Übersicht über vorkonfigurierte WAF-Regeln für Cloud Armor
Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
Vorkonfigurierte WAF-Regeln für Google Cloud Armor sind komplexe Web Application Firewall (WAF)-Regeln mit Dutzenden von Signaturen, die aus Open-Source-Branchenstandards kompiliert wurden. Jede Signatur entspricht einer Angriffserkennungsregel im Regelsatz. Google bietet diese Regeln wie besehen an. Die Regeln ermöglichen es Cloud Armor, Dutzende von unterschiedlichen Traffic-Signaturen auszuwerten. Dabei bezieht sich Cloud Armor auf Regeln, die praktischerweise benannt sind, anstatt dass Sie jede Signatur manuell definieren müssen.
Die folgende Tabelle enthält eine umfassende Liste vorkonfigurierter WAF-Regeln, die in einer Cloud Armor-Sicherheitsrichtlinie verwendet werden können. Die Regelquellen sind OWASP Core Rule Set (CRS) 3.3.2.
Wir empfehlen Ihnen, Version 3.3 zu verwenden, um die Empfindlichkeit zu erhöhen und eine Vielzahl geschützter Angriffstypen zu erhalten. Derzeit wird CRS 3.0 unterstützt.
CRS 3.3
Name der Cloud Armor-Regel
OWASP-Regelname
Aktueller Status
SQL-Einschleusung
sqli-v33-stable
Mit sqli-v33-canary synchronisiert
sqli-v33-canary
Neueste
Cross-Site-Scripting
xss-v33-stable
Mit xss-v33-canary synchronisiert
xss-v33-canary
Neueste
Aufnahme lokaler Dateien
lfi-v33-stable
Mit lfi-v33-canary synchronisiert
lfi-v33-canary
Neueste
Remote-Datei einschließen
rfi-v33-stable
Mit rfi-v33-canary synchronisiert
rfi-v33-canary
Neueste
Codeausführung per Fernzugriff
rce-v33-stable
Mit rce-v33-canary synchronisiert
rce-v33-canary
Neueste
Methodenerzwingung
methodenforcement-v33-stable
Mit methodenforcement-v33-canary synchronisiert
methodenforcement-v33-canary
Neueste
Scannererkennung
scannerdetection-v33-stable
Mit scannerdetection-v33-canary synchronisiert
scannerdetection-v33-canary
Neueste
Protokollangriff
protocolattack-v33-stable
Mit protocolattack-v33-canary synchronisiert
protocolattack-v33-canary
Neueste
PHP-Injection-Angriff
php-v33-stable
Mit php-v33-canary synchronisiert
php-v33-canary
Neueste
Sitzungsfixierungsangriff
sessionfixation-v33-stable
Mit sessionfixation-v33-canary synchronisiert
sessionfixation-v33-canary
Neueste
Java-Angriff
java-v33-stable
Mit java-v33-canary synchronisiert
java-v33-canary
Neueste
NodeJS-Angriff
nodejs-v33-stable
Mit nodejs-v33-canary synchronisiert
nodejs-v33-canary
Neueste
CRS 3.0
Name der Cloud Armor-Regel
OWASP-Regelname
Aktueller Status
SQL-Einschleusung
sqli-stable
Mit sqli-canary synchronisiert
sqli-canary
Neueste
Cross-Site-Scripting
xss-stable
Mit xss-canary synchronisiert
xss-canary
Neueste
Aufnahme lokaler Dateien
lfi-stable
Mit lfi-canary synchronisiert
lfi-canary
Neueste
Remote-Datei einschließen
rfi-stable
Mit rfi-canary synchronisiert
rfi-canary
Neueste
Codeausführung per Fernzugriff
rce-stable
Mit rce-canary synchronisiert
rce-canary
Neueste
Methodenerzwingung
methodenforcement-stable
Mit methodenforcement-canary synchronisiert
methodenforcement-canary
Neueste
Scannererkennung
scannerdetection-stable
Mit scannerdetection-canary synchronisiert
scannerdetection-canary
Neueste
Protokollangriff
protocolattack-stable
Mit protocolattack-canary synchronisiert
protocolattack-canary
Neueste
PHP-Injection-Angriff
php-stable
Mit php-canary synchronisiert
php-canary
Neueste
Sitzungsfixierungsangriff
sessionfixation-stable
Mit sessionfixation-canary synchronisiert
sessionfixation-canary
Neueste
Java-Angriff
Not included
NodeJS-Angriff
Not included
Darüber hinaus stehen allen Cloud Armor-Kunden die folgenden cve-canary-Regeln zur Verfügung, um die folgenden Sicherheitslücken zu erkennen und optional zu blockieren:
Log4j RCE-Sicherheitslücken CVE-2021-44228 und CVE-2021-45046
Sicherheitslücke bei 942550-sqli-Inhalten im JSON-Format
Name der Cloud Armor-Regel
Abgedeckte Sicherheitslückentypen
cve-canary
Log4j-Sicherheitslücke
json-sqli-canary
Sicherheitslücke in Form einer JSON-basierten SQL-Injection-Umgehung
Vorkonfigurierte OWASP-Regeln
Jede vorkonfigurierte WAF-Regel hat eine Empfindlichkeitsstufe, die einer OWASP CRS-Paranoia-Ebene entspricht.
Eine niedrigere Empfindlichkeitsstufe weist auf eine vertrauenswürdigere Signatur hin, bei der die Wahrscheinlichkeit eines falsch-positiven Ergebnisses geringer ist. Eine höhere Empfindlichkeitsstufe erhöht die Sicherheit, erhöht aber auch das Risiko, ein falsch-positives Ergebnis zu erzeugen.
SQL-Injection (SQLi)
Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten WAF-Regel für SQLi.
CRS 3.3
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
owasp-crs-v030301-id942100-sqli
1
SQL-Injection-Angriff über libinjection erkannt
owasp-crs-v030301-id942140-sqli
1
Angriff mit SQL-Einschleusung: Allgemeine DB-Namen erkannt
owasp-crs-v030301-id942160-sqli
1
Erkennt blinde SQLI-Tests mit sleep() oder benchmark().
owasp-crs-v030301-id942170-sqli
1
Erkennt SQL-Benchmark- und Sleep-Einschleusungsversuche, einschließlich bedingter Abfragen
owasp-crs-v030301-id942190-sqli
1
Erkennt MSSQL-Codeausführung und Informationserfassungsversuche
owasp-crs-v030301-id942220-sqli
1
Sucht nach Integer-Overflow-Angriffen
owasp-crs-v030301-id942230-sqli
1
Erkennt Angriffsversuche mit bedingter SQL-Einschleusung.
owasp-crs-v030301-id942240-sqli
1
Erkennt MySQL-Zeichensatzwechsel und MSSQL-DoS-Angriffsversuche
owasp-crs-v030301-id942250-sqli
1
Erkennt MATCH AGAINST
owasp-crs-v030301-id942270-sqli
1
Sucht nach einfachen eingeschleuster SQL-Befehlen; gängiger Angriffs-String für MySQL
owasp-crs-v030301-id942280-sqli
1
Erkennt Postgres pg_sleep-Einschleusung
owasp-crs-v030301-id942290-sqli
1
Erkennt Angriffsversuche mit grundlegender MongoDB SQL-Einschleusung
owasp-crs-v030301-id942320-sqli
1
Erkennt Einschleusungen von gespeicherten Prozeduren/Funktionen für MySQL und PostgreSQL.
owasp-crs-v030301-id942350-sqli
1
Erkennt MySQL-UDF-Einschleusungen und andere Versuche der Manipulation von Daten bzw. der Struktur
owasp-crs-v030301-id942360-sqli
1
Erkennt Versuche des Verkettens einfacher eingeschleuster SQL-Befehle und von SQL/LFI
owasp-crs-v030301-id942500-sqli
1
MySQL-Inline-Kommentar erkannt
owasp-crs-v030301-id942110-sqli
2
Angriff mit SQL-Einschleusung: Allgemeine Tests auf Befehlseinschleusung erkannt
owasp-crs-v030301-id942120-sqli
2
Angriff mit SQL-Einschleusung: SQL-Operator erkannt
owasp-crs-v030301-id942130-sqli
2
Angriff mit SQL-Einschleusung: SQL-Numtology erkannt
owasp-crs-v030301-id942150-sqli
2
Angriff mit SQL-Einschleusung
owasp-crs-v030301-id942180-sqli
2
Erkennt Umgehungsversuche der einfachen SQL-Authentifizierung 1/3
owasp-crs-v030301-id942200-sqli
2
Erkennt durch MySQL-Kommentare oder -Leerzeichen verschleierte Einschleusungen und die Terminierung per Backtick
owasp-crs-v030301-id942210-sqli
2
Erkennt verkettete SQL-Einschleusungsversuche
owasp-crs-v030301-id942260-sqli
2
Erkennt Umgehungsversuche der einfachen SQL-Authentifizierung 2/3
owasp-crs-v030301-id942300-sqli
2
Erkennt MySQL-Kommentare
owasp-crs-v030301-id942310-sqli
2
Erkennt verkettete SQL-Einschleusungsversuche 2/2
owasp-crs-v030301-id942330-sqli
2
Erkennt Probings von klassischen SQL-Einschleusungen 1/2
owasp-crs-v030301-id942340-sqli
2
Erkennt Umgehungsversuche der einfachen SQL-Authentifizierung 3/3
owasp-crs-v030301-id942361-sqli
2
Erkennt einfache SQL-Einschleusungen basierend auf Schlüsselwortänderungen oder Union
owasp-crs-v030301-id942370-sqli
2
Erkennt Probings von klassischen SQL-Einschleusungen 2/3
owasp-crs-v030301-id942380-sqli
2
Angriff mit SQL-Einschleusung
owasp-crs-v030301-id942390-sqli
2
Angriff mit SQL-Einschleusung
owasp-crs-v030301-id942400-sqli
2
Angriff mit SQL-Einschleusung
owasp-crs-v030301-id942410-sqli
2
Angriff mit SQL-Einschleusung
owasp-crs-v030301-id942470-sqli
2
Angriff mit SQL-Einschleusung
owasp-crs-v030301-id942480-sqli
2
Angriff mit SQL-Einschleusung
owasp-crs-v030301-id942430-sqli
2
Eingeschränkte Anomalieerkennung für SQL-Zeichen (Argumente): Anzahl von Sonderzeichen überschritten (12)
owasp-crs-v030301-id942440-sqli
2
SQL-Kommentarsequenz erkannt
owasp-crs-v030301-id942450-sqli
2
SQL-Hex-Codierung erkannt
owasp-crs-v030301-id942510-sqli
2
SQLi-Umgang durch erkannte Ticks oder Graviszeichen
owasp-crs-v030301-id942251-sqli
3
Erkennt HAVING-Einschleusungen
owasp-crs-v030301-id942490-sqli
3
Erkennt Probings von klassischen SQL-Einschleusungen 3/3
owasp-crs-v030301-id942420-sqli
3
Eingeschränkte Anomalieerkennung für SQL-Zeichen (Cookies): Anzahl von Sonderzeichen überschritten (8)
owasp-crs-v030301-id942431-sqli
3
Eingeschränkte Anomalieerkennung für SQL-Zeichen (Argumente): Anzahl von Sonderzeichen überschritten (6)
owasp-crs-v030301-id942460-sqli
3
Warnung: Erkennung einer Metazeichenanomalie – Wiederholte Non-Word-Zeichen
owasp-crs-v030301-id942101-sqli
3
SQL-Injection-Angriff über libinjection erkannt
owasp-crs-v030301-id942511-sqli
3
SQLi-Umgehungsversuch durch erkannte Ticks
owasp-crs-v030301-id942421-sqli
4
Eingeschränkte Anomalieerkennung für SQL-Zeichen (Cookies): Anzahl von Sonderzeichen überschritten (3)
owasp-crs-v030301-id942432-sqli
4
Eingeschränkte Anomalieerkennung für SQL-Zeichen (Argumente): Anzahl von Sonderzeichen überschritten (2)
CRS 3.0
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
Not included
1
SQL-Injection-Angriff über libinjection erkannt
owasp-crs-v030001-id942140-sqli
1
Angriff mit SQL-Einschleusung: Allgemeine DB-Namen erkannt
owasp-crs-v030001-id942160-sqli
1
Erkennt blinde SQLI-Tests mit sleep() oder benchmark().
owasp-crs-v030001-id942170-sqli
1
Erkennt SQL-Benchmark- und Sleep-Einschleusungsversuche, einschließlich bedingter Abfragen
owasp-crs-v030001-id942190-sqli
1
Erkennt MSSQL-Codeausführung und Informationserfassungsversuche
owasp-crs-v030001-id942220-sqli
1
Sucht nach Integer-Overflow-Angriffen
owasp-crs-v030001-id942230-sqli
1
Erkennt Angriffsversuche mit bedingter SQL-Einschleusung.
owasp-crs-v030001-id942240-sqli
1
Erkennt MySQL-Zeichensatzwechsel und MSSQL-DoS-Angriffsversuche
owasp-crs-v030001-id942250-sqli
1
Erkennt MATCH AGAINST
owasp-crs-v030001-id942270-sqli
1
Sucht nach einfachen eingeschleuster SQL-Befehlen; gängiger Angriffs-String für MySQL
owasp-crs-v030001-id942280-sqli
1
Erkennt Postgres pg_sleep-Einschleusung
owasp-crs-v030001-id942290-sqli
1
Erkennt Angriffsversuche mit grundlegender MongoDB SQL-Einschleusung
owasp-crs-v030001-id942320-sqli
1
Erkennt Einschleusungen von gespeicherten Prozeduren/Funktionen für MySQL und PostgreSQL.
owasp-crs-v030001-id942350-sqli
1
Erkennt MySQL-UDF-Einschleusungen und andere Versuche der Manipulation von Daten bzw. der Struktur
owasp-crs-v030001-id942360-sqli
1
Erkennt Versuche des Verkettens einfacher eingeschleuster SQL-Befehle und von SQL/LFI
Not included
1
MySQL-Inline-Kommentar erkannt
owasp-crs-v030001-id942110-sqli
2
Angriff mit SQL-Einschleusung: Allgemeine Tests auf Befehlseinschleusung erkannt
owasp-crs-v030001-id942120-sqli
2
Angriff mit SQL-Einschleusung: SQL-Operator erkannt
Not included
2
Angriff mit SQL-Einschleusung: SQL-Numtology erkannt
owasp-crs-v030001-id942150-sqli
2
Angriff mit SQL-Einschleusung
owasp-crs-v030001-id942180-sqli
2
Erkennt Umgehungsversuche der einfachen SQL-Authentifizierung 1/3
owasp-crs-v030001-id942200-sqli
2
Erkennt durch MySQL-Kommentare oder -Leerzeichen verschleierte Einschleusungen und die Terminierung per Backtick
owasp-crs-v030001-id942210-sqli
2
Erkennt verkettete SQL-Einschleusungsversuche
owasp-crs-v030001-id942260-sqli
2
Erkennt Umgehungsversuche der einfachen SQL-Authentifizierung 2/3
owasp-crs-v030001-id942300-sqli
2
Erkennt MySQL-Kommentare
owasp-crs-v030001-id942310-sqli
2
Erkennt verkettete SQL-Einschleusungsversuche 2/2
owasp-crs-v030001-id942330-sqli
2
Erkennt Probings von klassischen SQL-Einschleusungen 1/2
owasp-crs-v030001-id942340-sqli
2
Erkennt Umgehungsversuche der einfachen SQL-Authentifizierung 3/3
Not included
2
Erkennt einfache SQL-Einschleusungen basierend auf Schlüsselwortänderungen oder Union
Not included
2
Erkennt Probings von klassischen SQL-Einschleusungen 2/3
owasp-crs-v030001-id942380-sqli
2
Angriff mit SQL-Einschleusung
owasp-crs-v030001-id942390-sqli
2
Angriff mit SQL-Einschleusung
owasp-crs-v030001-id942400-sqli
2
Angriff mit SQL-Einschleusung
owasp-crs-v030001-id942410-sqli
2
Angriff mit SQL-Einschleusung
Not included
2
Angriff mit SQL-Einschleusung
Not included
2
Angriff mit SQL-Einschleusung
owasp-crs-v030001-id942430-sqli
2
Eingeschränkte Anomalieerkennung für SQL-Zeichen (Argumente): Anzahl von Sonderzeichen überschritten (12)
owasp-crs-v030001-id942440-sqli
2
SQL-Kommentarsequenz erkannt
owasp-crs-v030001-id942450-sqli
2
SQL-Hex-Codierung erkannt
Not included
2
SQLi-Umgang durch erkannte Ticks oder Graviszeichen
owasp-crs-v030001-id942251-sqli
3
Erkennt HAVING-Einschleusungen
Not included
2
Erkennt Probings von klassischen SQL-Einschleusungen 3/3
owasp-crs-v030001-id942420-sqli
3
Eingeschränkte Anomalieerkennung für SQL-Zeichen (Cookies): Anzahl von Sonderzeichen überschritten (8)
owasp-crs-v030001-id942431-sqli
3
Eingeschränkte Anomalieerkennung für SQL-Zeichen (Argumente): Anzahl von Sonderzeichen überschritten (6)
owasp-crs-v030001-id942460-sqli
3
Warnung: Erkennung einer Metazeichenanomalie – Wiederholte Non-Word-Zeichen
Not included
3
SQL-Injection-Angriff über libinjection erkannt
Not included
3
SQLi-Umgehungsversuch durch erkannte Ticks
owasp-crs-v030001-id942421-sqli
4
Eingeschränkte Anomalieerkennung für SQL-Zeichen (Cookies): Anzahl von Sonderzeichen überschritten (3)
owasp-crs-v030001-id942432-sqli
4
Eingeschränkte Anomalieerkennung für SQL-Zeichen (Argumente): Anzahl von Sonderzeichen überschritten (2)
Sie können eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Standardmäßig wertet Cloud Armor alle Signaturen aus, ohne die Empfindlichkeit des Regelsatzes zu konfigurieren.
Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten WAF-Regel für XSS.
Keywords von schwarzer Liste für Knotenvalidierung
owasp-crs-v030001-id941190-xss
1
IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941200-xss
1
IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941210-xss
1
IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941220-xss
1
IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941230-xss
1
IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941240-xss
1
IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941250-xss
1
IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941260-xss
1
IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941270-xss
1
IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941280-xss
1
IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941290-xss
1
IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941300-xss
1
IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941310-xss
1
Falsch formatierte US-ASCII-Codierung für XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941350-xss
1
UTF-7-Codierung – IE XSS – Angriff erkannt
Not included
1
JSFuck / Hieroglyphy-Verschleierung erkannt
Not included
1
Globale JavaScript-Variable gefunden
Not included
2
XSS-Angriff über Lobinjection erkannt
owasp-crs-v030001-id941150-xss
2
XSS-Filter – Kategorie 5 = Unzulässige HTML-Attribute
owasp-crs-v030001-id941320-xss
2
Möglicher XSS-Angriff erkannt – HTML-Tag-Handler
owasp-crs-v030001-id941330-xss
2
IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941340-xss
2
IE-XSS-Filter – Angriff erkannt
Not included
2
AngularJS-Clientvorlagenvorlage erkannt
Sie können eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Standardmäßig wertet Cloud Armor alle Signaturen aus, ohne die Empfindlichkeit des Regelsatzes zu konfigurieren.
Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten WAF-Regel für LFI.
CRS 3.3
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
owasp-crs-v030301-id930100-lfi
1
Angriff mit Pfaddurchlauf (/../)
owasp-crs-v030301-id930110-lfi
1
Angriff mit Pfaddurchlauf (/../)
owasp-crs-v030301-id930120-lfi
1
Zugriffsversuch auf Betriebssystemdatei
owasp-crs-v030301-id930130-lfi
1
Zugriffsversuch auf Datei mit eingeschränktem Zugriff
CRS 3.0
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
owasp-crs-v030001-id930100-lfi
1
Angriff mit Pfaddurchlauf (/../)
owasp-crs-v030001-id930110-lfi
1
Angriff mit Pfaddurchlauf (/../)
owasp-crs-v030001-id930120-lfi
1
Zugriffsversuch auf Betriebssystemdatei
owasp-crs-v030001-id930130-lfi
1
Zugriffsversuch auf Datei mit eingeschränktem Zugriff
Sie können eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Alle Signaturen für LFI entsprechen der Empfindlichkeitsstufe 1. Die folgende Konfiguration funktioniert für alle Empfindlichkeitsstufen:
Codeausführung per Fernzugriff (Remote Code Execution, RCE)
Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten WAF-Regel für RCE.
Remote Command Execution: Versuch, einen Platzhalter zu umgehen
Sie können eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Alle Signaturen für RCE entsprechen der Empfindlichkeitsstufe 1. Die folgende Konfiguration funktioniert für alle Empfindlichkeitsstufen:
Datei-Aufnahme per Fernzugriff (Remote File Inclusion, RFI)
Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten WAF-Regel für RFI.
CRS 3.3
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
owasp-crs-v030301-id931100-rfi
1
Verwendung von IP-Adresse für URL-Parameter
owasp-crs-v030301-id931110-rfi
1
Verwendung eines häufigen und für RFI anfälligen Parameternamens mit URL-Nutzlast
owasp-crs-v030301-id931120-rfi
1
Verwendung von URL-Nutzlast mit nachgestelltem Fragezeichen (?)
owasp-crs-v030301-id931130-rfi
2
Domain-externer Verweis/Link
CRS 3.0
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
owasp-crs-v030001-id931100-rfi
1
Verwendung von IP-Adresse für URL-Parameter
owasp-crs-v030001-id931110-rfi
1
Verwendung eines häufigen und für RFI anfälligen Parameternamens mit URL-Nutzlast
owasp-crs-v030001-id931120-rfi
1
Verwendung von URL-Nutzlast mit nachgestelltem Fragezeichen (?)
owasp-crs-v030001-id931130-rfi
2
Domain-externer Verweis/Link
Sie können eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Standardmäßig wertet Cloud Armor alle Signaturen aus, ohne die Empfindlichkeit des Regelsatzes zu konfigurieren.
Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten Methodenerzwingungsregel.
CRS 3.3
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
owasp-crs-v030301-id911100-methodenforcement
1
Methode ist gemäß Richtlinie nicht zulässig
CRS 3.0
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
owasp-crs-v030001-id911100-methodenforcement
1
Methode ist gemäß Richtlinie nicht zulässig
Sie können eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Standardmäßig wertet Cloud Armor alle Signaturen aus, ohne die Empfindlichkeit des Regelsatzes zu konfigurieren.
Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten Scannererkennungsregel.
CRS 3.3
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
owasp-crs-v030301-id913100-scannerdetection
1
User-Agent gefunden, der mit dem Sicherheitsscanner verknüpft ist
owasp-crs-v030301-id913110-scannerdetection
1
Anfrageheader gefunden, der mit dem Sicherheitsscanner verknüpft ist
owasp-crs-v030301-id913120-scannerdetection
1
Dateiname oder Argument für Anfrage gefunden, der/das mit dem Sicherheitsscanner verknüpft ist
owasp-crs-v030301-id913101-scannerdetection
2
User-Agent gefunden, der mit Scripting/generischem HTTP-Client verknüpft ist
owasp-crs-v030301-id913102-scannerdetection
2
User-Agent gefunden, der mit Web-Crawler/Bot verknüpft ist
CRS 3.0
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
owasp-crs-v030001-id913100-scannerdetection
1
User-Agent gefunden, der mit dem Sicherheitsscanner verknüpft ist
owasp-crs-v030001-id913110-scannerdetection
1
Anfrageheader gefunden, der mit dem Sicherheitsscanner verknüpft ist
owasp-crs-v030001-id913120-scannerdetection
1
Dateiname oder Argument für Anfrage gefunden, der/das mit dem Sicherheitsscanner verknüpft ist
owasp-crs-v030001-id913101-scannerdetection
2
User-Agent gefunden, der mit Scripting/generischem HTTP-Client verknüpft ist
owasp-crs-v030001-id913102-scannerdetection
2
User-Agent gefunden, der mit Web-Crawler/Bot verknüpft ist
Sie können eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Standardmäßig wertet Cloud Armor alle Signaturen aus, ohne die Empfindlichkeit des Regelsatzes zu konfigurieren.
Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten Protokollangriffsregel.
CRS 3.3
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
Not included
1
HTTP-Anfrage-Schmuggelangriff
owasp-crs-v030301-id921110-protocolattack
1
HTTP-Anfrage-Schmuggelangriff
owasp-crs-v030301-id921120-protocolattack
1
HTTP-Antwort-Aufteilungsangriff
owasp-crs-v030301-id921130-protocolattack
1
HTTP-Antwort-Aufteilungsangriff
owasp-crs-v030301-id921140-protocolattack
1
HTTP-Header-Injection-Angriff über Header
owasp-crs-v030301-id921150-protocolattack
1
HTTP-Header-Injection-Angriff über Nutzlast (CR/LF erkannt)
owasp-crs-v030301-id921160-protocolattack
1
HTTP-Header-Injection-Angriff über Nutzlast (CR/LF und Header-Name erkannt)
owasp-crs-v030301-id921190-protocolattack
1
HTTP-Aufteilung (CR/LF im Dateinamen der Anfrage erkannt)
owasp-crs-v030301-id921200-protocolattack
1
Angriff mit LDAP-Einschleusung
owasp-crs-v030301-id921151-protocolattack
2
HTTP-Header-Injection-Angriff über Nutzlast (CR/LF erkannt)
owasp-crs-v030301-id921170-protocolattack
3
HTTP-Parameter-Pollution
CRS 3.0
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
owasp-crs-v030001-id921100-protocolattack
1
HTTP-Anfrage-Schmuggelangriff
owasp-crs-v030001-id921110-protocolattack
1
HTTP-Anfrage-Schmuggelangriff
owasp-crs-v030001-id921120-protocolattack
1
HTTP-Antwort-Aufteilungsangriff
owasp-crs-v030001-id921130-protocolattack
1
HTTP-Antwort-Aufteilungsangriff
owasp-crs-v030001-id921140-protocolattack
1
HTTP-Header-Injection-Angriff über Header
owasp-crs-v030001-id921150-protocolattack
1
HTTP-Header-Injection-Angriff über Nutzlast (CR/LF erkannt)
owasp-crs-v030001-id921160-protocolattack
1
HTTP-Header-Injection-Angriff über Nutzlast (CR/LF und Header-Name erkannt)
Not included
1
HTTP-Aufteilung (CR/LF im Dateinamen der Anfrage erkannt)
Not included
1
Angriff mit LDAP-Einschleusung
owasp-crs-v030001-id921151-protocolattack
2
HTTP-Header-Injection-Angriff über Nutzlast (CR/LF erkannt)
owasp-crs-v030001-id921170-protocolattack
3
HTTP-Parameter-Pollution
Sie können eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Standardmäßig wertet Cloud Armor alle Signaturen aus, ohne die Empfindlichkeit des Regelsatzes zu konfigurieren.
Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten WAF-Regel für PHP.
Sie können eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Standardmäßig wertet Cloud Armor alle Signaturen aus, ohne die Empfindlichkeit des Regelsatzes zu konfigurieren.
Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten Sitzungsfixierungsregel.
CRS 3.3
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
owasp-crs-v030301-id943100-sessionfixation
1
Möglicher Sitzungsfixierungsangriff: Cookie-Werte in HTML festlegen
owasp-crs-v030301-id943110-sessionfixation
1
Möglicher Sitzungsfixierungsangriff: SessionID-Parametername mit Verweis außerhalb der Domain
owasp-crs-v030301-id943120-sessionfixation
1
Möglicher Sitzungsfixierungsangriff: SessionID-Parametername ohne Verweis
CRS 3.0
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
owasp-crs-v030001-id943100-sessionfixation
1
Möglicher Sitzungsfixierungsangriff: Cookie-Werte in HTML festlegen
owasp-crs-v030001-id943110-sessionfixation
1
Möglicher Sitzungsfixierungsangriff: SessionID-Parametername mit Verweis außerhalb der Domain
owasp-crs-v030001-id943120-sessionfixation
1
Möglicher Sitzungsfixierungsangriff: SessionID-Parametername ohne Verweis
Sie können eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Alle Signaturen für die Sitzungsfixierung entsprechen der Empfindlichkeitsstufe 1. Die folgende Konfiguration funktioniert für alle Empfindlichkeitsstufen:
Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten Java-Angriffsregel.
Base64-codierter String, der mit verdächtigem Suchbegriff übereinstimmt
Sie können eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Standardmäßig wertet Cloud Armor alle Signaturen aus, ohne die Empfindlichkeit des Regelsatzes zu konfigurieren.
Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten NodeJS-Angriffsregel.
Die folgenden vorkonfigurierten WAF-Regelsignaturen sind nur in CRS 3.3 enthalten.
CRS 3.3
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
owasp-crs-v030301-id934100-nodejs
1
Node.js-Injektionsangriff
CRS 3.0
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
Not included
1
Node.js-Injektionsangriff
Sie können eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Alle Signaturen für den NodeJS-Angriff entsprechen der Empfindlichkeitsstufe 1. Die folgende Konfiguration funktioniert für andere Empfindlichkeitsstufen:
Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten Regel für die CVE Log4j RCE-Schwachstelle.
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
owasp-crs-v030001-id044228-cve
1
Basisregel zur Erkennung von Exploit-Versuchen von CVE-2021-44228 und CVE-2021-45046
owasp-crs-v030001-id144228-cve
1
Von Google bereitgestellte Verbesserungen, um mehr Umgehungs- und Verschleierungsversuche abzudecken
owasp-crs-v030001-id244228-cve
3
Erhöhte Empfindlichkeit der Erkennung, um noch mehr Umgehungs- und Verschleierungsversuche zu erkennen, wobei das Risiko einer falsch-positiven Erkennung nur geringfügig steigt
owasp-crs-v030001-id344228-cve
3
Erhöhte Empfindlichkeit der Erkennung, um noch mehr Umgehungs- und Verschleierungsversuche mit base64-Codierung zu erkennen, wobei das Risiko einer falsch-positiven Erkennung nur geringfügig steigt
Sie können eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Standardmäßig wertet Cloud Armor alle Signaturen aus, ohne die Empfindlichkeit des Regelsatzes zu konfigurieren.
SQLi-Sicherheitslücke bei JSON-formatierten Inhalten
Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung der unterstützten Signatur 942550-sqli, die die Sicherheitslücke abdeckt, durch die böswillige Angreifer die WAF umgehen können, indem sie JSON-Syntax an SQL-Injection-Payloads anhängen.
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
owasp-crs-id942550-sqli
2
Erkennt alle JSON-basierten SQLi-Vektoren, einschließlich SQLi-Signaturen in der URL
Verwenden Sie den folgenden Ausdruck, um die Signatur bereitzustellen:
Wir empfehlen, sqli-v33-stable auch auf Sensitivitätsstufe 2 zu aktivieren, um JSON-basierte SQL-Injection-Bypässe vollständig zu verhindern.
Beschränkungen
Vorkonfigurierte WAF-Regeln für Cloud Armor unterliegen den folgenden Einschränkungen:
Es dauert in der Regel einige Minuten, bis Änderungen an WAF-Regeln übernommen werden.
Von den HTTP-Anfragetypen mit einem Anfragetext verarbeitet Cloud Armor nur POST-Anfragen. Cloud Armor wertet vorkonfigurierte Regeln für die ersten 8 KB des Textinhalts POST aus. Weitere Informationen finden Sie unter POST-Beschränkung von Textkörperinspektion.
Cloud Armor kann vorkonfigurierte WAF-Regeln für JSON-formatierte Inhalte (einschließlich korrekt formatierter GraphQL-over-HTTP-Anfragen) parsen und anwenden, wenn die JSON-Analyse mit einem übereinstimmenden Content-Type-Headerwert aktiviert ist. Weitere Informationen finden Sie unter JSON-Parsing.
Wenn Sie einen Anfragefeldausschluss an eine vorkonfigurierte WAF-Regel angehängt haben, können Sie die Aktion allow nicht verwenden. Anfragen, die der Ausnahme entsprechen, werden automatisch zugelassen.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-08-19 (UTC)."],[[["\u003cp\u003eGoogle Cloud Armor offers preconfigured WAF rules derived from OWASP CRS 3.0 and 3.3.2, allowing the evaluation of numerous distinct traffic signatures using named rules rather than manual definition.\u003c/p\u003e\n"],["\u003cp\u003eThese preconfigured WAF rules can be tuned to adjust their sensitivity levels, ranging from 1 to 4, where lower sensitivity indicates higher confidence and less false positives, while higher sensitivity increases security but with a higher risk of false positives.\u003c/p\u003e\n"],["\u003cp\u003eGoogle Cloud Armor rules cover a range of attack types such as SQL injection, cross-site scripting, local and remote file inclusion, remote code execution, method enforcement, scanner detection, protocol attacks, PHP injection, session fixation, Java and NodeJS attacks.\u003c/p\u003e\n"],["\u003cp\u003eThe service offers \u003ccode\u003ecve-canary\u003c/code\u003e rules to specifically detect vulnerabilities like Log4j RCE (\u003ccode\u003eCVE-2021-44228\u003c/code\u003e and \u003ccode\u003eCVE-2021-45046\u003c/code\u003e) and \u003ccode\u003e942550-sqli\u003c/code\u003e to detect JSON-formatted content SQLi vulnerabilities.\u003c/p\u003e\n"],["\u003cp\u003eGoogle Cloud Armor preconfigured WAF rules have some limitations such as only processing \u003ccode\u003ePOST\u003c/code\u003e request types and only inspecting the first 8KB of \u003ccode\u003ePOST\u003c/code\u003e body content.\u003c/p\u003e\n"]]],[],null,["# Cloud Armor preconfigured WAF rules overview\n\nGoogle Cloud Armor preconfigured WAF rules are complex web application firewall (WAF)\nrules with dozens of *signatures* that are compiled from open source industry\nstandards. Each signature corresponds to an attack detection\nrule in the ruleset. Google offers these rules as is. The rules let\nCloud Armor evaluate dozens of distinct traffic signatures by\nreferring to conveniently named rules rather than requiring you to define\neach signature manually.\n\nGoogle Cloud Armor preconfigured WAF rules can be tuned to best suit your needs. For more\ninformation about how to tune the rules, see\n[Tune Google Cloud Armor preconfigured WAF rules](/armor/docs/rule-tuning).\n\nThe following table contains a comprehensive list of preconfigured WAF rules\nthat are available for use in a Cloud Armor security policy. The\nrule sources are OWASP Core Rule Set (CRS)\n[3.3.2](https://github.com/coreruleset/coreruleset/releases/tag/v3.3.2).\nWe recommend that you use version 3.3 for increased sensitivity and for an\nincreased breadth of protected attack types. Support for CRS 3.0 is ongoing. \n\n### CRS 3.3\n\n### CRS 3.0\n\nIn addition, the following `cve-canary` rules are available to all\nCloud Armor customers to help detect and optionally block the\nfollowing vulnerabilities:\n\n- `CVE-2021-44228` and `CVE-2021-45046` Log4j RCE vulnerabilities\n- `942550-sqli` JSON-formatted content vulnerability\n\nPreconfigured OWASP rules\n-------------------------\n\nEach preconfigured WAF rule has a sensitivity level that corresponds to a\nOWASP CRS\n[paranoia level](https://coreruleset.org/faq/#paranoialevel).\nA lower sensitivity level indicates a higher confidence signature, which is less\nlikely to generate a false positive. A higher sensitivity level increases\nsecurity, but also increases the risk of generating a false positive.\n\n### SQL injection (SQLi)\n\nThe following table provides the signature ID, sensitivity level, and\ndescription of each supported signature in the SQLi preconfigured WAF rule. \n\n### CRS 3.3\n\n### CRS 3.0\n\nYou can configure a rule at a particular sensitivity level by using\n`evaluatePreconfiguredWaf()` with a preset sensitivity parameter. By\ndefault, without configuring rule set sensitivity, Cloud Armor\nevaluates all signatures. \n\n### CRS 3.3\n\n### CRS 3.0\n\n### Cross-site scripting (XSS)\n\nThe following table provides the signature ID, sensitivity level, and\ndescription of each supported signature in the XSS preconfigured WAF rule. \n\n### CRS 3.3\n\n### CRS 3.0\n\nYou can configure a rule at a particular sensitivity level by\nusing `evaluatePreconfiguredWaf()` with a preset sensitivity parameter. By\ndefault, without configuring rule set sensitivity, Cloud Armor\nevaluates all signatures. \n\n### CRS 3.3\n\n### CRS 3.0\n\n### Local file inclusion (LFI)\n\nThe following table provides the signature ID, sensitivity level, and\ndescription of each supported signature in the LFI preconfigured WAF rule. \n\n### CRS 3.3\n\n### CRS 3.0\n\nYou can configure a rule at a particular sensitivity level by\nusing `evaluatePreconfiguredWaf()` with a preset sensitivity parameter. All\nsignatures for LFI are at sensitivity level 1. The following configuration\nworks for all sensitivity levels: \n\n### CRS 3.3\n\n### CRS 3.0\n\n### Remote code execution (RCE)\n\nThe following table provides the signature ID, sensitivity level, and\ndescription of each supported signature in the RCE preconfigured WAF rule. \n\n### CRS 3.3\n\n### CRS 3.0\n\nYou can configure a rule at a particular sensitivity level by\nusing `evaluatePreconfiguredWaf()` with a preset sensitivity parameter. All\nsignatures for RCE are at sensitivity level 1. The following configuration works\nfor all sensitivity levels: \n\n### CRS 3.3\n\n### CRS 3.0\n\n### Remote file inclusion (RFI)\n\nThe following table provides the signature ID, sensitivity level, and\ndescription of each supported signature in the RFI preconfigured WAF rule. \n\n### CRS 3.3\n\n### CRS 3.0\n\nYou can configure a rule at a particular sensitivity level by\nusing `evaluatePreconfiguredWaf()` with a preset sensitivity parameter. By\ndefault, without configuring rule set sensitivity, Cloud Armor\nevaluates all signatures. \n\n### CRS 3.3\n\n### CRS 3.0\n\n### Method enforcement\n\n| **Note:** CRS 3.3 allows only the `GET`, `HEAD`, `POST`, and `OPTIONS` HTTP methods.\n\nThe following table provides the signature ID, sensitivity level, and\ndescription of each supported signature in the method enforcement preconfigured\nrule. \n\n### CRS 3.3\n\n### CRS 3.0\n\nYou can configure a rule at a particular sensitivity level by\nusing `evaluatePreconfiguredWaf()` with a preset sensitivity parameter. By\ndefault, without configuring rule set sensitivity, Cloud Armor\nevaluates all signatures. \n\n### CRS 3.3\n\n### CRS 3.0\n\n### Scanner detection\n\nThe following table provides the signature ID, sensitivity level, and\ndescription of each supported signature in the scanner detection preconfigured\nrule. \n\n### CRS 3.3\n\n### CRS 3.0\n\nYou can configure a rule at a particular sensitivity level by\nusing `evaluatePreconfiguredWaf()` with a preset sensitivity parameter. By\ndefault, without configuring rule set sensitivity, Cloud Armor\nevaluates all signatures. \n\n### CRS 3.3\n\n### CRS 3.0\n\n### Protocol attack\n\nThe following table provides the signature ID, sensitivity level, and\ndescription of each supported signature in the protocol attack preconfigured\nrule. \n\n### CRS 3.3\n\n### CRS 3.0\n\nYou can configure a rule at a particular sensitivity level by\nusing `evaluatePreconfiguredWaf()` with a preset sensitivity parameter. By\ndefault, without configuring rule set sensitivity, Cloud Armor\nevaluates all signatures. \n\n### CRS 3.3\n\n### CRS 3.0\n\n### PHP\n\nThe following table provides the signature ID, sensitivity level, and\ndescription of each supported signature in the PHP preconfigured WAF rule. \n\n### CRS 3.3\n\n### CRS 3.0\n\nYou can configure a rule at a particular sensitivity level by\nusing `evaluatePreconfiguredWaf()` with a preset sensitivity parameter. By\ndefault, without configuring rule set sensitivity, Cloud Armor\nevaluates all signatures. \n\n### CRS 3.3\n\n### CRS 3.0\n\n### Session fixation\n\nThe following table provides the signature ID, sensitivity level, and\ndescription of each supported signature in the session fixation preconfigured\nrule. \n\n### CRS 3.3\n\n### CRS 3.0\n\nYou can configure a rule at a particular sensitivity level by\nusing `evaluatePreconfiguredWaf()` with a preset sensitivity parameter. All\nsignatures for session fixation are at sensitivity level 1. The following\nconfiguration works for all sensitivity levels: \n\n### CRS 3.3\n\n### CRS 3.0\n\n### Java attack\n\nThe following table provides the signature ID, sensitivity level, and\ndescription of each supported signature in the Java attack preconfigured\nrule. \n\n### CRS 3.3\n\n### CRS 3.0\n\nYou can configure a rule at a particular sensitivity level by\nusing `evaluatePreconfiguredWaf()` with a preset sensitivity parameter. By\ndefault, without configuring rule set sensitivity, Cloud Armor\nevaluates all signatures.\n\n### NodeJS attack\n\nThe following table provides the signature ID, sensitivity level, and\ndescription of each supported signature in the NodeJS attack preconfigured\nrule.\n\nThe following preconfigured WAF rule signatures are only included in CRS\n3.3. \n\n### CRS 3.3\n\n### CRS 3.0\n\nYou can configure a rule at a particular sensitivity level by\nusing `evaluatePreconfiguredWaf()` with a preset sensitivity parameter. All\nsignatures for NodeJS attack are at sensitivity level 1. The following\nconfiguration works for other sensitivity levels:\n\n### CVEs and other vulnerabilities\n\nThe following table provides the signature ID, sensitivity level, and\ndescription of each supported signature in the CVE Log4j RCE vulnerability\npreconfigured rule.\n\nYou can configure a rule at a particular sensitivity level by\nusing `evaluatePreconfiguredWaf()` with a preset sensitivity parameter. By\ndefault, without configuring rule set sensitivity, Cloud Armor\nevaluates all signatures.\n\n### JSON-formatted content SQLi vulnerability\n\nThe following table provides the signature ID, sensitivity level, and\ndescription of the supported signature\n[`942550-sqli`](https://github.com/coreruleset/coreruleset/pull/3055),\nwhich covers the vulnerability in which malicious attackers can\nbypass WAF by appending JSON syntax to SQL injection payloads.\n\nUse the following expression to deploy the signature:\n\n\u003cbr /\u003e\n\n```\n evaluatePreconfiguredWaf('json-sqli-canary', {'sensitivity':0, 'opt_in_rule_ids': ['owasp-crs-id942550-sqli']})\n \n```\n\n\u003cbr /\u003e\n\nWe recommend that you also enable `sqli-v33-stable` at sensitivity level 2 to\nfully address JSON-based SQL injection bypasses.\n\nLimitations\n-----------\n\nCloud Armor preconfigured WAF rules have the following limitations:\n\n- WAF rule changes typically take several minutes to propagate.\n- Among the HTTP request types with a request body, Cloud Armor processes only `POST` requests. Cloud Armor evaluates preconfigured rules against the first 8 KB of `POST` body content. For more information, see [`POST` body inspection limitation](/armor/docs/security-policy-overview#post-body).\n- Cloud Armor can parse and apply preconfigured WAF rules to JSON-formatted content (including properly formatted [GraphQL over HTTP](https://graphql.org/learn/serving-over-http/#headers) requests) when JSON parsing is enabled with a matching `Content-Type` header value. For more information, see [JSON parsing](/armor/docs/security-policy-overview#json-parsing).\n- When you have a request field exclusion attached to a preconfigured WAF rule, you can't use the `allow` action. Requests matching the exception are automatically allowed.\n\nWhat's next\n-----------\n\n- [Tune preconfigured WAF rules](/armor/docs/rule-tuning)\n- [Configure custom rules language attributes](/armor/docs/rules-language-reference)"]]
