Azure Front Door 上的 Azure Web 应用程序防火墙可保护 Web 应用程序免受常见漏洞和攻击影响。 Azure 托管的规则集可轻松针对一组常见的安全威胁来部署保护。 由于规则集由 Azure 管理,因此这些规则会根据需要进行更新以防范新的攻击签名。
默认规则集 (DRS) 还包含由 Microsoft 情报团队合作编写的 Microsoft 威胁情报收集规则,可以提供更大的覆盖范围、针对特定漏洞的补丁,并更好地减少误报。
注释
当 WAF 策略中的规则集版本发生更改时,对规则集所做的任何现有自定义都将重置为新规则集的默认值。 请参阅:升级或更改规则集版本。
默认规则集
Azure 托管的 DRS 包含针对以下威胁类别的规则:
- 跨站点脚本
- Java 攻击
- 本地文件包含
- PHP 注入攻击
- 远程命令执行
- 远程文件包含
- 会话固定
- SQL 注入保护
- 协议攻击者
将新的攻击签名添加到规则集时,DRS 的版本号将递增。
DRS 在 WAF 策略的检测模式下默认启用。 可以禁用或启用 DRS 内的各个规则以满足应用程序要求。 还可以根据规则设置特定操作。 可采取的操作包括允许、阻止、记录和重定向。
有时你可能需要忽略 Web 应用程序防火墙 (WAF) 评估中的某些请求属性。 一个常见的例子是用于身份验证的 Active Directory 插入令牌。 可以为托管规则、规则组或整个规则集配置排除列表。 有关详细信息,请参阅 Azure Front Door 上的 Web 应用程序防火墙排除列表。
默认情况下,当请求与规则匹配时,DRS 2.0 及更高版本会使用异常评分。 早于 2.0 的 DRS 版本会阻止触发规则的请求。 此外,如果想要绕过 DRS 中的任何预配置规则,可以在同一 WAF 策略中配置自定义规则。
在评估 DRS 中的规则之前,自定义规则始终适用。 如果请求与某个自定义规则相匹配,将应用相应的规则操作。 请求将被阻止,或通过后端传递。 不会处理任何其他自定义规则或 DRS 中的规则。 还可以从 WAF 策略中删除 DRS。
Microsoft 威胁情报收集规则
Microsoft 威胁情报收集规则由 Microsoft 威胁情报团队合作编写,以提供更高的覆盖范围、针对特定漏洞的补丁,并更好地减少误报。
默认情况下,Microsoft 威胁情报收集规则会替换部分内置 DRS 规则,导致它们被禁用。 例如,规则 ID 942440“检测到 SQL 注释序列”已被禁用,并被 Microsoft 威胁情报收集规则 99031002 取代。 替换的规则可降低合法请求的误报检测的风险。
异常评分
使用 DRS 2.0 或更高版本时,WAF 使用异常评分。 即使 WAF 处于防护模式,符合任何规则的流量也不会被立即阻止。 相反,OWASP 规则集会为每个规则定义严重性:“严重”、“错误”、“警告”或“通知”。 这些严重性会影响请求的数值,该数值称为异常分数。 如果请求累积的异常分数为 5 或更高,则 WAF 会对该请求执行操作。
| 规则严重性 |
对异常分数的贡献值 |
| 危急 |
5 |
| 错误 |
4 |
| 警告 |
3 |
| 通知 |
2 |
配置 WAF 时,可以决定 WAF 如何处理超过异常分数阈值 5 的请求。 三个异常分数操作选项是阻止、记录或重定向。 配置时选择的异常分数操作将应用于超过异常分数阈值的所有请求。
例如,如果请求的异常分数为 5 或更高,WAF 处于“预防”模式,且异常分数操作设置为“阻止”,则会阻止该请求。 如果请求的异常分数为 5 或更高,并且 WAF 处于“检测”模式,则会记录请求,但不会阻止请求。
在预防模式下,若异常分数操作设置为“阻止”,一个“严重”规则匹配就足以让 WAF 阻止请求,因为总体异常分数为 5。 然而,一个“警告”规则匹配仅会使异常得分增加3分,这本身还不足以阻止流量。 触发异常规则时,它会在日志中显示“匹配”操作。 如果异常分数为 5 或更高,则会触发一个单独的规则,其中包含为规则集配置的异常分数操作。 默认异常分数操作为“阻止”,这会生成包含 blocked 操作的日志条目。
当 WAF 使用早期版本的默认规则集(低于 DRS 2.0 的版本)时,WAF 以传统模式运行。 与任何规则匹配的流量被视为独立于任何其他规则匹配。 在传统模式下,无法查看与特定请求匹配的完整规则集。
所用 DRS 版本还会确定请求正文检查支持哪些内容类型。 有关更多信息,请参阅常见问题中的 WAF 支持哪些内容类型 。
偏执狂级别
每条规则都分配在特定的偏执狂级别 (PL) 中。 在 Paranoia 级别 1 (PL1) 中配置的规则不太激进,并且几乎从不会触发误报。 它们提供基础安全性,几乎不需要进行微调。 PL2 中的规则会检测到更多攻击,但预期会触发误报,应对其进行微调。
默认情况下,DRS 2.2 在 Paranoia 级别 1(PL1)配置,并且禁用所有 PL2 规则。 若要在 PL2 中运行 WAF,可以手动启用任何或所有 PL2 规则。
对于早期的规则集,DRS 2.1 和 CRS 3.2 包括为 Paranoia 级别 2 定义的规则,其中包括 PL1 和 PL2 规则。 如果希望严格在 PL1 范围内操作,可以禁用特定的 PL2 规则或将其动作设置为“日志”。
Azure WAF 目前不支持 Paranoia 级别 3 和 4。
升级或更改规则集版本
如果要升级或分配新的规则集版本,并且想要保留现有规则替代和排除项,建议使用 PowerShell、CLI、REST API 或模板进行规则集版本更改。 规则集的新版本可以有更新的规则、附加规则组,并可能对现有签名进行更新,以强制实施更好的安全性并减少误报。 建议验证测试环境中的更改,根据需要微调,然后在生产环境中部署。
注释
如果使用 Azure 门户将新的托管规则集分配给 WAF 策略,则现有托管规则集(如规则状态、规则作和规则级别排除)的所有以前的自定义都将重置为新的托管规则集的默认值。 但是,在分配新规则集期间,任何自定义规则或策略设置均不受影响。 在生产环境中部署之前,需要重新定义规则替代和验证更改。
DRS 2.2
DRS 2.2 规则提供比早期版本的 DRS 更好的保护。 它包括 Microsoft 威胁情报团队开发的其他规则和签名更新,因此可以减少误报。 它还支持 URL 解码以外的转换。
DRS 2.2 包括 18 个规则组,如下表所示。 每个组包含多个规则,你可以自定义各个规则、规则组或整个规则集的行为。 DRS 2.2 基于开放 Web 应用程序安全项目(OWASP)核心规则集(CRS)3.3.4 进行基线,并包括由Microsoft威胁情报团队开发的其他专有保护规则。
禁用的规则
默认情况下禁用在 Paranoia 级别 2 中配置的 DRS 2.2 规则。 如果要在 Paranoia 级别 1 中配置 WAF 策略,则可以将其状态保留为禁用状态。 如果想要提高策略的偏执狂级别,可以安全地将这些规则的状态更改为启用,并将其操作更改为日志模式。 分析日志,进行所需的微调,并相应地启用规则。 有关详细信息,请参阅 优化 Azure Front Door 的 Web 应用程序防火墙(WAF) 和 Paranoia 级别。
某些 OWASP 规则被 Microsoft 编写的替代品取代。 默认情况下禁用原始规则,其说明以“(替换为 ...)”结尾。
DRS 2.1
DRS 2.1 规则可以比早期版本的 DRS 提供更好的保护。 它包括 Microsoft 威胁情报团队开发的其他规则和签名更新,因此可以减少误报。 它还支持 URL 解码以外的转换。
DRS 2.1 包括下表中所示的 17 个规则组。 每个组包含多个规则,你可以自定义各个规则、规则组或整个规则集的行为。 DRS 2.1 以 Open Web Application Security Project (OWASP) 核心规则集 (CRS) 3.3.2 为基准,包含由 Microsoft 威胁情报团队制定的其他专有保护规则。
有关详细信息,请参阅优化 Azure Front Door 的 Web 应用程序防火墙 (WAF)。
注释
DRS 2.1 仅在 Azure Front Door 高级版中可用。
禁用的规则
对于 DRS 2.1,默认情况下会禁用下列规则。
| 规则编号 |
规则组 |
Description |
详细信息 |
| 942110 |
SQLI |
SQL 注入攻击:检测到常用注入测试 |
被 MSTIC 规则 99031001 替代 |
| 942150 |
SQLI |
SQL 注入攻击 |
被 MSTIC 规则 99031003 替代 |
| 942260 |
SQLI |
检测到基本 SQL 身份验证绕过尝试 2/3 |
被 MSTIC 规则 99031004 替代 |
| 942430 |
SQLI |
受限 SQL 字符异常情况检测 (args):已超出特殊字符数 (12) |
假正太多 |
| 942440 |
SQLI |
检测到 SQL 注释序列 |
被 MSTIC 规则 99031002 替代 |
| 99005006 |
MS-ThreatIntel-WebShells |
Spring4Shell 交互尝试 |
启用规则以防止 SpringShell 漏洞 |
| 99001014 |
MS-ThreatIntel-CVEs |
尝试使用 Spring Cloud 路由表达式注入 CVE-2022-22963 |
启用规则以防止 SpringShell 漏洞 |
| 99001015 |
MS-ThreatIntel-WebShells |
尝试利用 Spring Framework 不安全类对象 CVE-2022-22965 |
启用规则以防止 SpringShell 漏洞 |
| 99001016 |
MS-ThreatIntel-WebShells |
尝试进行 Spring Cloud Gateway Actuator 执行器注入 CVE-2022-22947 |
启用规则以防止 SpringShell 漏洞 |
| 99001017 |
MS-ThreatIntel-CVEs |
尝试利用 Apache Struts 文件上传 CVE-2023-50164 |
启用规则来防止 Apache Struts 漏洞 |
DRS 2.0
DRS 2.0 规则能比早期版本的 DRS 提供更好的保护。 DRS 2.0 还支持 URL 解码以外的转换。
DRS 2.0 包含下表中所示的 17 个规则组。 每个组可包含多个规则。 可以禁用单个规则和整个规则组。
注释
DRS 2.0 仅在 Azure Front Door 高级版中可用。
DRS 1.1
数据迁移服务 1.0
机器人管理器 1.0
Bot Manager 1.0 规则集可防范恶意机器人并检测出善意机器人。 这些规则通过将机器人流量划分为“善意”、“恶意”或“未知”机器人,对 WAF 检测到的机器人进行精细控制。
机器人管理器 1.1
Bot Manager 1.1 规则集是 Bot Manager 1.0 规则集的增强版。 它增强了对恶意机器人的防范,并增加了善意机器人检测。
使用 Azure Front Door 上的 Azure Web 应用程序防火墙时,可以使用以下规则组和规则。
2.2 规则集
概况
| 规则编号 |
异常分数严重性 |
偏执狂级别 |
Description |
| 200002 |
严重 - 5 |
1 |
无法分析请求正文。 |
| 200003 |
严重 - 5 |
1 |
多部分请求正文无法通过严格的验证 |
方法强制实施
| 规则编号 |
异常分数严重性 |
偏执狂级别 |
Description |
| 911100 |
严重 - 5 |
1 |
方法不被政策允许 |
协议执行
| 规则编号 |
异常分数严重性 |
偏执狂级别 |
Description |
| 920100 |
通知 - 2 |
1 |
无效的 HTTP 请求行 |
| 920120 |
严重 - 5 |
1 |
尝试了多部分/表单数据绕过 |
| 920121 |
严重 - 5 |
2 |
尝试了多部分/表单数据绕过 |
| 920160 |
严重 - 5 |
1 |
Content-Length HTTP 标头不是数值。 |
| 920170 |
严重 - 5 |
1 |
包含正文内容的 GET 或 HEAD 请求。 |
| 920171 |
严重 - 5 |
1 |
使用传输编码的 GET 或 HEAD 请求。 |
| 920180 |
通知 - 2 |
1 |
不带内容长度或 Transfer-Encoding 标头的 POST。 |
| 920181 |
警告 - 3 |
1 |
内容长度和 Transfer-Encoding 标头存在 |
| 920190 |
警告 - 3 |
1 |
范围:最后一个字节值无效。 |
| 920200 |
警告 - 3 |
2 |
范围:字段太多(6 个或以上) |
| 920201 |
警告 - 3 |
2 |
范围:PDF 请求的字段过多(63 个或多个) |
| 920210 |
警告 - 3 |
1 |
找到多个/冲突的连接标头数据。 |
| 920220 |
警告 - 3 |
1 |
URL 编码滥用攻击尝试 |
| 920230 |
警告 - 3 |
2 |
检测到多个 URL 编码 |
| 920240 |
警告 - 3 |
1 |
URL 编码滥用攻击尝试 |
| 920260 |
警告 - 3 |
1 |
Unicode 全角/半角滥用攻击企图 |
| 920270 |
严重 - 5 |
1 |
请求中的字符无效(null 字符) |
| 920271 |
严重 - 5 |
2 |
请求中的字符无效(不可打印的字符) |
| 920280 |
警告 - 3 |
1 |
请求缺少 Host 标头 |
| 920290 |
警告 - 3 |
1 |
Host 标头为空 |
| 920300 |
通知 - 2 |
2 |
请求缺少 Accept 标头 |
| 920310 |
通知 - 2 |
1 |
请求包含空的 Accept 标头 |
| 920311 |
通知 - 2 |
1 |
请求包含空的 Accept 标头 |
| 920320 |
通知 - 2 |
2 |
缺少用户代理标头 |
| 920330 |
通知 - 2 |
1 |
用户代理标头为空 |
| 920340 |
通知 - 2 |
1 |
请求中包含内容,但缺少 Content-Type 标头 |
| 920341 |
严重 - 5 |
2 |
包含内容的请求需要内容类型标头 |
| 920350 |
警告 - 3 |
1 |
Host 标头是数字 IP 地址 |
| 920420 |
严重 - 5 |
2 |
请求内容类型不符合策略规定 |
| 920430 |
严重 - 5 |
1 |
策略不允许使用 HTTP 协议版本 |
| 920440 |
严重 - 5 |
1 |
策略限制了 URL 文件扩展名 |
| 920450 |
严重 - 5 |
1 |
策略限制了 HTTP 标头 |
| 920470 |
严重 - 5 |
1 |
Content-Type 标头非法 |
| 920480 |
严重 - 5 |
1 |
请求内容类型的字符集不被策略允许 |
| 920500 |
严重 - 5 |
1 |
尝试访问备份或正在工作的文件 |
| 920530 |
严重 - 5 |
1 |
限制内容类型标头内的 charset 参数最多发生一次 |
| 920620 |
严重 - 5 |
1 |
多个内容类型请求标头 |
协议攻击
| 规则编号 |
异常分数严重性 |
偏执狂级别 |
Description |
| 921110 |
严重 - 5 |
1 |
HTTP 请求走私攻击 |
| 921120 |
严重 - 5 |
1 |
HTTP 响应拆分攻击 |
| 921130 |
严重 - 5 |
1 |
HTTP 响应拆分攻击 |
| 921140 |
严重 - 5 |
1 |
通过标头展开的 HTTP 标头注入攻击 |
| 921150 |
严重 - 5 |
1 |
通过有效负载展开的 HTTP 标头注入攻击(检测到 CR/LF) |
| 921151 |
严重 - 5 |
2 |
通过有效负载展开的 HTTP 标头注入攻击(检测到 CR/LF) |
| 921160 |
严重 - 5 |
1 |
通过有效负载展开的 HTTP 标头注入攻击(检测到 CR/LF 和标头名称) |
| 921190 |
严重 - 5 |
1 |
HTTP 拆分(检测到请求文件名中存在 CR/LF) |
| 921200 |
严重 - 5 |
1 |
LDAP 注入攻击 |
| 921422 |
严重 - 5 |
2 |
在实际内容类型声明之外检测 Content-Type 标头中的内容类型 |
LFI:本地文件包含
| 规则编号 |
异常分数严重性 |
偏执狂级别 |
Description |
| 930100 |
严重 - 5 |
1 |
路径遍历攻击 (/../) |
| 930110 |
严重 - 5 |
1 |
路径遍历攻击 (/../) |
| 930120 |
严重 - 5 |
1 |
OS 文件访问尝试 |
| 930130 |
严重 - 5 |
1 |
受限文件访问尝试 |
RFI:远程文件包含
| 规则编号 |
异常分数严重性 |
偏执狂级别 |
Description |
| 931100 |
严重 - 5 |
2 |
可能的远程文件包含 (RFI) 攻击:使用 IP 地址的 URL 参数 |
| 931110 |
严重 - 5 |
1 |
可能的远程文件包含 (RFI) 攻击:对 URL 有效负载使用常见 RFI 漏洞参数名 |
| 931120 |
严重 - 5 |
1 |
可能的远程文件包含 (RFI) 攻击:在 URL 有效负载中使用尾随问号 (?) |
| 931130 |
严重 - 5 |
2 |
可能的远程文件包含 (RFI) 攻击:域外引用/链接 |
RCE:远程命令执行
| 规则编号 |
异常分数严重性 |
偏执狂级别 |
Description |
| 932100 |
严重 - 5 |
1 |
远程命令执行:Unix 命令注入 |
| 932105 |
严重 - 5 |
1 |
远程命令执行:Unix 命令注入 |
| 932110 |
严重 - 5 |
1 |
远程命令执行:Windows 命令注入 |
| 932115 |
严重 - 5 |
1 |
远程命令执行:Windows 命令注入 |
| 932120 |
严重 - 5 |
1 |
远程命令执行:找到 Windows PowerShell 命令 |
| 932130 |
严重 - 5 |
1 |
远程命令执行:找到 Unix Shell 表达式或 Confluence 漏洞 (CVE-2022-26134) |
| 932140 |
严重 - 5 |
1 |
远程命令执行:找到 Windows FOR/IF 命令 |
| 932150 |
严重 - 5 |
1 |
远程命令执行:直接 Unix 命令执行 |
| 932160 |
严重 - 5 |
1 |
远程命令执行:找到 Unix Shell 代码 |
| 932170 |
严重 - 5 |
1 |
远程命令执行:Shellshock (CVE-2014-6271) |
| 932171 |
严重 - 5 |
1 |
远程命令执行:Shellshock (CVE-2014-6271) |
| 932180 |
严重 - 5 |
1 |
受限文件上传企图 |
PHP 攻击
| 规则编号 |
异常分数严重性 |
偏执狂级别 |
Description |
| 933100 |
严重 - 5 |
1 |
PHP 注入攻击:找到 PHP 开启标记 |
| 933110 |
严重 - 5 |
1 |
PHP 注入攻击:找到 PHP 脚本文件上传 |
| 933120 |
严重 - 5 |
1 |
PHP 注入攻击:找到配置指令 |
| 933130 |
严重 - 5 |
1 |
PHP 注入攻击:找到变量 |
| 933140 |
严重 - 5 |
1 |
PHP 注入攻击:找到 I/O 流 |
| 933150 |
严重 - 5 |
1 |
PHP 注入攻击:找到高风险的 PHP 函数名称 |
| 933151 |
严重 - 5 |
2 |
PHP 注入攻击:找到中等风险的 PHP 函数名称 |
| 933160 |
严重 - 5 |
1 |
PHP 注入攻击:找到高风险的 PHP 函数调用 |
| 933170 |
严重 - 5 |
1 |
PHP 注入攻击:序列化对象注入 |
| 933180 |
严重 - 5 |
1 |
PHP 注入攻击:找到可变函数调用 |
| 933200 |
严重 - 5 |
1 |
PHP 注入攻击:检测到包装器方案 |
| 933210 |
严重 - 5 |
1 |
PHP 注入攻击:找到可变函数调用 |
Node JS 攻击
| 规则编号 |
异常分数严重性 |
偏执狂级别 |
Description |
| 934100 |
严重 - 5 |
1 |
Node.js 注入攻击 |
XSS:跨站脚本
| 规则编号 |
异常分数严重性 |
偏执狂级别 |
Description |
| 941100 |
严重 - 5 |
1 |
通过 libinjection 检测到 XSS 攻击 |
| 941101 |
严重 - 5 |
2 |
通过 libinjection 检测到 XSS 攻击 |
| 941110 |
严重 - 5 |
1 |
XSS 筛选器 - 类别 1:脚本标记向量 |
| 941120 |
严重 - 5 |
2 |
XSS 筛选器 - 类别 2:事件处理矢量 |
| 941130 |
严重 - 5 |
1 |
XSS 筛选器 - 类别 3:属性向量 |
| 941140 |
严重 - 5 |
1 |
XSS 筛选器 - 类别 4:Javascript URI 矢量 |
| 941150 |
严重 - 5 |
2 |
XSS 筛选器 - 类别 5:不允许的 HTML 属性 |
| 941160 |
严重 - 5 |
1 |
NoScript XSS InjectionChecker:HTML 注入 |
| 941170 |
严重 - 5 |
1 |
NoScript XSS InjectionChecker:属性注入 |
| 941180 |
严重 - 5 |
1 |
节点验证器黑名单关键字 |
| 941190 |
严重 - 5 |
1 |
IE XSS 筛选器 - 检测到攻击。 |
| 941200 |
严重 - 5 |
1 |
IE XSS 筛选器 - 检测到攻击。 |
| 941210 |
严重 - 5 |
1 |
IE XSS 筛选器 - 检测到攻击。 |
| 941220 |
严重 - 5 |
1 |
IE XSS 筛选器 - 检测到攻击。 |
| 941230 |
严重 - 5 |
1 |
IE XSS 筛选器 - 检测到攻击。 |
| 941240 |
严重 - 5 |
1 |
IE XSS 筛选器 - 检测到攻击。 |
| 941250 |
严重 - 5 |
1 |
IE XSS 筛选器 - 检测到攻击。 |
| 941260 |
严重 - 5 |
1 |
IE XSS 筛选器 - 检测到攻击。 |
| 941270 |
严重 - 5 |
1 |
IE XSS 筛选器 - 检测到攻击。 |
| 941280 |
严重 - 5 |
1 |
IE XSS 筛选器 - 检测到攻击。 |
| 941290 |
严重 - 5 |
1 |
IE XSS 筛选器 - 检测到攻击。 |
| 941300 |
严重 - 5 |
1 |
IE XSS 筛选器 - 检测到攻击。 |
| 941310 |
严重 - 5 |
1 |
US-ASCII 格式不正确的编码 XSS 筛选器 - 检测到攻击。 |
| 941320 |
严重 - 5 |
2 |
检测到可能的 XSS 攻击 - HTML 标记处理程序 |
| 941330 |
严重 - 5 |
2 |
IE XSS 筛选器 - 检测到攻击。 |
| 941340 |
严重 - 5 |
2 |
IE XSS 筛选器 - 检测到攻击。 |
| 941350 |
严重 - 5 |
1 |
UTF-7 编码 IE XSS - 检测到攻击。 |
| 941360 |
严重 - 5 |
1 |
检测到 JSFuck / Hieroglyphy 混淆 |
| 941370 |
严重 - 5 |
1 |
找到 JavaScript 全局变量 |
| 941380 |
严重 - 5 |
2 |
检测到 AngularJS 客户端模板注入 |
SQLI:SQL 注入
| 规则编号 |
异常分数严重性 |
偏执狂级别 |
Description |
| 942100 |
严重 - 5 |
1 |
检测到通过 libinjection 展开的 SQL 注入攻击 |
| 942110 |
警告 - 3 |
2 |
SQL 注入攻击:检测到常用注入测试 |
| 942120 |
严重 - 5 |
2 |
SQL 注入攻击:检测到 SQL 运算符 |
| 942140 |
严重 - 5 |
1 |
SQL 注入攻击:检测到常用 DB 名称 |
| 942150 |
严重 - 5 |
2 |
SQL 注入攻击 (替换为规则 #99031003) |
| 942160 |
严重 - 5 |
1 |
检测使用 sleep() 或 benchmark() 的盲 SQL 注入测试。 |
| 942170 |
严重 - 5 |
1 |
检测到包含条件查询的 SQL 基准和休眠注入企图 |
| 942180 |
严重 - 5 |
2 |
检测到基本 SQL 身份验证绕过尝试 1/3 |
| 942190 |
严重 - 5 |
1 |
检测到尝试进行 MSSQL 代码执行和信息收集的行为 |
| 942200 |
严重 - 5 |
2 |
检测到 MySQL 注释/空间经过模糊处理的注入和反引号终止 |
| 942210 |
严重 - 5 |
2 |
检测链式 SQL 注入尝试次数 1/2 |
| 942220 |
严重 - 5 |
1 |
查找整数溢出攻击,这些攻击来自 skipfish,但 3.0.00738585072007e-308 是“幻数”故障 |
| 942230 |
严重 - 5 |
1 |
检测条件式 SQL 注入企图 |
| 942240 |
严重 - 5 |
1 |
检测 MySQL 字符集切换和 MSSQL 拒绝服务攻击尝试 |
| 942250 |
严重 - 5 |
1 |
检测 MATCH AGAINST、MERGE 和 EXECUTE IMMEDIATE 注入 |
| 942260 |
严重 - 5 |
2 |
检测基本 SQL 身份验证绕过尝试 2/3(替换为规则 #99031004) |
| 942270 |
严重 - 5 |
1 |
正在查找基本 sql 注入。 mysql、oracle 和其他对象的常见攻击字符串。 |
| 942280 |
严重 - 5 |
1 |
检测 Postgres pg_sleep 注入、waitfor 延迟攻击和数据库关闭尝试 |
| 942290 |
严重 - 5 |
1 |
查找基本 MongoDB SQL 注入企图 |
| 942300 |
严重 - 5 |
2 |
检测到 MySQL 注释、条件和 ch(a)r 注入 |
| 942310 |
严重 - 5 |
2 |
检测链式 SQL 注入尝试次数 2/2 |
| 942320 |
严重 - 5 |
1 |
检测 MySQL 和 PostgreSQL 存储过程/函数注入 |
| 942330 |
严重 - 5 |
2 |
检测经典 SQL 注入探测 1/3 |
| 942340 |
严重 - 5 |
2 |
检测基本 SQL 身份验证绕过尝试 3/3(替换为规则 #99031006) |
| 942350 |
严重 - 5 |
1 |
检测 MySQL UDF 注入和其他数据/结构操作企图 |
| 942360 |
严重 - 5 |
1 |
检测到连接的基本 SQL 注入和 SQLLFI 尝试 |
| 942361 |
严重 - 5 |
2 |
检测基于关键字 alter 或 union 的基本 SQL 注入 |
| 942370 |
严重 - 5 |
2 |
检测经典 SQL 注入探测 2/3 |
| 942380 |
严重 - 5 |
2 |
SQL 注入攻击 |
| 942390 |
严重 - 5 |
2 |
SQL 注入攻击 |
| 942400 |
严重 - 5 |
2 |
SQL 注入攻击 |
| 942410 |
严重 - 5 |
2 |
SQL 注入攻击 |
| 942430 |
警告 - 3 |
2 |
受限 SQL 字符异常检测(args):特殊字符数量超出(12)(被规则 #99031005 替代) |
| 942440 |
严重 - 5 |
2 |
检测到 SQL 注释序列(替换为规则 #99031002)。 |
| 942450 |
严重 - 5 |
2 |
识别到 SQL 十六进制编码 |
| 942470 |
严重 - 5 |
2 |
SQL 注入攻击 |
| 942480 |
严重 - 5 |
2 |
SQL 注入攻击 |
| 942500 |
严重 - 5 |
1 |
检测到 MySQL 内联注释。 |
| 942510 |
严重 - 5 |
2 |
检测到使用单引号或反引号绕过 SQLi 的尝试。 |
会话固定
| 规则编号 |
异常分数严重性 |
偏执狂级别 |
Description |
| 943100 |
严重 - 5 |
1 |
可能的会话固定攻击:在 HTML 中设置 Cookie 值 |
| 943110 |
严重 - 5 |
1 |
可能的会话固定攻击:包含域外引用方的 SessionID 参数名称 |
| 943120 |
严重 - 5 |
1 |
可能的会话固定攻击:不包含引用方的 SessionID 参数名称 |
Java 攻击
| 规则编号 |
异常分数严重性 |
偏执狂级别 |
Description |
| 944100 |
严重 - 5 |
1 |
远程命令执行:检测到可疑的 Java 类 |
| 944110 |
严重 - 5 |
1 |
远程命令执行:Java 进程生成 (CVE-2017-9805) |
| 944120 |
严重 - 5 |
1 |
远程命令执行:Java 序列化 (CVE-2015-5842) |
| 944130 |
严重 - 5 |
1 |
检测到可疑的 Java 类 |
| 944200 |
严重 - 5 |
2 |
检测到魔术字节,可能正在使用 java 序列化 |
| 944210 |
严重 - 5 |
2 |
检测到 Base64 编码的 Magic 字节,可能正在使用 Java 序列化 |
| 944240 |
严重 - 5 |
2 |
远程命令执行:Java 序列化和 Log4j 漏洞 (CVE-2021-44228, CVE-2021-45046) |
| 944250 |
严重 - 5 |
2 |
远程命令执行:检测到可疑的 Java 方法 |
MS-ThreatIntel-WebShells
| 规则编号 |
异常分数严重性 |
偏执狂级别 |
Description |
| 99005002 |
严重 - 5 |
2 |
Web Shell 交互尝试 (POST) |
| 99005003 |
严重 - 5 |
2 |
Web Shell 上传尝试 (POST) - CHOPPER PHP |
| 99005004 |
严重 - 5 |
2 |
Web Shell 上传尝试 (POST) - CHOPPER ASPX |
| 99005005 |
严重 - 5 |
2 |
Web Shell 交互尝试 |
| 99005006 |
严重 - 5 |
2 |
Spring4Shell 交互尝试 |
MS-ThreatIntel-AppSec
| 规则编号 |
异常分数严重性 |
偏执狂级别 |
Description |
| 99030001 |
严重 - 5 |
2 |
标头中的路径遍历规避 (/.././../) |
| 99030002 |
严重 - 5 |
2 |
请求正文中的路径遍历规避 (/.././../) |
| 99030003 |
严重 - 5 |
2 |
URL 编码的文件路径 |
| 99030004 |
严重 - 5 |
2 |
缺少支持浏览器的 brotli 编码和 https 引用器 |
| 99030005 |
严重 - 5 |
2 |
在支持 HTTP/2 的浏览器中缺少 brotli 编码。 |
| 99030006 |
严重 - 5 |
2 |
请求文件名中的非法字符 |
MS-ThreatIntel-SQLI
| 规则编号 |
异常分数严重性 |
偏执狂级别 |
Description |
| 99031001 |
警告 - 3 |
2 |
SQL 注入攻击:检测到常见注入测试(替换规则 #942110) |
| 99031002 |
严重 - 5 |
2 |
检测到 SQL 注释序列(替换规则 #942440)。 |
| 99031003 |
严重 - 5 |
2 |
SQL 注入攻击 (替换规则 #942150) |
| 99031004 |
严重 - 5 |
2 |
检测基本的 SQL 身份验证绕过尝试 2/3(替换规则 #942260) |
| 99031005 |
警告 - 3 |
2 |
受限 SQL 字符异常检测(参数):特殊字符数量超过(12)(触发规则替换 #942430) |
| 99031006 |
严重 - 5 |
2 |
检测基本的 SQL 身份验证绕过尝试 3/3(替换规则 #942340) |
MS-ThreatIntel-CVEs
MS-ThreatIntel-XSS
| 规则编号 |
异常分数严重性 |
偏执狂级别 |
Description |
| 99032001 |
严重 - 5 |
1 |
XSS 筛选器 - 类别 2:事件处理程序向量(替换规则 #941120) |
| 99032002 |
严重 - 5 |
2 |
可能的远程文件包含(RFI)攻击:外域引用/链接(替换规则 #931130) |
2.1 规则集
概况
| 规则编号 |
异常分数严重性 |
偏执狂级别 |
Description |
| 200002 |
严重 - 5 |
1 |
无法解析请求正文 |
| 200003 |
严重 - 5 |
1 |
多部分请求正文无法通过严格的验证 |
方法强制实施
| 规则编号 |
异常分数严重性 |
偏执狂级别 |
Description |
| 911100 |
严重 - 5 |
1 |
方法不被政策允许 |
协议执行
| 规则编号 |
异常分数严重性 |
偏执狂级别 |
Description |
| 920100 |
通知 - 2 |
1 |
无效的 HTTP 请求行 |
| 920120 |
严重 - 5 |
1 |
尝试了多部分/表单数据绕过 |
| 920121 |
严重 - 5 |
2 |
尝试了多部分/表单数据绕过 |
| 920160 |
严重 - 5 |
1 |
Content-Length HTTP 标头不是数值 |
| 920170 |
严重 - 5 |
1 |
包含正文内容的 GET 或 HEAD 请求 |
| 920171 |
严重 - 5 |
1 |
包含 Transfer-Encoding 的 GET 或 HEAD 请求 |
| 920180 |
通知 - 2 |
1 |
POST 请求缺少 Content-Length 标头 |
| 920181 |
警告 - 3 |
1 |
Content-Length 和 Transfer-Encoding 标头存在 99001003 |
| 920190 |
警告 - 3 |
1 |
范围:最后一个字节值无效 |
| 920200 |
警告 - 3 |
2 |
范围:字段太多(6 个或以上) |
| 920201 |
警告 - 3 |
2 |
范围:pdf 请求的字段太多(35 个或以上) |
| 920210 |
警告 - 3 |
1 |
找到了多个/有冲突的连接标头数据 |
| 920220 |
警告 - 3 |
1 |
URL 编码滥用攻击尝试 |
| 920230 |
警告 - 3 |
2 |
检测到多个 URL 编码 |
| 920240 |
警告 - 3 |
1 |
URL 编码滥用攻击尝试 |
| 920260 |
警告 - 3 |
1 |
Unicode 全角/半角滥用攻击企图 |
| 920270 |
严重 - 5 |
1 |
请求中的字符无效(null 字符) |
| 920271 |
严重 - 5 |
2 |
请求中的字符无效(不可打印的字符) |
| 920280 |
警告 - 3 |
1 |
请求缺少 Host 标头 |
| 920290 |
警告 - 3 |
1 |
Host 标头为空 |
| 920300 |
通知 - 2 |
2 |
请求缺少 Accept 标头 |
| 920310 |
通知 - 2 |
1 |
请求包含空的 Accept 标头 |
| 920311 |
通知 - 2 |
1 |
请求包含空的 Accept 标头 |
| 920320 |
通知 - 2 |
2 |
缺少用户代理标头 |
| 920330 |
通知 - 2 |
1 |
用户代理标头为空 |
| 920340 |
通知 - 2 |
1 |
请求中包含内容,但缺少 Content-Type 标头 |
| 920341 |
严重 - 5 |
2 |
包含内容的请求需要 Content-Type 标头 |
| 920350 |
警告 - 3 |
1 |
Host 标头是数字 IP 地址 |
| 920420 |
严重 - 5 |
1 |
请求的内容类型被政策禁止 |
| 920430 |
严重 - 5 |
1 |
HTTP 协议版本不受策略允许 |
| 920440 |
严重 - 5 |
1 |
策略限制了 URL 文件扩展名 |
| 920450 |
严重 - 5 |
1 |
策略限制了 HTTP 标头 |
| 920470 |
严重 - 5 |
1 |
Content-Type 标头非法 |
| 920480 |
严重 - 5 |
1 |
请求内容类型字符集不受策略允许 |
| 920500 |
严重 - 5 |
1 |
尝试访问备份或正在工作的文件 |
协议攻击
| 规则编号 |
异常分数严重性 |
偏执狂级别 |
Description |
| 921110 |
严重 - 5 |
1 |
HTTP 请求走私攻击 |
| 921120 |
严重 - 5 |
1 |
HTTP 响应拆分攻击 |
| 921130 |
严重 - 5 |
1 |
HTTP 响应拆分攻击 |
| 921140 |
严重 - 5 |
1 |
通过标头展开的 HTTP 标头注入攻击 |
| 921150 |
严重 - 5 |
1 |
通过有效负载展开的 HTTP 标头注入攻击(检测到 CR/LF) |
| 921151 |
严重 - 5 |
2 |
通过有效负载展开的 HTTP 标头注入攻击(检测到 CR/LF) |
| 921160 |
严重 - 5 |
1 |
通过有效负载展开的 HTTP 标头注入攻击(检测到 CR/LF 和标头名称) |
| 921190 |
严重 - 5 |
1 |
HTTP 拆分(检测到请求文件名中存在 CR/LF) |
| 921200 |
严重 - 5 |
1 |
LDAP 注入攻击 |
LFI:本地文件包含
| 规则编号 |
异常分数严重性 |
偏执狂级别 |
Description |
| 930100 |
严重 - 5 |
1 |
路径遍历攻击 (/../) |
| 930110 |
严重 - 5 |
1 |
路径遍历攻击 (/../) |
| 930120 |
严重 - 5 |
1 |
OS 文件访问尝试 |
| 930130 |
严重 - 5 |
1 |
受限文件访问尝试 |
RFI:远程文件包含
| 规则编号 |
异常分数严重性 |
偏执狂级别 |
Description |
| 931100 |
严重 - 5 |
1 |
可能的远程文件包含 (RFI) 攻击:使用 IP 地址的 URL 参数 |
| 931110 |
严重 - 5 |
1 |
可能的远程文件包含 (RFI) 攻击:对 URL 有效负载使用常见 RFI 漏洞参数名 |
| 931120 |
严重 - 5 |
1 |
可能的远程文件包含 (RFI) 攻击:在 URL 有效负载中使用尾随问号 (?) |
| 931130 |
严重 - 5 |
2 |
可能的远程文件包含 (RFI) 攻击:域外引用/链接 |
RCE:远程命令执行
| 规则编号 |
异常分数严重性 |
偏执狂级别 |
Description |
| 932100 |
严重 - 5 |
1 |
远程命令执行:Unix 命令注入 |
| 932105 |
严重 - 5 |
1 |
远程命令执行:Unix 命令注入 |
| 932110 |
严重 - 5 |
1 |
远程命令执行:Windows 命令注入 |
| 932115 |
严重 - 5 |
1 |
远程命令执行:Windows 命令注入 |
| 932120 |
严重 - 5 |
1 |
远程命令执行:找到 Windows PowerShell 命令 |
| 932130 |
严重 - 5 |
1 |
远程命令执行:找到 Unix Shell 表达式或 Confluence 漏洞 (CVE-2022-26134) |
| 932140 |
严重 - 5 |
1 |
远程命令执行:找到 Windows FOR/IF 命令 |
| 932150 |
严重 - 5 |
1 |
远程命令执行:直接 Unix 命令执行 |
| 932160 |
严重 - 5 |
1 |
远程命令执行:找到 Unix Shell 代码 |
| 932170 |
严重 - 5 |
1 |
远程命令执行:Shellshock (CVE-2014-6271) |
| 932171 |
严重 - 5 |
1 |
远程命令执行:Shellshock (CVE-2014-6271) |
| 932180 |
严重 - 5 |
1 |
受限文件上传企图 |
PHP 攻击
| 规则编号 |
异常分数严重性 |
偏执狂级别 |
Description |
| 933100 |
严重 - 5 |
1 |
PHP 注入攻击:找到开始/结束标记 |
| 933110 |
严重 - 5 |
1 |
PHP 注入攻击:找到 PHP 脚本文件上传 |
| 933120 |
严重 - 5 |
1 |
PHP 注入攻击:找到配置指令 |
| 933130 |
严重 - 5 |
1 |
PHP 注入攻击:找到变量 |
| 933140 |
严重 - 5 |
1 |
PHP 注入攻击:找到 I/O 流 |
| 933150 |
严重 - 5 |
1 |
PHP 注入攻击:找到高风险的 PHP 函数名称 |
| 933151 |
严重 - 5 |
2 |
PHP 注入攻击:找到中等风险的 PHP 函数名称 |
| 933160 |
严重 - 5 |
1 |
PHP 注入攻击:找到高风险的 PHP 函数调用 |
| 933170 |
严重 - 5 |
1 |
PHP 注入攻击:序列化对象注入 |
| 933180 |
严重 - 5 |
1 |
PHP 注入攻击:找到可变函数调用 |
| 933200 |
严重 - 5 |
1 |
PHP 注入攻击:检测到包装器方案 |
| 933210 |
严重 - 5 |
1 |
PHP 注入攻击:找到可变函数调用 |
Node JS 攻击
| 规则编号 |
异常分数严重性 |
偏执狂级别 |
Description |
| 934100 |
严重 - 5 |
1 |
Node.js 注入攻击 |
XSS:跨站脚本
| 规则编号 |
异常分数严重性 |
偏执狂级别 |
Description |
| 941100 |
严重 - 5 |
1 |
通过 libinjection 检测到 XSS 攻击 |
| 941101 |
严重 - 5 |
2 |
通过 libinjection 检测到 XSS 攻击
规则检测到带有 Referer 标头的请求 |
| 941110 |
严重 - 5 |
1 |
XSS 筛选器 - 类别 1:脚本标记向量 |
| 941120 |
严重 - 5 |
1 |
XSS 筛选器 - 类别 2:事件处理矢量 |
| 941130 |
严重 - 5 |
1 |
XSS 筛选器 - 类别 3:属性向量 |
| 941140 |
严重 - 5 |
1 |
XSS 筛选器 - 类别 4:Javascript URI 向量 |
| 941150 |
严重 - 5 |
2 |
XSS 筛选器 - 类别 5:不允许的 HTML 属性 |
| 941160 |
严重 - 5 |
1 |
NoScript XSS InjectionChecker:HTML 注入 |
| 941170 |
严重 - 5 |
1 |
NoScript XSS InjectionChecker:属性注入 |
| 941180 |
严重 - 5 |
1 |
节点验证器阻止列表关键字 |
| 941190 |
严重 - 5 |
1 |
使用样式表的 XSS |
| 941200 |
严重 - 5 |
1 |
使用 VML 框架的 XSS |
| 941210 |
严重 - 5 |
1 |
使用经过模糊处理的 Javascript 的 XSS |
| 941220 |
严重 - 5 |
1 |
使用经过模糊处理的 VB Script 的 XSS |
| 941230 |
严重 - 5 |
1 |
使用 embed 标记的 XSS |
| 941240 |
严重 - 5 |
1 |
使用 import 或 implementation 属性的 XSS |
| 941250 |
严重 - 5 |
1 |
IE XSS 筛选器 - 检测到攻击 |
| 941260 |
严重 - 5 |
1 |
使用 meta 标记的 XSS |
| 941270 |
严重 - 5 |
1 |
使用 link href 的 XSS |
| 941280 |
严重 - 5 |
1 |
使用 base 标记的 XSS |
| 941290 |
严重 - 5 |
1 |
使用 applet 标记的 XSS |
| 941300 |
严重 - 5 |
1 |
使用 object 标记的 XSS |
| 941310 |
严重 - 5 |
1 |
US-ASCII 格式错误编码 XSS 筛选器 - 检测到攻击 |
| 941320 |
严重 - 5 |
2 |
检测到可能的 XSS 攻击 - HTML 标记处理程序 |
| 941330 |
严重 - 5 |
2 |
IE XSS 筛选器 - 检测到攻击 |
| 941340 |
严重 - 5 |
2 |
IE XSS 筛选器 - 检测到攻击 |
| 941350 |
严重 - 5 |
1 |
UTF-7 编码 IE XSS - 检测到攻击 |
| 941360 |
严重 - 5 |
1 |
检测到 JavaScript 混淆 |
| 941370 |
严重 - 5 |
1 |
找到 JavaScript 全局变量 |
| 941380 |
严重 - 5 |
2 |
检测到 AngularJS 客户端模板注入 |
SQLI:SQL 注入
| 规则编号 |
异常分数严重性 |
偏执狂级别 |
Description |
| 942100 |
严重 - 5 |
1 |
检测到通过 libinjection 展开的 SQL 注入攻击 |
| 942110 |
警告 - 3 |
2 |
SQL 注入攻击:检测到常用注入测试 |
| 942120 |
严重 - 5 |
2 |
SQL 注入攻击:检测到 SQL 运算符 |
| 942140 |
严重 - 5 |
1 |
SQL 注入攻击:检测到常用 DB 名称 |
| 942150 |
严重 - 5 |
2 |
SQL 注入攻击 |
| 942160 |
严重 - 5 |
1 |
使用 sleep() 或 benchmark() 检测盲 SQLI 测试 |
| 942170 |
严重 - 5 |
1 |
检测到包含条件查询的 SQL 基准和休眠注入企图 |
| 942180 |
严重 - 5 |
2 |
检测到基本 SQL 身份验证绕过尝试 1/3 |
| 942190 |
严重 - 5 |
1 |
检测到尝试进行 MSSQL 代码执行和信息收集的行为 |
| 942200 |
严重 - 5 |
2 |
检测到 MySQL 注释/空间经过模糊处理的注入和反引号终止 |
| 942210 |
严重 - 5 |
2 |
检测链式 SQL 注入尝试次数 1/2 |
| 942220 |
严重 - 5 |
1 |
查找整数溢出攻击,这些攻击来自 skipfish,但 3.0.00738585072007e-308 是“幻数”故障 |
| 942230 |
严重 - 5 |
1 |
检测条件式 SQL 注入企图 |
| 942240 |
严重 - 5 |
1 |
检测 MySQL 字符集切换和 MSSQL 拒绝服务攻击尝试 |
| 942250 |
严重 - 5 |
1 |
检测 MATCH AGAINST、MERGE 和 EXECUTE IMMEDIATE 注入 |
| 942260 |
严重 - 5 |
2 |
检测到基本 SQL 身份验证绕过尝试 2/3 |
| 942270 |
严重 - 5 |
1 |
正在查找基本 SQL 注入。 MySQL、Oracle 等的常见攻击字符串 |
| 942280 |
严重 - 5 |
1 |
检测 Postgres pg_sleep注入、等待延迟攻击和数据库关闭尝试 |
| 942290 |
严重 - 5 |
1 |
查找基本 MongoDB SQL 注入企图 |
| 942300 |
严重 - 5 |
2 |
检测到 MySQL 注释、条件和 ch(a)r 注入 |
| 942310 |
严重 - 5 |
2 |
检测链式 SQL 注入尝试次数 2/2 |
| 942320 |
严重 - 5 |
1 |
检测 MySQL 和 PostgreSQL 存储过程/函数注入 |
| 942330 |
严重 - 5 |
2 |
检测到经典 SQL 注入探测 1/2 |
| 942340 |
严重 - 5 |
2 |
检测到基本 SQL 身份验证绕过尝试 3/3 |
| 942350 |
严重 - 5 |
1 |
检测 MySQL UDF 注入和其他数据/结构操作企图 |
| 942360 |
严重 - 5 |
1 |
检测到连接的基本 SQL 注入和 SQLLFI 尝试 |
| 942361 |
严重 - 5 |
2 |
检测基于关键字 alter 或 union 的基本 SQL 注入 |
| 942370 |
严重 - 5 |
2 |
检测到经典 SQL 注入探测 2/2 |
| 942380 |
严重 - 5 |
2 |
SQL 注入攻击 |
| 942390 |
严重 - 5 |
2 |
SQL 注入攻击 |
| 942400 |
严重 - 5 |
2 |
SQL 注入攻击 |
| 942410 |
严重 - 5 |
2 |
SQL 注入攻击 |
| 942430 |
警告 - 3 |
2 |
受限 SQL 字符异常情况检测 (args):已超出特殊字符数 (12) |
| 942440 |
严重 - 5 |
2 |
检测到 SQL 注释序列 |
| 942450 |
严重 - 5 |
2 |
识别到 SQL 十六进制编码 |
| 942470 |
严重 - 5 |
2 |
SQL 注入攻击 |
| 942480 |
严重 - 5 |
2 |
SQL 注入攻击 |
| 942500 |
严重 - 5 |
1 |
检测到 MySQL 内联注释 |
| 942510 |
严重 - 5 |
2 |
检测到引号或反引号尝试 SQLi 绕过 |
会话固定
| 规则编号 |
异常分数严重性 |
偏执狂级别 |
Description |
| 943100 |
严重 - 5 |
1 |
可能的会话固定攻击:在 HTML 中设置 Cookie 值 |
| 943110 |
严重 - 5 |
1 |
可能的会话固定攻击:包含域外引用方的 SessionID 参数名称 |
| 943120 |
严重 - 5 |
1 |
可能的会话固定攻击:不包含引用方的 SessionID 参数名称 |
Java 攻击
| 规则编号 |
异常分数严重性 |
偏执狂级别 |
Description |
| 944100 |
严重 - 5 |
1 |
远程命令执行:Apache Struts、Oracle WebLogic |
| 944110 |
严重 - 5 |
1 |
检测潜在的有效负载执行 |
| 944120 |
严重 - 5 |
1 |
可能的有效负载执行和远程命令执行 |
| 944130 |
严重 - 5 |
1 |
可疑的 Java 类 |
| 944200 |
严重 - 5 |
2 |
利用 Java 反序列化 Apache Commons |
| 944210 |
严重 - 5 |
2 |
可能使用 Java 序列化 |
| 944240 |
严重 - 5 |
2 |
远程命令执行:Java 序列化和 Log4j 漏洞(CVE-2021-44228、CVE-2021-45046) |
| 944250 |
严重 - 5 |
2 |
远程命令执行:检测到可疑的 Java 方法 |
MS-ThreatIntel-WebShells
| 规则编号 |
异常分数严重性 |
偏执狂级别 |
Description |
| 99005002 |
严重 - 5 |
2 |
Web Shell 交互尝试 (POST) |
| 99005003 |
严重 - 5 |
2 |
Web Shell 上传尝试 (POST) - CHOPPER PHP |
| 99005004 |
严重 - 5 |
2 |
Web Shell 上传尝试 (POST) - CHOPPER ASPX |
| 99005005 |
严重 - 5 |
2 |
Web Shell 交互尝试 |
| 99005006 |
严重 - 5 |
2 |
Spring4Shell 交互尝试 |
MS-ThreatIntel-AppSec
| 规则编号 |
异常分数严重性 |
偏执狂级别 |
Description |
| 99030001 |
严重 - 5 |
2 |
标头中的路径遍历规避 (/.././../) |
| 99030002 |
严重 - 5 |
2 |
请求正文中的路径遍历规避 (/.././../) |
MS-ThreatIntel-SQLI
| 规则编号 |
异常分数严重性 |
偏执狂级别 |
Description |
| 99031001 |
警告 - 3 |
2 |
SQL 注入攻击:检测到常用注入测试 |
| 99031002 |
严重 - 5 |
2 |
检测到 SQL 注释序列 |
| 99031003 |
严重 - 5 |
2 |
SQL 注入攻击 |
| 99031004 |
严重 - 5 |
2 |
检测到基本 SQL 身份验证绕过尝试 2/3 |
MS-ThreatIntel-CVEs
2.0 规则集
概况
| 规则编号 |
Description |
| 200002 |
无法解析请求正文 |
| 200003 |
多部分请求正文无法通过严格的验证 |
方法强制实施
| 规则编号 |
Description |
| 911100 |
方法不被政策允许 |
协议执行
| 规则编号 |
Description |
| 920100 |
无效的 HTTP 请求行 |
| 920120 |
尝试了多部分/表单数据绕过 |
| 920121 |
尝试了多部分/表单数据绕过 |
| 920160 |
Content-Length HTTP 标头不是数值 |
| 920170 |
包含正文内容的 GET 或 HEAD 请求 |
| 920171 |
包含 Transfer-Encoding 的 GET 或 HEAD 请求 |
| 920180 |
POST 请求缺少 Content-Length 标头 |
| 920190 |
范围:最后一个字节值无效 |
| 920200 |
范围:字段太多(6 个或以上) |
| 920201 |
范围:pdf 请求的字段太多(35 个或以上) |
| 920210 |
找到了多个/有冲突的连接标头数据 |
| 920220 |
URL 编码滥用攻击尝试 |
| 920230 |
检测到多个 URL 编码 |
| 920240 |
URL 编码滥用攻击尝试 |
| 920260 |
Unicode 全角/半角滥用攻击企图 |
| 920270 |
请求中的字符无效(null 字符) |
| 920271 |
请求中的字符无效(不可打印的字符) |
| 920280 |
请求缺少 Host 标头 |
| 920290 |
Host 标头为空 |
| 920300 |
请求缺少 Accept 标头 |
| 920310 |
请求包含空的 Accept 标头 |
| 920311 |
请求包含空的 Accept 标头 |
| 920320 |
缺少用户代理标头 |
| 920330 |
用户代理标头为空 |
| 920340 |
请求中包含内容,但缺少 Content-Type 标头 |
| 920341 |
包含内容的请求需要 Content-Type 标头 |
| 920350 |
Host 标头是数字 IP 地址 |
| 920420 |
请求的内容类型被政策禁止 |
| 920430 |
HTTP 协议版本不受策略允许 |
| 920440 |
策略限制了 URL 文件扩展名 |
| 920450 |
策略限制了 HTTP 标头 |
| 920470 |
Content-Type 标头非法 |
| 920480 |
请求内容类型字符集不受策略允许 |
协议攻击
| 规则编号 |
Description |
| 921110 |
HTTP 请求走私攻击 |
| 921120 |
HTTP 响应拆分攻击 |
| 921130 |
HTTP 响应拆分攻击 |
| 921140 |
通过标头展开的 HTTP 标头注入攻击 |
| 921150 |
通过有效负载展开的 HTTP 标头注入攻击(检测到 CR/LF) |
| 921151 |
通过有效负载展开的 HTTP 标头注入攻击(检测到 CR/LF) |
| 921160 |
通过有效负载展开的 HTTP 标头注入攻击(检测到 CR/LF 和标头名称) |
LFI:本地文件包含
| 规则编号 |
Description |
| 930100 |
路径遍历攻击 (/../) |
| 930110 |
路径遍历攻击 (/../) |
| 930120 |
OS 文件访问尝试 |
| 930130 |
受限文件访问尝试 |
RFI:远程文件包含
| 规则编号 |
Description |
| 931100 |
可能的远程文件包含 (RFI) 攻击:使用 IP 地址的 URL 参数 |
| 931110 |
可能的远程文件包含 (RFI) 攻击:对 URL 有效负载使用常见 RFI 漏洞参数名 |
| 931120 |
可能的远程文件包含 (RFI) 攻击:在 URL 有效负载中使用尾随问号 (?) |
| 931130 |
可能的远程文件包含 (RFI) 攻击:域外引用/链接 |
RCE:远程命令执行
| 规则编号 |
Description |
| 932100 |
远程命令执行:Unix 命令注入 |
| 932105 |
远程命令执行:Unix 命令注入 |
| 932110 |
远程命令执行:Windows 命令注入 |
| 932115 |
远程命令执行:Windows 命令注入 |
| 932120 |
远程命令执行:找到 Windows PowerShell 命令 |
| 932130 |
远程命令执行:找到 Unix Shell 表达式或 Confluence 漏洞 (CVE-2022-26134) 或 Text4Shell (CVE-2022-42889) |
| 932140 |
远程命令执行:找到 Windows FOR/IF 命令 |
| 932150 |
远程命令执行:直接 Unix 命令执行 |
| 932160 |
远程命令执行:找到 Unix Shell 代码 |
| 932170 |
远程命令执行:Shellshock (CVE-2014-6271) |
| 932171 |
远程命令执行:Shellshock (CVE-2014-6271) |
| 932180 |
受限文件上传企图 |
PHP 攻击
| 规则编号 |
Description |
| 933100 |
PHP 注入攻击:找到开始/结束标记 |
| 933110 |
PHP 注入攻击:找到 PHP 脚本文件上传 |
| 933120 |
PHP 注入攻击:找到配置指令 |
| 933130 |
PHP 注入攻击:找到变量 |
| 933140 |
PHP 注入攻击:找到 I/O 流 |
| 933150 |
PHP 注入攻击:找到高风险的 PHP 函数名称 |
| 933151 |
PHP 注入攻击:找到中等风险的 PHP 函数名称 |
| 933160 |
PHP 注入攻击:找到高风险的 PHP 函数调用 |
| 933170 |
PHP 注入攻击:序列化对象注入 |
| 933180 |
PHP 注入攻击:找到可变函数调用 |
| 933200 |
PHP 注入攻击:检测到包装器方案 |
| 933210 |
PHP 注入攻击:找到可变函数调用 |
Node JS 攻击
| 规则编号 |
Description |
| 934100 |
Node.js 注入攻击 |
XSS:跨站脚本
| 规则编号 |
Description |
| 941100 |
通过 libinjection 检测到 XSS 攻击 |
| 941101 |
检测到通过 libinjection 展开的 XSS 攻击。
此规则检测标头Referer |
| 941110 |
XSS 筛选器 - 类别 1:脚本标记向量 |
| 941120 |
XSS 筛选器 - 类别 2:事件处理矢量 |
| 941130 |
XSS 筛选器 - 类别 3:属性向量 |
| 941140 |
XSS 筛选器 - 类别 4:Javascript URI 向量 |
| 941150 |
XSS 筛选器 - 类别 5:不允许的 HTML 属性 |
| 941160 |
NoScript XSS InjectionChecker:HTML 注入 |
| 941170 |
NoScript XSS InjectionChecker:属性注入 |
| 941180 |
节点验证器阻止列表关键字 |
| 941190 |
使用样式表的 XSS |
| 941200 |
使用 VML 框架的 XSS |
| 941210 |
IE XSS 筛选器 - 检测到攻击或 Text4Shell (CVE-2022-42889) |
| 941220 |
使用经过模糊处理的 VB Script 的 XSS |
| 941230 |
使用 embed 标记的 XSS |
| 941240 |
使用 import 或 implementation 属性的 XSS |
| 941250 |
IE XSS 筛选器 - 检测到攻击 |
| 941260 |
使用 meta 标记的 XSS |
| 941270 |
使用 link href 的 XSS |
| 941280 |
使用 base 标记的 XSS |
| 941290 |
使用 applet 标记的 XSS |
| 941300 |
使用 object 标记的 XSS |
| 941310 |
US-ASCII 格式错误编码 XSS 筛选器 - 检测到攻击 |
| 941320 |
检测到可能的 XSS 攻击 - HTML 标记处理程序 |
| 941330 |
IE XSS 筛选器 - 检测到攻击 |
| 941340 |
IE XSS 筛选器 - 检测到攻击 |
| 941350 |
UTF-7 编码 IE XSS - 检测到攻击 |
| 941360 |
检测到 JavaScript 混淆 |
| 941370 |
找到 JavaScript 全局变量 |
| 941380 |
检测到 AngularJS 客户端模板注入 |
SQLI:SQL 注入
| 规则编号 |
Description |
| 942100 |
检测到通过 libinjection 展开的 SQL 注入攻击 |
| 942110 |
SQL 注入攻击:检测到常用注入测试 |
| 942120 |
SQL 注入攻击:检测到 SQL 运算符 |
| 942140 |
SQL 注入攻击:检测到常用 DB 名称 |
| 942150 |
SQL 注入攻击 |
| 942160 |
使用 sleep() 或 benchmark() 检测盲 SQLI 测试 |
| 942170 |
检测到包含条件查询的 SQL 基准和休眠注入企图 |
| 942180 |
检测到基本 SQL 身份验证绕过尝试 1/3 |
| 942190 |
检测到尝试进行 MSSQL 代码执行和信息收集的行为 |
| 942200 |
检测到 MySQL 注释/空间经过模糊处理的注入和反引号终止 |
| 942210 |
检测链式 SQL 注入尝试次数 1/2 |
| 942220 |
查找整数溢出攻击,这些攻击来自 skipfish,但 3.0.00738585072007e-308 是“幻数”故障 |
| 942230 |
检测条件式 SQL 注入企图 |
| 942240 |
检测 MySQL 字符集切换和 MSSQL 拒绝服务攻击尝试 |
| 942250 |
检测 MATCH AGAINST、MERGE 和 EXECUTE IMMEDIATE 注入 |
| 942260 |
检测到基本 SQL 身份验证绕过尝试 2/3 |
| 942270 |
正在查找基本 SQL 注入。 MySQL、Oracle 等的常见攻击字符串 |
| 942280 |
检测 Postgres pg_sleep注入、等待延迟攻击和数据库关闭尝试 |
| 942290 |
查找基本 MongoDB SQL 注入企图 |
| 942300 |
检测到 MySQL 注释、条件和 ch(a)r 注入 |
| 942310 |
检测链式 SQL 注入尝试次数 2/2 |
| 942320 |
检测 MySQL 和 PostgreSQL 存储过程/函数注入 |
| 942330 |
检测到经典 SQL 注入探测 1/2 |
| 942340 |
检测到基本 SQL 身份验证绕过尝试 3/3 |
| 942350 |
检测 MySQL UDF 注入和其他数据/结构操作企图 |
| 942360 |
检测到连接的基本 SQL 注入和 SQLLFI 尝试 |
| 942361 |
检测基于关键字 alter 或 union 的基本 SQL 注入 |
| 942370 |
检测到经典 SQL 注入探测 2/2 |
| 942380 |
SQL 注入攻击 |
| 942390 |
SQL 注入攻击 |
| 942400 |
SQL 注入攻击 |
| 942410 |
SQL 注入攻击 |
| 942430 |
受限 SQL 字符异常情况检测 (args):已超出特殊字符数 (12) |
| 942440 |
检测到 SQL 注释序列 |
| 942450 |
识别到 SQL 十六进制编码 |
| 942460 |
元字符异常检测警报 - 重复的非单词字符 |
| 942470 |
SQL 注入攻击 |
| 942480 |
SQL 注入攻击 |
| 942500 |
检测到 MySQL 内联注释 |
| 942510 |
检测到引号或反引号尝试 SQLi 绕过 |
会话固定
| 规则编号 |
Description |
| 943100 |
可能的会话固定攻击:在 HTML 中设置 Cookie 值 |
| 943110 |
可能的会话固定攻击:包含域外引用方的 SessionID 参数名称 |
| 943120 |
可能的会话固定攻击:不包含引用方的 SessionID 参数名称 |
Java 攻击
| 规则编号 |
Description |
| 944100 |
远程命令执行:Apache Struts、Oracle WebLogic |
| 944110 |
检测潜在的有效负载执行 |
| 944120 |
可能的有效负载执行和远程命令执行 |
| 944130 |
可疑的 Java 类 |
| 944200 |
利用 Java 反序列化 Apache Commons |
| 944210 |
可能使用 Java 序列化 |
| 944240 |
远程命令执行:Java 序列化和 Log4j 漏洞(CVE-2021-44228、CVE-2021-45046) |
| 944250 |
远程命令执行:检测到可疑的 Java 方法 |
MS-ThreatIntel-WebShells
| 规则编号 |
Description |
| 99005002 |
Web Shell 交互尝试 (POST) |
| 99005003 |
Web Shell 上传尝试 (POST) - CHOPPER PHP |
| 99005004 |
Web Shell 上传尝试 (POST) - CHOPPER ASPX |
| 99005006 |
Spring4Shell 交互尝试 |
MS-ThreatIntel-AppSec
| 规则编号 |
Description |
| 99030001 |
标头中的路径遍历规避 (/.././../) |
| 99030002 |
请求正文中的路径遍历规避 (/.././../) |
MS-ThreatIntel-SQLI
| 规则编号 |
Description |
| 99031001 |
SQL 注入攻击:检测到常用注入测试 |
| 99031002 |
检测到 SQL 注释序列 |
MS-ThreatIntel-CVEs
| 规则编号 |
Description |
| 99001001 |
使用已知凭据尝试利用 F5 tmui (CVE-2020-5902) REST API |
| 99001014 |
尝试使用 Spring Cloud 路由表达式注入 CVE-2022-22963 |
| 99001015 |
尝试利用 Spring Framework 不安全类对象 CVE-2022-22965 |
| 99001016 |
尝试进行 Spring Cloud Gateway Actuator 执行器注入 CVE-2022-22947 |
| 99001017 |
尝试利用 Apache Struts 文件上传 CVE-2023-50164 |
1.1 规则集
协议攻击
| 规则编号 |
Description |
| 921110 |
HTTP 请求走私攻击 |
| 921120 |
HTTP 响应拆分攻击 |
| 921130 |
HTTP 响应拆分攻击 |
| 921140 |
通过标头展开的 HTTP 标头注入攻击 |
| 921150 |
通过有效负载展开的 HTTP 标头注入攻击(检测到 CR/LF) |
| 921151 |
通过有效负载展开的 HTTP 标头注入攻击(检测到 CR/LF) |
| 921160 |
通过有效负载展开的 HTTP 标头注入攻击(检测到 CR/LF 和标头名称) |
LFI:本地文件包含
| 规则编号 |
Description |
| 930100 |
路径遍历攻击 (/../) |
| 930110 |
路径遍历攻击 (/../) |
| 930120 |
OS 文件访问尝试 |
| 930130 |
受限文件访问尝试 |
RFI:远程文件包含
| 规则编号 |
Description |
| 931100 |
可能的远程文件包含 (RFI) 攻击:使用 IP 地址的 URL 参数 |
| 931110 |
可能的远程文件包含 (RFI) 攻击:对 URL 有效负载使用常见 RFI 漏洞参数名 |
| 931120 |
可能的远程文件包含 (RFI) 攻击:在 URL 有效负载中使用尾随问号 (?) |
| 931130 |
可能的远程文件包含 (RFI) 攻击:域外引用/链接 |
RCE:远程命令执行
| 规则编号 |
Description |
| 932100 |
远程命令执行:Unix 命令注入 |
| 932105 |
远程命令执行:Unix 命令注入 |
| 932110 |
远程命令执行:Windows 命令注入 |
| 932115 |
远程命令执行:Windows 命令注入 |
| 931120 |
远程命令执行:找到 Windows PowerShell 命令 |
| 932130 |
远程命令执行:找到 Unix Shell 表达式或 Confluence 漏洞 (CVE-2022-26134) 或 Text4Shell (CVE-2022-42889) |
| 932140 |
远程命令执行:找到 Windows FOR/IF 命令 |
| 932150 |
远程命令执行:直接 Unix 命令执行 |
| 932160 |
远程命令执行:Shellshock (CVE-2014-6271) |
| 932170 |
远程命令执行:Shellshock (CVE-2014-6271) |
| 932171 |
远程命令执行:Shellshock (CVE-2014-6271) |
| 932180 |
受限文件上传企图 |
PHP 攻击
| 规则编号 |
Description |
| 933100 |
PHP 注入攻击:找到 PHP 开启标记 |
| 933110 |
PHP 注入攻击:找到 PHP 脚本文件上传 |
| 933120 |
PHP 注入攻击:找到配置指令 |
| 933130 |
PHP 注入攻击:找到变量 |
| 933140 |
PHP 注入攻击:找到 I/O 流 |
| 933150 |
PHP 注入攻击:找到高风险的 PHP 函数名称 |
| 933151 |
PHP 注入攻击:找到中等风险的 PHP 函数名称 |
| 933160 |
PHP 注入攻击:找到高风险的 PHP 函数调用 |
| 933170 |
PHP 注入攻击:序列化对象注入 |
| 933180 |
PHP 注入攻击:找到可变函数调用 |
XSS:跨站脚本
| 规则编号 |
Description |
| 941100 |
通过 libinjection 检测到 XSS 攻击 |
| 941101 |
检测到通过 libinjection 展开的 XSS 攻击。
此规则检测标头Referer |
| 941110 |
XSS 筛选器 - 类别 1:脚本标记向量 |
| 941120 |
XSS 筛选器 - 类别 2:事件处理矢量 |
| 941130 |
XSS 筛选器 - 类别 3:属性向量 |
| 941140 |
XSS 筛选器 - 类别 4:Javascript URI 向量 |
| 941150 |
XSS 筛选器 - 类别 5:不允许的 HTML 属性 |
| 941160 |
NoScript XSS InjectionChecker:HTML 注入 |
| 941170 |
NoScript XSS InjectionChecker:属性注入 |
| 941180 |
节点验证器阻止列表关键字 |
| 941190 |
IE XSS 筛选器 - 检测到攻击 |
| 941200 |
IE XSS 筛选器 - 检测到攻击 |
| 941210 |
IE XSS 过滤器 - 检测到攻击或找到 Text4Shell (CVE-2022-42889) |
| 941220 |
IE XSS 筛选器 - 检测到攻击 |
| 941230 |
IE XSS 筛选器 - 检测到攻击 |
| 941240 |
IE XSS 筛选器 - 检测到攻击 |
| 941250 |
IE XSS 筛选器 - 检测到攻击 |
| 941260 |
IE XSS 筛选器 - 检测到攻击 |
| 941270 |
IE XSS 筛选器 - 检测到攻击 |
| 941280 |
IE XSS 筛选器 - 检测到攻击 |
| 941290 |
IE XSS 筛选器 - 检测到攻击 |
| 941300 |
IE XSS 筛选器 - 检测到攻击 |
| 941310 |
US-ASCII 格式错误编码 XSS 筛选器 - 检测到攻击 |
| 941320 |
检测到可能的 XSS 攻击 - HTML 标记处理程序 |
| 941330 |
IE XSS 筛选器 - 检测到攻击 |
| 941340 |
IE XSS 筛选器 - 检测到攻击 |
| 941350 |
UTF-7 编码 IE XSS - 检测到攻击 |
SQLI:SQL 注入
| 规则编号 |
Description |
| 942100 |
检测到通过 libinjection 展开的 SQL 注入攻击 |
| 942110 |
SQL 注入攻击:检测到常用注入测试 |
| 942120 |
SQL 注入攻击:检测到 SQL 运算符 |
| 942140 |
SQL 注入攻击:检测到常用 DB 名称 |
| 942150 |
SQL 注入攻击 |
| 942160 |
使用 sleep() 或 benchmark() 检测盲 SQLI 测试 |
| 942170 |
检测到包含条件查询的 SQL 基准和休眠注入企图 |
| 942180 |
检测到基本 SQL 身份验证绕过尝试 1/3 |
| 942190 |
检测到尝试进行 MSSQL 代码执行和信息收集的行为 |
| 942200 |
检测到 MySQL 注释/空间经过模糊处理的注入和反引号终止 |
| 942210 |
检测链式 SQL 注入尝试次数 1/2 |
| 942220 |
查找整数溢出攻击,这些攻击来自 skipfish,但 3.0.00738585072007e-308 是“幻数”故障 |
| 942230 |
检测条件式 SQL 注入企图 |
| 942240 |
检测 MySQL 字符集切换和 MSSQL 拒绝服务攻击尝试 |
| 942250 |
检测 MATCH AGAINST、MERGE 和 EXECUTE IMMEDIATE 注入 |
| 942260 |
检测到基本 SQL 身份验证绕过尝试 2/3 |
| 942270 |
正在查找基本 SQL 注入。 MySQL、Oracle 等的常见攻击字符串 |
| 942280 |
检测 Postgres pg_sleep注入、等待延迟攻击和数据库关闭尝试 |
| 942290 |
查找基本 MongoDB SQL 注入企图 |
| 942300 |
检测到 MySQL 注释、条件和 ch(a)r 注入 |
| 942310 |
检测链式 SQL 注入尝试次数 2/2 |
| 942320 |
检测 MySQL 和 PostgreSQL 存储过程/函数注入 |
| 942330 |
检测经典 SQL 注入探测 1/3 |
| 942340 |
检测到基本 SQL 身份验证绕过尝试 3/3 |
| 942350 |
检测 MySQL UDF 注入和其他数据/结构操作企图 |
| 942360 |
检测到连接的基本 SQL 注入和 SQLLFI 尝试 |
| 942361 |
检测基于关键字 alter 或 union 的基本 SQL 注入 |
| 942370 |
检测经典 SQL 注入探测 2/3 |
| 942380 |
SQL 注入攻击 |
| 942390 |
SQL 注入攻击 |
| 942400 |
SQL 注入攻击 |
| 942410 |
SQL 注入攻击 |
| 942430 |
受限 SQL 字符异常情况检测 (args):已超出特殊字符数 (12) |
| 942440 |
检测到 SQL 注释序列 |
| 942450 |
识别到 SQL 十六进制编码 |
| 942470 |
SQL 注入攻击 |
| 942480 |
SQL 注入攻击 |
会话固定
| 规则编号 |
Description |
| 943100 |
可能的会话固定攻击:在 HTML 中设置 Cookie 值 |
| 943110 |
可能的会话固定攻击:包含域外引用方的 SessionID 参数名称 |
| 943120 |
可能的会话固定攻击:不包含引用方的 SessionID 参数名称 |
Java 攻击
| 规则编号 |
Description |
| 944100 |
远程命令执行:检测到可疑的 Java 类 |
| 944110 |
可能的会话固定攻击:在 HTML 中设置 Cookie 值 |
| 944120 |
远程命令执行:Java 序列化 (CVE-2015-5842) |
| 944130 |
检测到可疑的 Java 类 |
| 944200 |
检测到 magic 字节,正在使用可能的 java 序列化 |
| 944210 |
检测到 Base64 编码的 magic 字节,正在使用可能的 java 序列化 |
| 944240 |
远程命令执行:Java 序列化和 Log4j 漏洞(CVE-2021-44228、CVE-2021-45046) |
| 944250 |
远程命令执行:检测到可疑的 Java 方法 |
MS-ThreatIntel-WebShells
| 规则编号 |
Description |
| 99005002 |
Web Shell 交互尝试 (POST) |
| 99005003 |
Web Shell 上传尝试 (POST) - CHOPPER PHP |
| 99005004 |
Web Shell 上传尝试 (POST) - CHOPPER ASPX |
| 99005006 |
Spring4Shell 交互尝试 |
MS-ThreatIntel-AppSec
| 规则编号 |
Description |
| 99030001 |
标头中的路径遍历规避 (/.././../) |
| 99030002 |
请求正文中的路径遍历规避 (/.././../) |
MS-ThreatIntel-SQLI
| 规则编号 |
Description |
| 99031001 |
SQL 注入攻击:检测到常用注入测试 |
| 99031002 |
检测到 SQL 注释序列 |
MS-ThreatIntel-CVEs
| 规则编号 |
Description |
| 99001001 |
使用已知凭据尝试利用 F5 tmui (CVE-2020-5902) REST API |
| 99001014 |
尝试使用 Spring Cloud 路由表达式注入 CVE-2022-22963 |
| 99001015 |
尝试利用 Spring Framework 不安全类对象 CVE-2022-22965 |
| 99001016 |
尝试进行 Spring Cloud Gateway Actuator 执行器注入 CVE-2022-22947 |
| 99001017 |
尝试利用 Apache Struts 文件上传 CVE-2023-50164 |
1.0 规则集
协议攻击
| 规则编号 |
Description |
| 921110 |
HTTP 请求走私攻击 |
| 921120 |
HTTP 响应拆分攻击 |
| 921130 |
HTTP 响应拆分攻击 |
| 921140 |
通过标头展开的 HTTP 标头注入攻击 |
| 921150 |
通过有效负载展开的 HTTP 标头注入攻击(检测到 CR/LF) |
| 921151 |
通过有效负载展开的 HTTP 标头注入攻击(检测到 CR/LF) |
| 921160 |
通过有效负载展开的 HTTP 标头注入攻击(检测到 CR/LF 和标头名称) |
LFI:本地文件包含
| 规则编号 |
Description |
| 930100 |
路径遍历攻击 (/../) |
| 930110 |
路径遍历攻击 (/../) |
| 930120 |
OS 文件访问尝试 |
| 930130 |
受限文件访问尝试 |
RFI:远程文件包含
| 规则编号 |
Description |
| 931100 |
可能的远程文件包含 (RFI) 攻击:使用 IP 地址的 URL 参数 |
| 931110 |
可能的远程文件包含 (RFI) 攻击:对 URL 有效负载使用常见 RFI 漏洞参数名 |
| 931120 |
可能的远程文件包含 (RFI) 攻击:在 URL 有效负载中使用尾随问号 (?) |
| 931130 |
可能的远程文件包含 (RFI) 攻击:域外引用/链接 |
RCE:远程命令执行
| 规则编号 |
Description |
| 932100 |
远程命令执行:Unix 命令注入 |
| 932105 |
远程命令执行:Unix 命令注入 |
| 932110 |
远程命令执行:Windows 命令注入 |
| 932115 |
远程命令执行:Windows 命令注入 |
| 932120 |
远程命令执行:找到 Windows PowerShell 命令 |
| 932130 |
远程命令执行:找到 Unix Shell 表达式或 Confluence 漏洞 (CVE-2022-26134) 或 Text4Shell (CVE-2022-42889) |
| 932140 |
远程命令执行:找到 Windows FOR/IF 命令 |
| 932150 |
远程命令执行:直接 Unix 命令执行 |
| 932160 |
远程命令执行:找到 Unix Shell 代码 |
| 932170 |
远程命令执行:Shellshock (CVE-2014-6271) |
| 932171 |
远程命令执行:Shellshock (CVE-2014-6271) |
| 932180 |
受限文件上传企图 |
PHP 攻击
| 规则编号 |
Description |
| 933100 |
PHP 注入攻击:找到开始/结束标记 |
| 933110 |
PHP 注入攻击:找到 PHP 脚本文件上传 |
| 933120 |
PHP 注入攻击:找到配置指令 |
| 933130 |
PHP 注入攻击:找到变量 |
| 933140 |
PHP 注入攻击:找到 I/O 流 |
| 933150 |
PHP 注入攻击:找到高风险的 PHP 函数名称 |
| 933151 |
PHP 注入攻击:找到中等风险的 PHP 函数名称 |
| 933160 |
PHP 注入攻击:找到高风险的 PHP 函数调用 |
| 933170 |
PHP 注入攻击:序列化对象注入 |
| 933180 |
PHP 注入攻击:找到可变函数调用 |
XSS:跨站脚本
| 规则编号 |
Description |
| 941100 |
通过 libinjection 检测到 XSS 攻击 |
| 941101 |
检测到通过 libinjection 展开的 XSS 攻击。
此规则检测标头Referer |
| 941110 |
XSS 筛选器 - 类别 1:脚本标记向量 |
| 941120 |
XSS 筛选器 - 类别 2:事件处理矢量 |
| 941130 |
XSS 筛选器 - 类别 3:属性向量 |
| 941140 |
XSS 筛选器 - 类别 4:Javascript URI 向量 |
| 941150 |
XSS 筛选器 - 类别 5:不允许的 HTML 属性 |
| 941160 |
NoScript XSS InjectionChecker:HTML 注入 |
| 941170 |
NoScript XSS InjectionChecker:属性注入 |
| 941180 |
节点验证器阻止列表关键字 |
| 941190 |
使用样式表的 XSS |
| 941200 |
使用 VML 框架的 XSS |
| 941210 |
IE XSS 筛选器 - 检测到攻击或 Text4Shell (CVE-2022-42889) |
| 941220 |
使用经过模糊处理的 VB Script 的 XSS |
| 941230 |
使用 embed 标记的 XSS |
| 941240 |
使用 import 或 implementation 属性的 XSS |
| 941250 |
IE XSS 筛选器 - 检测到攻击 |
| 941260 |
使用 meta 标记的 XSS |
| 941270 |
使用 link href 的 XSS |
| 941280 |
使用 base 标记的 XSS |
| 941290 |
使用 applet 标记的 XSS |
| 941300 |
使用 object 标记的 XSS |
| 941310 |
US-ASCII 格式错误编码 XSS 筛选器 - 检测到攻击 |
| 941320 |
检测到可能的 XSS 攻击 - HTML 标记处理程序 |
| 941330 |
IE XSS 筛选器 - 检测到攻击 |
| 941340 |
IE XSS 筛选器 - 检测到攻击 |
| 941350 |
UTF-7 编码 IE XSS - 检测到攻击 |
SQLI:SQL 注入
| 规则编号 |
Description |
| 942100 |
检测到通过 libinjection 展开的 SQL 注入攻击 |
| 942110 |
SQL 注入攻击:检测到常用注入测试 |
| 942120 |
SQL 注入攻击:检测到 SQL 运算符 |
| 942140 |
SQL 注入攻击:检测到常用 DB 名称 |
| 942150 |
SQL 注入攻击 |
| 942160 |
使用 sleep() 或 benchmark() 检测盲 SQLI 测试 |
| 942170 |
检测到包含条件查询的 SQL 基准和休眠注入企图 |
| 942180 |
检测到基本 SQL 身份验证绕过尝试 1/3 |
| 942190 |
检测到尝试进行 MSSQL 代码执行和信息收集的行为 |
| 942200 |
检测到 MySQL 注释/空间经过模糊处理的注入和反引号终止 |
| 942210 |
检测链式 SQL 注入尝试次数 1/2 |
| 942220 |
查找整数溢出攻击,这些攻击来自 skipfish,但 3.0.00738585072007e-308 是“幻数”故障 |
| 942230 |
检测条件式 SQL 注入企图 |
| 942240 |
检测 MySQL 字符集切换和 MSSQL 拒绝服务攻击尝试 |
| 942250 |
检测 MATCH AGAINST、MERGE 和 EXECUTE IMMEDIATE 注入 |
| 942260 |
检测到基本 SQL 身份验证绕过尝试 2/3 |
| 942270 |
正在查找基本 SQL 注入。 MySQL、Oracle 等的常见攻击字符串 |
| 942280 |
检测 Postgres pg_sleep注入、等待延迟攻击和数据库关闭尝试 |
| 942290 |
查找基本 MongoDB SQL 注入企图 |
| 942300 |
检测到 MySQL 注释、条件和 ch(a)r 注入 |
| 942310 |
检测链式 SQL 注入尝试次数 2/2 |
| 942320 |
检测 MySQL 和 PostgreSQL 存储过程/函数注入 |
| 942330 |
检测到经典 SQL 注入探测 1/2 |
| 942340 |
检测到基本 SQL 身份验证绕过尝试 3/3 |
| 942350 |
检测 MySQL UDF 注入和其他数据/结构操作企图 |
| 942360 |
检测到连接的基本 SQL 注入和 SQLLFI 尝试 |
| 942361 |
检测基于关键字 alter 或 union 的基本 SQL 注入 |
| 942370 |
检测到经典 SQL 注入探测 2/2 |
| 942380 |
SQL 注入攻击 |
| 942390 |
SQL 注入攻击 |
| 942400 |
SQL 注入攻击 |
| 942410 |
SQL 注入攻击 |
| 942430 |
受限 SQL 字符异常情况检测 (args):已超出特殊字符数 (12) |
| 942440 |
检测到 SQL 注释序列 |
| 942450 |
识别到 SQL 十六进制编码 |
| 942470 |
SQL 注入攻击 |
| 942480 |
SQL 注入攻击 |
会话固定
| 规则编号 |
Description |
| 943100 |
可能的会话固定攻击:在 HTML 中设置 Cookie 值 |
| 943110 |
可能的会话固定攻击:包含域外引用方的 SessionID 参数名称 |
| 943120 |
可能的会话固定攻击:不包含引用方的 SessionID 参数名称 |
Java 攻击
| 规则编号 |
Description |
| 944100 |
远程命令执行:Apache Struts、Oracle WebLogic |
| 944110 |
检测潜在的有效负载执行 |
| 944120 |
可能的有效负载执行和远程命令执行 |
| 944130 |
可疑的 Java 类 |
| 944200 |
利用 Java 反序列化 Apache Commons |
| 944210 |
可能使用 Java 序列化 |
| 944240 |
远程命令执行:Java 序列化和 Log4j 漏洞(CVE-2021-44228、CVE-2021-45046) |
| 944250 |
远程命令执行:检测到可疑的 Java 方法 |
MS-ThreatIntel-WebShells
| 规则编号 |
Description |
| 99005006 |
Spring4Shell 交互尝试 |
MS-ThreatIntel-CVEs
1.0 规则集
恶意机器人
| 规则编号 |
Description |
| Bot100100 |
威胁情报检测到的恶意机器人 |
| Bot100200 |
已伪造其标识的恶意机器人 |
Bot100100 扫描客户端 IP 地址以及 X-Forwarded-For 标头中的 IP。
善意机器人
| 规则编号 |
Description |
| Bot200100 |
搜索引擎爬网程序 |
| Bot200200 |
未经验证的搜索引擎爬网程序 |
未知机器人
| 规则编号 |
Description |
| Bot300100 |
未指定的身份 |
| Bot300200 |
用于 Web 爬网和攻击的工具和框架 |
| Bot300300 |
常规用途 HTTP 客户端和 SDK |
| Bot300400 |
服务代理 |
| Bot300500 |
站点运行状况监视服务 |
| Bot300600 |
威胁情报检测到的未知机器人 |
| Bot300700 |
其他机器人 |
Bot300600 扫描客户端 IP 地址和 X-Forwarded-For 标头中的 IP 地址。
1.1 规则集
恶意机器人
| 规则编号 |
Description |
| Bot100100 |
威胁情报检测到的恶意机器人 |
| Bot100200 |
已伪造其标识的恶意机器人 |
| Bot100300 |
威胁情报检测到的高风险机器人 |
Bot100100 扫描客户端 IP 地址以及 X-Forwarded-For 标头中的 IP。
善意机器人
| 规则编号 |
Description |
| Bot200100 |
搜索引擎爬网程序 |
| Bot200200 |
已验证的各类机器人 |
| Bot200300 |
已验证的链接检查器机器人 |
| Bot200400 |
已验证的社交媒体机器人 |
| Bot200500 |
已验证的内容提取器 |
| Bot200600 |
已验证的源提取器 |
| Bot200700 |
已验证的广告机器人 |
未知机器人
| 规则编号 |
Description |
| Bot300100 |
未指定的身份 |
| Bot300200 |
用于 Web 爬网和攻击的工具和框架 |
| Bot300300 |
常规用途 HTTP 客户端和 SDK |
| Bot300400 |
服务代理 |
| Bot300500 |
站点运行状况监视服务 |
| Bot300600 |
威胁情报检测到的未知机器人。 此规则还包括与 Tor 网络匹配的 IP 地址 |
| Bot300700 |
其他机器人 |
Bot300600 扫描客户端 IP 地址和 X-Forwarded-For 标头中的 IP 地址。
相关内容