As regras WAF pré-configuradas do Google Cloud Armor são regras complexas do firewall de aplicativos da Web (WAF, na sigla em inglês)
com dezenas de assinaturas compiladas a partir dos padrões do setor de código
aberto. Cada assinatura corresponde a uma regra de detecção
de ataque no conjunto de regras. O Google oferece essas regras no estado em que se encontram. Elas permitem que o Google Cloud Armor avalie dezenas de assinaturas de tráfego distintas consultando regras com nomes convenientes, em vez de exigir que você defina cada assinatura manualmente.
As regras WAF pré-configuradas do Google Cloud Armor podem ser ajustadas para atender melhor às suas necessidades. Para mais informações sobre como ajustar as regras, consulte Ajustar as regras WAF pré-configuradas do Google Cloud Armor.
A tabela a seguir contém uma lista abrangente de regras do WAF pré-configuradas
que estão disponíveis para uso em uma política de segurança do Google Cloud Armor. As
origens de regras são
o Conjunto de regras principais (CRS 3.0) do ModSecurity
e o CRS 3.3.
Recomendamos o uso da versão 3.3 para aumentar a sensibilidade e abrangência de tipos de ataque protegidos. A compatibilidade com o CRS 3.0 está em andamento.
CRS 3.3
| Nome da regra do Google Cloud Armor |
Nome da regra do ModSecurity |
Status atual |
| Injeção de SQL |
sqli-v33-stable |
Sincronizado com sqli-v33-canary |
sqli-v33-canary |
Mais recente |
| Scripting em vários locais |
xss-v33-stable |
Sincronizado com xss-v33-canary |
xss-v33-canary |
Mais recente |
| Inclusão de arquivo local |
lfi-v33-stable |
Sincronizado com lfi-v33-canary |
lfi-v33-canary |
Mais recente |
| Inclusão de arquivo remoto |
rfi-v33-stable |
Sincronizado com rfi-v33-canary |
rfi-v33-canary |
Mais recente |
| Execução remota de código |
rce-v33-stable |
Sincronizado com rce-v33-canary |
rce-v33-canary |
Mais recente |
| Aplicação de métodos |
methodenforcement-v33-stable |
Sincronizado com methodenforcement-v33-canary |
methodenforcement-v33-canary |
Mais recente |
| Detecção de verificação |
scannerdetection-v33-stable |
Sincronizado com scannerdetection-v33-canary |
scannerdetection-v33-canary |
Mais recente |
| Ataque de protocolo |
protocolattack-v33-stable |
Sincronizado com protocolattack-v33-canary |
protocolattack-v33-canary |
Mais recente |
| Ataque de injeção PHP |
php-v33-stable |
Sincronizado com php-v33-canary |
php-v33-canary |
Mais recente |
| Ataque de fixação de sessão |
sessionfixation-v33-stable |
Sincronizado com sessionfixation-v33-canary |
sessionfixation-v33-canary |
Mais recente |
| Ataque de Java |
java-v33-stable |
Sincronizado com java-v33-canary |
java-v33-canary |
Mais recente |
| Ataque de NodeJS |
nodejs-v33-stable |
Sincronizado com nodejs-v33-canary |
nodejs-v33-canary |
Mais recente |
CRS 3.0
| Nome da regra do Google Cloud Armor |
Nome da regra do ModSecurity |
Status atual |
| Injeção de SQL |
sqli-stable |
Sincronizado com sqli-canary |
sqli-canary |
Mais recente |
| Scripting em vários locais |
xss-stable |
Sincronizado com xss-canary |
xss-canary |
Mais recente |
| Inclusão de arquivo local |
lfi-stable |
Sincronizado com lfi-canary |
lfi-canary |
Mais recente |
| Inclusão de arquivo remoto |
rfi-stable |
Sincronizado com rfi-canary |
rfi-canary |
Mais recente |
| Execução remota de código |
rce-stable |
Sincronizado com rce-canary |
rce-canary |
Mais recente |
| Aplicação de métodos |
methodenforcement-stable |
Sincronizado com methodenforcement-canary |
methodenforcement-canary |
Mais recente |
| Detecção de verificação |
scannerdetection-stable |
Sincronizado com scannerdetection-canary |
scannerdetection-canary |
Mais recente |
| Ataque de protocolo |
protocolattack-stable |
Sincronizado com protocolattack-canary |
protocolattack-canary |
Mais recente |
| Ataque de injeção PHP |
php-stable |
Sincronizado com php-canary |
php-canary |
Mais recente |
| Ataque de fixação de sessão |
sessionfixation-stable |
Sincronizado com sessionfixation-canary |
sessionfixation-canary |
Mais recente |
| Ataque de Java |
Not included |
| Ataque de NodeJS |
Not included |
Além disso, as regras cve-canary a seguir estão disponíveis para todos os clientes do Google Cloud Armor para ajudá-los a detectar e, se quiserem, bloquear estas vulnerabilidades:
- Vulnerabilidades de RCE Log4j
CVE-2021-44228 e CVE-2021-45046
- Vulnerabilidade de conteúdo no formato JSON
942550-sqli
| Nome da regra do Google Cloud Armor |
Tipos de vulnerabilidade cobertos |
cve-canary |
Vulnerabilidade do Log4j |
json-sqli-canary |
Vulnerabilidade de desvio por injeção SQL baseada em JSON |
Cada regra WAF pré-configurada tem um nível de sensibilidade que corresponde a um nível de paranoia do ModSecurity.
Um nível de sensibilidade mais baixo indica uma assinatura com maior confiança, o que diminui a probabilidade de gerar um falso positivo. Um nível de sensibilidade mais alto aumenta a
segurança, mas também aumenta o risco de gerar um falso positivo.
Injeção de SQL (SQLi)
A tabela a seguir fornece o ID da assinatura, o nível de confidencialidade e a descrição de cada assinatura compatível na regra WAF pré-configurada do SQLi.
CRS 3.3
| ID da assinatura (ID da regra) |
Nível de sensibilidade |
Descrição |
owasp-crs-v030301-id942100-sqli |
1 |
Ataque de injeção de SQL detectado por libinjectão |
owasp-crs-v030301-id942140-sqli |
1 |
Ataque de injeção de SQL: nomes comuns de banco de dados detectados |
owasp-crs-v030301-id942160-sqli |
1 |
Detecta testes de SQLi cegos usando sleep() ou benchmark() |
owasp-crs-v030301-id942170-sqli |
1 |
Detecta tentativas de injeção de SQL com sleep e benchmark, incluindo consultas condicionais |
owasp-crs-v030301-id942190-sqli |
1 |
Detecta execução de código MSSQL e tentativas de coleta de informações |
owasp-crs-v030301-id942220-sqli |
1 |
Procura ataques de fluxo intenso de números inteiros |
owasp-crs-v030301-id942230-sqli |
1 |
Detecta tentativas condicionais de injeção de SQL |
owasp-crs-v030301-id942240-sqli |
1 |
Detecta troca de charset do MySQL e tentativas de DoS do MSSQL |
owasp-crs-v030301-id942250-sqli |
1 |
Detecta MATCH AGAINST |
owasp-crs-v030301-id942270-sqli |
1 |
Procura injeção de SQL básica e string de ataque comum para o MySQL |
owasp-crs-v030301-id942280-sqli |
1 |
Detecta a injeção de pg_sleep do Postgres |
owasp-crs-v030301-id942290-sqli |
1 |
Localiza tentativas básicas de injeção de SQL no MongoDB |
owasp-crs-v030301-id942320-sqli |
1 |
Detecta injeções de procedimento/função armazenadas em MySQL e PostgreSQL |
owasp-crs-v030301-id942350-sqli |
1 |
Detecta injeção de UDF no MySQL e outras tentativas de manipulação de dados/estrutura |
owasp-crs-v030301-id942360-sqli |
1 |
Detecta injeção de SQL concatenada básica e tentativas de SQLLFI |
owasp-crs-v030301-id942500-sqli |
1 |
Comentário in-line do MySQL detectado |
owasp-crs-v030301-id942110-sqli |
2 |
Ataque de injeção SQL: teste de injeção comum detectado |
owasp-crs-v030301-id942120-sqli |
2 |
Ataque de injeção SQL: operador SQL detectado |
owasp-crs-v030301-id942130-sqli |
2 |
Ataque de injeção de SQL: Tautologia SQL detectada |
owasp-crs-v030301-id942150-sqli |
2 |
Ataque de injeção SQL |
owasp-crs-v030301-id942180-sqli |
2 |
Detecta tentativas básicas de desvio de autenticação SQL (1/3) |
owasp-crs-v030301-id942200-sqli |
2 |
Detecta injeções de MySQL ofuscadas por espaço/comentários e terminadas em crase |
owasp-crs-v030301-id942210-sqli |
2 |
Detecta tentativas de injeção SQL encadeadas (1/2) |
owasp-crs-v030301-id942260-sqli |
2 |
Detecta tentativas básicas de desvio de autenticação SQL (2/3) |
owasp-crs-v030301-id942300-sqli |
2 |
Detecta comentários no MySQL |
owasp-crs-v030301-id942310-sqli |
2 |
Detecta tentativas de injeção SQL encadeadas (2/2) |
owasp-crs-v030301-id942330-sqli |
2 |
Detecta sondagens clássicas de injeção SQL (1/2) |
owasp-crs-v030301-id942340-sqli |
2 |
Detecta tentativas básicas de desvio de autenticação SQL (3/3) |
owasp-crs-v030301-id942361-sqli |
2 |
Detecta injeção básica de SQL com base na união ou alteração de palavra-chave |
owasp-crs-v030301-id942370-sqli |
2 |
Detecta sondagens clássicas de injeção SQL (2/3) |
owasp-crs-v030301-id942380-sqli |
2 |
Ataque de injeção SQL |
owasp-crs-v030301-id942390-sqli |
2 |
Ataque de injeção SQL |
owasp-crs-v030301-id942400-sqli |
2 |
Ataque de injeção SQL |
owasp-crs-v030301-id942410-sqli |
2 |
Ataque de injeção SQL |
owasp-crs-v030301-id942470-sqli |
2 |
Ataque de injeção SQL |
owasp-crs-v030301-id942480-sqli |
2 |
Ataque de injeção SQL |
owasp-crs-v030301-id942430-sqli |
2 |
Detecção de anomalias de caracteres SQL restritos (argumentos): número de caracteres especiais excedido (12) |
owasp-crs-v030301-id942440-sqli |
2 |
Sequência de comentários no SQL detectada |
owasp-crs-v030301-id942450-sqli |
2 |
Codificação hexadecimal do SQL identificada |
owasp-crs-v030301-id942510-sqli |
2 |
Tentativas de ignorar o SQLi identificadas por marcações ou crase |
owasp-crs-v030301-id942251-sqli |
3 |
Detecta injeções de HAVING |
owasp-crs-v030301-id942490-sqli |
3 |
Detecta sondagens clássicas de injeção SQL (3/3) |
owasp-crs-v030301-id942420-sqli |
3 |
Detecção de anomalias de caracteres SQL restritos (cookies): número de caracteres especiais excedido (8) |
owasp-crs-v030301-id942431-sqli |
3 |
Detecção de anomalias de caracteres SQL restritos (argumentos): número de caracteres especiais excedido (6) |
owasp-crs-v030301-id942460-sqli |
3 |
Alerta de detecção de anomalias de metacaracteres: caracteres repetitivos que não são palavras |
owasp-crs-v030301-id942101-sqli |
3 |
Ataque de injeção de SQL detectado por libinjectão |
owasp-crs-v030301-id942511-sqli |
3 |
Tentativa de ignorar SQLi por marcações detectadas |
owasp-crs-v030301-id942421-sqli |
4 |
Detecção de anomalias de caracteres SQL restritos (cookies): número de caracteres especiais excedido (3) |
owasp-crs-v030301-id942432-sqli |
4 |
Detecção de anomalias de caracteres SQL restritos (argumentos): número de caracteres especiais excedido (2) |
CRS 3.0
| ID da assinatura (ID da regra) |
Nível de sensibilidade |
Descrição |
Not included |
1 |
Ataque de injeção de SQL detectado por libinjectão |
owasp-crs-v030001-id942140-sqli |
1 |
Ataque de injeção de SQL: nomes comuns de banco de dados detectados |
owasp-crs-v030001-id942160-sqli |
1 |
Detecta testes de SQLi cegos usando sleep() ou benchmark() |
owasp-crs-v030001-id942170-sqli |
1 |
Detecta tentativas de injeção de SQL com sleep e benchmark, incluindo consultas condicionais |
owasp-crs-v030001-id942190-sqli |
1 |
Detecta execução de código MSSQL e tentativas de coleta de informações |
owasp-crs-v030001-id942220-sqli |
1 |
Procura ataques de fluxo intenso de números inteiros |
owasp-crs-v030001-id942230-sqli |
1 |
Detecta tentativas condicionais de injeção de SQL |
owasp-crs-v030001-id942240-sqli |
1 |
Detecta troca de charset do MySQL e tentativas de DoS do MSSQL |
owasp-crs-v030001-id942250-sqli |
1 |
Detecta MATCH AGAINST |
owasp-crs-v030001-id942270-sqli |
1 |
Procura injeção de SQL básica e string de ataque comum para o MySQL |
owasp-crs-v030001-id942280-sqli |
1 |
Detecta a injeção de pg_sleep do Postgres |
owasp-crs-v030001-id942290-sqli |
1 |
Localiza tentativas básicas de injeção de SQL no MongoDB |
owasp-crs-v030001-id942320-sqli |
1 |
Detecta injeções de procedimento/função armazenadas em MySQL e PostgreSQL |
owasp-crs-v030001-id942350-sqli |
1 |
Detecta injeção de UDF no MySQL e outras tentativas de manipulação de dados/estrutura |
owasp-crs-v030001-id942360-sqli |
1 |
Detecta injeção de SQL concatenada básica e tentativas de SQLLFI |
Not included |
1 |
Comentário in-line do MySQL detectado |
owasp-crs-v030001-id942110-sqli |
2 |
Ataque de injeção SQL: teste de injeção comum detectado |
owasp-crs-v030001-id942120-sqli |
2 |
Ataque de injeção SQL: operador SQL detectado |
Not included |
2 |
Ataque de injeção de SQL: Tautologia SQL detectada |
owasp-crs-v030001-id942150-sqli |
2 |
Ataque de injeção SQL |
owasp-crs-v030001-id942180-sqli |
2 |
Detecta tentativas básicas de desvio de autenticação SQL (1/3) |
owasp-crs-v030001-id942200-sqli |
2 |
Detecta injeções de MySQL ofuscadas por espaço/comentários e terminadas em crase |
owasp-crs-v030001-id942210-sqli |
2 |
Detecta tentativas de injeção SQL encadeadas (1/2) |
owasp-crs-v030001-id942260-sqli |
2 |
Detecta tentativas básicas de desvio de autenticação SQL (2/3) |
owasp-crs-v030001-id942300-sqli |
2 |
Detecta comentários no MySQL |
owasp-crs-v030001-id942310-sqli |
2 |
Detecta tentativas de injeção SQL encadeadas (2/2) |
owasp-crs-v030001-id942330-sqli |
2 |
Detecta sondagens clássicas de injeção SQL (1/2) |
owasp-crs-v030001-id942340-sqli |
2 |
Detecta tentativas básicas de desvio de autenticação SQL (3/3) |
Not included |
2 |
Detecta injeção básica de SQL com base na união ou alteração de palavra-chave |
Not included |
2 |
Detecta sondagens clássicas de injeção SQL (2/3) |
owasp-crs-v030001-id942380-sqli |
2 |
Ataque de injeção SQL |
owasp-crs-v030001-id942390-sqli |
2 |
Ataque de injeção SQL |
owasp-crs-v030001-id942400-sqli |
2 |
Ataque de injeção SQL |
owasp-crs-v030001-id942410-sqli |
2 |
Ataque de injeção SQL |
Not included |
2 |
Ataque de injeção SQL |
Not included |
2 |
Ataque de injeção SQL |
owasp-crs-v030001-id942430-sqli |
2 |
Detecção de anomalias de caracteres SQL restritos (argumentos): número de caracteres especiais excedido (12) |
owasp-crs-v030001-id942440-sqli |
2 |
Sequência de comentários no SQL detectada |
owasp-crs-v030001-id942450-sqli |
2 |
Codificação hexadecimal do SQL identificada |
Not included |
2 |
Tentativas de ignorar o SQLi identificadas por marcações ou crase |
owasp-crs-v030001-id942251-sqli |
3 |
Detecta injeções de HAVING |
Not included |
2 |
Detecta sondagens clássicas de injeção SQL (3/3) |
owasp-crs-v030001-id942420-sqli |
3 |
Detecção de anomalias de caracteres SQL restritos (cookies): número de caracteres especiais excedido (8) |
owasp-crs-v030001-id942431-sqli |
3 |
Detecção de anomalias de caracteres SQL restritos (argumentos): número de caracteres especiais excedido (6) |
owasp-crs-v030001-id942460-sqli |
3 |
Alerta de detecção de anomalias de metacaracteres: caracteres repetitivos que não são palavras |
Not included |
3 |
Ataque de injeção de SQL detectado por libinjectão |
Not included |
3 |
Tentativa de ignorar SQLi por marcações detectadas |
owasp-crs-v030001-id942421-sqli |
4 |
Detecção de anomalias de caracteres SQL restritos (cookies): número de caracteres especiais excedido (3) |
owasp-crs-v030001-id942432-sqli |
4 |
Detecção de anomalias de caracteres SQL restritos (argumentos): número de caracteres especiais excedido (2) |
Você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredExpr() para desativar assinaturas em níveis de
sensibilidade maiores.
| Nível 1 de sensibilidade do SQLi |
evaluatePreconfiguredExpr('sqli-v33-stable',
['owasp-crs-v030301-id942110-sqli',
'owasp-crs-v030301-id942120-sqli',
'owasp-crs-v030301-id942130-sqli',
'owasp-crs-v030301-id942150-sqli',
'owasp-crs-v030301-id942180-sqli',
'owasp-crs-v030301-id942200-sqli',
'owasp-crs-v030301-id942210-sqli',
'owasp-crs-v030301-id942260-sqli',
'owasp-crs-v030301-id942300-sqli',
'owasp-crs-v030301-id942310-sqli',
'owasp-crs-v030301-id942330-sqli',
'owasp-crs-v030301-id942340-sqli',
'owasp-crs-v030301-id942361-sqli',
'owasp-crs-v030301-id942370-sqli',
'owasp-crs-v030301-id942380-sqli',
'owasp-crs-v030301-id942390-sqli',
'owasp-crs-v030301-id942400-sqli',
'owasp-crs-v030301-id942410-sqli',
'owasp-crs-v030301-id942470-sqli',
'owasp-crs-v030301-id942480-sqli',
'owasp-crs-v030301-id942430-sqli',
'owasp-crs-v030301-id942440-sqli',
'owasp-crs-v030301-id942450-sqli',
'owasp-crs-v030301-id942510-sqli',
'owasp-crs-v030301-id942251-sqli',
'owasp-crs-v030301-id942490-sqli',
'owasp-crs-v030301-id942420-sqli',
'owasp-crs-v030301-id942431-sqli',
'owasp-crs-v030301-id942460-sqli',
'owasp-crs-v030301-id942101-sqli',
'owasp-crs-v030301-id942511-sqli',
'owasp-crs-v030301-id942421-sqli',
'owasp-crs-v030301-id942432-sqli']
)
|
| Nível 2 de sensibilidade do SQLi |
evaluatePreconfiguredExpr('sqli-v33-stable',
['owasp-crs-v030301-id942251-sqli',
'owasp-crs-v030301-id942490-sqli',
'owasp-crs-v030301-id942420-sqli',
'owasp-crs-v030301-id942431-sqli',
'owasp-crs-v030301-id942460-sqli',
'owasp-crs-v030301-id942101-sqli',
'owasp-crs-v030301-id942511-sqli',
'owasp-crs-v030301-id942421-sqli',
'owasp-crs-v030301-id942432-sqli']
)
|
| Nível 3 de sensibilidade do SQLi |
evaluatePreconfiguredExpr('sqli-v33-stable',
['owasp-crs-v030301-id942421-sqli',
'owasp-crs-v030301-id942432-sqli']
)
|
| Nível 4 de sensibilidade do SQLi |
evaluatePreconfiguredExpr('sqli-v33-stable')
|
Como alternativa, você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Por
padrão, sem configurar a sensibilidade do conjunto de regras, o Google Cloud Armor
avalia todas as assinaturas.
CRS 3.3
| Nível de sensibilidade |
Expressão |
| 1 |
evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 2}) |
| 3 |
evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 3}) |
| 4 |
evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 4}) |
CRS 3.0
| Nível de sensibilidade |
Expressão |
| 1 |
evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 2}) |
| 3 |
evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 3}) |
| 4 |
evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 4}) |
Scripting em vários locais (XSS)
A tabela a seguir mostra o código da assinatura, o nível de confidencialidade e a descrição de cada assinatura compatível na regra WAF pré-configurada XSS.
CRS 3.3
| ID da assinatura (ID da regra) |
Nível de sensibilidade |
Descrição |
owasp-crs-v030301-id941100-xss |
1 |
Ataque de XSS detectado por libinjectão |
owasp-crs-v030301-id941110-xss |
1 |
Filtro XSS - Categoria 1: vetor de tag de script |
owasp-crs-v030301-id941120-xss |
1 |
Filtro XSS - categoria 2: vetor de manipulador de eventos |
owasp-crs-v030301-id941130-xss |
1 |
Filtro XSS - Categoria 3: vetor de atributo |
owasp-crs-v030301-id941140-xss |
1 |
Filtro XSS - Categoria 4: vetor de URI de JavaScript |
owasp-crs-v030301-id941160-xss |
1 |
Verificador de injeção de XSS em NoScript: injeção de HTML |
owasp-crs-v030301-id941170-xss |
1 |
Verificador de injeção de XSS em NoScript: injeção de atributo |
owasp-crs-v030301-id941180-xss |
1 |
Palavras-chave da lista de proibições do validador de nó |
owasp-crs-v030301-id941190-xss |
1 |
Filtros XSS do IE: ataque detectado |
owasp-crs-v030301-id941200-xss |
1 |
Filtros XSS do IE: ataque detectado |
owasp-crs-v030301-id941210-xss |
1 |
Filtros XSS do IE: ataque detectado |
owasp-crs-v030301-id941220-xss |
1 |
Filtros XSS do IE: ataque detectado |
owasp-crs-v030301-id941230-xss |
1 |
Filtros XSS do IE: ataque detectado |
owasp-crs-v030301-id941240-xss |
1 |
Filtros XSS do IE: ataque detectado |
owasp-crs-v030301-id941250-xss |
1 |
Filtros XSS do IE: ataque detectado |
owasp-crs-v030301-id941260-xss |
1 |
Filtros XSS do IE: ataque detectado |
owasp-crs-v030301-id941270-xss |
1 |
Filtros XSS do IE: ataque detectado |
owasp-crs-v030301-id941280-xss |
1 |
Filtros XSS do IE: ataque detectado |
owasp-crs-v030301-id941290-xss |
1 |
Filtros XSS do IE: ataque detectado |
owasp-crs-v030301-id941300-xss |
1 |
Filtros XSS do IE: ataque detectado |
owasp-crs-v030301-id941310-xss |
1 |
Filtro XSS de codificação mal formada US-ASCII: ataque detectado |
owasp-crs-v030301-id941350-xss |
1 |
XSS de codificação UTF-7 no IE: ataque detectado |
owasp-crs-v030301-id941360-xss |
1 |
Ofuscação de hieróglifos detectada |
owasp-crs-v030301-id941370-xss |
1 |
Variável global do JavaScript encontrada |
owasp-crs-v030301-id941101-xss |
2 |
Ataque de XSS detectado por libinjectão |
owasp-crs-v030301-id941150-xss |
2 |
Filtro XSS - Categoria 5: atributos HTML não permitidos |
owasp-crs-v030301-id941320-xss |
2 |
Possível ataque XSS detectado: manipulador de tags HTML |
owasp-crs-v030301-id941330-xss |
2 |
Filtros XSS do IE: ataque detectado |
owasp-crs-v030301-id941340-xss |
2 |
Filtros XSS do IE: ataque detectado |
owasp-crs-v030301-id941380-xss |
2 |
Injeção de modelo do lado do cliente da AngularJS detectada |
CRS 3.0
| ID da assinatura (ID da regra) |
Nível de sensibilidade |
Descrição |
Not included |
1 |
Ataque de XSS detectado por libinjectão |
owasp-crs-v030001-id941110-xss |
1 |
Filtro XSS - Categoria 1: vetor de tag de script |
owasp-crs-v030001-id941120-xss |
1 |
Filtro XSS - categoria 2: vetor de manipulador de eventos |
owasp-crs-v030001-id941130-xss |
1 |
Filtro XSS - Categoria 3: vetor de atributo |
owasp-crs-v030001-id941140-xss |
1 |
Filtro XSS - Categoria 4: vetor de URI de JavaScript |
owasp-crs-v030001-id941160-xss |
1 |
Verificador de injeção de XSS em NoScript: injeção de HTML |
owasp-crs-v030001-id941170-xss |
1 |
Verificador de injeção de XSS em NoScript: injeção de atributo |
owasp-crs-v030001-id941180-xss |
1 |
Palavras-chave da lista de proibições do validador de nó |
owasp-crs-v030001-id941190-xss |
1 |
Filtros XSS do IE: ataque detectado |
owasp-crs-v030001-id941200-xss |
1 |
Filtros XSS do IE: ataque detectado |
owasp-crs-v030001-id941210-xss |
1 |
Filtros XSS do IE: ataque detectado |
owasp-crs-v030001-id941220-xss |
1 |
Filtros XSS do IE: ataque detectado |
owasp-crs-v030001-id941230-xss |
1 |
Filtros XSS do IE: ataque detectado |
owasp-crs-v030001-id941240-xss |
1 |
Filtros XSS do IE: ataque detectado |
owasp-crs-v030001-id941250-xss |
1 |
Filtros XSS do IE: ataque detectado |
owasp-crs-v030001-id941260-xss |
1 |
Filtros XSS do IE: ataque detectado |
owasp-crs-v030001-id941270-xss |
1 |
Filtros XSS do IE: ataque detectado |
owasp-crs-v030001-id941280-xss |
1 |
Filtros XSS do IE: ataque detectado |
owasp-crs-v030001-id941290-xss |
1 |
Filtros XSS do IE: ataque detectado |
owasp-crs-v030001-id941300-xss |
1 |
Filtros XSS do IE: ataque detectado |
owasp-crs-v030001-id941310-xss |
1 |
Filtro XSS de codificação mal formada US-ASCII: ataque detectado |
owasp-crs-v030001-id941350-xss |
1 |
XSS de codificação UTF-7 no IE: ataque detectado |
Not included |
1 |
Ofuscação de JSFuck / hieróglifo detectada |
Not included |
1 |
Variável global do JavaScript encontrada |
Not included |
2 |
Ataque de XSS detectado por libinjectão |
owasp-crs-v030001-id941150-xss |
2 |
Filtro XSS - Categoria 5: atributos HTML não permitidos |
owasp-crs-v030001-id941320-xss |
2 |
Possível ataque XSS detectado: manipulador de tags HTML |
owasp-crs-v030001-id941330-xss |
2 |
Filtros XSS do IE: ataque detectado |
owasp-crs-v030001-id941340-xss |
2 |
Filtros XSS do IE: ataque detectado |
Not included |
2 |
Injeção de modelo do lado do cliente da AngularJS detectada |
Você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredExpr() para desativar assinaturas em níveis de
sensibilidade maiores.
| Nível 1 de sensibilidade XSS |
evaluatePreconfiguredExpr('xss-v33-stable',
['owasp-crs-v030301-id941101-xss',
'owasp-crs-v030301-id941150-xss',
'owasp-crs-v030301-id941320-xss',
'owasp-crs-v030301-id941330-xss',
'owasp-crs-v030301-id941340-xss',
'owasp-crs-v030301-id941380-xss'
])
|
Todas as assinaturas de XSS estão abaixo do nível 2 de sensibilidade. A configuração
a seguir funciona para outros níveis de sensibilidade:
| Níveis 2 de sensibilidade XSS |
evaluatePreconfiguredExpr('xss-v33-stable')
|
Como alternativa, você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Por
padrão, sem configurar a sensibilidade do conjunto de regras, o Google Cloud Armor
avalia todas as assinaturas.
CRS 3.3
| Nível de sensibilidade |
Expressão |
| 1 |
evaluatePreconfiguredWaf('xss-v33-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('xss-v33-stable', {'sensitivity': 2}) |
CRS 3.0
| Nível de sensibilidade |
Expressão |
| 1 |
evaluatePreconfiguredWaf('xss-stable', {'sensitivity': 1}) |
Inclusão de arquivos locais (LFI, na sigla em inglês)
A tabela a seguir mostra o ID da assinatura, o nível de sensibilidade e a
descrição de cada assinatura compatível na regra WAF pré-configurada do LFI.
CRS 3.3
| ID da assinatura (ID da regra) |
Nível de sensibilidade |
Descrição |
owasp-crs-v030301-id930100-lfi |
1 |
Ataque de passagem de caminho (/../) |
owasp-crs-v030301-id930110-lfi |
1 |
Ataque de passagem de caminho (/../) |
owasp-crs-v030301-id930120-lfi |
1 |
Tentativa de acessar arquivos do SO |
owasp-crs-v030301-id930130-lfi |
1 |
Tentativa de acessar arquivos restritos |
CRS 3.0
| ID da assinatura (ID da regra) |
Nível de sensibilidade |
Descrição |
owasp-crs-v030001-id930100-lfi |
1 |
Ataque de passagem de caminho (/../) |
owasp-crs-v030001-id930110-lfi |
1 |
Ataque de passagem de caminho (/../) |
owasp-crs-v030001-id930120-lfi |
1 |
Tentativa de acessar arquivos do SO |
owasp-crs-v030001-id930130-lfi |
1 |
Tentativa de acessar arquivos restritos |
Você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredExpr() para desativar assinaturas em níveis de
sensibilidade maiores. Todas as assinaturas de LFI estão no nível 1 de sensibilidade. A configuração a seguir
funciona para todos os níveis de sensibilidade:
| Nível 1 de sensibilidade da LFI |
evaluatePreconfiguredExpr('lfi-v33-stable')
|
Como alternativa, você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Todas as assinaturas de LFI estão no nível 1 de sensibilidade. A configuração a seguir
funciona para todos os níveis de sensibilidade:
CRS 3.3
| Nível de sensibilidade |
Expressão |
| 1 |
evaluatePreconfiguredWaf('lfi-v33-stable', {'sensitivity': 1}) |
CRS 3.0
| Nível de sensibilidade |
Expressão |
| 1 |
evaluatePreconfiguredWaf('lfi-stable', {'sensitivity': 1}) |
Execução de código remoto (RCE, na sigla em inglês)
A tabela a seguir fornece o ID da assinatura, o nível de confidencialidade e a descrição de cada assinatura compatível na regra WAF pré-configurada do RCE.
CRS 3.3
| ID da assinatura (ID da regra) |
Nível de sensibilidade |
Descrição |
owasp-crs-v030301-id932100-rce |
1 |
Injeção de comando do UNIX |
owasp-crs-v030301-id932105-rce |
1 |
Injeção de comando do UNIX |
owasp-crs-v030301-id932110-rce |
1 |
Injeção de comando do Windows |
owasp-crs-v030301-id932115-rce |
1 |
Injeção de comando do Windows |
owasp-crs-v030301-id932120-rce |
1 |
Comando do PowerShell do Windows encontrado |
owasp-crs-v030301-id932130-rce |
1 |
Expressão de shell do Unix encontrada |
owasp-crs-v030301-id932140-rce |
1 |
Comando FOR/IF do Windows encontrado |
owasp-crs-v030301-id932150-rce |
1 |
Execução direta de comando do UNIX |
owasp-crs-v030301-id932160-rce |
1 |
Código de shell do UNIX encontrado |
owasp-crs-v030301-id932170-rce |
1 |
Shellshock (CVE-2014-6271) |
owasp-crs-v030301-id932171-rce |
1 |
Shellshock (CVE-2014-6271) |
owasp-crs-v030301-id932180-rce |
1 |
Tentativa restrita de upload de arquivos |
owasp-crs-v030301-id932200-rce |
2 |
Técnicas de ignorar RCE |
owasp-crs-v030301-id932106-rce |
3 |
Execução de comandos remotos: injeção de comandos Unix |
owasp-crs-v030301-id932190-rce |
3 |
Execução de comando remoto: tentativa de técnica de pular caracteres curinga |
CRS 3.0
| ID da assinatura (ID da regra) |
Nível de sensibilidade |
Descrição |
owasp-crs-v030001-id932100-rce |
1 |
Injeção de comando do UNIX |
owasp-crs-v030001-id932105-rce |
1 |
Injeção de comando do UNIX |
owasp-crs-v030001-id932110-rce |
1 |
Injeção de comando do Windows |
owasp-crs-v030001-id932115-rce |
1 |
Injeção de comando do Windows |
owasp-crs-v030001-id932120-rce |
1 |
Comando do PowerShell do Windows encontrado |
owasp-crs-v030001-id932130-rce |
1 |
Expressão de shell do Unix encontrada |
owasp-crs-v030001-id932140-rce |
1 |
Comando FOR/IF do Windows encontrado |
owasp-crs-v030001-id932150-rce |
1 |
Execução direta de comando do UNIX |
owasp-crs-v030001-id932160-rce |
1 |
Código de shell do UNIX encontrado |
owasp-crs-v030001-id932170-rce |
1 |
Shellshock (CVE-2014-6271) |
owasp-crs-v030001-id932171-rce |
1 |
Shellshock (CVE-2014-6271) |
Not included |
1 |
Tentativa restrita de upload de arquivos |
Not included |
2 |
Técnicas de ignorar RCE |
Not included |
3 |
Execução de comandos remotos: injeção de comandos Unix |
Not included |
3 |
Execução de comando remoto: tentativa de técnica de pular caracteres curinga |
Você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredExpr() para desativar assinaturas em níveis de
sensibilidade maiores. A configuração a seguir funciona para todos os níveis de sensibilidade:
| Nível 1 de sensibilidade de RCE |
evaluatePreconfiguredExpr('rce-v33-stable',
['owasp-crs-v030301-id932200-rce',
'owasp-crs-v030301-id932106-rce',
'owasp-crs-v030301-id932190-rce'])
|
| Nível 2 de sensibilidade do RCE |
evaluatePreconfiguredExpr('rce-v33-stable',
[ 'owasp-crs-v030301-id932106-rce',
'owasp-crs-v030301-id932190-rce'])
|
| Nível 3 de sensibilidade do RCE |
evaluatePreconfiguredExpr('rce-v33-stable')
|
Como alternativa, você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Todas as assinaturas de RCE estão no nível 1 de sensibilidade. A configuração a seguir
funciona para todos os níveis de sensibilidade:
CRS 3.3
| Nível de sensibilidade |
Expressão |
| 1 |
evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 2}) |
| 3 |
evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 3}) |
CRS 3.0
| Nível de sensibilidade |
Expressão |
| 1 |
evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 2}) |
| 3 |
evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 3}) |
Inclusão de arquivo remoto (RFI, na sigla em inglês)
A tabela a seguir fornece o ID da assinatura, o nível de confidencialidade e
a descrição de cada assinatura compatível na regra WAF pré-configurada do RFI.
CRS 3.3
| ID da assinatura (ID da regra) |
Nível de sensibilidade |
Descrição |
owasp-crs-v030301-id931100-rfi |
1 |
Parâmetro de URL que usa um endereço IP |
owasp-crs-v030301-id931110-rfi |
1 |
Nome de parâmetro comum vulnerável a RFI usado com payload do URL |
owasp-crs-v030301-id931120-rfi |
1 |
Payload do URL usado com caractere de ponto de interrogação (?) no final |
owasp-crs-v030301-id931130-rfi |
2 |
Referência/link fora do domínio |
CRS 3.0
| ID da assinatura (ID da regra) |
Nível de sensibilidade |
Descrição |
owasp-crs-v030001-id931100-rfi |
1 |
Parâmetro de URL que usa um endereço IP |
owasp-crs-v030001-id931110-rfi |
1 |
Nome de parâmetro comum vulnerável a RFI usado com payload do URL |
owasp-crs-v030001-id931120-rfi |
1 |
Payload do URL usado com caractere de ponto de interrogação (?) no final |
owasp-crs-v030001-id931130-rfi |
2 |
Referência/link fora do domínio |
Você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredExpr() para desativar assinaturas em níveis de
sensibilidade maiores.
| Níveis 2, 3 e 4 de sensibilidade RFI |
evaluatePreconfiguredExpr('rfi-v33-stable', ['owasp-crs-v030301-id931130-rfi'])
|
Todas as assinaturas para RF estão abaixo do nível de sensibilidade 2. A configuração
a seguir funciona para outros níveis de sensibilidade:
| Níveis 2 de sensibilidade RFI |
evaluatePreconfiguredExpr('rfi-v33-stable')
|
Como alternativa, você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Por
padrão, sem configurar a sensibilidade do conjunto de regras, o Google Cloud Armor
avalia todas as assinaturas.
CRS 3.3
| Nível de sensibilidade |
Expressão |
| 1 |
evaluatePreconfiguredWaf('rfi-v33-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('rfi-v33-stable', {'sensitivity': 2}) |
CRS 3.0
| Nível de sensibilidade |
Expressão |
| 1 |
evaluatePreconfiguredWaf('rfi-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('rfi-stable', {'sensitivity': 2}) |
Aplicação de métodos
A tabela a seguir mostra o ID, o nível de confidencialidade e a descrição de cada assinatura compatível na regra pré-configurada da aplicação do método.
CRS 3.3
| ID da assinatura (ID da regra) |
Nível de sensibilidade |
Descrição |
owasp-crs-v030301-id911100-methodenforcement |
1 |
Método não permitido por política |
CRS 3.0
| ID da assinatura (ID da regra) |
Nível de sensibilidade |
Descrição |
owasp-crs-v030001-id911100-methodenforcement |
1 |
Método não permitido por política |
Você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredExpr() para desativar assinaturas em níveis de
sensibilidade maiores. Todas as assinaturas para a aplicação do método estão no nível 1 de sensibilidade. A configuração
a seguir funciona para outros níveis de sensibilidade:
| Nível 1 de sensibilidade do programa |
evaluatePreconfiguredExpr('methodenforcement-v33-stable')
|
Como alternativa, você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Por
padrão, sem configurar a sensibilidade do conjunto de regras, o Google Cloud Armor
avalia todas as assinaturas.
CRS 3.3
| Nível de sensibilidade |
Expressão |
| 1 |
evaluatePreconfiguredWaf('methodenforcement-v33-stable', {'sensitivity': 1}) |
CRS 3.0
| Nível de sensibilidade |
Expressão |
| 1 |
evaluatePreconfiguredWaf('methodenforcement-stable', {'sensitivity': 1}) |
Detecção de verificação
A tabela a seguir fornece o ID da assinatura, o nível de confidencialidade e a descrição de cada assinatura compatível na regra pré-configurada da detecção do scanner.
CRS 3.3
| ID da assinatura (ID da regra) |
Nível de sensibilidade |
Descrição |
owasp-crs-v030301-id913100-scannerdetection |
1 |
Encontramos o user-agent associado à verificação de segurança |
owasp-crs-v030301-id913110-scannerdetection |
1 |
Encontramos o cabeçalho da solicitação associado à verificação de segurança |
owasp-crs-v030301-id913120-scannerdetection |
1 |
Encontramos o nome de arquivo/argumento associado à verificação de segurança |
owasp-crs-v030301-id913101-scannerdetection |
2 |
Encontramos o user-agent associado ao client HTTP genérico/de script |
owasp-crs-v030301-id913102-scannerdetection |
2 |
Encontramos o user-agent associado ao bot/rastreador da Web |
CRS 3.0
| ID da assinatura (ID da regra) |
Nível de sensibilidade |
Descrição |
owasp-crs-v030001-id913100-scannerdetection |
1 |
Encontramos o user-agent associado à verificação de segurança |
owasp-crs-v030001-id913110-scannerdetection |
1 |
Encontramos o cabeçalho da solicitação associado à verificação de segurança |
owasp-crs-v030001-id913120-scannerdetection |
1 |
Encontramos o nome de arquivo/argumento associado à verificação de segurança |
owasp-crs-v030001-id913101-scannerdetection |
2 |
Encontramos o user-agent associado ao client HTTP genérico/de script |
owasp-crs-v030001-id913102-scannerdetection |
2 |
Encontramos o user-agent associado ao bot/rastreador da Web |
Você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredExpr() para desativar assinaturas em níveis de
sensibilidade maiores.
| Nível 1 de sensibilidade à detecção de scanner |
evaluatePreconfiguredExpr('scannerdetection-v33-stable',
['owasp-crs-v030301-id913101-scannerdetection',
'owasp-crs-v030301-id913102-scannerdetection']
)
|
| Nível 2 de sensibilidade à detecção de scanner |
evaluatePreconfiguredExpr('scannerdetection-v33-stable')
|
Como alternativa, você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Por
padrão, sem configurar a sensibilidade do conjunto de regras, o Google Cloud Armor
avalia todas as assinaturas.
CRS 3.3
| Nível de sensibilidade |
Expressão |
| 1 |
evaluatePreconfiguredWaf('scannerdetection-v33-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('scannerdetection-v33-stable', {'sensitivity': 2}) |
CRS 3.0
| Nível de sensibilidade |
Expressão |
| 1 |
evaluatePreconfiguredWaf('scannerdetection-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('scannerdetection-stable', {'sensitivity': 2}) |
Ataque de protocolo
A tabela a seguir fornece o ID da assinatura, o nível de confidencialidade e a descrição de cada assinatura compatível na regra pré-configurada do ataque de protocolo.
CRS 3.3
| ID da assinatura (ID da regra) |
Nível de sensibilidade |
Descrição |
Not included |
1 |
Ataque de contrabando de solicitação HTTP |
owasp-crs-v030301-id921110-protocolattack |
1 |
Ataque de contrabando de solicitação HTTP |
owasp-crs-v030301-id921120-protocolattack |
1 |
Ataque de divisão de resposta HTTP |
owasp-crs-v030301-id921130-protocolattack |
1 |
Ataque de divisão de resposta HTTP |
owasp-crs-v030301-id921140-protocolattack |
1 |
Ataque de injeção de cabeçalho HTTP via cabeçalhos |
owasp-crs-v030301-id921150-protocolattack |
1 |
Ataque de injeção de cabeçalho HTTP por meio de payload (CR/LF detectado) |
owasp-crs-v030301-id921160-protocolattack |
1 |
Ataque de injeção de cabeçalho HTTP por meio de payload (CR/LF e nome do cabeçalho detectado) |
owasp-crs-v030301-id921190-protocolattack |
1 |
Divisão HTTP (CR/LF no nome de arquivo da solicitação detectado) |
owasp-crs-v030301-id921200-protocolattack |
1 |
Ataque de injeção LDAP |
owasp-crs-v030301-id921151-protocolattack |
2 |
Ataque de injeção de cabeçalho HTTP por meio de payload (CR/LF detectado) |
owasp-crs-v030301-id921170-protocolattack |
3 |
Poluição do parâmetro HTTP |
CRS 3.0
| ID da assinatura (ID da regra) |
Nível de sensibilidade |
Descrição |
owasp-crs-v030001-id921100-protocolattack |
1 |
Ataque de contrabando de solicitação HTTP |
owasp-crs-v030001-id921110-protocolattack |
1 |
Ataque de contrabando de solicitação HTTP |
owasp-crs-v030001-id921120-protocolattack |
1 |
Ataque de divisão de resposta HTTP |
owasp-crs-v030001-id921130-protocolattack |
1 |
Ataque de divisão de resposta HTTP |
owasp-crs-v030001-id921140-protocolattack |
1 |
Ataque de injeção de cabeçalho HTTP via cabeçalhos |
owasp-crs-v030001-id921150-protocolattack |
1 |
Ataque de injeção de cabeçalho HTTP por meio de payload (CR/LF detectado) |
owasp-crs-v030001-id921160-protocolattack |
1 |
Ataque de injeção de cabeçalho HTTP por meio de payload (CR/LF e nome do cabeçalho detectado) |
Not included |
1 |
Divisão HTTP (CR/LF no nome de arquivo da solicitação detectado) |
Not included |
1 |
Ataque de injeção LDAP |
owasp-crs-v030001-id921151-protocolattack |
2 |
Ataque de injeção de cabeçalho HTTP por meio de payload (CR/LF detectado) |
owasp-crs-v030001-id921170-protocolattack |
3 |
Poluição do parâmetro HTTP |
Você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredExpr() para desativar assinaturas em níveis de
sensibilidade maiores.
| Nível 1 de sensibilidade a ataques de protocolo |
evaluatePreconfiguredExpr('protocolattack-v33-stable',
['owasp-crs-v030301-id921151-protocolattack',
'owasp-crs-v030301-id921170-protocolattack']
)
|
| Nível 2 de sensibilidade a ataques de protocolo |
evaluatePreconfiguredExpr('protocolattack-v33-stable',
['owasp-crs-v030301-id921170-protocolattack']
)
|
| Nível 3 de sensibilidade a ataques de protocolo |
evaluatePreconfiguredExpr('protocolattack-v33-stable')
|
Como alternativa, você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Por
padrão, sem configurar a sensibilidade do conjunto de regras, o Google Cloud Armor
avalia todas as assinaturas.
CRS 3.3
| Nível de sensibilidade |
Expressão |
| 1 |
evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 2}) |
| 3 |
evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 3}) |
CRS 3.0
| Nível de sensibilidade |
Expressão |
| 1 |
evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 2}) |
| 3 |
evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 3}) |
PHP
A tabela a seguir mostra o ID da assinatura, o nível de sensibilidade e a
descrição de cada assinatura compatível na regra WAF pré-configurada do PHP.
CRS 3.3
| ID da assinatura (ID da regra) |
Nível de sensibilidade |
Descrição |
owasp-crs-v030301-id933100-php |
1 |
Ataque de injeção do PHP: tag aberta de PHP encontrada |
owasp-crs-v030301-id933110-php |
1 |
Ataque de injeção PHP: upload do arquivo de script PHP encontrado |
owasp-crs-v030301-id933120-php |
1 |
Ataque de injeção do PHP: diretiva de configuração encontrada |
owasp-crs-v030301-id933130-php |
1 |
Ataque de injeção do PHP: variáveis encontradas |
owasp-crs-v030301-id933140-php |
1 |
Ataque de injeção do PHP: fluxo de E/S encontrado |
owasp-crs-v030301-id933200-php |
1 |
Ataque de injeção de PHP: esquema de wrapper detectado |
owasp-crs-v030301-id933150-php |
1 |
Ataque de injeção PHP: nome da função PHP de alto risco encontrado |
owasp-crs-v030301-id933160-php |
1 |
Ataque de injeção do PHP: chamada de função PHP de alto risco encontrada |
owasp-crs-v030301-id933170-php |
1 |
Ataque de injeção PHP: injeção de objeto serializado |
owasp-crs-v030301-id933180-php |
1 |
Ataque de injeção do PHP: chamada de função variável encontrada |
owasp-crs-v030301-id933210-php |
1 |
Ataque de injeção do PHP: chamada de função variável encontrada |
owasp-crs-v030301-id933151-php |
2 |
Ataque de injeção do PHP: nome da função PHP de risco médio encontrado |
owasp-crs-v030301-id933131-php |
3 |
Ataque de injeção do PHP: variáveis encontradas |
owasp-crs-v030301-id933161-php |
3 |
Ataque de injeção PHP: chamada de função PHP de baixo valor encontrada |
owasp-crs-v030301-id933111-php |
3 |
Ataque de injeção PHP: upload do arquivo de script PHP encontrado |
owasp-crs-v030301-id933190-php |
3 |
Ataque de injeção do PHP: tag fechada de PHP encontrada |
CRS 3.0
| ID da assinatura (ID da regra) |
Nível de sensibilidade |
Descrição |
owasp-crs-v030001-id933100-php |
1 |
Ataque de injeção do PHP: tag aberta de PHP encontrada |
owasp-crs-v030001-id933110-php |
1 |
Ataque de injeção PHP: upload do arquivo de script PHP encontrado |
owasp-crs-v030001-id933120-php |
1 |
Ataque de injeção do PHP: diretiva de configuração encontrada |
owasp-crs-v030001-id933130-php |
1 |
Ataque de injeção do PHP: variáveis encontradas |
owasp-crs-v030001-id933140-php |
1 |
Ataque de injeção do PHP: fluxo de E/S encontrado |
Not included |
1 |
Ataque de injeção de PHP: esquema de wrapper detectado |
owasp-crs-v030001-id933150-php |
1 |
Ataque de injeção PHP: nome da função PHP de alto risco encontrado |
owasp-crs-v030001-id933160-php |
1 |
Ataque de injeção do PHP: chamada de função PHP de alto risco encontrada |
owasp-crs-v030001-id933170-php |
1 |
Ataque de injeção PHP: injeção de objeto serializado |
owasp-crs-v030001-id933180-php |
1 |
Ataque de injeção do PHP: chamada de função variável encontrada |
Not included |
1 |
Ataque de injeção do PHP: chamada de função variável encontrada |
owasp-crs-v030001-id933151-php |
2 |
Ataque de injeção do PHP: nome da função PHP de risco médio encontrado |
owasp-crs-v030001-id933131-php |
3 |
Ataque de injeção do PHP: variáveis encontradas |
owasp-crs-v030001-id933161-php |
3 |
Ataque de injeção PHP: chamada de função PHP de baixo valor encontrada |
owasp-crs-v030001-id933111-php |
3 |
Ataque de injeção PHP: upload do arquivo de script PHP encontrado |
Not included |
3 |
Ataque de injeção do PHP: tag fechada de PHP encontrada |
Você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredExpr() para desativar assinaturas em níveis de
sensibilidade maiores.
| Nível 1 da sensibilidade a ataques de injeção de PHP |
evaluatePreconfiguredExpr('php-v33-stable',
['owasp-crs-v030301-id933151-php',
'owasp-crs-v030301-id933131-php',
'owasp-crs-v030301-id933161-php',
'owasp-crs-v030301-id933111-php',
'owasp-crs-v030301-id933190-php']
)
|
| Nível 2 da sensibilidade a ataques de injeção de PHP |
evaluatePreconfiguredExpr('php-v33-stable',
['owasp-crs-v0303001-id933131-php',
'owasp-crs-v0303001-id933161-php',
'owasp-crs-v0303001-id933111-php',
'owasp-crs-v030301-id933190-php'])
|
| Nível 3 da sensibilidade a ataques de injeção de PHP |
evaluatePreconfiguredExpr('php-v33-stable')
|
Como alternativa, você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Por
padrão, sem configurar a sensibilidade do conjunto de regras, o Google Cloud Armor
avalia todas as assinaturas.
CRS 3.3
| Nível de sensibilidade |
Expressão |
| 1 |
evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 2}) |
| 3 |
evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 3}) |
CRS 3.0
| Nível de sensibilidade |
Expressão |
| 1 |
evaluatePreconfiguredWaf('php-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('php-stable', {'sensitivity': 2}) |
| 3 |
evaluatePreconfiguredWaf('php-stable', {'sensitivity': 3}) |
Correção da sessão
A tabela a seguir fornece o ID da assinatura, o nível de confidencialidade e a
descrição de cada assinatura compatível na regra pré-configurada
da correção de sessão.
CRS 3.3
| ID da assinatura (ID da regra) |
Nível de sensibilidade |
Descrição |
owasp-crs-v030301-id943100-sessionfixation |
1 |
Possível ataque de correção de sessão: configuração de valores de cookies em HTML |
owasp-crs-v030301-id943110-sessionfixation |
1 |
Possível ataque de fixação de sessão: nome do parâmetro SessionID com referência fora do domínio |
owasp-crs-v030301-id943120-sessionfixation |
1 |
Possível ataque de fixação de sessão: nome do parâmetro SessionID sem referência |
CRS 3.0
| ID da assinatura (ID da regra) |
Nível de sensibilidade |
Descrição |
owasp-crs-v030001-id943100-sessionfixation |
1 |
Possível ataque de correção de sessão: configuração de valores de cookies em HTML |
owasp-crs-v030001-id943110-sessionfixation |
1 |
Possível ataque de fixação de sessão: nome do parâmetro SessionID com referência fora do domínio |
owasp-crs-v030001-id943120-sessionfixation |
1 |
Possível ataque de fixação de sessão: nome do parâmetro SessionID sem referência |
Você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredExpr() para desativar assinaturas em níveis de
sensibilidade maiores. Todas as assinaturas para correção de sessão estão no nível 1 de sensibilidade. A configuração a seguir
funciona para todos os níveis de sensibilidade:
| Nível 1 de sensibilidade da Correção de sessões |
evaluatePreconfiguredExpr('sessionfixation-v33-stable')
|
Como alternativa, você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Todas as assinaturas para correção de sessão estão no nível 1 de sensibilidade. A configuração a seguir
funciona para todos os níveis de sensibilidade:
CRS 3.3
| Nível de sensibilidade |
Expressão |
| 1 |
evaluatePreconfiguredWaf('sessionfixation-v33-stable', {'sensitivity': 1}) |
CRS 3.0
| Nível de sensibilidade |
Expressão |
| 1 |
evaluatePreconfiguredWaf('sessionfixation-stable', {'sensitivity': 1}) |
Ataque de Java
A tabela a seguir fornece o ID de assinatura, o nível de confidencialidade e a descrição de cada assinatura compatível na regra pré-configurada do ataque de Java.
CRS 3.3
| ID da assinatura (ID da regra) |
Nível de sensibilidade |
Descrição |
owasp-crs-v030301-id944100-java |
1 |
Execução de comando remota: classe Java suspeita detectada |
owasp-crs-v030301-id944110-java |
1 |
Execução de comando remota: geração de processos Java (CVE-2017-9805) |
owasp-crs-v030301-id944120-java |
1 |
Execução de comando remota: serialização Java (CVE-2015-4852) |
owasp-crs-v030301-id944130-java |
1 |
Classe Java suspeita detectada |
owasp-crs-v030301-id944200-java |
2 |
Bytes mágicos detectados, possível serialização Java em uso |
owasp-crs-v030301-id944210-java |
2 |
Bytes mágicos detectados codificados em Base64 com uma provável serialização Java em uso |
owasp-crs-v030301-id944240-java |
2 |
Execução de comando remota: serialização Java (CVE-2015-4852) |
owasp-crs-v030301-id944250-java |
2 |
Execução de comando remota: método Java suspeito detectada |
owasp-crs-v030301-id944300-java |
3 |
String codificada em Base64 correspondente a uma palavra-chave suspeita |
CRS 3.0
| ID da assinatura (ID da regra) |
Nível de sensibilidade |
Descrição |
Not included |
1 |
Execução de comando remota: classe Java suspeita detectada |
Not included |
1 |
Execução de comando remota: geração de processos Java (CVE-2017-9805) |
Not included |
1 |
Execução de comando remota: serialização Java (CVE-2015-4852) |
Not included |
1 |
Classe Java suspeita detectada |
Not included |
2 |
Bytes mágicos detectados, possível serialização Java em uso |
Not included |
2 |
Bytes mágicos detectados codificados em Base64 com uma provável serialização Java em uso |
Not included |
2 |
Execução de comando remota: serialização Java (CVE-2015-4852) |
Not included |
2 |
Execução de comando remota: método Java suspeito detectada |
Not included |
3 |
String codificada em Base64 correspondente a uma palavra-chave suspeita |
Você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredExpr() para desativar assinaturas em níveis de
sensibilidade maiores.
| Nível 1 de sensibilidade a ataques de Java |
evaluatePreconfiguredExpr('java-v33-stable',
['owasp-crs-v030301-id944200-java',
'owasp-crs-v030301-id944210-java',
'owasp-crs-v030301-id944240-java',
'owasp-crs-v030301-id944250-java',
'owasp-crs-v030301-id944300-java'])
|
| Nível 2 de sensibilidade a ataques de Java |
evaluatePreconfiguredExpr('java-v33-stable',
['owasp-crs-v030301-id944300-java'])
|
| Nível 3 de sensibilidade a ataques de Java |
evaluatePreconfiguredExpr('java-v33-stable')
|
Como alternativa, você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Por
padrão, sem configurar a sensibilidade do conjunto de regras, o Google Cloud Armor
avalia todas as assinaturas.
| Nível de sensibilidade |
Expressão |
| 1 |
evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 2}) |
| 3 |
evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 3}) |
Ataque de NodeJS
A tabela a seguir fornece o ID de assinatura, o nível de confidencialidade e a descrição de cada assinatura compatível na regra pré-configurada do ataque de NodeJS.
As assinaturas de regras WAF pré-configuradas a seguir estão incluídas apenas no CRS
3.3.
CRS 3.3
| ID da assinatura (ID da regra) |
Nível de sensibilidade |
Descrição |
owasp-crs-v030301-id934100-nodejs |
1 |
Ataque de injeção de Node.js |
CRS 3.0
| ID da assinatura (ID da regra) |
Nível de sensibilidade |
Descrição |
Not included |
1 |
Ataque de injeção de Node.js |
Você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredExpr() para desativar assinaturas em níveis de
sensibilidade maiores. Todas as assinaturas de ataque NodeJS estão no nível 1 de sensibilidade. A configuração
a seguir funciona para outros níveis de sensibilidade:
| Nível 1 de sensibilidade do NodeJS |
evaluatePreconfiguredExpr('nodejs-v33-stable')
|
Como alternativa, você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Todas
as assinaturas de ataque do NodeJS estão no nível 1 de sensibilidade. A configuração
a seguir funciona para outros níveis de sensibilidade:
| Nível de sensibilidade |
Expressão |
| 1 |
evaluatePreconfiguredWaf('nodejs-v33-stable', {'sensitivity': 1}) |
CVEs e outras vulnerabilidades
A tabela a seguir contém o ID da assinatura, o nível de sensibilidade e a descrição de cada assinatura compatível na regra pré-configurada da vulnerabilidade de RCE Log4j do CVE.
| ID da assinatura (ID da regra) |
Nível de sensibilidade |
Descrição |
owasp-crs-v030001-id044228-cve |
1 |
Regra de base para ajudar a detectar tentativas de exploração de CVE-2021-44228
e CVE-2021-45046 |
owasp-crs-v030001-id144228-cve |
1 |
Melhorias fornecidas pelo Google para cobrir mais tentativas de desvio e ofuscação |
owasp-crs-v030001-id244228-cve |
3 |
Aumento da sensibilidade da detecção para segmentar ainda mais tentativas de desvio e ofuscação, com aumento nominal do risco de detecção de falso positivo |
owasp-crs-v030001-id344228-cve |
3 |
Aumento da sensibilidade da detecção para segmentar ainda mais tentativas de desvio e
ofuscação, usando a codificação Base64, com aumento nominal do risco de detecção de falsos positivos. |
Você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredExpr() para desativar assinaturas em níveis de
sensibilidade maiores.
| Nível 1 de sensibilidade da CVE |
evaluatePreconfiguredExpr('cve-canary', ['owasp-crs-v030001-id244228-cve',
'owasp-crs-v030001-id344228-cve'])
|
| Nível 3 de sensibilidade da CVE |
evaluatePreconfiguredExpr('cve-canary')
|
Como alternativa, você pode configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Por
padrão, sem configurar a sensibilidade do conjunto de regras, o Google Cloud Armor
avalia todas as assinaturas.
| Nível de sensibilidade |
Expressão |
| 1 |
evaluatePreconfiguredWaf('cve-canary', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('cve-canary', {'sensitivity': 2}) |
| 3 |
evaluatePreconfiguredWaf('cve-canary', {'sensitivity': 3}) |
Vulnerabilidade SQLi de conteúdo no formato JSON
A tabela a seguir contém o ID da assinatura, o nível de sensibilidade e a descrição da assinatura compatível 942550-sqli, que abrange a vulnerabilidade em que invasores mal-intencionados podem ignorar o WAF anexando sintaxe JSON ao payloads de injeção de SQL.
| ID da assinatura (ID da regra) |
Nível de sensibilidade |
Descrição |
owasp-crs-id942550-sqli |
2 |
Detecta todos os vetores SQLi baseados em JSON, incluindo assinaturas SQLi encontradas no URL |
Use a expressão a seguir para implantar a assinatura:
evaluatePreconfiguredWaf('json-sqli-canary', {'sensitivity':0, 'opt_in_rule_ids': ['owasp-crs-id942550-sqli']})
Recomendamos que você também ative sqli-v33-stable no nível de sensibilidade 2 para lidar totalmente com os desvios por injeção SQL baseados em JSON.
Limitações
As regras WAF pré-configuradas do Google Cloud Armor têm as seguintes limitações:
- Entre os tipos de solicitações HTTPS com um corpo de solicitação, o Google Cloud Armor processa apenas solicitações
POST. O Google Cloud Armor avalia regras pré-configuradas
com base nos primeiros 8 KB de conteúdo do corpo POST. Para mais informações, consulte
Limitação da inspeção corporal POST.
- O Google Cloud Armor pode analisar e aplicar regras WAF pré-configuradas quando a análise JSON
está ativada com um valor de cabeçalho
Content-Type correspondente. Para mais
informações, consulte
Análise JSON.
A seguir
