crs-v030301-id931110-rfi
1
Nome de parâmetro comum vulnerável a RFI usado com payload do URL
owasp-crs-v030301-id931120-rfi
1
Payload do URL usado com caractere de ponto de interrogação (?) no final
owasp-crs-v030301-id931130-rfi
2
Referência/link fora do domínio
CRS 3.0
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
owasp-crs-v030001-id931100-rfi
1
Parâmetro de URL que usa um endereço IP
owasp-crs-v030001-id931110-rfi
1
Nome de parâmetro comum vulnerável a RFI usado com payload do URL
owasp-crs-v030001-id931120-rfi
1
Payload do URL usado com caractere de ponto de interrogação (?) no final
owasp-crs-v030001-id931130-rfi
2
Referência/link fora do domínio
Você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredExpr() para desativar assinaturas em níveis de
sensibilidade maiores.
Todas as assinaturas para RF estão abaixo do nível de sensibilidade 2. A configuração
a seguir funciona para outros níveis de sensibilidade:
Níveis 2 de sensibilidade RFI
evaluatePreconfiguredExpr('rfi-v33-stable')
Como alternativa, você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Por
padrão, sem configurar a sensibilidade do conjunto de regras, o Google Cloud Armor
avalia todas as assinaturas.
A tabela a seguir mostra o ID, o nível de confidencialidade e a descrição de cada assinatura compatível na regra pré-configurada da aplicação do método.
CRS 3.3
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
owasp-crs-v030301-id911100-methodenforcement
1
Método não permitido por política
CRS 3.0
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
owasp-crs-v030001-id911100-methodenforcement
1
Método não permitido por política
Você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredExpr() para desativar assinaturas em níveis de
sensibilidade maiores. Todas as assinaturas para a aplicação do método estão no nível 1 de sensibilidade. A configuração
a seguir funciona para outros níveis de sensibilidade:
Como alternativa, você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Por
padrão, sem configurar a sensibilidade do conjunto de regras, o Google Cloud Armor
avalia todas as assinaturas.
A tabela a seguir fornece o ID da assinatura, o nível de confidencialidade e a descrição de cada assinatura compatível na regra pré-configurada da detecção do scanner.
CRS 3.3
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
owasp-crs-v030301-id913100-scannerdetection
1
Encontramos o user-agent associado à verificação de segurança
owasp-crs-v030301-id913110-scannerdetection
1
Encontramos o cabeçalho da solicitação associado à verificação de segurança
owasp-crs-v030301-id913120-scannerdetection
1
Encontramos o nome de arquivo/argumento associado à verificação de segurança
owasp-crs-v030301-id913101-scannerdetection
2
Encontramos o user-agent associado ao client HTTP genérico/de script
owasp-crs-v030301-id913102-scannerdetection
2
Encontramos o user-agent associado ao bot/rastreador da Web
CRS 3.0
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
owasp-crs-v030001-id913100-scannerdetection
1
Encontramos o user-agent associado à verificação de segurança
owasp-crs-v030001-id913110-scannerdetection
1
Encontramos o cabeçalho da solicitação associado à verificação de segurança
owasp-crs-v030001-id913120-scannerdetection
1
Encontramos o nome de arquivo/argumento associado à verificação de segurança
owasp-crs-v030001-id913101-scannerdetection
2
Encontramos o user-agent associado ao client HTTP genérico/de script
owasp-crs-v030001-id913102-scannerdetection
2
Encontramos o user-agent associado ao bot/rastreador da Web
Você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredExpr() para desativar assinaturas em níveis de
sensibilidade maiores.
Como alternativa, você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Por
padrão, sem configurar a sensibilidade do conjunto de regras, o Google Cloud Armor
avalia todas as assinaturas.
A tabela a seguir fornece o ID da assinatura, o nível de confidencialidade e a descrição de cada assinatura compatível na regra pré-configurada do ataque de protocolo.
CRS 3.3
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
Not included
1
Ataque de contrabando de solicitação HTTP
owasp-crs-v030301-id921110-protocolattack
1
Ataque de contrabando de solicitação HTTP
owasp-crs-v030301-id921120-protocolattack
1
Ataque de divisão de resposta HTTP
owasp-crs-v030301-id921130-protocolattack
1
Ataque de divisão de resposta HTTP
owasp-crs-v030301-id921140-protocolattack
1
Ataque de injeção de cabeçalho HTTP via cabeçalhos
owasp-crs-v030301-id921150-protocolattack
1
Ataque de injeção de cabeçalho HTTP por meio de payload (CR/LF detectado)
owasp-crs-v030301-id921160-protocolattack
1
Ataque de injeção de cabeçalho HTTP por meio de payload (CR/LF e nome do cabeçalho detectado)
owasp-crs-v030301-id921190-protocolattack
1
Divisão HTTP (CR/LF no nome de arquivo da solicitação detectado)
owasp-crs-v030301-id921200-protocolattack
1
Ataque de injeção LDAP
owasp-crs-v030301-id921151-protocolattack
2
Ataque de injeção de cabeçalho HTTP por meio de payload (CR/LF detectado)
owasp-crs-v030301-id921170-protocolattack
3
Poluição do parâmetro HTTP
CRS 3.0
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
owasp-crs-v030001-id921100-protocolattack
1
Ataque de contrabando de solicitação HTTP
owasp-crs-v030001-id921110-protocolattack
1
Ataque de contrabando de solicitação HTTP
owasp-crs-v030001-id921120-protocolattack
1
Ataque de divisão de resposta HTTP
owasp-crs-v030001-id921130-protocolattack
1
Ataque de divisão de resposta HTTP
owasp-crs-v030001-id921140-protocolattack
1
Ataque de injeção de cabeçalho HTTP via cabeçalhos
owasp-crs-v030001-id921150-protocolattack
1
Ataque de injeção de cabeçalho HTTP por meio de payload (CR/LF detectado)
owasp-crs-v030001-id921160-protocolattack
1
Ataque de injeção de cabeçalho HTTP por meio de payload (CR/LF e nome do cabeçalho detectado)
Not included
1
Divisão HTTP (CR/LF no nome de arquivo da solicitação detectado)
Not included
1
Ataque de injeção LDAP
owasp-crs-v030001-id921151-protocolattack
2
Ataque de injeção de cabeçalho HTTP por meio de payload (CR/LF detectado)
owasp-crs-v030001-id921170-protocolattack
3
Poluição do parâmetro HTTP
Você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredExpr() para desativar assinaturas em níveis de
sensibilidade maiores.
Como alternativa, você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Por
padrão, sem configurar a sensibilidade do conjunto de regras, o Google Cloud Armor
avalia todas as assinaturas.
A tabela a seguir mostra o ID da assinatura, o nível de sensibilidade e a
descrição de cada assinatura compatível na regra WAF pré-configurada do PHP.
CRS 3.3
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
owasp-crs-v030301-id933100-php
1
Ataque de injeção do PHP: tag aberta de PHP encontrada
owasp-crs-v030301-id933110-php
1
Ataque de injeção PHP: upload do arquivo de script PHP encontrado
owasp-crs-v030301-id933120-php
1
Ataque de injeção do PHP: diretiva de configuração encontrada
owasp-crs-v030301-id933130-php
1
Ataque de injeção do PHP: variáveis encontradas
owasp-crs-v030301-id933140-php
1
Ataque de injeção do PHP: fluxo de E/S encontrado
owasp-crs-v030301-id933200-php
1
Ataque de injeção de PHP: esquema de wrapper detectado
owasp-crs-v030301-id933150-php
1
Ataque de injeção PHP: nome da função PHP de alto risco encontrado
owasp-crs-v030301-id933160-php
1
Ataque de injeção do PHP: chamada de função PHP de alto risco encontrada
owasp-crs-v030301-id933170-php
1
Ataque de injeção PHP: injeção de objeto serializado
owasp-crs-v030301-id933180-php
1
Ataque de injeção do PHP: chamada de função variável encontrada
owasp-crs-v030301-id933210-php
1
Ataque de injeção do PHP: chamada de função variável encontrada
owasp-crs-v030301-id933151-php
2
Ataque de injeção do PHP: nome da função PHP de risco médio encontrado
owasp-crs-v030301-id933131-php
3
Ataque de injeção do PHP: variáveis encontradas
owasp-crs-v030301-id933161-php
3
Ataque de injeção PHP: chamada de função PHP de baixo valor encontrada
owasp-crs-v030301-id933111-php
3
Ataque de injeção PHP: upload do arquivo de script PHP encontrado
owasp-crs-v030301-id933190-php
3
Ataque de injeção do PHP: tag fechada de PHP encontrada
CRS 3.0
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
owasp-crs-v030001-id933100-php
1
Ataque de injeção do PHP: tag aberta de PHP encontrada
owasp-crs-v030001-id933110-php
1
Ataque de injeção PHP: upload do arquivo de script PHP encontrado
owasp-crs-v030001-id933120-php
1
Ataque de injeção do PHP: diretiva de configuração encontrada
owasp-crs-v030001-id933130-php
1
Ataque de injeção do PHP: variáveis encontradas
owasp-crs-v030001-id933140-php
1
Ataque de injeção do PHP: fluxo de E/S encontrado
Not included
1
Ataque de injeção de PHP: esquema de wrapper detectado
owasp-crs-v030001-id933150-php
1
Ataque de injeção PHP: nome da função PHP de alto risco encontrado
owasp-crs-v030001-id933160-php
1
Ataque de injeção do PHP: chamada de função PHP de alto risco encontrada
owasp-crs-v030001-id933170-php
1
Ataque de injeção PHP: injeção de objeto serializado
owasp-crs-v030001-id933180-php
1
Ataque de injeção do PHP: chamada de função variável encontrada
Not included
1
Ataque de injeção do PHP: chamada de função variável encontrada
owasp-crs-v030001-id933151-php
2
Ataque de injeção do PHP: nome da função PHP de risco médio encontrado
owasp-crs-v030001-id933131-php
3
Ataque de injeção do PHP: variáveis encontradas
owasp-crs-v030001-id933161-php
3
Ataque de injeção PHP: chamada de função PHP de baixo valor encontrada
owasp-crs-v030001-id933111-php
3
Ataque de injeção PHP: upload do arquivo de script PHP encontrado
Not included
3
Ataque de injeção do PHP: tag fechada de PHP encontrada
Você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredExpr() para desativar assinaturas em níveis de
sensibilidade maiores.
Nível 1 da sensibilidade a ataques de injeção de PHP
Nível 3 da sensibilidade a ataques de injeção de PHP
evaluatePreconfiguredExpr('php-v33-stable')
Como alternativa, você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Por
padrão, sem configurar a sensibilidade do conjunto de regras, o Google Cloud Armor
avalia todas as assinaturas.
A tabela a seguir fornece o ID da assinatura, o nível de confidencialidade e a
descrição de cada assinatura compatível na regra pré-configurada
da correção de sessão.
CRS 3.3
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
owasp-crs-v030301-id943100-sessionfixation
1
Possível ataque de correção de sessão: configuração de valores de cookies em HTML
owasp-crs-v030301-id943110-sessionfixation
1
Possível ataque de fixação de sessão: nome do parâmetro SessionID com referência fora do domínio
owasp-crs-v030301-id943120-sessionfixation
1
Possível ataque de fixação de sessão: nome do parâmetro SessionID sem referência
CRS 3.0
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
owasp-crs-v030001-id943100-sessionfixation
1
Possível ataque de correção de sessão: configuração de valores de cookies em HTML
owasp-crs-v030001-id943110-sessionfixation
1
Possível ataque de fixação de sessão: nome do parâmetro SessionID com referência fora do domínio
owasp-crs-v030001-id943120-sessionfixation
1
Possível ataque de fixação de sessão: nome do parâmetro SessionID sem referência
Você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredExpr() para desativar assinaturas em níveis de
sensibilidade maiores. Todas as assinaturas para correção de sessão estão no nível 1 de sensibilidade. A configuração a seguir
funciona para todos os níveis de sensibilidade:
Como alternativa, você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Todas as assinaturas para correção de sessão estão no nível 1 de sensibilidade. A configuração a seguir
funciona para todos os níveis de sensibilidade:
A tabela a seguir fornece o ID de assinatura, o nível de confidencialidade e a descrição de cada assinatura compatível na regra pré-configurada do ataque de Java.
CRS 3.3
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
owasp-crs-v030301-id944100-java
1
Execução de comando remota: classe Java suspeita detectada
owasp-crs-v030301-id944110-java
1
Execução de comando remota: geração de processos Java (CVE-2017-9805)
owasp-crs-v030301-id944120-java
1
Execução de comando remota: serialização Java (CVE-2015-4852)
owasp-crs-v030301-id944130-java
1
Classe Java suspeita detectada
owasp-crs-v030301-id944200-java
2
Bytes mágicos detectados, possível serialização Java em uso
owasp-crs-v030301-id944210-java
2
Bytes mágicos detectados codificados em Base64 com uma provável serialização Java em uso
owasp-crs-v030301-id944240-java
2
Execução de comando remota: serialização Java (CVE-2015-4852)
owasp-crs-v030301-id944250-java
2
Execução de comando remota: método Java suspeito detectada
owasp-crs-v030301-id944300-java
3
String codificada em Base64 correspondente a uma palavra-chave suspeita
CRS 3.0
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
Not included
1
Execução de comando remota: classe Java suspeita detectada
Not included
1
Execução de comando remota: geração de processos Java (CVE-2017-9805)
Not included
1
Execução de comando remota: serialização Java (CVE-2015-4852)
Not included
1
Classe Java suspeita detectada
Not included
2
Bytes mágicos detectados, possível serialização Java em uso
Not included
2
Bytes mágicos detectados codificados em Base64 com uma provável serialização Java em uso
Not included
2
Execução de comando remota: serialização Java (CVE-2015-4852)
Not included
2
Execução de comando remota: método Java suspeito detectada
Not included
3
String codificada em Base64 correspondente a uma palavra-chave suspeita
Você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredExpr() para desativar assinaturas em níveis de
sensibilidade maiores.
Como alternativa, você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Por
padrão, sem configurar a sensibilidade do conjunto de regras, o Google Cloud Armor
avalia todas as assinaturas.
A tabela a seguir fornece o ID de assinatura, o nível de confidencialidade e a descrição de cada assinatura compatível na regra pré-configurada do ataque de NodeJS.
As assinaturas de regras WAF pré-configuradas a seguir estão incluídas apenas no CRS
3.3.
CRS 3.3
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
owasp-crs-v030301-id934100-nodejs
1
Ataque de injeção de Node.js
CRS 3.0
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
Not included
1
Ataque de injeção de Node.js
Você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredExpr() para desativar assinaturas em níveis de
sensibilidade maiores. Todas as assinaturas de ataque NodeJS estão no nível 1 de sensibilidade. A configuração
a seguir funciona para outros níveis de sensibilidade:
Nível 1 de sensibilidade do NodeJS
evaluatePreconfiguredExpr('nodejs-v33-stable')
Como alternativa, você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Todas
as assinaturas de ataque do NodeJS estão no nível 1 de sensibilidade. A configuração
a seguir funciona para outros níveis de sensibilidade:
A tabela a seguir contém o ID da assinatura, o nível de sensibilidade e a descrição de cada assinatura compatível na regra pré-configurada da vulnerabilidade de RCE Log4j do CVE.
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
owasp-crs-v030001-id044228-cve
1
Regra de base para ajudar a detectar tentativas de exploração de CVE-2021-44228
e CVE-2021-45046
owasp-crs-v030001-id144228-cve
1
Melhorias fornecidas pelo Google para cobrir mais tentativas de desvio e ofuscação
owasp-crs-v030001-id244228-cve
3
Aumento da sensibilidade da detecção para segmentar ainda mais tentativas de desvio e ofuscação, com aumento nominal do risco de detecção de falso positivo
owasp-crs-v030001-id344228-cve
3
Aumento da sensibilidade da detecção para segmentar ainda mais tentativas de desvio e
ofuscação, usando a codificação Base64, com aumento nominal do risco de detecção de falsos positivos.
Você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredExpr() para desativar assinaturas em níveis de
sensibilidade maiores.
Como alternativa, você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Por
padrão, sem configurar a sensibilidade do conjunto de regras, o Google Cloud Armor
avalia todas as assinaturas.
A tabela a seguir contém o ID da assinatura, o nível de sensibilidade e a descrição da assinatura compatível 942550-sqli, que abrange a vulnerabilidade em que invasores mal-intencionados podem ignorar o WAF anexando sintaxe JSON ao payloads de injeção de SQL.
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
owasp-crs-id942550-sqli
2
Detecta todos os vetores SQLi baseados em JSON, incluindo assinaturas SQLi encontradas no URL
Use a expressão a seguir para implantar a assinatura:
Recomendamos que você também ative sqli-v33-stable no nível de sensibilidade 2 para lidar totalmente com os desvios por injeção SQL baseados em JSON.
Limitações
As regras WAF pré-configuradas do Google Cloud Armor têm as seguintes limitações:
Entre os tipos de solicitações HTTPS com um corpo de solicitação, o Google Cloud Armor processa apenas solicitações POST. O Google Cloud Armor avalia regras pré-configuradas
com base nos primeiros 8 KB de conteúdo do corpo POST. Para mais informações, consulte
Limitação da inspeção corporal POST.
O Google Cloud Armor pode analisar e aplicar regras WAF pré-configuradas quando a análise JSON
está ativada com um valor de cabeçalho Content-Type correspondente. Para mais
informações, consulte
Análise JSON.
