Visão geral das regras de WAF pré-configuradas do Cloud Armor
As regras de WAF pré-configuradas do Google Cloud Armor são regras complexas do firewall de aplicativos da Web (WAF, na sigla em inglês)
com dezenas de assinaturas compiladas a partir dos padrões do setor de código
aberto. Cada assinatura corresponde a uma regra de detecção
de ataque no conjunto de regras. O Google oferece essas regras no estado em que se encontram. Elas
permitem que o Cloud Armor avalie dezenas de assinaturas de tráfego
distintas consultando regras com nomes convenientes, em vez de exigir
que você defina cada assinatura manualmente.
A tabela a seguir contém uma lista abrangente de regras de WAF pré-configuradas
que estão disponíveis para uso em uma política de segurança do Cloud Armor. As
origens de regras são o conjunto de regras principais (CRS, na sigla em inglês) do OWASP
3.3.2.
Recomendamos o uso da versão 3.3 para aumentar a sensibilidade e abrangência de tipos de ataque protegidos. A compatibilidade com o CRS 3.0 está em andamento.
CRS 3.3
Nome da regra do Cloud Armor
Nome da regra do OWASP
Status atual
Injeção de SQL
sqli-v33-stable
Sincronizada com sqli-v33-canary
sqli-v33-canary
Mais recente
Scripting em vários sites
xss-v33-stable
Sincronizada com xss-v33-canary
xss-v33-canary
Mais recente
Inclusão de arquivo local
lfi-v33-stable
Sincronizada com lfi-v33-canary
lfi-v33-canary
Mais recente
Inclusão de arquivo remoto
rfi-v33-stable
Sincronizada com rfi-v33-canary
rfi-v33-canary
Mais recente
Execução remota de código
rce-v33-stable
Sincronizada com rce-v33-canary
rce-v33-canary
Mais recente
Aplicação de métodos
methodenforcement-v33-stable
Sincronizada com methodenforcement-v33-canary
methodenforcement-v33-canary
Mais recente
Detecção de verificação
scannerdetection-v33-stable
Sincronizada com scannerdetection-v33-canary
scannerdetection-v33-canary
Mais recente
Ataque de protocolo
protocolattack-v33-stable
Sincronizada com protocolattack-v33-canary
protocolattack-v33-canary
Mais recente
Ataque de injeção PHP
php-v33-stable
Sincronizada com php-v33-canary
php-v33-canary
Mais recente
Ataque de fixação de sessão
sessionfixation-v33-stable
Sincronizada com sessionfixation-v33-canary
sessionfixation-v33-canary
Mais recente
Ataque de Java
java-v33-stable
Sincronizada com java-v33-canary
java-v33-canary
Mais recente
Ataque de NodeJS
nodejs-v33-stable
Sincronizada com nodejs-v33-canary
nodejs-v33-canary
Mais recente
CRS 3.0
Nome da regra do Cloud Armor
Nome da regra do OWASP
Status atual
Injeção de SQL
sqli-stable
Sincronizada com sqli-canary
sqli-canary
Mais recente
Scripting em vários sites
xss-stable
Sincronizada com xss-canary
xss-canary
Mais recente
Inclusão de arquivo local
lfi-stable
Sincronizada com lfi-canary
lfi-canary
Mais recente
Inclusão de arquivo remoto
rfi-stable
Sincronizada com rfi-canary
rfi-canary
Mais recente
Execução remota de código
rce-stable
Sincronizada com rce-canary
rce-canary
Mais recente
Aplicação de métodos
methodenforcement-stable
Sincronizada com methodenforcement-canary
methodenforcement-canary
Mais recente
Detecção de verificação
scannerdetection-stable
Sincronizada com scannerdetection-canary
scannerdetection-canary
Mais recente
Ataque de protocolo
protocolattack-stable
Sincronizada com protocolattack-canary
protocolattack-canary
Mais recente
Ataque de injeção PHP
php-stable
Sincronizada com php-canary
php-canary
Mais recente
Ataque de fixação de sessão
sessionfixation-stable
Sincronizada com sessionfixation-canary
sessionfixation-canary
Mais recente
Ataque de Java
Not included
Ataque de NodeJS
Not included
Além disso, as regras cve-canary a seguir estão disponíveis para todos os clientes do Cloud Armor para ajudá-los a detectar e, se quiserem, bloquear estas vulnerabilidades:
Vulnerabilidades de RCE Log4j CVE-2021-44228 e CVE-2021-45046
Vulnerabilidade de conteúdo no formato JSON 942550-sqli
Nome da regra do Cloud Armor
Tipos de vulnerabilidade cobertos
cve-canary
vulnerabilidade do Log4j
json-sqli-canary
Vulnerabilidade de desvio por injeção de SQL baseada em JSON
Regras do OWASP pré-configuradas
Cada regra de WAF pré-configurada tem um nível de sensibilidade que corresponde a um nível de paranoia do CRS do OWASP.
Um nível de sensibilidade mais baixo indica uma assinatura com maior confiança, o que diminui a probabilidade de gerar um falso positivo. Um nível de sensibilidade mais alto aumenta a
segurança, mas também aumenta o risco de gerar um falso positivo.
Injeção de SQL (SQLi)
A tabela a seguir fornece o ID da assinatura, o nível de confidencialidade e a descrição de cada assinatura compatível na regra de WAF pré-configurada do SQLi.
CRS 3.3
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
owasp-crs-v030301-id942100-sqli
1
Ataque de injeção de SQL detectado por libinjection
owasp-crs-v030301-id942140-sqli
1
Ataque de injeção de SQL: nomes comuns de banco de dados detectados
owasp-crs-v030301-id942160-sqli
1
Detecta testes de SQLi cegos usando sleep() ou benchmark()
owasp-crs-v030301-id942170-sqli
1
Detecta tentativas de injeção de SQL com sleep e benchmark, incluindo consultas condicionais
owasp-crs-v030301-id942190-sqli
1
Detecta execução de código MSSQL e tentativas de coleta de informações
owasp-crs-v030301-id942220-sqli
1
Procura ataques de fluxo intenso de números inteiros
owasp-crs-v030301-id942230-sqli
1
Detecta tentativas condicionais de injeção de SQL
owasp-crs-v030301-id942240-sqli
1
Detecta troca de charset do MySQL e tentativas de DoS do MSSQL
owasp-crs-v030301-id942250-sqli
1
Detecta MATCH AGAINST
owasp-crs-v030301-id942270-sqli
1
Procura injeção de SQL básica e string de ataque comum para o MySQL
owasp-crs-v030301-id942280-sqli
1
Detecta a injeção de pg_sleep do Postgres
owasp-crs-v030301-id942290-sqli
1
Localiza tentativas básicas de injeção de SQL no MongoDB
owasp-crs-v030301-id942320-sqli
1
Detecta injeções de procedimento/função armazenadas em MySQL e PostgreSQL
owasp-crs-v030301-id942350-sqli
1
Detecta injeção de UDF no MySQL e outras tentativas de manipulação de dados/estrutura
owasp-crs-v030301-id942360-sqli
1
Detecta injeção de SQL concatenada básica e tentativas de SQLLFI
owasp-crs-v030301-id942500-sqli
1
Comentário in-line do MySQL detectado
owasp-crs-v030301-id942110-sqli
2
Ataque de injeção de SQL: teste de injeção comum detectado
owasp-crs-v030301-id942120-sqli
2
Ataque de injeção de SQL: operador SQL detectado
owasp-crs-v030301-id942130-sqli
2
Ataque de injeção de SQL: tautologia SQL detectada
owasp-crs-v030301-id942150-sqli
2
Ataque de injeção de SQL
owasp-crs-v030301-id942180-sqli
2
Detecta tentativas básicas de desvio de autenticação SQL (1/3)
owasp-crs-v030301-id942200-sqli
2
Detecta injeções de MySQL ofuscadas por espaço/comentários e terminadas em crase
owasp-crs-v030301-id942210-sqli
2
Detecta tentativas de injeção de SQL encadeadas (1/2)
owasp-crs-v030301-id942260-sqli
2
Detecta tentativas básicas de desvio de autenticação SQL (2/3)
owasp-crs-v030301-id942300-sqli
2
Detecta comentários no MySQL
owasp-crs-v030301-id942310-sqli
2
Detecta tentativas de injeção de SQL encadeadas (2/2)
owasp-crs-v030301-id942330-sqli
2
Detecta sondagens clássicas de injeção de SQL (1/2)
owasp-crs-v030301-id942340-sqli
2
Detecta tentativas básicas de desvio de autenticação SQL (3/3)
owasp-crs-v030301-id942361-sqli
2
Detecta injeção básica de SQL com base na união ou alteração de palavra-chave
owasp-crs-v030301-id942370-sqli
2
Detecta sondagens clássicas de injeção de SQL (2/3)
owasp-crs-v030301-id942380-sqli
2
Ataque de injeção de SQL
owasp-crs-v030301-id942390-sqli
2
Ataque de injeção de SQL
owasp-crs-v030301-id942400-sqli
2
Ataque de injeção de SQL
owasp-crs-v030301-id942410-sqli
2
Ataque de injeção de SQL
owasp-crs-v030301-id942470-sqli
2
Ataque de injeção de SQL
owasp-crs-v030301-id942480-sqli
2
Ataque de injeção de SQL
owasp-crs-v030301-id942430-sqli
2
Detecção de anomalias de caracteres SQL restritos (argumentos): número de caracteres especiais excedido (12)
owasp-crs-v030301-id942440-sqli
2
Sequência de comentários no SQL detectada
owasp-crs-v030301-id942450-sqli
2
Codificação hexadecimal do SQL identificada
owasp-crs-v030301-id942510-sqli
2
Tentativa de ignorar o SQLi por marcações ou crase detectada
owasp-crs-v030301-id942251-sqli
3
Detecta injeções de HAVING
owasp-crs-v030301-id942490-sqli
3
Detecta sondagens clássicas de injeção de SQL (3/3)
owasp-crs-v030301-id942420-sqli
3
Detecção de anomalias de caracteres SQL restritos (cookies): número de caracteres especiais excedido (8)
owasp-crs-v030301-id942431-sqli
3
Detecção de anomalias de caracteres SQL restritos (argumentos): número de caracteres especiais excedido (6)
owasp-crs-v030301-id942460-sqli
3
Alerta de detecção de anomalias de metacaracteres: caracteres repetitivos que não são palavras
owasp-crs-v030301-id942101-sqli
3
Ataque de injeção de SQL detectado por libinjection
owasp-crs-v030301-id942511-sqli
3
Tentativa de ignorar SQLi por marcações detectada
owasp-crs-v030301-id942421-sqli
4
Detecção de anomalias de caracteres SQL restritos (cookies): número de caracteres especiais excedido (3)
owasp-crs-v030301-id942432-sqli
4
Detecção de anomalias de caracteres SQL restritos (argumentos): número de caracteres especiais excedido (2)
CRS 3.0
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
Not included
1
Ataque de injeção de SQL detectado por libinjection
owasp-crs-v030001-id942140-sqli
1
Ataque de injeção de SQL: nomes comuns de banco de dados detectados
owasp-crs-v030001-id942160-sqli
1
Detecta testes de SQLi cegos usando sleep() ou benchmark()
owasp-crs-v030001-id942170-sqli
1
Detecta tentativas de injeção de SQL com sleep e benchmark, incluindo consultas condicionais
owasp-crs-v030001-id942190-sqli
1
Detecta execução de código MSSQL e tentativas de coleta de informações
owasp-crs-v030001-id942220-sqli
1
Procura ataques de fluxo intenso de números inteiros
owasp-crs-v030001-id942230-sqli
1
Detecta tentativas condicionais de injeção de SQL
owasp-crs-v030001-id942240-sqli
1
Detecta troca de charset do MySQL e tentativas de DoS do MSSQL
owasp-crs-v030001-id942250-sqli
1
Detecta MATCH AGAINST
owasp-crs-v030001-id942270-sqli
1
Procura injeção de SQL básica e string de ataque comum para o MySQL
owasp-crs-v030001-id942280-sqli
1
Detecta a injeção de pg_sleep do Postgres
owasp-crs-v030001-id942290-sqli
1
Localiza tentativas básicas de injeção de SQL no MongoDB
owasp-crs-v030001-id942320-sqli
1
Detecta injeções de procedimento/função armazenadas em MySQL e PostgreSQL
owasp-crs-v030001-id942350-sqli
1
Detecta injeção de UDF no MySQL e outras tentativas de manipulação de dados/estrutura
owasp-crs-v030001-id942360-sqli
1
Detecta injeção de SQL concatenada básica e tentativas de SQLLFI
Not included
1
Comentário in-line do MySQL detectado
owasp-crs-v030001-id942110-sqli
2
Ataque de injeção de SQL: teste de injeção comum detectado
owasp-crs-v030001-id942120-sqli
2
Ataque de injeção de SQL: operador SQL detectado
Not included
2
Ataque de injeção de SQL: tautologia SQL detectada
owasp-crs-v030001-id942150-sqli
2
Ataque de injeção de SQL
owasp-crs-v030001-id942180-sqli
2
Detecta tentativas básicas de desvio de autenticação SQL (1/3)
owasp-crs-v030001-id942200-sqli
2
Detecta injeções de MySQL ofuscadas por espaço/comentários e terminadas em crase
owasp-crs-v030001-id942210-sqli
2
Detecta tentativas de injeção de SQL encadeadas (1/2)
owasp-crs-v030001-id942260-sqli
2
Detecta tentativas básicas de desvio de autenticação SQL (2/3)
owasp-crs-v030001-id942300-sqli
2
Detecta comentários no MySQL
owasp-crs-v030001-id942310-sqli
2
Detecta tentativas de injeção de SQL encadeadas (2/2)
owasp-crs-v030001-id942330-sqli
2
Detecta sondagens clássicas de injeção de SQL (1/2)
owasp-crs-v030001-id942340-sqli
2
Detecta tentativas básicas de desvio de autenticação SQL (3/3)
Not included
2
Detecta injeção básica de SQL com base na união ou alteração de palavra-chave
Not included
2
Detecta sondagens clássicas de injeção de SQL (2/3)
owasp-crs-v030001-id942380-sqli
2
Ataque de injeção de SQL
owasp-crs-v030001-id942390-sqli
2
Ataque de injeção de SQL
owasp-crs-v030001-id942400-sqli
2
Ataque de injeção de SQL
owasp-crs-v030001-id942410-sqli
2
Ataque de injeção de SQL
Not included
2
Ataque de injeção de SQL
Not included
2
Ataque de injeção de SQL
owasp-crs-v030001-id942430-sqli
2
Detecção de anomalias de caracteres SQL restritos (argumentos): número de caracteres especiais excedido (12)
owasp-crs-v030001-id942440-sqli
2
Sequência de comentários no SQL detectada
owasp-crs-v030001-id942450-sqli
2
Codificação hexadecimal do SQL identificada
Not included
2
Tentativa de ignorar o SQLi por marcações ou crase detectada
owasp-crs-v030001-id942251-sqli
3
Detecta injeções de HAVING
Not included
2
Detecta sondagens clássicas de injeção de SQL (3/3)
owasp-crs-v030001-id942420-sqli
3
Detecção de anomalias de caracteres SQL restritos (cookies): número de caracteres especiais excedido (8)
owasp-crs-v030001-id942431-sqli
3
Detecção de anomalias de caracteres SQL restritos (argumentos): número de caracteres especiais excedido (6)
owasp-crs-v030001-id942460-sqli
3
Alerta de detecção de anomalias de metacaracteres: caracteres repetitivos que não são palavras
Not included
3
Ataque de injeção de SQL detectado por libinjection
Not included
3
Tentativa de ignorar SQLi por marcações detectada
owasp-crs-v030001-id942421-sqli
4
Detecção de anomalias de caracteres SQL restritos (cookies): número de caracteres especiais excedido (3)
owasp-crs-v030001-id942432-sqli
4
Detecção de anomalias de caracteres SQL restritos (argumentos): número de caracteres especiais excedido (2)
É possível configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Por
padrão, sem configurar a sensibilidade do conjunto de regras, o Cloud Armor
avalia todas as assinaturas.
A tabela a seguir mostra o código da assinatura, o nível de confidencialidade e a descrição de cada assinatura compatível na regra WAF pré-configurada do XSS.
CRS 3.3
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
owasp-crs-v030301-id941100-xss
1
Ataque de XSS detectado por libinjection
owasp-crs-v030301-id941110-xss
1
Filtro de XSS - categoria 1: vetor de tag de script
owasp-crs-v030301-id941120-xss
1
Filtro de XSS - categoria 2: vetor de manipulador de eventos
owasp-crs-v030301-id941130-xss
1
Filtro de XSS - categoria 3: vetor de atributo
owasp-crs-v030301-id941140-xss
1
Filtro de XSS - categoria 4: vetor de URI de JavaScript
owasp-crs-v030301-id941160-xss
1
Verificador de injeção de XSS do NoScript: injeção de HTML
owasp-crs-v030301-id941170-xss
1
Verificador de injeção de XSS do NoScript: injeção de atributo
owasp-crs-v030301-id941180-xss
1
Palavras-chave da lista de proibições do validador de nó
owasp-crs-v030301-id941190-xss
1
Filtros de XSS do IE: ataque detectado
owasp-crs-v030301-id941200-xss
1
Filtros de XSS do IE: ataque detectado
owasp-crs-v030301-id941210-xss
1
Filtros de XSS do IE: ataque detectado
owasp-crs-v030301-id941220-xss
1
Filtros de XSS do IE: ataque detectado
owasp-crs-v030301-id941230-xss
1
Filtros de XSS do IE: ataque detectado
owasp-crs-v030301-id941240-xss
1
Filtros de XSS do IE: ataque detectado
owasp-crs-v030301-id941250-xss
1
Filtros de XSS do IE: ataque detectado
owasp-crs-v030301-id941260-xss
1
Filtros de XSS do IE: ataque detectado
owasp-crs-v030301-id941270-xss
1
Filtros de XSS do IE: ataque detectado
owasp-crs-v030301-id941280-xss
1
Filtros de XSS do IE: ataque detectado
owasp-crs-v030301-id941290-xss
1
Filtros de XSS do IE: ataque detectado
owasp-crs-v030301-id941300-xss
1
Filtros de XSS do IE: ataque detectado
owasp-crs-v030301-id941310-xss
1
Filtro de XSS de codificação mal formada US-ASCII: ataque detectado
owasp-crs-v030301-id941350-xss
1
XSS de codificação UTF-7 no IE: ataque detectado
owasp-crs-v030301-id941360-xss
1
Ofuscação de hieróglifos detectada
owasp-crs-v030301-id941370-xss
1
Variável global do JavaScript encontrada
owasp-crs-v030301-id941101-xss
2
Ataque de XSS detectado por libinjection
owasp-crs-v030301-id941150-xss
2
Filtro de XSS - categoria 5: atributos HTML não permitidos
owasp-crs-v030301-id941320-xss
2
Possível ataque de XSS detectado: manipulador de tags HTML
owasp-crs-v030301-id941330-xss
2
Filtros de XSS do IE: ataque detectado
owasp-crs-v030301-id941340-xss
2
Filtros de XSS do IE: ataque detectado
owasp-crs-v030301-id941380-xss
2
Injeção de modelo do lado do cliente da AngularJS detectada
CRS 3.0
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
Not included
1
Ataque de XSS detectado por libinjection
owasp-crs-v030001-id941110-xss
1
Filtro de XSS - categoria 1: vetor de tag de script
owasp-crs-v030001-id941120-xss
1
Filtro de XSS - categoria 2: vetor de manipulador de eventos
owasp-crs-v030001-id941130-xss
1
Filtro de XSS - categoria 3: vetor de atributo
owasp-crs-v030001-id941140-xss
1
Filtro de XSS - categoria 4: vetor de URI de JavaScript
owasp-crs-v030001-id941160-xss
1
Verificador de injeção de XSS do NoScript: injeção de HTML
owasp-crs-v030001-id941170-xss
1
Verificador de injeção de XSS do NoScript: injeção de atributo
owasp-crs-v030001-id941180-xss
1
Palavras-chave da lista de proibições do validador de nó
owasp-crs-v030001-id941190-xss
1
Filtros de XSS do IE: ataque detectado
owasp-crs-v030001-id941200-xss
1
Filtros de XSS do IE: ataque detectado
owasp-crs-v030001-id941210-xss
1
Filtros de XSS do IE: ataque detectado
owasp-crs-v030001-id941220-xss
1
Filtros de XSS do IE: ataque detectado
owasp-crs-v030001-id941230-xss
1
Filtros de XSS do IE: ataque detectado
owasp-crs-v030001-id941240-xss
1
Filtros de XSS do IE: ataque detectado
owasp-crs-v030001-id941250-xss
1
Filtros de XSS do IE: ataque detectado
owasp-crs-v030001-id941260-xss
1
Filtros de XSS do IE: ataque detectado
owasp-crs-v030001-id941270-xss
1
Filtros de XSS do IE: ataque detectado
owasp-crs-v030001-id941280-xss
1
Filtros de XSS do IE: ataque detectado
owasp-crs-v030001-id941290-xss
1
Filtros de XSS do IE: ataque detectado
owasp-crs-v030001-id941300-xss
1
Filtros de XSS do IE: ataque detectado
owasp-crs-v030001-id941310-xss
1
Filtro de XSS de codificação mal formada US-ASCII: ataque detectado
owasp-crs-v030001-id941350-xss
1
XSS de codificação UTF-7 no IE: ataque detectado
Not included
1
Ofuscação de JSFuck / hieróglifo detectada
Not included
1
Variável global do JavaScript encontrada
Not included
2
Ataque de XSS detectado por libinjection
owasp-crs-v030001-id941150-xss
2
Filtro de XSS - categoria 5: atributos HTML não permitidos
owasp-crs-v030001-id941320-xss
2
Possível ataque de XSS detectado: manipulador de tags HTML
owasp-crs-v030001-id941330-xss
2
Filtros de XSS do IE: ataque detectado
owasp-crs-v030001-id941340-xss
2
Filtros de XSS do IE: ataque detectado
Not included
2
Injeção de modelo do lado do cliente da AngularJS detectada
É possível configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Por
padrão, sem configurar a sensibilidade do conjunto de regras, o Cloud Armor
avalia todas as assinaturas.
Inclusão de arquivos locais (LFI, na sigla em inglês)
A tabela a seguir mostra o código da assinatura, o nível de confidencialidade e a descrição de cada assinatura compatível na regra de WAF pré-configurada da LFI.
CRS 3.3
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
owasp-crs-v030301-id930100-lfi
1
Ataque de travessia de caminhos (/../)
owasp-crs-v030301-id930110-lfi
1
Ataque de travessia de caminhos (/../)
owasp-crs-v030301-id930120-lfi
1
Tentativa de acessar arquivos do SO
owasp-crs-v030301-id930130-lfi
1
Tentativa de acessar arquivos restritos
CRS 3.0
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
owasp-crs-v030001-id930100-lfi
1
Ataque de travessia de caminhos (/../)
owasp-crs-v030001-id930110-lfi
1
Ataque de travessia de caminhos (/../)
owasp-crs-v030001-id930120-lfi
1
Tentativa de acessar arquivos do SO
owasp-crs-v030001-id930130-lfi
1
Tentativa de acessar arquivos restritos
É possível configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Todas as assinaturas de LFI estão no nível 1 de sensibilidade. A configuração a seguir
funciona para todos os níveis de sensibilidade:
Execução de código remoto (RCE, na sigla em inglês)
A tabela a seguir mostra o código da assinatura, o nível de confidencialidade e a descrição de cada assinatura compatível na regra de WAF pré-configurada da RCE.
CRS 3.3
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
owasp-crs-v030301-id932100-rce
1
Injeção de comando do UNIX
owasp-crs-v030301-id932105-rce
1
Injeção de comando do UNIX
owasp-crs-v030301-id932110-rce
1
Injeção de comando do Windows
owasp-crs-v030301-id932115-rce
1
Injeção de comando do Windows
owasp-crs-v030301-id932120-rce
1
Comando do PowerShell do Windows encontrado
owasp-crs-v030301-id932130-rce
1
Expressão de shell do Unix encontrada
owasp-crs-v030301-id932140-rce
1
Comando FOR/IF do Windows encontrado
owasp-crs-v030301-id932150-rce
1
Execução direta de comando do UNIX
owasp-crs-v030301-id932160-rce
1
Código de shell do UNIX encontrado
owasp-crs-v030301-id932170-rce
1
Shellshock (CVE-2014-6271)
owasp-crs-v030301-id932171-rce
1
Shellshock (CVE-2014-6271)
owasp-crs-v030301-id932180-rce
1
Tentativa restrita de upload de arquivos
owasp-crs-v030301-id932200-rce
2
Técnica de ignorar RCE
owasp-crs-v030301-id932106-rce
3
Execução de comandos remotos: injeção de comandos Unix
owasp-crs-v030301-id932190-rce
3
Execução de comandos remotos: tentativa de técnica de pular caracteres curinga
CRS 3.0
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
owasp-crs-v030001-id932100-rce
1
Injeção de comando do UNIX
owasp-crs-v030001-id932105-rce
1
Injeção de comando do UNIX
owasp-crs-v030001-id932110-rce
1
Injeção de comando do Windows
owasp-crs-v030001-id932115-rce
1
Injeção de comando do Windows
owasp-crs-v030001-id932120-rce
1
Comando do PowerShell do Windows encontrado
owasp-crs-v030001-id932130-rce
1
Expressão de shell do Unix encontrada
owasp-crs-v030001-id932140-rce
1
Comando FOR/IF do Windows encontrado
owasp-crs-v030001-id932150-rce
1
Execução direta de comando do UNIX
owasp-crs-v030001-id932160-rce
1
Código de shell do UNIX encontrado
owasp-crs-v030001-id932170-rce
1
Shellshock (CVE-2014-6271)
owasp-crs-v030001-id932171-rce
1
Shellshock (CVE-2014-6271)
Not included
1
Tentativa restrita de upload de arquivos
Not included
2
Técnica de ignorar RCE
Not included
3
Execução de comandos remotos: injeção de comandos Unix
Not included
3
Execução de comandos remotos: tentativa de técnica de pular caracteres curinga
É possível configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Todas as assinaturas de RCE estão no nível 1 de sensibilidade. A configuração a seguir
funciona para todos os níveis de sensibilidade:
Inclusão de arquivo remoto (RFI, na sigla em inglês)
A tabela a seguir fornece o ID da assinatura, o nível de confidencialidade e
a descrição de cada assinatura compatível na regra de WAF pré-configurada da RFI.
CRS 3.3
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
owasp-crs-v030301-id931100-rfi
1
Parâmetro de URL que usa um endereço IP
owasp-crs-v030301-id931110-rfi
1
Nome de parâmetro comum vulnerável a RFI usado com payload do URL
owasp-crs-v030301-id931120-rfi
1
Payload do URL usado com caractere de ponto de interrogação (?) no final
owasp-crs-v030301-id931130-rfi
2
Referência/link fora do domínio
CRS 3.0
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
owasp-crs-v030001-id931100-rfi
1
Parâmetro de URL que usa um endereço IP
owasp-crs-v030001-id931110-rfi
1
Nome de parâmetro comum vulnerável a RFI usado com payload do URL
owasp-crs-v030001-id931120-rfi
1
Payload do URL usado com caractere de ponto de interrogação (?) no final
owasp-crs-v030001-id931130-rfi
2
Referência/link fora do domínio
É possível configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Por
padrão, sem configurar a sensibilidade do conjunto de regras, o Cloud Armor
avalia todas as assinaturas.
A tabela a seguir mostra o ID, o nível de confidencialidade e
a descrição de cada assinatura compatível na regra pré-configurada da aplicação do
método.
CRS 3.3
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
owasp-crs-v030301-id911100-methodenforcement
1
Método não permitido por política
CRS 3.0
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
owasp-crs-v030001-id911100-methodenforcement
1
Método não permitido por política
É possível configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Por
padrão, sem configurar a sensibilidade do conjunto de regras, o Cloud Armor
avalia todas as assinaturas.
A tabela a seguir fornece o ID da assinatura, o nível de confidencialidade e
a descrição de cada assinatura compatível na regra pré-configurada da detecção
do scanner.
CRS 3.3
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
owasp-crs-v030301-id913100-scannerdetection
1
Encontramos o user agent associado à verificação de segurança
owasp-crs-v030301-id913110-scannerdetection
1
Encontramos o cabeçalho da solicitação associado à verificação de segurança
owasp-crs-v030301-id913120-scannerdetection
1
Encontramos o nome de arquivo/argumento associado à verificação de segurança
owasp-crs-v030301-id913101-scannerdetection
2
Encontramos o user agent associado ao client HTTP genérico/de script
owasp-crs-v030301-id913102-scannerdetection
2
Encontramos o user agent associado ao bot/rastreador da Web
CRS 3.0
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
owasp-crs-v030001-id913100-scannerdetection
1
Encontramos o user agent associado à verificação de segurança
owasp-crs-v030001-id913110-scannerdetection
1
Encontramos o cabeçalho da solicitação associado à verificação de segurança
owasp-crs-v030001-id913120-scannerdetection
1
Encontramos o nome de arquivo/argumento associado à verificação de segurança
owasp-crs-v030001-id913101-scannerdetection
2
Encontramos o user agent associado ao client HTTP genérico/de script
owasp-crs-v030001-id913102-scannerdetection
2
Encontramos o user agent associado ao bot/rastreador da Web
É possível configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Por
padrão, sem configurar a sensibilidade do conjunto de regras, o Cloud Armor
avalia todas as assinaturas.
A tabela a seguir fornece o ID da assinatura, o nível de confidencialidade e
a descrição de cada assinatura compatível na regra pré-configurada do ataque
de protocolo.
CRS 3.3
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
Not included
1
Ataque de contrabando de solicitação HTTP
owasp-crs-v030301-id921110-protocolattack
1
Ataque de contrabando de solicitação HTTP
owasp-crs-v030301-id921120-protocolattack
1
Ataque de divisão de resposta HTTP
owasp-crs-v030301-id921130-protocolattack
1
Ataque de divisão de resposta HTTP
owasp-crs-v030301-id921140-protocolattack
1
Ataque de injeção de cabeçalho HTTP via cabeçalhos
owasp-crs-v030301-id921150-protocolattack
1
Ataque de injeção de cabeçalho HTTP por meio de payload (CR/LF detectado)
owasp-crs-v030301-id921160-protocolattack
1
Ataque de injeção de cabeçalho HTTP por meio de payload (CR/LF e nome do cabeçalho detectado)
owasp-crs-v030301-id921190-protocolattack
1
Divisão HTTP (CR/LF no nome de arquivo da solicitação detectado)
owasp-crs-v030301-id921200-protocolattack
1
Ataque de injeção de LDAP
owasp-crs-v030301-id921151-protocolattack
2
Ataque de injeção de cabeçalho HTTP por meio de payload (CR/LF detectado)
owasp-crs-v030301-id921170-protocolattack
3
Poluição do parâmetro HTTP
CRS 3.0
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
owasp-crs-v030001-id921100-protocolattack
1
Ataque de contrabando de solicitação HTTP
owasp-crs-v030001-id921110-protocolattack
1
Ataque de contrabando de solicitação HTTP
owasp-crs-v030001-id921120-protocolattack
1
Ataque de divisão de resposta HTTP
owasp-crs-v030001-id921130-protocolattack
1
Ataque de divisão de resposta HTTP
owasp-crs-v030001-id921140-protocolattack
1
Ataque de injeção de cabeçalho HTTP via cabeçalhos
owasp-crs-v030001-id921150-protocolattack
1
Ataque de injeção de cabeçalho HTTP por meio de payload (CR/LF detectado)
owasp-crs-v030001-id921160-protocolattack
1
Ataque de injeção de cabeçalho HTTP por meio de payload (CR/LF e nome do cabeçalho detectado)
Not included
1
Divisão HTTP (CR/LF no nome de arquivo da solicitação detectado)
Not included
1
Ataque de injeção de LDAP
owasp-crs-v030001-id921151-protocolattack
2
Ataque de injeção de cabeçalho HTTP por meio de payload (CR/LF detectado)
owasp-crs-v030001-id921170-protocolattack
3
Poluição do parâmetro HTTP
É possível configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Por
padrão, sem configurar a sensibilidade do conjunto de regras, o Cloud Armor
avalia todas as assinaturas.
A tabela a seguir mostra o ID da assinatura, o nível de sensibilidade e a
descrição de cada assinatura compatível na regra de WAF pré-configurada do PHP.
CRS 3.3
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
owasp-crs-v030301-id933100-php
1
Ataque de injeção de PHP: tag aberta de PHP encontrada
owasp-crs-v030301-id933110-php
1
Ataque de injeção de PHP: upload do arquivo de script PHP encontrado
owasp-crs-v030301-id933120-php
1
Ataque de injeção de PHP: diretiva de configuração encontrada
owasp-crs-v030301-id933130-php
1
Ataque de injeção de PHP: variáveis encontradas
owasp-crs-v030301-id933140-php
1
Ataque de injeção de PHP: fluxo de E/S encontrado
owasp-crs-v030301-id933200-php
1
Ataque de injeção de PHP: esquema de wrapper detectado
owasp-crs-v030301-id933150-php
1
Ataque de injeção de PHP: nome da função PHP de alto risco encontrado
owasp-crs-v030301-id933160-php
1
Ataque de injeção de PHP: chamada de função PHP de alto risco encontrada
owasp-crs-v030301-id933170-php
1
Ataque de injeção de PHP: injeção de objeto serializado
owasp-crs-v030301-id933180-php
1
Ataque de injeção de PHP: chamada de função variável encontrada
owasp-crs-v030301-id933210-php
1
Ataque de injeção de PHP: chamada de função variável encontrada
owasp-crs-v030301-id933151-php
2
Ataque de injeção de PHP: nome da função PHP de risco médio encontrado
owasp-crs-v030301-id933131-php
3
Ataque de injeção de PHP: variáveis encontradas
owasp-crs-v030301-id933161-php
3
Ataque de injeção de PHP: chamada de função PHP de baixo valor encontrada
owasp-crs-v030301-id933111-php
3
Ataque de injeção de PHP: upload do arquivo de script PHP encontrado
owasp-crs-v030301-id933190-php
3
Ataque de injeção de PHP: tag fechada de PHP encontrada
CRS 3.0
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
owasp-crs-v030001-id933100-php
1
Ataque de injeção de PHP: tag aberta de PHP encontrada
owasp-crs-v030001-id933110-php
1
Ataque de injeção de PHP: upload do arquivo de script PHP encontrado
owasp-crs-v030001-id933120-php
1
Ataque de injeção de PHP: diretiva de configuração encontrada
owasp-crs-v030001-id933130-php
1
Ataque de injeção de PHP: variáveis encontradas
owasp-crs-v030001-id933140-php
1
Ataque de injeção de PHP: fluxo de E/S encontrado
Not included
1
Ataque de injeção de PHP: esquema de wrapper detectado
owasp-crs-v030001-id933150-php
1
Ataque de injeção de PHP: nome da função PHP de alto risco encontrado
owasp-crs-v030001-id933160-php
1
Ataque de injeção de PHP: chamada de função PHP de alto risco encontrada
owasp-crs-v030001-id933170-php
1
Ataque de injeção de PHP: injeção de objeto serializado
owasp-crs-v030001-id933180-php
1
Ataque de injeção de PHP: chamada de função variável encontrada
Not included
1
Ataque de injeção de PHP: chamada de função variável encontrada
owasp-crs-v030001-id933151-php
2
Ataque de injeção de PHP: nome da função PHP de risco médio encontrado
owasp-crs-v030001-id933131-php
3
Ataque de injeção de PHP: variáveis encontradas
owasp-crs-v030001-id933161-php
3
Ataque de injeção de PHP: chamada de função PHP de baixo valor encontrada
owasp-crs-v030001-id933111-php
3
Ataque de injeção de PHP: upload do arquivo de script PHP encontrado
Not included
3
Ataque de injeção de PHP: tag fechada de PHP encontrada
É possível configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Por
padrão, sem configurar a sensibilidade do conjunto de regras, o Cloud Armor
avalia todas as assinaturas.
A tabela a seguir fornece o ID da assinatura, o nível de confidencialidade e a
descrição de cada assinatura compatível na regra pré-configurada
da fixação de sessão.
CRS 3.3
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
owasp-crs-v030301-id943100-sessionfixation
1
Possível ataque de fixação de sessão: configuração de valores de cookies em HTML
owasp-crs-v030301-id943110-sessionfixation
1
Possível ataque de fixação de sessão: nome do parâmetro SessionID com referência fora do domínio
owasp-crs-v030301-id943120-sessionfixation
1
Possível ataque de fixação de sessão: nome do parâmetro SessionID sem referência
CRS 3.0
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
owasp-crs-v030001-id943100-sessionfixation
1
Possível ataque de fixação de sessão: configuração de valores de cookies em HTML
owasp-crs-v030001-id943110-sessionfixation
1
Possível ataque de fixação de sessão: nome do parâmetro SessionID com referência fora do domínio
owasp-crs-v030001-id943120-sessionfixation
1
Possível ataque de fixação de sessão: nome do parâmetro SessionID sem referência
É possível configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Todas as assinaturas para fixação de sessão estão no nível 1 de sensibilidade. A configuração a seguir
funciona para todos os níveis de sensibilidade:
A tabela a seguir fornece o ID de assinatura, o nível de confidencialidade e
a descrição de cada assinatura compatível na regra pré-configurada do ataque
de Java.
CRS 3.3
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
owasp-crs-v030301-id944100-java
1
Execução de comandos remotos: classe Java suspeita detectada
owasp-crs-v030301-id944110-java
1
Execução de comandos remotos: geração de processos Java (CVE-2017-9805)
owasp-crs-v030301-id944120-java
1
Execução de comandos remotos: serialização Java (CVE-2015-4852)
owasp-crs-v030301-id944130-java
1
Classe Java suspeita detectada
owasp-crs-v030301-id944200-java
2
Bytes mágicos detectados, possível serialização Java em uso
owasp-crs-v030301-id944210-java
2
Bytes mágicos detectados codificados em Base64 com uma provável serialização Java em uso
owasp-crs-v030301-id944240-java
2
Execução de comandos remotos: serialização Java (CVE-2015-4852)
owasp-crs-v030301-id944250-java
2
Execução de comandos remotos: método Java suspeito detectado
owasp-crs-v030301-id944300-java
3
String codificada em Base64 correspondente a uma palavra-chave suspeita
CRS 3.0
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
Not included
1
Execução de comandos remotos: classe Java suspeita detectada
Not included
1
Execução de comandos remotos: geração de processos Java (CVE-2017-9805)
Not included
1
Execução de comandos remotos: serialização Java (CVE-2015-4852)
Not included
1
Classe Java suspeita detectada
Not included
2
Bytes mágicos detectados, possível serialização Java em uso
Not included
2
Bytes mágicos detectados codificados em Base64 com uma provável serialização Java em uso
Not included
2
Execução de comandos remotos: serialização Java (CVE-2015-4852)
Not included
2
Execução de comandos remotos: método Java suspeito detectado
Not included
3
String codificada em Base64 correspondente a uma palavra-chave suspeita
É possível configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Por
padrão, sem configurar a sensibilidade do conjunto de regras, o Cloud Armor
avalia todas as assinaturas.
A tabela a seguir fornece o ID de assinatura, o nível de confidencialidade e
a descrição de cada assinatura compatível na regra pré-configurada do ataque
de NodeJS.
As assinaturas de regras de WAF pré-configuradas a seguir estão incluídas apenas no CRS
3.3.
CRS 3.3
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
owasp-crs-v030301-id934100-nodejs
1
Ataque de injeção de Node.js
CRS 3.0
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
Not included
1
Ataque de injeção de Node.js
É possível configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Todas
as assinaturas de ataque do NodeJS estão no nível 1 de sensibilidade. A configuração
a seguir funciona para outros níveis de sensibilidade:
A tabela a seguir contém o ID da assinatura, o nível de sensibilidade e
a descrição de cada assinatura compatível na regra pré-configurada da vulnerabilidade de RCE Log4j
do CVE.
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
owasp-crs-v030001-id044228-cve
1
Regra de base para ajudar a detectar tentativas de exploração de CVE-2021-44228
e CVE-2021-45046
owasp-crs-v030001-id144228-cve
1
Melhorias fornecidas pelo Google para cobrir mais tentativas de desvio e ofuscação
owasp-crs-v030001-id244228-cve
3
Aumento da sensibilidade da detecção para segmentar ainda mais tentativas de desvio e
ofuscação, com aumento nominal do risco de detecção de falsos positivos
owasp-crs-v030001-id344228-cve
3
Aumento da sensibilidade da detecção para segmentar ainda mais tentativas de desvio e
ofuscação, usando a codificação Base64, com aumento nominal do risco de detecção de falsos positivos.
É possível configurar uma regra em um nível de sensibilidade específico usando
evaluatePreconfiguredWaf() com um parâmetro de sensibilidade predefinido. Por
padrão, sem configurar a sensibilidade do conjunto de regras, o Cloud Armor
avalia todas as assinaturas.
Vulnerabilidade a SQLi de conteúdo no formato JSON
A tabela a seguir contém o ID da assinatura, o nível de sensibilidade e
a descrição da assinatura compatível
942550-sqli,
que abrange a vulnerabilidade em que invasores mal-intencionados podem
ignorar o WAF anexando sintaxe JSON ao payloads de injeção de SQL.
ID da assinatura (ID da regra)
Nível de sensibilidade
Descrição
owasp-crs-id942550-sqli
2
Detecta todos os vetores SQLi baseados em JSON, incluindo assinaturas SQLi
encontradas no URL
Use a expressão a seguir para implantar a assinatura:
Recomendamos que você também ative sqli-v33-stable no nível de sensibilidade 2 para
lidar totalmente com os desvios por injeção de SQL baseados em JSON.
Limitações
As regras de WAF pré-configuradas do Cloud Armor têm as seguintes limitações:
A propagação das mudanças nas regras de WAF geralmente leva vários minutos.
Entre os tipos de solicitações HTTPS com um corpo de solicitação, o Cloud Armor
processa apenas solicitações POST. O Cloud Armor avalia regras pré-configuradas
com base nos primeiros 8 KB de conteúdo do corpo de POST. Para mais informações, consulte
Limitação da inspeção do corpo de POST.
O Cloud Armor pode analisar e aplicar regras de WAF pré-configuradas a conteúdo formatado
em JSON (incluindo solicitações GraphQL por HTTP formatadas corretamente) quando
a análise JSON está ativada com um valor de cabeçalho Content-Type correspondente. Para mais
informações, consulte
Análise JSON.
Não será possível usar a ação allow se houver uma exclusão de campo de solicitação anexada a uma regra de WAF pré-configurada. As solicitações que correspondem à exceção são permitidas
automaticamente.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-11-01 UTC."],[],[]]
