Web 应用程序防火墙 DRS 和 CRS 规则组和规则
本文內容
默认规则集
Microsoft 威胁情报收集规则
核心规则集
优化托管规则集
2.1 规则集
相关内容
顯示其他 2 個
出现常见的漏洞和攻击时,应用程序网关 Web 应用程序防火墙 (WAF) 中由 Azure 管理的规则集会主动保护 Web 应用程序。 这些规则集由 Azure 管理,根据需要接收更新,以针对新的攻击特征进行安全防护。 默认规则集还包含 Microsoft 威胁情报收集规则。 Microsoft 情报团队协作编写这些规则,确保增强覆盖范围,针对特定漏洞进行修补,并改进误报率。
你还可以选择使用基于 OWASP 核心规则集 3.2、3.1、3.0 或 2.2.9 定义的规则。
你可以单独禁用各个规则,也可以为每个规则设置特定操作。 本文包含当前可用的规则和规则集。 如果已发布的规则集需要更新,我们将在此处记录它。
当 WAF 策略中的规则集版本发生更改时,对规则集所做的任何现有自定义都将重置为新规则集的默认值。 请参阅:升级或更改规则集版本 。
Azure 托管的默认规则集 (DRS) 包含针对以下威胁类别的规则:
跨站点脚本
Java 攻击
本地文件包含
PHP 注入攻击
远程命令执行
远程文件包含
会话固定
SQL 注入保护
协议攻击者。将新的攻击签名添加到规则集时,DRS 的版本号将递增。
Microsoft 威胁情报收集规则由 Microsoft 威胁情报团队合作编写,以提供更高的覆盖范围、针对特定漏洞的补丁,并更好地减少误报。
在应用程序网关 WAF 上开始使用 2.1 时,请使用以下指南来优化 WAF。 规则的详细信息如下所述。
展開資料表
规则 ID
规则组
说明
详细信息
942110
SQLI
SQL 注入攻击:检测到常用注入测试
禁用,替换为 MSTIC 规则 99031001
942150
SQLI
SQL 注入攻击
禁用,替换为 MSTIC 规则 99031003
942260
SQLI
检测到基本 SQL 身份验证绕过尝试 2/3
禁用,已由 MSTIC 规则编号 99031004 替代
942430
SQLI
受限 SQL 字符异常情况检测 (args):已超出特殊字符数 (12)
禁用,误报过多
942440
SQLI
检测到 SQL 注释序列
禁用,替换为 MSTIC 规则 99031002
99005006
MS-ThreatIntel-WebShells
Spring4Shell 交互尝试
保持启用规则以防止 SpringShell 漏洞
99001014
MS-ThreatIntel-CVEs
尝试使用 Spring Cloud 路由表达式注入 CVE-2022-22963
保持启用规则以防止 SpringShell 漏洞
99001015
MS-ThreatIntel-WebShells
尝试利用 Spring Framework 不安全类对象 CVE-2022-22965
保持启用规则以防止 SpringShell 漏洞
99001016
MS-ThreatIntel-WebShells
尝试进行 Spring Cloud Gateway Actuator 执行器注入 CVE-2022-22947
保持启用规则以防止 SpringShell 漏洞
99001017
MS-ThreatIntel-CVEs
尝试利用 Apache Struts 文件上传 CVE-2023-50164
将操作设置为“阻止”可防止 Apache Struts 漏洞。 此规则不支持异常分数
默认情况下,应用程序网关 WAF 预配置了 CRS 3.2,但你可以选择使用任何其他受支持的 CRS 版本。
与早期版本的 CRS 相比,CRS 3.2 提供了一个新引擎和新规则集来防御 Java 注入、一组初始文件上传检查以及误报更少。 还可以根据需求自定义规则 。 详细了解新的 Azure WAF 引擎 。
WAF 可针对以下 Web 漏洞提供保护:
SQL 注入攻击
跨站点脚本攻击
其他常见攻击,例如命令注入、HTTP 请求走私、HTTP 响应拆分和远程文件包含
HTTP 协议违规
HTTP 协议异常,例如缺少 Host、User-Agent 和 Accept 头。
自动程序、爬网程序和扫描程序
常见应用程序错误配置(例如 Apache 和 IIS)
DRS 和 CRS 在 WAF 策略的检测模式下默认启用。 可以禁用或启用托管规则集内的各个规则,以满足应用程序要求。 还可以根据规则设置特定操作。 DRS/CRS 支持块、日志和异常分数操作。 Bot Manager 规则集支持允许、阻止和记录操作。
有时你可能需要忽略 WAF 评估中的某些请求属性。 一个常见的例子是用于身份验证的 Active Directory 插入令牌。 可以将排除项配置为在评估特定 WAF 规则时应用,或全局应用于所有 WAF 规则的评估。 排除规则适用于整个 Web 应用。 有关详细信息,请参阅包含应用程序网关排除列表的 Web 应用程序防火墙 (WAF) 。
默认情况下,当请求与规则匹配时,DRS 版本 2.1 / CRS 版本 3.2 及更高版本会使用异常评分。 默认情况下,CRS 3.1 和更低版本会阻止匹配的请求。 此外,如果想要绕过核心规则集中的任何预配置规则,可以在同一 WAF 策略中配置自定义规则。
在评估核心规则集中的规则之前,总是先应用自定义规则。 如果请求与某个自定义规则相匹配,将应用相应的规则操作。 请求将被阻止,或通过后端传递。 不会处理任何其他自定义规则或核心规则集中的规则。
使用 CRS 或 DRS 2.1 及更高版本时,WAF 默认配置为使用异常评分。 即使 WAF 处于防护模式,符合任何规则的流量也不会被立即阻止。 OWASP 规则集为每个规则定义严重性:“严重”、“错误”、“警告”或“通知”。 这些严重性会影响请求的数值,该数值称为异常分数:
展開資料表
规则严重性
对异常分数的贡献值
严重
5
错误
4
警告
3
通知
2
如果异常分数为 5 或更高,并且 WAF 处于预防模式,则会阻止请求。 如果异常分数为 5 或更高,并且 WAF 处于检测模式,则会记录请求,但不会阻止请求。
例如,在预防模式下,一个“严重”规则匹配就足以让 WAF 阻止请求,因为总体异常分数为 5。 然而,一个“警告”规则匹配仅会使异常得分增加3分,这本身还不足以阻止流量。 触发异常规则时,它会在日志中显示“匹配”操作。 如果异常分数达到 5 或更高,将根据 WAF 策略是处于“预防”模式还是“检测”模式,触发单独的规则,并执行“阻止”或“检测到”的操作。 有关详细信息,请参阅异常评分模式 。
如果要升级或分配新的规则集版本,并且想要保留现有规则替代和排除项,建议使用 PowerShell、CLI、REST API 或模板进行规则集版本更改。 规则集的新版本可以有更新的规则、附加规则组,并可能对现有签名进行更新,以强制实施更好的安全性并减少误报。 建议验证测试环境中的更改,根据需要微调,然后在生产环境中部署。
如果使用 Azure 门户将新的托管规则集分配给 WAF 策略,则现有托管规则集(如规则状态、规则作和规则级别排除)的所有以前的自定义都将重置为新的托管规则集的默认值。 但是,在分配新规则集期间,任何自定义规则、策略设置和全局排除均不受影响。 在生产环境中部署之前,需要重新定义规则替代和验证更改。
DRS 2.1 规则可以比早期版本的 DRS 提供更好的保护。 它包括 Microsoft 威胁情报团队开发的更多规则和特征更新,因此可以减少误报。 它还支持 URL 解码以外的转换。
DRS 2.1 包括下表中所示的 17 个规则组。 每个组包含多个规则,你可以自定义各个规则、规则组或整个规则集的行为。 DRS 2.1 以 Open Web Application Security Project (OWASP) 核心规则集 (CRS) 3.3.2 为基础,包括 Microsoft 威胁情报团队开发的其他专有保护规则。
展開資料表
CRS 3.2 包括下表中所示的 14 个规则组。 每个组包含多个可以禁用的规则。 规则集基于 OWASP CRS 3.2.0 版本。
CRS 3.2 仅在 WAF_v2 SKU 上可用。 由于 CRS 3.2 在新 Azure WAF 引擎上运行,因此无法降级到 CRS 3.1 或更早版本。 如果需要降级,请联系 Azure 支持部门 。
展開資料表
CRS 3.1 包括下表中所示的 14 个规则组。 每个组包含多个可以禁用的规则。 规则集基于 OWASP CRS 3.1.1 版本。
CRS 3.1 仅在 WAF_v2 SKU 上可用。
展開資料表
CRS 3.0 包含下表中所示的 13 个规则组。 每个组包含多个可以禁用的规则。 规则集基于 OWASP CRS 3.0.0 版本。
新的 WAF 策略不再支持 CRS 3.0 和更低规则集版本。 建议升级到最新的 CRS 3.2/DRS 2.1 及更高版本。
展開資料表
CRS 2.2.9 包含下表中所示的 10 个规则组。 每个组包含多个可以禁用的规则。
新的 WAF 策略不再支持 CRS 2.2.9。 建议升级到最新的 CRS 3.2/DRS 2.1 及更高版本。
展開資料表
Bot Manager 1.0 规则集可防范恶意机器人并检测出善意机器人。 这些规则通过将机器人流量划分为“善意”、“恶意”或“未知”机器人,对 WAF 检测到的机器人进行精细控制。
展開資料表
Bot Manager 1.1 规则集是 Bot Manager 1.0 规则集的增强版。 它增强了对恶意机器人的防范,并增加了善意机器人检测。
展開資料表
在应用程序网关上使用 Web 应用程序防火墙时可以使用以下规则组和规则。
展開資料表
规则 ID
异常分数严重性
说明
200002
严重 - 5
无法解析请求正文
200003
严重 - 5
多部分请求正文无法通过严格的验证
展開資料表
规则 ID
异常分数严重性
说明
911100
严重 - 5
方法不被政策允许
展開資料表
规则编号
异常评分的严重性
说明
920100
通知 - 2
无效的 HTTP 请求行
920120
严重 - 5
尝试了多部分/表单数据绕过
920121
严重 - 5
尝试了多部分/表单数据绕过
920160
严重 - 5
Content-Length HTTP 标头不是数值
920170
严重 - 5
包含正文内容的 GET 或 HEAD 请求
920171
严重 - 5
包含 Transfer-Encoding 的 GET 或 HEAD 请求
920180
通知 - 2
POST 请求缺少 Content-Length 标头
920181
警告 - 3
Content-Length 和 Transfer-Encoding 标头存在 99001003
920190
警告 - 3
范围:最后一个字节值无效
920200
警告 - 3
范围:字段太多(6 个或以上)
920201
警告 - 3
范围:pdf 请求的字段太多(35 个或以上)
920210
严重 - 5
找到了多个/有冲突的连接标头数据
920220
警告 - 3
URL 编码滥用攻击尝试
920230
警告 - 3
检测到多个 URL 编码
920240
警告 - 3
URL 编码滥用攻击尝试
920260
警告 - 3
Unicode 全角/半角滥用攻击企图
920270
错误 - 4
请求中的字符无效(null 字符)
920271
严重 - 5
请求中的字符无效(不可打印的字符)
920280
警告 - 3
请求缺少 Host 标头
920290
警告 - 3
Host 标头为空
920300
通知 - 2
请求缺少 Accept 标头
920310
通知 - 2
请求包含空的 Accept 标头
920311
通知 - 2
请求包含空的 Accept 标头
920320
通知 - 2
缺少用户代理标头
920330
通知 - 2
用户代理标头为空
920340
通知 - 2
请求中包含内容,但缺少 Content-Type 标头
920341
严重 - 5
请求包含内容,但需要 Content-Type 标头
920350
警告 - 3
Host 标头是数字 IP 地址
920420
严重 - 5
请求的内容类型被政策禁止
920430
严重 - 5
HTTP 协议版本不受策略允许
920440
严重 - 5
策略限制了 URL 文件扩展名
920450
严重 - 5
策略限制了 HTTP 标头
920470
严重 - 5
Content-Type 标头非法
920480
严重 - 5
请求内容类型字符集不受策略允许
920500
严重 - 5
尝试访问备份或正在工作的文件
展開資料表
规则 ID
异常分数严重性
说明
921110
严重 - 5
HTTP 请求走私攻击
921120
严重 - 5
HTTP 响应拆分攻击
921130
严重 - 5
HTTP 响应拆分攻击
921140
严重 - 5
通过标头展开的 HTTP 标头注入攻击
921150
严重 - 5
通过有效负载展开的 HTTP 标头注入攻击(检测到 CR/LF)
921151
严重 - 5
通过有效负载展开的 HTTP 标头注入攻击(检测到 CR/LF)
921160
严重 - 5
通过有效负载展开的 HTTP 标头注入攻击(检测到 CR/LF 和标头名称)
921190
严重 - 5
HTTP 拆分(检测到请求文件名中存在 CR/LF)
921200
严重 - 5
LDAP 注入攻击
展開資料表
规则 ID
异常分数严重性
说明
930100
严重 - 5
路径遍历攻击 (/../)
930110
严重 - 5
路径遍历攻击 (/../)
930120
严重 - 5
OS 文件访问尝试
930130
严重 - 5
受限文件访问尝试
展開資料表
规则 ID
异常分数严重性
说明
931100
严重 - 5
可能的远程文件包含 (RFI) 攻击:使用 IP 地址的 URL 参数
931110
严重 - 5
可能的远程文件包含 (RFI) 攻击:对 URL 有效负载使用常见 RFI 漏洞参数名
931120
严重 - 5
可能的远程文件包含 (RFI) 攻击:在 URL 有效负载中使用尾随问号 (?)
931130
严重 - 5
可能的远程文件包含 (RFI) 攻击:域外引用/链接
展開資料表
规则编号
异常分数严重性
说明
932100
严重 - 5
远程命令执行:Unix 命令注入
932105
严重 - 5
远程命令执行:Unix 命令注入
932110
严重 - 5
远程命令执行:Windows 命令注入
932115
严重 - 5
远程命令执行:Windows 命令注入
932120
严重 - 5
远程命令执行:找到 Windows PowerShell 命令
932130
严重 - 5
远程命令执行:找到 Unix Shell 表达式或 Confluence 漏洞 (CVE-2022-26134)
932140
严重 - 5
远程命令执行:找到 Windows FOR/IF 命令
932150
严重 - 5
远程命令执行:直接 Unix 命令执行
932160
严重 - 5
远程命令执行:找到 Unix Shell 代码
932170
严重 - 5
远程命令执行:Shellshock (CVE-2014-6271)
932171
严重 - 5
远程命令执行:Shellshock (CVE-2014-6271)
932180
严重 - 5
受限文件上传企图
展開資料表
规则 ID
异常分数严重性
说明
933100
严重 - 5
PHP 注入攻击:找到开始/结束标记
933110
严重 - 5
PHP 注入攻击:找到 PHP 脚本文件上传
933120
严重 - 5
PHP 注入攻击:找到配置指令
933130
严重 - 5
PHP 注入攻击:找到变量
933140
严重 - 5
PHP 注入攻击:找到 I/O 流
933150
严重 - 5
PHP 注入攻击:找到高风险的 PHP 函数名称
933151
严重 - 5
PHP 注入攻击:找到中等风险的 PHP 函数名称
933160
严重 - 5
PHP 注入攻击:找到高风险的 PHP 函数调用
933170
严重 - 5
PHP 注入攻击:序列化对象注入
933180
严重 - 5
PHP 注入攻击:找到可变函数调用
933200
严重 - 5
PHP 注入攻击:检测到包装器方案
933210
严重 - 5
PHP 注入攻击:找到可变函数调用
展開資料表
规则编号
异常评分严重程度
说明
934100
严重 - 5
Node.js 注入攻击
展開資料表
规则编号
异常评分严重程度
说明
941100
严重 - 5
通过 libinjection 检测到 XSS 攻击
941101
严重 - 5
检测到通过 libinjection 展开的 XSS 攻击。
941110
严重 - 5
XSS 筛选器 - 类别 1:脚本标记向量
941120
严重 - 5
XSS 筛选器 - 类别 2:事件处理矢量
941130
严重 - 5
XSS 筛选器 - 类别 3:属性向量
941140
严重 - 5
XSS 筛选器 - 类别 4:Javascript URI 向量
941150
严重 - 5
XSS 筛选器 - 类别 5:不允许的 HTML 属性
941160
严重 - 5
NoScript XSS InjectionChecker:HTML 注入
941170
严重 - 5
NoScript XSS InjectionChecker:属性注入
941180
严重 - 5
节点验证器阻止列表关键字
941190
严重 - 5
使用样式表的 XSS
941200
严重 - 5
使用 VML 框架的 XSS
941210
严重 - 5
使用经过模糊处理的 Javascript 的 XSS
941220
严重 - 5
使用经过模糊处理的 VB Script 的 XSS
941230
严重 - 5
使用“embed”标记的 XSS
941240
严重 - 5
使用“import”或“implementation”属性的 XSS
941250
严重 - 5
IE XSS 筛选器 - 检测到攻击
941260
严重 - 5
使用“meta”标记的 XSS
941270
严重 - 5
使用“link”href 的 XSS
941280
严重 - 5
使用“base”标记的 XSS
941290
严重 - 5
使用“applet”标记的 XSS
941300
严重 - 5
使用“object”标记的 XSS
941310
严重 - 5
US-ASCII 格式错误编码 XSS 筛选器 - 检测到攻击
941320
严重 - 5
检测到可能的 XSS 攻击 - HTML 标记处理程序
941330
严重 - 5
IE XSS 筛选器 - 检测到攻击
941340
严重 - 5
IE XSS 筛选器 - 检测到攻击
941350
严重 - 5
UTF-7 编码 IE XSS - 检测到攻击
941360
严重 - 5
检测到 JavaScript 混淆
941370
严重 - 5
找到 JavaScript 全局变量
941380
严重 - 5
检测到 AngularJS 客户端模板注入
展開資料表
规则 ID
异常评分严重程度
说明
942100
严重 - 5
检测到通过 libinjection 展开的 SQL 注入攻击
942110
警告 - 3
SQL 注入攻击:检测到常用注入测试
942120
严重 - 5
SQL 注入攻击:检测到 SQL 运算符
942130
严重 - 5
SQL 注入攻击:检测到 SQL 同义反复
942140
严重 - 5
SQL 注入攻击:检测到常用 DB 名称
942150
严重 - 5
SQL 注入攻击
942160
严重 - 5
检测到使用 sleep() 或 benchmark() 的盲注 sqli 测试
942170
严重 - 5
检测到包含条件查询的 SQL 基准和休眠注入企图
942180
严重 - 5
检测到基本 SQL 身份验证绕过尝试 1/3
942190
严重 - 5
检测到 MSSQL 代码执行和信息收集尝试
942200
严重 - 5
检测到 MySQL 注释/空间经过模糊处理的注入和反引号终止
942210
严重 - 5
检测链式 SQL 注入尝试次数 1/2
942220
严重 - 5
查找整数溢出攻击,这些攻击来自 skipfish,但 3.0.00738585072007e-308 是“幻数”故障
942230
严重 - 5
检测条件式 SQL 注入企图
942240
严重 - 5
检测 MySQL 字符集切换和 MSSQL 拒绝服务攻击尝试
942250
严重 - 5
检测 MATCH AGAINST、MERGE 和 EXECUTE IMMEDIATE 注入
942260
严重 - 5
检测到基本 SQL 身份验证绕过尝试 2/3
942270
严重 - 5
正在查找基本 sql 注入。 mysql、oracle 和其他对象的常见攻击字符串
942280
严重 - 5
检测 Postgres pg_sleep 注入、waitfor 延迟攻击和数据库关闭尝试
942290
严重 - 5
查找基本 MongoDB SQL 注入企图
942300
严重 - 5
检测到 MySQL 注释、条件和 ch(a)r 注入
942310
严重 - 5
检测链式 SQL 注入尝试次数 2/2
942320
严重 - 5
检测 MySQL 和 PostgreSQL 存储过程/函数注入
942330
严重 - 5
检测到经典 SQL 注入探测 1/2
942340
严重 - 5
检测到基本 SQL 身份验证绕过尝试 3/3
942350
严重 - 5
检测 MySQL UDF 注入和其他数据/结构操作企图
942360
严重 - 5
检测到连接的基本 SQL 注入和 SQLLFI 尝试
942361
严重 - 5
检测基于关键字 alter 或 union 的基本 SQL 注入
942370
严重 - 5
检测到经典 SQL 注入探测 2/2
942380
严重 - 5
SQL 注入攻击
942390
严重 - 5
SQL 注入攻击
942400
严重 - 5
SQL 注入攻击
942410
严重 - 5
SQL 注入攻击
942430
警告 - 3
受限 SQL 字符异常情况检测 (args):已超出特殊字符数 (12)
942440
严重 - 5
检测到 SQL 注释序列
942450
严重 - 5
识别到 SQL 十六进制编码
942460
警告 - 3
元字符异常检测警报 - 重复的非单词字符
942470
严重 - 5
SQL 注入攻击
942480
严重 - 5
SQL 注入攻击
942500
严重 - 5
检测到 MySQL 内联注释
942510
严重 - 5
检测到引号或反引号尝试 SQLi 绕过
展開資料表
规则 ID
异常分数严重性
说明
943100
严重 - 5
可能的会话固定攻击:在 HTML 中设置 Cookie 值
943110
严重 - 5
可能的会话固定攻击:包含域外引用方的 SessionID 参数名称
943120
严重 - 5
可能的会话固定攻击:不包含引用方的 SessionID 参数名称
展開資料表
规则 ID
异常评分的严重程度
说明
944100
严重 - 5
远程命令执行:Apache Struts、Oracle WebLogic
944110
严重 - 5
检测潜在的有效负载执行
944120
严重 - 5
可能的有效负载执行和远程命令执行
944130
严重 - 5
可疑的 Java 类
944200
严重 - 5
利用 Java 反序列化 Apache Commons
944210
严重 - 5
可能使用 Java 序列化
944240
严重 - 5
远程命令执行:Java 序列化和 Log4j 漏洞(CVE-2021-44228 、CVE-2021-45046 )
944250
严重 - 5
远程命令执行:检测到可疑的 Java 方法
展開資料表
规则 ID
异常分数严重性
说明
99005002
严重 - 5
Web Shell 交互尝试 (POST)
99005003
严重 - 5
Web Shell 上传尝试 (POST) - CHOPPER PHP
99005004
严重 - 5
Web Shell 上传尝试 (POST) - CHOPPER ASPX
99005005
严重 - 5
Web Shell 交互尝试
99005006
严重 - 5
Spring4Shell 交互尝试
展開資料表
规则编号
异常评分严重程度
说明
99030001
严重 - 5
标头中的路径遍历规避 (/.././../)
99030002
严重 - 5
请求正文中的路径遍历规避 (/.././../)
展開資料表
规则 ID
异常评分严重程度
说明
99031001
警告 - 3
SQL 注入攻击:检测到常用注入测试
99031002
严重 - 5
检测到 SQL 注释序列
99031003
严重 - 5
SQL 注入攻击
99031004
严重 - 5
检测到基本 SQL 身份验证绕过尝试 2/3
展開資料表
*默认情况下,此规则的操作设置为记录。将操作设置为“阻止”可防止 Apache Struts 漏洞。此规则不支持异常分数。
查看 WAF 的日志时,可能会看到规则 ID 949110。 该规则的描述可能包含“入站异常分数超出”。
此规则指示请求的总异常分数超出了允许的最大分数。 有关详细信息,请参阅异常评分 。
展開資料表
规则编号
说明
200002
未能分析请求正文
200003
多部分请求正文严格验证
200004
可能的多部分不匹配边界
展開資料表
*默认情况下,此规则的操作设置为记录。将操作设置为“阻止”可防止 Apache Struts 漏洞。此规则不支持异常分数。
REQUEST-911-METHOD-ENFORCEMENT
展開資料表
REQUEST-913-SCANNER-DETECTION
展開資料表
规则编号
说明
913100
找到了与安全扫描程序关联的用户代理
913101
找到了与脚本/通用 HTTP 客户端关联的用户代理
913102
找到了与 Web 爬网程序/bot 关联的用户代理
913110
找到了与安全扫描程序关联的请求标头
913120
找到了与安全扫描程序关联的请求文件名/参数
REQUEST-920-PROTOCOL-ENFORCEMENT
展開資料表
规则编号
说明
920100
无效的 HTTP 请求行
920120
尝试了多部分/表单数据绕过
920121
尝试了多部分/表单数据绕过
920160
Content-Length HTTP 标头不是数值
920170
包含正文内容的 GET 或 HEAD 请求
920171
包含 Transfer-Encoding 的 GET 或 HEAD 请求
920180
POST 请求缺少 Content-Length 标头
920190
范围:最后一个字节值无效
920200
范围:字段太多(6 个或以上)
920201
范围:pdf 请求的字段太多(35 个或以上)
920202
范围:pdf 请求的字段太多(6 个或以上)
920210
找到了多个/有冲突的连接标头数据
920220
URL 编码滥用攻击尝试
920230
检测到多个 URL 编码
920240
URL 编码滥用攻击尝试
920250
UTF8 编码滥用攻击企图
920260
Unicode 全角/半角滥用攻击企图
920270
请求中的字符无效(null 字符)
920271
请求中的字符无效(不可打印字符)
920272
请求中包含无效字符(不属于ASCII 127以下的可打印字符)
920273
请求中的字符无效(不属于严格字符集)
920274
请求标头中的字符无效(不属于极严格集)
920280
请求缺少 Host 标头
920290
Host 标头为空
920300
请求缺少 Accept 标头
920310
请求包含空的 Accept 标头
920311
请求包含空的 Accept 标头
920320
缺少用户代理标头
920330
用户代理标头为空
920340
请求中包含内容,但缺少 Content-Type 标头
920341
包含内容的请求需要 Content-Type 标头
920350
Host 标头是数字 IP 地址
920420
请求的内容类型不被策略允许
920430
策略不允许使用此 HTTP 协议版本
920440
策略限制了 URL 文件扩展名
920450
策略限制了 HTTP 标头 (%{MATCHED_VAR})
920460
转义字符异常
920470
Content-Type 标头非法
920480
在 content-type 标头中限制字符集参数
REQUEST-921-PROTOCOL-ATTACK
展開資料表
RuleId
说明
921110
HTTP 请求走私攻击
921120
HTTP 响应拆分攻击
921130
HTTP 响应拆分攻击
921140
通过标头展开的 HTTP 标头注入攻击
921150
通过有效负载展开的 HTTP 标头注入攻击(检测到 CR/LF)
921151
通过有效负载展开的 HTTP 标头注入攻击(检测到 CR/LF)
921160
通过有效负载展开的 HTTP 标头注入攻击(检测到 CR/LF 和标头名称)
921170
HTTP 参数污染
921180
HTTP 参数污染 (%{TX.1})
REQUEST-930-APPLICATION-ATTACK-LFI
展開資料表
RuleId
说明
930100
路径遍历攻击 (/../)
930110
路径遍历攻击 (/../)
930120
OS 文件访问尝试
930130
受限文件访问尝试
REQUEST-931-APPLICATION-ATTACK-RFI
展開資料表
RuleId
说明
931100
可能的远程文件包含 (RFI) 攻击:使用 IP 地址的 URL 参数
931110
可能的远程文件包含 (RFI) 攻击:对 URL 有效负载使用常见 RFI 漏洞参数名
931120
可能的远程文件包含 (RFI) 攻击:在 URL 有效负载中使用尾随问号 (?)
931130
可能的远程文件包含 (RFI) 攻击:域外引用/链接
REQUEST-932-APPLICATION-ATTACK-RCE
展開資料表
RuleId
说明
932100
远程命令执行:Unix 命令注入
932105
远程命令执行:Unix 命令注入
932106
远程命令执行:Unix 命令注入
932110
远程命令执行:Windows 命令注入
932115
远程命令执行:Windows 命令注入
932120
远程命令执行:找到 Windows PowerShell 命令
932130
远程命令执行:找到 Unix Shell 表达式或 Confluence 漏洞 (CVE-2022-26134) 或 Text4Shell (CVE-2022-42889 )
932140
远程命令执行:找到 Windows FOR/IF 命令
932150
远程命令执行:直接 Unix 命令执行
932160
远程命令执行:找到 Unix Shell 代码
932170
远程命令执行:Shellshock (CVE-2014-6271)
932171
远程命令执行:Shellshock (CVE-2014-6271)
932180
受限文件上传企图
932190
远程命令执行:通配符绕过方法尝试
REQUEST-933-APPLICATION-ATTACK-PHP
展開資料表
RuleId
说明
933100
PHP 注入攻击:找到开始/结束标记
933110
PHP 注入攻击:找到 PHP 脚本文件上传
933111
PHP 注入攻击:找到 PHP 脚本文件上传
933120
PHP 注入攻击:发现了配置指令
933130
PHP 注入攻击:找到变量
933131
PHP 注入攻击:找到变量
933140
PHP 注入攻击:找到 I/O 流
933150
PHP 注入攻击:找到高风险的 PHP 函数名称
933151
PHP 注入攻击:找到中等风险的 PHP 函数名称
933160
PHP 注入攻击:找到高风险的 PHP 函数调用
933161
PHP 注入攻击:找到低值 PHP 函数调用
933170
PHP 注入攻击:序列化对象注入
933180
PHP 注入攻击:找到可变函数调用
933190
PHP 注入攻击:找到 PHP 结束标记
933200
PHP 注入攻击:检测到包装器方案
933210
PHP 注入攻击:找到可变函数调用
REQUEST-941-APPLICATION-ATTACK-XSS
展開資料表
RuleId
说明
941100
检测到通过 libinjection 展开的 XSS 攻击
941101
通过 libinjection 检测到的 XSS 攻击
941110
XSS 筛选器 - 类别 1:脚本标记向量
941120
XSS 筛选器 - 类别 2:事件处理器向量
941130
XSS 筛选器 - 类别 3:属性向量
941140
XSS 筛选器 - 类别 4:Javascript URI 向量
941150
XSS 筛选器 - 类别 5:不允许的 HTML 属性
941160
NoScript XSS InjectionChecker:HTML 注入
941170
NoScript XSS InjectionChecker:属性注入
941180
节点验证器黑名单关键字
941190
使用样式表的 XSS
941200
使用 VML 帧的 XSS
941210
使用混淆 JavaScript 或 Text4Shell 的 XSS (CVE-2022-42889 )
941220
使用经过模糊处理的 VB Script 的 XSS
941230
使用“embed”标记的 XSS
941240
使用“import”或“implementation”属性的 XSS
941250
IE XSS 筛选器 - 检测到攻击
941260
使用“meta”标记的 XSS
941270
使用“link”href 的 XSS
941280
使用“base”标记的 XSS
941290
使用“applet”标记的 XSS
941300
使用“object”标记的 XSS
941310
US-ASCII 格式错误编码 XSS 筛选器 - 检测到攻击
941320
检测到可能的 XSS 攻击 - HTML 标记处理程序
941330
IE XSS 筛选器 - 检测到攻击
941340
IE XSS 筛选器 - 检测到攻击
941350
UTF-7 编码 IE XSS - 检测到攻击
941360
检测到 JavaScript 混淆
REQUEST-942-APPLICATION-ATTACK-SQLI
展開資料表
RuleId
说明
942100
检测到通过 libinjection 展开的 SQL 注入攻击
942110
SQL 注入攻击:检测到常用注入测试
942120
SQL 注入攻击:检测到 SQL 运算符
942130
SQL 注入攻击:检测到 SQL 同义反复
942140
SQL 注入攻击:检测到常用 DB 名称
942150
SQL 注入攻击
942160
检测到使用 sleep() 或 benchmark() 的盲注 sqli 测试
942170
检测到包含条件查询的 SQL 基准和休眠注入企图
942180
检测到基本 SQL 身份验证绕过尝试 1/3
942190
检测到 MSSQL 代码执行和信息收集尝试
942200
检测到 MySQL 注释/空间经过模糊处理的注入和反引号终止
942210
检测链式 SQL 注入尝试次数 1/2
942220
查找整数溢出攻击,这些攻击来自 skipfish,但 3.0.00738585072007e-308 是“幻数”故障
942230
检测条件性的 SQL 注入企图
942240
检测 MySQL 字符集开关和 MSSQL DoS 尝试
942250
检测 MATCH AGAINST、MERGE 和 EXECUTE IMMEDIATE 注入
942251
检测 HAVING 注入
942260
检测到基本 SQL 身份验证绕过尝试 2/3
942270
正在查找基本 sql 注入。 mysql、oracle 和其他对象的常见攻击字符串
942280
检测 Postgres pg_sleep 注入、waitfor 延迟攻击和数据库关闭尝试
942290
检测基本的 MongoDB SQL 注入尝试
942300
检测到 MySQL 注释、条件和 ch(a)r 注入
942310
检测链式 SQL 注入尝试次数 2/2
942320
检测 MySQL 和 PostgreSQL 存储过程/函数注入
942330
检测到经典 SQL 注入探测 1/2
942340
检测到基本 SQL 身份验证绕过尝试 3/3
942350
检测 MySQL UDF 注入和其他数据/结构操作企图
942360
检测到连接的基本 SQL 注入和 SQLLFI 尝试
942361
检测基于关键字 alter 或 union 的基本 SQL 注入
942370
检测到经典 SQL 注入探测 2/2
942380
SQL 注入攻击
942390
SQL 注入攻击
942400
SQL 注入攻击
942410
SQL 注入攻击
942420
受限 SQL 字符异常情况检测 (cookie):已超出特殊字符数 (8)
942421
受限 SQL 字符异常情况检测 (cookie):已超出特殊字符数 (3)
942430
受限 SQL 字符异常检测 (args):特殊字符数量已超出限制 (12)
942431
受限 SQL 字符异常情况检测 (args):已超出特殊字符数 (6)
942432
受限 SQL 字符异常情况检测 (args):已超出特殊字符数 (2)
942440
检测到 SQL 注释序列
942450
识别到 SQL 十六进制编码
942460
元字符异常检测警报 - 重复的非单词字符
942470
SQL 注入攻击
942480
SQL 注入攻击
942490
检测经典 SQL 注入探测 3/3
942500
检测到 MySQL 内联注释
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION
展開資料表
RuleId
说明
943100
可能的会话固定攻击:在 HTML 中设置 Cookie 值
943110
可能的会话固定攻击:包含域外引用方的 SessionID 参数名称
943120
可能的会话固定攻击:不包含引用方的 SessionID 参数名称
REQUEST-944-APPLICATION-ATTACK-JAVA
展開資料表
RuleId
说明
944100
远程命令执行:Apache Struts、Oracle WebLogic
944110
检测潜在的有效负载执行
944120
可能的有效负载执行和远程命令执行
944130
可疑的 Java 类
944200
利用 Java 反序列化 Apache Commons
944210
可能使用 Java 序列化
944240
远程命令执行:Java 序列化
944250
远程命令执行:检测到可疑的 Java 方法
944300
Base64 编码的字符串匹配可疑关键字
展開資料表
规则编号
说明
200004
可能的多部分不匹配边界
展開資料表
*运行 CRS 3.1 的旧版 WAF 仅支持此规则的日志记录模式。若要启用阻止模式,需要升级到更高的规则集版本。
REQUEST-911-METHOD-ENFORCEMENT
展開資料表
RuleId
说明
911100
策略不允许此方法
REQUEST-913-SCANNER-DETECTION
展開資料表
RuleId
说明
913100
找到了与安全扫描程序关联的用户代理
913101
找到了与脚本/通用 HTTP 客户端关联的用户代理
913102
找到了与 Web 爬网程序/bot 关联的用户代理
913110
找到了与安全扫描程序关联的请求标头
913120
找到了与安全扫描程序关联的请求文件名/参数
REQUEST-920-PROTOCOL-ENFORCEMENT
展開資料表
RuleId
说明
920100
无效的 HTTP 请求行
920120
尝试了多部分/表单数据绕过
920121
尝试了多部分/表单数据绕过
920130
未能解析请求正文
920140
多部分请求正文无法通过严格的验证
920160
Content-Length HTTP 标头不是数值
920170
包含正文内容的 GET 或 HEAD 请求
920171
包含 Transfer-Encoding 的 GET 或 HEAD 请求
920180
POST 请求缺少 Content-Length 标头
920190
范围 = 最后一个字节值无效
920200
范围 = 字段太多(6 个或以上)
920201
范围:Pdf请求的字段过多(35个以上)
920202
范围 = pdf 请求的字段过多(6 个或以上)
920210
找到了多个/有冲突的连接标头数据
920220
URL 编码滥用攻击尝试
920230
检测到多个 URL 编码
920240
URL 编码滥用攻击尝试
920250
UTF8 编码滥用攻击企图
920260
Unicode 全角/半角滥用攻击企图
920270
请求中的字符无效(null 字符)
920271
请求中的字符无效(不可打印字符)
920272
请求中的字符无效(不属于 ascii 127 下面的可列显字符)
920273
请求中包含无效字符(不在严格限定的字符集内)
920274
请求标头中包含无效字符(不属于非常严格的集合)
920280
请求缺少 Host 标头
920290
Host 标头为空
920300
请求缺少 Accept 标头
920310
请求包含空的 Accept 标头
920311
请求包含空的 Accept 标头
920320
缺少用户代理标头
920330
用户代理标头为空
920340
请求包含内容,但缺少 Content-Type 标头。
920341
请求包含内容,但需要 Content-Type 标头
920350
Host 标头是数字 IP 地址
920420
请求的内容类型被策略禁止
920430
HTTP 协议版本不符合策略要求
920440
策略限制了 URL 文件扩展名
920450
HTTP 标头已被策略限制 (%@{MATCHED_VAR})
920460
转义字符异常
920470
Content-Type 标头非法
920480
在 content-type 标头中限制字符集参数
REQUEST-921-PROTOCOL-ATTACK
展開資料表
RuleId
说明
921110
HTTP 请求走私攻击
921120
HTTP 响应拆分攻击
921130
HTTP 响应拆分攻击
921140
通过标头展开的 HTTP 标头注入攻击
921150
通过有效负载展开的 HTTP 标头注入攻击(检测到 CR/LF)
921151
通过有效负载展开的 HTTP 标头注入攻击(检测到 CR/LF)
921160
通过有效负载展开的 HTTP 标头注入攻击(检测到 CR/LF 和标头名称)
921170
HTTP 参数污染
921180
HTTP 参数污染 (%{TX.1})
REQUEST-930-APPLICATION-ATTACK-LFI
展開資料表
RuleId
说明
930100
路径遍历攻击 (/../)
930110
路径遍历攻击 (/../)
930120
OS 文件访问尝试
930130
受限文件访问尝试
REQUEST-931-APPLICATION-ATTACK-RFI
展開資料表
RuleId
说明
931100
可能的远程文件包含 (RFI) 攻击 = 使用 IP 地址的 URL 参数
931110
可能的远程文件包含 (RFI) 攻击 = 对 URL 有效负载使用常见 RFI 漏洞参数名使用
931120
可能的远程文件包含 (RFI) 攻击 = 在 URL 有效负载中使用尾随问号 (?)
931130
可能的远程文件包含 (RFI) 攻击 = 域外引用/链接
REQUEST-932-APPLICATION-ATTACK-RCE
展開資料表
规则编号
说明
932100
远程命令执行:Unix 命令注入
932105
远程命令执行:Unix 命令注入
932106
远程命令执行:Unix 命令注入
932110
远程命令执行:Windows 命令注入
932115
远程命令执行:Windows 命令注入
932120
远程命令执行 = 找到 Windows PowerShell 命令
932130
远程命令执行:Unix Shell 表达式漏洞、Confluence 漏洞 (CVE-2022-26134) 或 Text4Shell (CVE-2022-42889 ) 被发现
932140
远程命令执行 = 找到 Windows FOR/IF 命令
932150
远程命令执行:直接 Unix 命令执行
932160
远程命令执行 = 找到 Unix Shell 代码
932170
远程命令执行 = Shellshock (CVE-2014-6271)
932171
远程命令执行 = Shellshock (CVE-2014-6271)
932180
受限文件上传企图
932190
远程命令执行:通配符绕过方法尝试
REQUEST-933-APPLICATION-ATTACK-PHP
展開資料表
RuleId
说明
933100
PHP 注入攻击 = 找到开始/结束标记
933110
PHP 注入攻击 = 找到 PHP 脚本文件上传
933111
PHP 注入攻击:找到 PHP 脚本文件上传
933120
PHP 注入攻击 = 找到配置指令
933130
PHP 注入攻击 = 找到变量
933131
PHP 注入攻击:找到变量
933140
PHP 注入攻击:找到 I/O 流
933150
PHP 注入攻击 = 找到高风险的 PHP 函数名称
933151
PHP 注入攻击:找到中等风险的 PHP 函数名称
933160
PHP 注入攻击 = 找到高风险的 PHP 函数调用
933161
PHP 注入攻击:找到低值 PHP 函数调用
933170
PHP 注入攻击:序列化对象注入
933180
PHP 注入攻击 = 找到可变函数调用
933190
PHP 注入攻击:找到 PHP 结束标记
REQUEST-941-APPLICATION-ATTACK-XSS
展開資料表
RuleId
说明
941100
检测到通过 libinjection 展开的 XSS 攻击
941101
检测到通过 libinjection 展开的 XSS 攻击。Referer 标头的请求
941110
XSS 筛选器 - 类别 1 = 脚本标记向量
941130
XSS 筛选器 - 类别 3 = 属性向量
941140
XSS 筛选器 - 类别 4 = JavaScript URI 向量
941150
XSS 筛选器 - 类别 5 = 不允许的 HTML 属性
941160
NoScript XSS InjectionChecker:HTML 注入
941170
NoScript XSS InjectionChecker:属性注入
941180
节点验证器阻止列表关键字
941190
使用样式表的 XSS
941200
使用 VML 帧的 XSS
941210
使用混淆 JavaScript 或 Text4Shell 的 XSS (CVE-2022-42889 )
941220
使用经过模糊处理的 VB Script 的 XSS
941230
使用“embed”标记的 XSS
941240
使用“import”或“implementation”属性的 XSS
941250
IE XSS 筛选器 - 检测到攻击
941260
使用“meta”标记的 XSS
941270
使用“link”href 的 XSS
941280
使用“base”标记的 XSS
941290
使用“applet”标记的 XSS
941300
使用“object”标记的 XSS
941310
US-ASCII 格式错误编码 XSS 筛选器 - 检测到攻击
941320
检测到可能的 XSS 攻击 - HTML 标记处理程序
941330
IE XSS 筛选器 - 检测到攻击
941340
IE XSS 筛选器 - 检测到攻击
941350
UTF-7 编码 IE XSS - 检测到攻击
REQUEST-942-APPLICATION-ATTACK-SQLI
展開資料表
RuleId
说明
942100
检测到通过 libinjection 展开的 SQL 注入攻击
942110
SQL 注入攻击:检测到常用注入测试
942120
SQL 注入攻击:检测到 SQL 运算符
942130
SQL 注入攻击:检测到 SQL 同义反复
942140
SQL 注入攻击 = 检测到常用 DB 名称
942150
SQL 注入攻击
942160
检测到使用 sleep() 或 benchmark() 的盲注 sqli 测试
942170
检测到包含条件查询的 SQL 基准和休眠注入企图
942180
检测到基本 SQL 身份验证绕过尝试 1/3
942190
检测到 MSSQL 代码执行和信息收集尝试
942200
检测到 MySQL 注释/空间经过模糊处理的注入和反引号终止
942210
检测链式 SQL 注入尝试次数 1/2
942220
正在查找整数溢出攻击,这些项取自 skipfish,3.0.00738585072 除外
942230
检测到条件 SQL 注入企图
942240
检测 MySQL 字符集开关和 MSSQL DoS 尝试
942250
检测 MATCH AGAINST、MERGE 和 EXECUTE IMMEDIATE 注入
942251
检测 HAVING 注入
942260
检测到基本 SQL 身份验证绕过尝试 2/3
942270
正在查找基本 sql 注入。 针对 mysql oracle 和其他系统的常见攻击字符串
942280
检测 Postgres pg_sleep 注入、waitfor 延迟攻击和数据库关闭尝试
942290
查找基本 MongoDB SQL 注入企图
942300
检测到 MySQL 注释、条件和 ch(a)r 注入
942310
检测链式 SQL 注入攻击 2/2
942320
检测 MySQL 和 PostgreSQL 存储过程/函数注入
942330
检测到经典 SQL 注入探测 1/2
942340
检测到基本 SQL 身份验证绕过尝试 3/3
942350
检测 MySQL UDF 注入和其他数据/结构操作企图
942360
检测到连接的基本 SQL 注入和 SQLLFI 尝试
942361
检测基于关键字 alter 或 union 的基本 SQL 注入
942370
检测到经典 SQL 注入探测 2/2
942380
SQL 注入攻击
942390
SQL 注入攻击
942400
SQL 注入攻击
942410
SQL 注入攻击
942420
受限 SQL 字符异常情况检测 (cookie):已超出特殊字符数 (8)
942421
受限 SQL 字符异常情况检测 (cookie):已超出特殊字符数 (3)
942430
受限 SQL 字符异常情况检测 (args):已超出特殊字符数 (12)
942431
受限 SQL 字符异常检测 (args):特殊字符数量已超出限额 (6)
942432
受限 SQL 字符异常情况检测 (args):已超出特殊字符数 (2)
942440
检测到 SQL 注释序列
942450
识别到 SQL 十六进制编码
942460
元字符异常检测警报 - 重复的非单词字符
942470
SQL 注入攻击
942480
SQL 注入攻击
942490
检测经典 SQL 注入探测 3/3
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION
展開資料表
RuleId
说明
943100
可能的会话固定攻击 = 在 HTML 中设置 Cookie 值
943110
可能的会话固定攻击 = 包含域外引用方的 SessionID 参数名称
943120
可能的会话固定攻击 = 不包含引用方的 SessionID 参数名称
REQUEST-944-APPLICATION-ATTACK-SESSION-JAVA
展開資料表
规则编号
说明
944120
可能的有效负载执行和远程命令执行
944130
可疑的 Java 类
944200
利用 Java 反序列化 Apache Commons
展開資料表
RuleId
说明
200004
可能的多部分不匹配边界
展開資料表
REQUEST-911-METHOD-ENFORCEMENT
展開資料表
REQUEST-913-SCANNER-DETECTION
展開資料表
RuleId
说明
913100
找到了与安全扫描程序关联的用户代理
913110
找到了与安全扫描程序关联的请求标头
913120
找到了与安全扫描程序关联的请求文件名/参数
913101
找到了与脚本/通用 HTTP 客户端关联的用户代理
913102
找到了与 Web 爬网程序/bot 关联的用户代理
REQUEST-920-PROTOCOL-ENFORCEMENT
展開資料表
RuleId
说明
920100
无效的 HTTP 请求行
920130
未能解析请求正文
920140
多部分请求正文无法通过严格的验证
920160
Content-Length HTTP 标头不是数值
920170
包含正文内容的 GET 或 HEAD 请求
920180
POST 请求缺少 Content-Length 标头
920190
范围 = 最后一个字节值无效
920210
找到了多个/有冲突的连接标头数据
920220
URL 编码滥用攻击尝试
920240
URL 编码滥用攻击尝试
920250
UTF8 编码滥用攻击企图
920260
Unicode 全角/半角滥用攻击企图
920270
请求中的字符无效(null 字符)
920280
请求缺少 Host 标头
920290
Host 标头为空
920310
请求包含空的 Accept 标头
920311
请求包含空的 Accept 标头
920330
用户代理标头为空
920340
请求包含内容但缺少 Content-Type 标头
920350
Host 标头是数字 IP 地址
920380
请求中的参数太多
920360
参数名称太长
920370
参数值太长
920390
参数总大小超出限制
920400
上传的文件太大
920410
上传的文件总大小太大
920420
请求的内容类型不被策略允许
920430
策略不允许使用此 HTTP 协议版本
920440
策略限制了 URL 文件扩展名
920450
策略限制了 HTTP 标头 (%@{MATCHED_VAR})
920200
范围 = 字段太多(6 个或以上)
920201
范围 = pdf 请求的字段过多(35 个或以上)
920230
检测到多个 URL 编码
920300
请求缺少 Accept 标头
920271
请求中的无效字符(不可打印字符)
920320
缺少用户代理标头
920272
请求中的字符无效(超出 ascii 127 以下的可打印字符范围)
920202
范围 = pdf 请求的字段过多(6 个或以上)
920273
请求中的字符无效(不属于规定的严格集合)
920274
请求标头中的字符无效(不属于极严格集)
920460
转义字符异常
REQUEST-921-PROTOCOL-ATTACK
展開資料表
规则编号: RuleId
说明
921100
HTTP 请求走私攻击
921110
HTTP 请求走私攻击
921120
HTTP 响应拆分攻击
921130
HTTP 响应拆分攻击
921140
通过标头展开的 HTTP 标头注入攻击
921150
通过有效负载展开的 HTTP 标头注入攻击(检测到 CR/LF)
921160
通过有效负载展开的 HTTP 标头注入攻击(检测到 CR/LF 和标头名称)
921151
通过有效负载展开的 HTTP 标头注入攻击(检测到 CR/LF)
921170
HTTP 参数污染
921180
HTTP 参数污染 (%@{TX.1})
REQUEST-930-APPLICATION-ATTACK-LFI
展開資料表
RuleId
说明
930100
路径遍历攻击 (/../)
930110
路径遍历攻击 (/../)
930120
OS 文件访问尝试
930130
受限文件访问尝试
REQUEST-931-APPLICATION-ATTACK-RFI
展開資料表
RuleId(规则编号)
说明
931100
可能的远程文件包含 (RFI) 攻击 = 使用 IP 地址的 URL 参数
931110
可能的远程文件包含 (RFI) 攻击 = 对 URL 有效负载使用常见 RFI 漏洞参数名使用
931120
可能的远程文件包含 (RFI) 攻击 = 在 URL 有效负载中使用尾随问号 (?)
931130
可能的远程文件包含 (RFI) 攻击 = 域外引用/链接
REQUEST-932-APPLICATION-ATTACK-RCE
展開資料表
RuleId
说明
932120
远程命令执行 = 找到 Windows PowerShell 命令
932130
应用程序网关 WAF v2CVE-2022-42889 )
932140
远程命令执行 = 找到 Windows 的 FOR/IF 命令
932160
远程命令执行 = 找到 Unix Shell 代码
932170
远程命令执行 = Shellshock (CVE-2014-6271)
932171
远程命令执行 = Shellshock (CVE-2014-6271)
REQUEST-933-APPLICATION-ATTACK-PHP
展開資料表
RuleId
说明
933100
PHP 注入攻击 = 找到开始/结束标记
933110
PHP 注入攻击 = 找到 PHP 脚本文件上传
933120
PHP 注入攻击 = 找到配置指令
933130
PHP 注入攻击 = 找到变量
933150
PHP 注入攻击 = 找到高风险的 PHP 函数名称
933160
PHP 注入攻击 = 找到高风险的 PHP 函数调用
933180
PHP 注入攻击 = 找到可变函数调用
933151
PHP 注入攻击 = 找到中等风险的 PHP 函数名称
933131
PHP 注入攻击 = 找到变量
933161
PHP 注入攻击 = 找到低值 PHP 函数调用
933111
PHP 注入攻击 = 找到 PHP 脚本文件上传
REQUEST-941-APPLICATION-ATTACK-XSS
展開資料表
RuleId
说明
941100
通过libinjection检测到XSS攻击
941110
XSS 筛选器 - 类别 1 = 脚本标记向量
941130
XSS 筛选器 - 类别 3 = 属性向量
941140
XSS 筛选器 - 类别 4 = JavaScript URI 向量
941150
XSS 筛选器 - 类别 5 = 不允许的 HTML 属性
941180
节点验证器阻止列表关键字
941190
使用样式表的 XSS
941200
使用 VML 帧的 XSS
941210
使用混淆 JavaScript 或 Text4Shell 的 XSS (CVE-2022-42889 )
941220
使用经过模糊处理的 VB Script 的 XSS
941230
使用“embed”标记的 XSS
941240
使用“import”或“implementation”属性的 XSS
941260
使用“meta”标记的 XSS
941270
使用“link”href 的 XSS
941280
使用“base”标记的 XSS
941290
使用“applet”标记的 XSS
941300
使用“object”标签的 XSS
941310
US-ASCII 格式错误编码 XSS 筛选器 - 检测到攻击
941330
IE XSS 筛选器 - 检测到攻击
941340
IE XSS 筛选器 - 检测到攻击
941350
UTF-7 编码 IE XSS - 检测到攻击
941320
检测到可能的 XSS 攻击 - HTML 标记处理程序
REQUEST-942-APPLICATION-ATTACK-SQLI
展開資料表
RuleId
说明
942100
检测到通过 libinjection 展开的 SQL 注入攻击
942110
SQL 注入攻击:常见注入测试被检测到
942130
SQL 注入攻击:检测到 SQL 同义反复
942140
SQL 注入攻击 = 检测到常用 DB 名称
942160
检测到使用 sleep() 或 benchmark() 的盲注 sqli 测试
942170
检测到包含条件查询的 SQL 基准和休眠注入企图
942190
检测到 MSSQL 代码执行和信息收集尝试
942200
检测到 MySQL 注释/空间经过模糊处理的注入和反引号终止
942230
检测到条件 SQL 注入企图
942260
检测到基本 SQL 身份验证绕过尝试 2/3
942270
正在查找基本 sql 注入。 针对 mysql oracle 和其他系统的常见攻击字符串
942290
查找基本 MongoDB SQL 注入企图
942300
检测到 MySQL 注释、条件和 ch(a)r 注入
942310
检测链式 SQL 注入尝试次数 2/2
942320
检测 MySQL 和 PostgreSQL 存储过程/函数注入
942330
检测到经典 SQL 注入探测 1/2
942340
检测到基本 SQL 身份验证绕过尝试 3/3
942350
检测 MySQL UDF 注入和其他数据/结构操作企图
942360
检测到连接的基本 SQL 注入和 SQLLFI 尝试
942370
检测到经典 SQL 注入探测 2/2
942150
SQL 注入攻击
942410
SQL 注入攻击
942430
受限 SQL 字符异常检测 (args):特殊字符数量超出限制 (12)
942440
检测到 SQL 注释序列
942450
识别到 SQL 十六进制编码
942251
检测 HAVING 注入
942460
元字符异常检测警报 - 重复的非单词字符
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION
展開資料表
RuleId
说明
943100
可能的会话固定攻击 = 在 HTML 中设置 Cookie 值
943110
可能的会话固定攻击 = 包含域外引用方的 SessionID 参数名称
943120
可能的会话固定攻击 = 不包含引用方的 SessionID 参数名称
crs_20_protocol_violations
展開資料表
RuleId
说明
960911
无效的 HTTP 请求行
981227
Apache 错误 = 请求中的 URI 无效
960912
未能解析请求正文
960914
多部分请求正文无法通过严格的验证
960915
多部分分析器检测到可能的不匹配边界
960016
Content-Length HTTP 标头不是数值
960011
包含正文内容的 GET 或 HEAD 请求
960012
POST 请求缺少 Content-Length 标头
960902
标识编码的使用无效
960022
HTTP 1.0 不支持使用 Expect 标头
960020
Pragma 标头需要 HTTP/1.1 请求的 Cache-Control 标头
958291
范围 = 字段存在且以 0 开始
958230
范围 = 最后一个字节值无效
958295
找到了多个/有冲突的连接标头数据
950107
URL 编码滥用攻击尝试
950109
检测到多个 URL 编码
950108
URL 编码滥用攻击尝试
950801
UTF8 编码滥用攻击企图
950116
Unicode 全角/半角滥用攻击企图
960901
请求中的字符无效
960018
请求中的字符无效
crs_21_protocol_anomalies
展開資料表
RuleId
说明
960008
请求缺少 Host 标头
960007
Host 标头为空
960015
请求缺少 Accept 标头
960021
请求包含空的 Accept 标头
960009
请求缺少用户代理标头
960006
用户代理标头为空
960904
请求包含内容但缺少 Content-Type 标头
960017
Host 标头是数字 IP 地址
展開資料表
RuleId
说明
960209
参数名称太长
960208
参数值太长
960335
请求中的参数太多
960341
超出了总参数大小
960342
上传的文件太大
960343
上传的文件总大小太大
展開資料表
RuleId
说明
960032
方法不被政策允许
960010
策略不允许该请求的内容类型
960034
HTTP 协议版本不受策略允许
960035
策略限制了 URL 文件扩展名
960038
策略限制了 HTTP 标头
展開資料表
RuleId
说明
990002
请求指示安全扫描程序已扫描站点
990901
请求指示安全扫描程序已扫描站点
990902
请求指示安全扫描程序已扫描站点
990012
恶意网站爬网程序
展開資料表
RuleId
说明
960024
元字符异常检测警报 - 重复的非单词字符
950008
注入未记录的 ColdFusion 标记
950010
LDAP 注入攻击
950011
SSI 注入攻击
950018
检测到通用 PDF XSS URL
950019
电子邮件注入攻击
950012
HTTP 请求走私攻击
950910
HTTP 响应拆分攻击
950911
HTTP 响应拆分攻击
950117
远程文件包含攻击
950118
远程文件包含攻击
950119
远程文件包含攻击
950120
可能的远程文件包含 (RFI) 攻击 = 域外引用/链接
981133
规则 981133
981134
规则 981134
950009
会话固定攻击
950003
会话固定
950000
会话固定
950005
远程文件访问企图
950002
系统命令访问
950006
系统命令注入
959151
PHP 注入攻击
958976
PHP 注入攻击
958977
PHP 注入攻击
crs_41_sql_injection_attacks
展開資料表
RuleId
说明
981231
检测到 SQL 注释序列
981260
识别到 SQL 十六进制编码
981320
SQL 注入攻击 = 检测到常用 DB 名称
981300
规则 981300
981301
规则 981301
981302
规则 981302
981303
规则 981303
981304
规则 981304
981305
规则 981305
981306
规则 981306
981307
规则 981307
981308
规则 981308
981309
规则 981309
981310
规则 981310
981311
规则 981311
981312
规则 981312
981313
规则 981313
981314
规则 981314
981315
规则 981315
981316
规则 981316
981317
SQL SELECT 语句异常检测警报
950007
SQL 盲注入攻击
950001
SQL 注入攻击
950908
SQL 注入攻击
959073
SQL 注入攻击
981272
检测到使用 sleep() 或 benchmark() 的盲注 sqli 测试
981250
检测到包含条件查询的 SQL 基准和休眠注入企图
981241
检测到条件 SQL 注入企图
981276
正在查找基本 sql 注入。 针对 mysql oracle 和其他系统的常见攻击字符串
981270
查找基本 MongoDB SQL 注入企图
981253
检测 MySQL 和 PostgreSQL 存储过程/函数注入
981251
检测 MySQL UDF 注入和其他数据/结构操作企图
展開資料表
RuleId
说明
973336
XSS 筛选器 - 类别 1 = 脚本标记向量
973338
XSS 筛选器 - 类别 3 = JavaScript URI 向量
981136
规则 981136
981018
规则 981018
958016
跨站点脚本 (XSS) 攻击
958414
跨站点脚本 (XSS) 攻击
958032
跨站点脚本 (XSS) 攻击
958026
跨站点脚本 (XSS) 攻击
958027
跨站点脚本 (XSS) 攻击
958054
跨站点脚本 (XSS) 攻击
958418
跨站点脚本 (XSS) 攻击
958034
跨站点脚本 (XSS) 攻击
958019
跨站点脚本 (XSS) 攻击
958013
跨站点脚本 (XSS) 攻击
958408
跨站点脚本 (XSS) 攻击
958012
跨站点脚本 (XSS) 攻击
958423
跨站点脚本 (XSS) 攻击
958002
跨站点脚本 (XSS) 攻击
958017
跨站点脚本 (XSS) 攻击
958007
跨站点脚本 (XSS) 攻击
958047
跨站点脚本 (XSS) 攻击
958410
跨站点脚本 (XSS) 攻击
958415
跨站点脚本 (XSS) 攻击
958022
跨站点脚本 (XSS) 攻击
958405
跨站点脚本 (XSS) 攻击
958419
跨站点脚本 (XSS) 攻击
958028
跨站点脚本 (XSS) 攻击
958057
跨站点脚本 (XSS) 攻击
958031
跨站点脚本 (XSS) 攻击
958006
跨站点脚本 (XSS) 攻击
958033
跨站点脚本 (XSS) 攻击
958038
跨站点脚本 (XSS) 攻击
958409
跨站点脚本 (XSS) 攻击
958001
跨站点脚本 (XSS) 攻击
958005
跨站点脚本 (XSS) 攻击
958404
跨站点脚本 (XSS) 攻击
958023
跨站点脚本 (XSS) 攻击
958010
跨站点脚本 (XSS) 攻击
958411
跨站点脚本 (XSS) 攻击
958422
跨站点脚本 (XSS) 攻击
958036
跨站点脚本 (XSS) 攻击
958000
跨站点脚本 (XSS) 攻击
958018
跨站点脚本 (XSS) 攻击
958406
跨站点脚本 (XSS) 攻击
958040
跨站点脚本 (XSS) 攻击
958052
跨站点脚本 (XSS) 攻击
958037
跨站点脚本 (XSS) 攻击
958049
跨站点脚本 (XSS) 攻击
958030
跨站点脚本 (XSS) 攻击
958041
跨站点脚本 (XSS) 攻击
958416
跨站脚本攻击 (XSS)
958024
跨站点脚本 (XSS) 攻击
958059
跨站点脚本 (XSS) 攻击
958417
跨站点脚本 (XSS) 攻击
958020
跨站点脚本 (XSS) 攻击
958045
跨站点脚本 (XSS) 攻击
958004
跨站点脚本 (XSS) 攻击
958421
跨站点脚本 (XSS) 攻击
958009
跨站点脚本 (XSS) 攻击
958025
跨站点脚本 (XSS) 攻击
958413
跨站点脚本 (XSS) 攻击
958051
跨站点脚本 (XSS) 攻击
958420
跨站点脚本 (XSS) 攻击
958407
跨站点脚本 (XSS) 攻击
958056
跨站点脚本 (XSS) 攻击
958011
跨站点脚本 (XSS) 攻击
958412
跨站脚本攻击 (XSS)
958008
跨站点脚本 (XSS) 攻击
958046
跨站点脚本 (XSS) 攻击
958039
跨站点脚本 (XSS) 攻击
958003
跨站点脚本 (XSS) 攻击
973300
检测到可能的 XSS 攻击 - HTML 标记处理程序
973301
检测到 XSS 攻击
973302
检测到 XSS 攻击
973303
检测到 XSS 攻击
973304
检测到 XSS 攻击
973305
检测到 XSS 攻击
973306
检测到 XSS 攻击
973307
检测到 XSS 攻击
973308
检测到 XSS 攻击
973309
检测到 XSS 攻击
973311
检测到 XSS 攻击
973313
检测到 XSS 攻击
973314
检测到 XSS 攻击
973331
IE XSS 筛选器 - 检测到攻击
973315
IE XSS 筛选器 - 检测到攻击
973330
IE XSS 筛选器 - 检测到攻击
973327
IE XSS 筛选器 - 检测到攻击
973326
IE XSS 筛选器 - 检测到攻击
973346
IE XSS 筛选器 - 检测到攻击
973345
IE XSS 筛选器 - 检测到攻击
973324
IE XSS 筛选器 - 检测到攻击
973323
IE XSS 筛选器 - 检测到攻击
973348
IE XSS 筛选器 - 检测到攻击
973321
IE XSS 筛选器 - 检测到攻击
973320
IE XSS 筛选器 - 检测到攻击
973318
IE XSS 筛选器 - 检测到攻击
973317
IE XSS 筛选器 - 检测到攻击
973329
IE XSS 筛选器 - 检测到攻击
973328
IE XSS 筛选器 - 检测到攻击
展開資料表
展開資料表
RuleId
说明
950110
后门访问
950921
后门访问
950922
后门访问
展開資料表
RuleId
说明
Bot100100
威胁情报检测到的恶意机器人
Bot100200
已伪造其标识的恶意机器人
Bot100100 扫描客户端 IP 地址以及 X-Forwarded-For 标头中的 IP。
展開資料表
RuleId
说明
Bot200100
搜索引擎爬网程序
Bot200200
未经验证的搜索引擎爬网程序
展開資料表
RuleId
说明
Bot300100
未指定的身份
Bot300200
用于 Web 爬网和攻击的工具和框架
Bot300300
常规用途 HTTP 客户端和 SDK
Bot300400
服务代理
Bot300500
站点运行状况监视服务
Bot300600
威胁情报检测到的未知机器人
Bot300700
其他机器人
Bot300600 扫描客户端 IP 地址和 X-Forwarded-For 标头中的 IP 地址。
展開資料表
RuleId
说明
Bot100100
威胁情报检测到的恶意机器人
Bot100200
已伪造其标识的恶意机器人
Bot100300
威胁情报检测到的高风险机器人
Bot100100 扫描客户端 IP 地址和 X-Forwarded-For 标头中的 IP。
展開資料表
RuleId
说明
Bot200100
搜索引擎爬网程序
Bot200200
已验证的各类机器人
Bot200300
已验证的链接检查器机器人
Bot200400
已验证的社交媒体机器人
Bot200500
已验证的内容提取器
Bot200600
已验证的源提取器
Bot200700
已验证的广告机器人
展開資料表
规则编号 (RuleId)
说明
Bot300100
未指定的身份
Bot300200
用于 Web 爬网和攻击的工具和框架
Bot300300
常规用途 HTTP 客户端和 SDK
Bot300400
服务代理
Bot300500
站点健康监控服务
Bot300600
威胁情报检测到的未知机器人。 此规则还包括与 Tor 网络匹配的 IP 地址
Bot300700
其他机器人
Bot300600 扫描客户端 IP 地址和 X-Forwarded-For 标头中的 IP 地址。
