Panoramica delle regole WAF preconfigurate di Google Cloud Armor

Le regole WAF preconfigurate di Google Cloud Armor sono regole WAF (Web Application Firewall) complesse con decine di firme compilate a partire da standard di settore open source. Ogni firma corrisponde a una regola di rilevamento degli attacchi nel set di regole. Google offre queste regole così come sono. Le regole consentono a Google Cloud Armor di valutare dozzine di firme di traffico distinte facendo riferimento a regole denominate in modo pratico, anziché richiedere la definizione manuale di ogni firma.

Le regole WAF preconfigurate di Google Cloud Armor possono essere ottimizzate in base alle tue esigenze. Per ulteriori informazioni su come ottimizzare le regole, consulta Ottimizzare le regole WAF preconfigurate di Google Cloud Armor.

La tabella seguente contiene un elenco completo delle regole WAF preconfigurate che possono essere utilizzate in un criterio di sicurezza di Google Cloud Armor. Le origini delle regole sono ModSecurity Core Rule Set (CRS) 3.0 e CRS 3.3.2. Ti consigliamo di utilizzare la versione 3.3 per una maggiore sensibilità e per un'ampia gamma di tipi di attacchi protetti. Il supporto di CRS 3.0 è in corso.

CRS 3.3

Nome della regola Google Cloud Armor Nome della regola ModSecurity Stato corrente
SQL injection sqli-v33-stable Sincronizzato con sqli-v33-canary
sqli-v33-canary Più recenti
Cross-site scripting (XSS) xss-v33-stable Sincronizzato con xss-v33-canary
xss-v33-canary Più recenti
Inclusione di file locali lfi-v33-stable Sincronizzato con lfi-v33-canary
lfi-v33-canary Più recenti
Inclusione di file remoti rfi-v33-stable Sincronizzato con rfi-v33-canary
rfi-v33-canary Più recenti
Esecuzione di codice da remoto rce-v33-stable Sincronizzato con rce-v33-canary
rce-v33-canary Più recenti
Applicazione del metodo methodenforcement-v33-stable Sincronizzato con methodenforcement-v33-canary
methodenforcement-v33-canary Più recenti
Rilevamento dello scanner scannerdetection-v33-stable Sincronizzato con scannerdetection-v33-canary
scannerdetection-v33-canary Più recenti
Attacco di protocollo protocolattack-v33-stable Sincronizzato con protocolattack-v33-canary
protocolattack-v33-canary Più recenti
Attacco con iniezione di codice PHP php-v33-stable Sincronizzato con php-v33-canary
php-v33-canary Più recenti
Attacco di fissazione della sessione sessionfixation-v33-stable Sincronizzato con sessionfixation-v33-canary
sessionfixation-v33-canary Più recenti
Attacco Java java-v33-stable Sincronizzato con java-v33-canary
java-v33-canary Più recenti
Attacco Node.js nodejs-v33-stable Sincronizzato con nodejs-v33-canary
nodejs-v33-canary Più recenti

CRS 3.0

Nome della regola Google Cloud Armor Nome della regola ModSecurity Stato corrente
SQL injection sqli-stable Sincronizzato con sqli-canary
sqli-canary Più recenti
Cross-site scripting (XSS) xss-stable Sincronizzato con xss-canary
xss-canary Più recenti
Inclusione di file locali lfi-stable Sincronizzato con lfi-canary
lfi-canary Più recenti
Inclusione di file remoti rfi-stable Sincronizzato con rfi-canary
rfi-canary Più recenti
Esecuzione di codice da remoto rce-stable Sincronizzato con rce-canary
rce-canary Più recenti
Applicazione del metodo methodenforcement-stable Sincronizzato con methodenforcement-canary
methodenforcement-canary Più recenti
Rilevamento dello scanner scannerdetection-stable Sincronizzato con scannerdetection-canary
scannerdetection-canary Più recenti
Attacco di protocollo protocolattack-stable Sincronizzato con protocolattack-canary
protocolattack-canary Più recenti
Attacco con iniezione di codice PHP php-stable Sincronizzato con php-canary
php-canary Più recenti
Attacco di fissazione della sessione sessionfixation-stable Sincronizzato con sessionfixation-canary
sessionfixation-canary Più recenti
Attacco Java Not included
Attacco Node.js Not included

Inoltre, le seguenti regole cve-canary sono disponibili per tutti i clienti di Google Cloud Armor per rilevare e, facoltativamente, bloccare le seguenti vulnerabilità:

  • Vulnerabilità di Log4j RCE CVE-2021-44228 e CVE-2021-45046
  • 942550-sqli Vulnerabilità dei contenuti in formato JSON
Nome della regola Google Cloud Armor Tipi di vulnerabilità coperti
cve-canary Vulnerabilità Log4j
json-sqli-canary Vulnerabilità di bypass di SQL injection basata su JSON

Regole ModSecurity preconfigurate

Ogni regola WAF preconfigurata ha un livello di sensibilità che corrisponde a un livello di paranoia di ModSecurity. Un livello di sensibilità più basso indica una firma di attendibilità più elevata, che ha meno probabilità di generare un falso positivo. Un livello di sensibilità più elevato aumenta la sicurezza, ma aumenta anche il rischio di generare un falso positivo.

SQL injection (SQLi)

La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola WAF preconfigurata per le SQLi.

CRS 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id942100-sqli 1 Attacco SQL injection rilevato tramite libinjection
owasp-crs-v030301-id942140-sqli 1 Attacco di SQL injection: sono stati rilevati nomi di database comuni
owasp-crs-v030301-id942160-sqli 1 Rileva i test SQLi ciechi che utilizzano sleep() o benchmark()
owasp-crs-v030301-id942170-sqli 1 Rileva i tentativi di benchmark e di inserimento di SQL inattivi, incluse le query condizionali
owasp-crs-v030301-id942190-sqli 1 Rileva l'esecuzione di codice MSSQL e i tentativi di raccolta di informazioni
owasp-crs-v030301-id942220-sqli 1 Cerca attacchi di overflow di interi
owasp-crs-v030301-id942230-sqli 1 Rileva i tentativi di SQL injection condizionali
owasp-crs-v030301-id942240-sqli 1 Rileva il passaggio del charset di MySQL e i tentativi di DoS di MSSQL
owasp-crs-v030301-id942250-sqli 1 Rileva MATCH AGAINST
owasp-crs-v030301-id942270-sqli 1 Cerca SQL injection di base; stringa di attacco comune per MySQL
owasp-crs-v030301-id942280-sqli 1 Rileva l'iniezione di pg_sleep di Postgres
owasp-crs-v030301-id942290-sqli 1 Individua i tentativi di SQL injection di base di MongoDB
owasp-crs-v030301-id942320-sqli 1 Rileva le iniezioni di procedure/funzioni memorizzate MySQL e PostgreSQL
owasp-crs-v030301-id942350-sqli 1 Rileva l'iniezione di funzioni definite dall'utente di MySQL e altri tentativi di manipolazione di dati/strutture
owasp-crs-v030301-id942360-sqli 1 Rileva tentativi di SQL injection di base e SQLLFI concatenati
owasp-crs-v030301-id942500-sqli 1 È stato rilevato un commento in linea MySQL
owasp-crs-v030301-id942110-sqli 2 Attacco SQL injection: test di iniezione comuni rilevati
owasp-crs-v030301-id942120-sqli 2 Azione di SQL injection: operatore SQL rilevato
owasp-crs-v030301-id942130-sqli 2 Azione di SQL injection: rilevata tautologia SQL
owasp-crs-v030301-id942150-sqli 2 Attacco di SQL injection
owasp-crs-v030301-id942180-sqli 2 Rileva i tentativi di bypass dell'autenticazione SQL di base 1/3
owasp-crs-v030301-id942200-sqli 2 Rileva le iniezioni offuscate con commenti/spazi di MySQL e il termine con il carattere ".
owasp-crs-v030301-id942210-sqli 2 Rileva i tentativi di SQL injection in catena 1/2
owasp-crs-v030301-id942260-sqli 2 Rileva i tentativi di bypass dell'autenticazione SQL di base 2/3
owasp-crs-v030301-id942300-sqli 2 Rileva i commenti MySQL
owasp-crs-v030301-id942310-sqli 2 Rileva i tentativi di SQL injection in catena 2/2
owasp-crs-v030301-id942330-sqli 2 Rileva i sondaggi di SQL injection classici 1/2
owasp-crs-v030301-id942340-sqli 2 Rileva i tentativi di bypass dell'autenticazione SQL di base 3/3
owasp-crs-v030301-id942361-sqli 2 Rileva SQL injection di base in base alla parola chiave alter o union
owasp-crs-v030301-id942370-sqli 2 Rileva i sondaggi di SQL injection classici 2/3
owasp-crs-v030301-id942380-sqli 2 Attacco di SQL injection
owasp-crs-v030301-id942390-sqli 2 Attacco di SQL injection
owasp-crs-v030301-id942400-sqli 2 Attacco di SQL injection
owasp-crs-v030301-id942410-sqli 2 Attacco di SQL injection
owasp-crs-v030301-id942470-sqli 2 Attacco di SQL injection
owasp-crs-v030301-id942480-sqli 2 Attacco di SQL injection
owasp-crs-v030301-id942430-sqli 2 Rilevamento di anomalie dei caratteri SQL con limitazioni (args): numero di caratteri speciali superato (12)
owasp-crs-v030301-id942440-sqli 2 Sequenza di commenti SQL rilevata
owasp-crs-v030301-id942450-sqli 2 Codifica esadecimale SQL identificata
owasp-crs-v030301-id942510-sqli 2 Rilevamento di un tentativo di bypass di SQLi tramite tick o backtick
owasp-crs-v030301-id942251-sqli 3 Rileva le iniezioni HAVING
owasp-crs-v030301-id942490-sqli 3 Rileva sondaggi di SQL injection classici 3/3
owasp-crs-v030301-id942420-sqli 3 Rilevamento di anomalie dei caratteri SQL con limitazioni (cookie): numero di caratteri speciali superato (8)
owasp-crs-v030301-id942431-sqli 3 Rilevamento di anomalie dei caratteri SQL con limitazioni (args): numero di caratteri speciali superato (6)
owasp-crs-v030301-id942460-sqli 3 Avviso di rilevamento di anomalie nei meta-caratteri: caratteri non di parola ripetitivi
owasp-crs-v030301-id942101-sqli 3 Attacco SQL injection rilevato tramite libinjection
owasp-crs-v030301-id942511-sqli 3 Rilevamento di un tentativo di bypass di SQLi tramite tick
owasp-crs-v030301-id942421-sqli 4 Rilevamento di anomalie dei caratteri SQL con limitazioni (cookie): numero di caratteri speciali superato (3)
owasp-crs-v030301-id942432-sqli 4 Rilevamento di anomalie dei caratteri SQL con limitazioni (args): numero di caratteri speciali superato (2)

CRS 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
Not included 1 Attacco SQL injection rilevato tramite libinjection
owasp-crs-v030001-id942140-sqli 1 Attacco di SQL injection: sono stati rilevati nomi di database comuni
owasp-crs-v030001-id942160-sqli 1 Rileva i test SQLi ciechi che utilizzano sleep() o benchmark()
owasp-crs-v030001-id942170-sqli 1 Rileva i tentativi di benchmark e di inserimento di SQL inattivi, incluse le query condizionali
owasp-crs-v030001-id942190-sqli 1 Rileva l'esecuzione di codice MSSQL e i tentativi di raccolta di informazioni
owasp-crs-v030001-id942220-sqli 1 Cerca attacchi di overflow di interi
owasp-crs-v030001-id942230-sqli 1 Rileva i tentativi di SQL injection condizionali
owasp-crs-v030001-id942240-sqli 1 Rileva il passaggio del charset di MySQL e i tentativi di DoS di MSSQL
owasp-crs-v030001-id942250-sqli 1 Rileva MATCH AGAINST
owasp-crs-v030001-id942270-sqli 1 Cerca SQL injection di base; stringa di attacco comune per MySQL
owasp-crs-v030001-id942280-sqli 1 Rileva l'iniezione di pg_sleep di Postgres
owasp-crs-v030001-id942290-sqli 1 Individua i tentativi di SQL injection di base di MongoDB
owasp-crs-v030001-id942320-sqli 1 Rileva le iniezioni di procedure/funzioni memorizzate MySQL e PostgreSQL
owasp-crs-v030001-id942350-sqli 1 Rileva l'iniezione di funzioni definite dall'utente di MySQL e altri tentativi di manipolazione di dati/strutture
owasp-crs-v030001-id942360-sqli 1 Rileva tentativi di SQL injection di base e SQLLFI concatenati
Not included 1 È stato rilevato un commento in linea MySQL
owasp-crs-v030001-id942110-sqli 2 Attacco SQL injection: test di iniezione comuni rilevati
owasp-crs-v030001-id942120-sqli 2 Azione di SQL injection: operatore SQL rilevato
Not included 2 Azione di SQL injection: rilevata tautologia SQL
owasp-crs-v030001-id942150-sqli 2 Attacco di SQL injection
owasp-crs-v030001-id942180-sqli 2 Rileva i tentativi di bypass dell'autenticazione SQL di base 1/3
owasp-crs-v030001-id942200-sqli 2 Rileva le iniezioni offuscate con commenti/spazi di MySQL e il termine con il carattere ".
owasp-crs-v030001-id942210-sqli 2 Rileva i tentativi di SQL injection in catena 1/2
owasp-crs-v030001-id942260-sqli 2 Rileva i tentativi di bypass dell'autenticazione SQL di base 2/3
owasp-crs-v030001-id942300-sqli 2 Rileva i commenti MySQL
owasp-crs-v030001-id942310-sqli 2 Rileva i tentativi di SQL injection in catena 2/2
owasp-crs-v030001-id942330-sqli 2 Rileva i sondaggi di SQL injection classici 1/2
owasp-crs-v030001-id942340-sqli 2 Rileva i tentativi di bypass dell'autenticazione SQL di base 3/3
Not included 2 Rileva SQL injection di base in base alla parola chiave alter o union
Not included 2 Rileva i sondaggi di SQL injection classici 2/3
owasp-crs-v030001-id942380-sqli 2 Attacco di SQL injection
owasp-crs-v030001-id942390-sqli 2 Attacco di SQL injection
owasp-crs-v030001-id942400-sqli 2 Attacco di SQL injection
owasp-crs-v030001-id942410-sqli 2 Attacco di SQL injection
Not included 2 Attacco di SQL injection
Not included 2 Attacco di SQL injection
owasp-crs-v030001-id942430-sqli 2 Rilevamento di anomalie dei caratteri SQL con limitazioni (args): numero di caratteri speciali superato (12)
owasp-crs-v030001-id942440-sqli 2 Sequenza di commenti SQL rilevata
owasp-crs-v030001-id942450-sqli 2 Codifica esadecimale SQL identificata
Not included 2 Rilevamento di un tentativo di bypass di SQLi tramite tick o backtick
owasp-crs-v030001-id942251-sqli 3 Rileva le iniezioni HAVING
Not included 2 Rileva sondaggi di SQL injection classici 3/3
owasp-crs-v030001-id942420-sqli 3 Rilevamento di anomalie dei caratteri SQL con limitazioni (cookie): numero di caratteri speciali superato (8)
owasp-crs-v030001-id942431-sqli 3 Rilevamento di anomalie dei caratteri SQL con limitazioni (args): numero di caratteri speciali superato (6)
owasp-crs-v030001-id942460-sqli 3 Avviso di rilevamento di anomalie nei meta-caratteri: caratteri non di parola ripetitivi
Not included 3 Attacco SQL injection rilevato tramite libinjection
Not included 3 Rilevamento di un tentativo di bypass di SQLi tramite tick
owasp-crs-v030001-id942421-sqli 4 Rilevamento di anomalie dei caratteri SQL con limitazioni (cookie): numero di caratteri speciali superato (3)
owasp-crs-v030001-id942432-sqli 4 Rilevamento di anomalie dei caratteri SQL con limitazioni (args): numero di caratteri speciali superato (2)

Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disattivare le firme a livelli di sensibilità superiori.

Livello di sensibilità SQLi 1 

evaluatePreconfiguredExpr('sqli-v33-stable',
['owasp-crs-v030301-id942110-sqli',
  'owasp-crs-v030301-id942120-sqli',
  'owasp-crs-v030301-id942130-sqli',
  'owasp-crs-v030301-id942150-sqli',
  'owasp-crs-v030301-id942180-sqli',
  'owasp-crs-v030301-id942200-sqli',
  'owasp-crs-v030301-id942210-sqli',
  'owasp-crs-v030301-id942260-sqli',
  'owasp-crs-v030301-id942300-sqli',
  'owasp-crs-v030301-id942310-sqli',
  'owasp-crs-v030301-id942330-sqli',
  'owasp-crs-v030301-id942340-sqli',
  'owasp-crs-v030301-id942361-sqli',
  'owasp-crs-v030301-id942370-sqli',
  'owasp-crs-v030301-id942380-sqli',
  'owasp-crs-v030301-id942390-sqli',
  'owasp-crs-v030301-id942400-sqli',
  'owasp-crs-v030301-id942410-sqli',
  'owasp-crs-v030301-id942470-sqli',
  'owasp-crs-v030301-id942480-sqli',
  'owasp-crs-v030301-id942430-sqli',
  'owasp-crs-v030301-id942440-sqli',
  'owasp-crs-v030301-id942450-sqli',
  'owasp-crs-v030301-id942510-sqli',
  'owasp-crs-v030301-id942251-sqli',
  'owasp-crs-v030301-id942490-sqli',
  'owasp-crs-v030301-id942420-sqli',
  'owasp-crs-v030301-id942431-sqli',
  'owasp-crs-v030301-id942460-sqli',
  'owasp-crs-v030301-id942101-sqli',
  'owasp-crs-v030301-id942511-sqli',
  'owasp-crs-v030301-id942421-sqli',
  'owasp-crs-v030301-id942432-sqli']
)
Livello di sensibilità SQLi 2 

evaluatePreconfiguredExpr('sqli-v33-stable',
 ['owasp-crs-v030301-id942251-sqli',
  'owasp-crs-v030301-id942490-sqli',
  'owasp-crs-v030301-id942420-sqli',
  'owasp-crs-v030301-id942431-sqli',
  'owasp-crs-v030301-id942460-sqli',
  'owasp-crs-v030301-id942101-sqli',
  'owasp-crs-v030301-id942511-sqli',
  'owasp-crs-v030301-id942421-sqli',
  'owasp-crs-v030301-id942432-sqli']
)
Livello di sensibilità SQLi 3 

evaluatePreconfiguredExpr('sqli-v33-stable',
        ['owasp-crs-v030301-id942421-sqli',
         'owasp-crs-v030301-id942432-sqli']
         )
Livello di sensibilità SQLi 4 

evaluatePreconfiguredExpr('sqli-v33-stable')

In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità dell'insieme di regole, Google Cloud Armor valuta tutte le firme.

CRS 3.3

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 3})
4 evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 4})

CRS 3.0

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 3})
4 evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 4})

Cross-site scripting (XSS)

La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola WAF preconfigurata XSS.

CRS 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id941100-xss 1 Azione XSS rilevata tramite libinjection
owasp-crs-v030301-id941110-xss 1 Filtro XSS - Categoria 1: vettore tag script
owasp-crs-v030301-id941120-xss 1 Filtro XSS - Categoria 2: vettore gestore eventi
owasp-crs-v030301-id941130-xss 1 Filtro XSS - Categoria 3: vettore di attributi
owasp-crs-v030301-id941140-xss 1 Filtro XSS - Categoria 4: vettore URI JavaScript
owasp-crs-v030301-id941160-xss 1 NoScript XSS InjectionChecker: HTML Injection
owasp-crs-v030301-id941170-xss 1 NoScript XSS InjectionChecker: Attribute Injection
owasp-crs-v030301-id941180-xss 1 Parole chiave della lista nera di Node-Validator
owasp-crs-v030301-id941190-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030301-id941200-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030301-id941210-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030301-id941220-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030301-id941230-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030301-id941240-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030301-id941250-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030301-id941260-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030301-id941270-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030301-id941280-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030301-id941290-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030301-id941300-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030301-id941310-xss 1 Filtro XSS per codifica US-ASCII non corretta: attacco rilevato
owasp-crs-v030301-id941350-xss 1 XSS in IE con codifica UTF-7 - Attacco rilevato
owasp-crs-v030301-id941360-xss 1 È stata rilevata l'oscuramento dei geroglifici
owasp-crs-v030301-id941370-xss 1 Variabile globale JavaScript trovata
owasp-crs-v030301-id941101-xss 2 Azione XSS rilevata tramite libinjection
owasp-crs-v030301-id941150-xss 2 Filtro XSS - Categoria 5: attributi HTML non consentiti
owasp-crs-v030301-id941320-xss 2 Possibile attacco XSS rilevato - Gestitore dei tag HTML
owasp-crs-v030301-id941330-xss 2 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030301-id941340-xss 2 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030301-id941380-xss 2 È stata rilevata un'iniezione di modello lato client AngularJS

CRS 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
Not included 1 Azione XSS rilevata tramite libinjection
owasp-crs-v030001-id941110-xss 1 Filtro XSS - Categoria 1: vettore tag script
owasp-crs-v030001-id941120-xss 1 Filtro XSS - Categoria 2: vettore gestore eventi
owasp-crs-v030001-id941130-xss 1 Filtro XSS - Categoria 3: vettore di attributi
owasp-crs-v030001-id941140-xss 1 Filtro XSS - Categoria 4: vettore URI JavaScript
owasp-crs-v030001-id941160-xss 1 NoScript XSS InjectionChecker: HTML Injection
owasp-crs-v030001-id941170-xss 1 NoScript XSS InjectionChecker: Attribute Injection
owasp-crs-v030001-id941180-xss 1 Parole chiave della lista nera di Node-Validator
owasp-crs-v030001-id941190-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030001-id941200-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030001-id941210-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030001-id941220-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030001-id941230-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030001-id941240-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030001-id941250-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030001-id941260-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030001-id941270-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030001-id941280-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030001-id941290-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030001-id941300-xss 1 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030001-id941310-xss 1 Filtro XSS per codifica US-ASCII non corretta: attacco rilevato
owasp-crs-v030001-id941350-xss 1 XSS in IE con codifica UTF-7 - Attacco rilevato
Not included 1 È stata rilevata offuscamento JSFuck / Hieroglyphy
Not included 1 Variabile globale JavaScript trovata
Not included 2 Azione XSS rilevata tramite libinjection
owasp-crs-v030001-id941150-xss 2 Filtro XSS - Categoria 5: attributi HTML non consentiti
owasp-crs-v030001-id941320-xss 2 Possibile attacco XSS rilevato - Gestitore dei tag HTML
owasp-crs-v030001-id941330-xss 2 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030001-id941340-xss 2 Filtri XSS di IE - Attacco rilevato
Not included 2 È stata rilevata un'iniezione di modello lato client AngularJS

Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disattivare le firme a livelli di sensibilità superiori.

Livello di sensibilità XSS 1 

evaluatePreconfiguredExpr('xss-v33-stable',
['owasp-crs-v030301-id941101-xss',
  'owasp-crs-v030301-id941150-xss',
  'owasp-crs-v030301-id941320-xss',
  'owasp-crs-v030301-id941330-xss',
  'owasp-crs-v030301-id941340-xss',
  'owasp-crs-v030301-id941380-xss'
])


Tutte le firme per XSS sono al di sotto del livello di sensibilità 2. La seguente configurazione è valida per altri livelli di sensibilità:

Livello di sensibilità XSS 2 

evaluatePreconfiguredExpr('xss-v33-stable')

In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità dell'insieme di regole, Google Cloud Armor valuta tutte le firme.

CRS 3.3

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('xss-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('xss-v33-stable', {'sensitivity': 2})

CRS 3.0

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('xss-stable', {'sensitivity': 1})

Inclusione di file locali (LFI)

La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola WAF preconfigurata per gli attacchi LFI.

CRS 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id930100-lfi 1 Attacco Path Traversal (/../)
owasp-crs-v030301-id930110-lfi 1 Attacco Path Traversal (/../)
owasp-crs-v030301-id930120-lfi 1 Tentativo di accesso ai file del sistema operativo
owasp-crs-v030301-id930130-lfi 1 Tentativo di accesso a file con limitazioni

CRS 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id930100-lfi 1 Attacco Path Traversal (/../)
owasp-crs-v030001-id930110-lfi 1 Attacco Path Traversal (/../)
owasp-crs-v030001-id930120-lfi 1 Tentativo di accesso ai file del sistema operativo
owasp-crs-v030001-id930130-lfi 1 Tentativo di accesso a file con limitazioni

Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disattivare le firme a livelli di sensibilità superiori. Tutte le firme per gli indicatori di livello di rischio sono al livello di sensibilità 1. La seguente configurazione è valida per tutti i livelli di sensibilità:

Livello di sensibilità LFI 1 

evaluatePreconfiguredExpr('lfi-v33-stable')

In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Tutte le firme per gli indicatori di livello di rischio sono a livello di sensibilità 1. La seguente configurazione funziona per tutti i livelli di sensibilità:

CRS 3.3

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('lfi-v33-stable', {'sensitivity': 1})

CRS 3.0

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('lfi-stable', {'sensitivity': 1})

Esecuzione di codice remoto (RCE)

La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola WAF preconfigurata per gli attacchi di esecuzione di codice remoto (RCE).

CRS 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id932100-rce 1 Iniezione di comandi UNIX
owasp-crs-v030301-id932105-rce 1 Iniezione di comandi UNIX
owasp-crs-v030301-id932110-rce 1 Iniezione di comandi Windows
owasp-crs-v030301-id932115-rce 1 Iniezione di comandi Windows
owasp-crs-v030301-id932120-rce 1 Comando Windows PowerShell trovato
owasp-crs-v030301-id932130-rce 1 Espressione della shell Unix trovata
owasp-crs-v030301-id932140-rce 1 Comando FOR/IF di Windows trovato
owasp-crs-v030301-id932150-rce 1 Esecuzione diretta del comando UNIX
owasp-crs-v030301-id932160-rce 1 Codice shell UNIX trovato
owasp-crs-v030301-id932170-rce 1 Shellshock (CVE-2014-6271)
owasp-crs-v030301-id932171-rce 1 Shellshock (CVE-2014-6271)
owasp-crs-v030301-id932180-rce 1 Tentativo di caricamento di un file con limitazioni
owasp-crs-v030301-id932200-rce 2 Tecnica di bypass RCE
owasp-crs-v030301-id932106-rce 3 Esecuzione di comandi remoti: inserimento di comandi Unix
owasp-crs-v030301-id932190-rce 3 Esecuzione di comandi remoti: tentativo di tecnica di bypass dei caratteri jolly

CRS 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id932100-rce 1 Iniezione di comandi UNIX
owasp-crs-v030001-id932105-rce 1 Iniezione di comandi UNIX
owasp-crs-v030001-id932110-rce 1 Iniezione di comandi Windows
owasp-crs-v030001-id932115-rce 1 Iniezione di comandi Windows
owasp-crs-v030001-id932120-rce 1 Comando Windows PowerShell trovato
owasp-crs-v030001-id932130-rce 1 Espressione della shell Unix trovata
owasp-crs-v030001-id932140-rce 1 Comando FOR/IF di Windows trovato
owasp-crs-v030001-id932150-rce 1 Esecuzione diretta del comando UNIX
owasp-crs-v030001-id932160-rce 1 Codice shell UNIX trovato
owasp-crs-v030001-id932170-rce 1 Shellshock (CVE-2014-6271)
owasp-crs-v030001-id932171-rce 1 Shellshock (CVE-2014-6271)
Not included 1 Tentativo di caricamento di un file con limitazioni
Not included 2 Tecnica di bypass RCE
Not included 3 Esecuzione di comandi remoti: inserimento di comandi Unix
Not included 3 Esecuzione di comandi remoti: tentativo di tecnica di bypass dei caratteri jolly

Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disattivare le firme a livelli di sensibilità superiori. La seguente configurazione funziona per tutti i livelli di sensibilità:

Livello di sensibilità RCE 1 

evaluatePreconfiguredExpr('rce-v33-stable',
          ['owasp-crs-v030301-id932200-rce',
           'owasp-crs-v030301-id932106-rce',
           'owasp-crs-v030301-id932190-rce'])
Livello di sensibilità RCE 2 

evaluatePreconfiguredExpr('rce-v33-stable',
           [ 'owasp-crs-v030301-id932106-rce',
           'owasp-crs-v030301-id932190-rce'])
Livello di sensibilità RCE 3 

evaluatePreconfiguredExpr('rce-v33-stable')

In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Tutte le firme per l'attacco di esecuzione di codice remoto sono a livello di sensibilità 1. La seguente configurazione è valida per tutti i livelli di sensibilità:

CRS 3.3

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 3})

CRS 3.0

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 3})

Inclusione di file remoti (RFI)

La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola WAF preconfigurata per le richieste di informazioni.

CRS 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id931100-rfi 1 Parametro URL che utilizza l'indirizzo IP
owasp-crs-v030301-id931110-rfi 1 Nome del parametro vulnerabile RFI comune utilizzato con il payload dell'URL
owasp-crs-v030301-id931120-rfi 1 Payload dell'URL utilizzato con carattere punto interrogativo finale (?)
owasp-crs-v030301-id931130-rfi 2 Riferimento/link esterno al dominio

CRS 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id931100-rfi 1 Parametro URL che utilizza l'indirizzo IP
owasp-crs-v030001-id931110-rfi 1 Nome del parametro vulnerabile RFI comune utilizzato con il payload dell'URL
owasp-crs-v030001-id931120-rfi 1 Payload dell'URL utilizzato con carattere punto interrogativo finale (?)
owasp-crs-v030001-id931130-rfi 2 Riferimento/link esterno al dominio

Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disattivare le firme a livelli di sensibilità superiori.

Livello di sensibilità RFI 1 

evaluatePreconfiguredExpr('rfi-v33-stable', ['owasp-crs-v030301-id931130-rfi'])

Tutte le firme per le RFI sono al di sotto del livello di sensibilità 2. La seguente configurazione è valida per altri livelli di sensibilità:

Livello di sensibilità RFI 2 

evaluatePreconfiguredExpr('rfi-v33-stable')

In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità dell'insieme di regole, Google Cloud Armor valuta tutte le firme.

CRS 3.3

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('rfi-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('rfi-v33-stable', {'sensitivity': 2})

CRS 3.0

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('rfi-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('rfi-stable', {'sensitivity': 2})

Applicazione del metodo

La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola di applicazione preconfigurata del metodo.

CRS 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id911100-methodenforcement 1 Il metodo non è consentito dai criteri

CRS 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id911100-methodenforcement 1 Il metodo non è consentito dai criteri

Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disattivare le firme a livelli di sensibilità superiori. Tutte le firme per l'applicazione del metodo sono a livello di sensibilità 1. La seguente configurazione funziona per altri livelli di sensibilità:

Livello di sensibilità dell'applicazione del metodo 1 

evaluatePreconfiguredExpr('methodenforcement-v33-stable')

In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità dell'insieme di regole, Google Cloud Armor valuta tutte le firme.

CRS 3.3

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('methodenforcement-v33-stable', {'sensitivity': 1})

CRS 3.0

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('methodenforcement-stable', {'sensitivity': 1})

Rilevamento dello scanner

La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola preconfigurata per il rilevamento degli scanner.

CRS 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id913100-scannerdetection 1 Agente utente trovato associato allo scanner di sicurezza
owasp-crs-v030301-id913110-scannerdetection 1 Intestazione di richiesta trovata associata allo scanner di sicurezza
owasp-crs-v030301-id913120-scannerdetection 1 È stato trovato il nome file/l'argomento della richiesta associato allo scanner di sicurezza
owasp-crs-v030301-id913101-scannerdetection 2 È stato trovato lo user agent associato al client HTTP generico/di scripting
owasp-crs-v030301-id913102-scannerdetection 2 User-Agent trovato associato a crawler/bot web

CRS 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id913100-scannerdetection 1 Agente utente trovato associato allo scanner di sicurezza
owasp-crs-v030001-id913110-scannerdetection 1 Intestazione di richiesta trovata associata allo scanner di sicurezza
owasp-crs-v030001-id913120-scannerdetection 1 È stato trovato il nome file/l'argomento della richiesta associato allo scanner di sicurezza
owasp-crs-v030001-id913101-scannerdetection 2 È stato trovato lo user agent associato al client HTTP generico/di scripting
owasp-crs-v030001-id913102-scannerdetection 2 User-Agent trovato associato a crawler/bot web

Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disattivare le firme a livelli di sensibilità superiori.

Livello di sensibilità del rilevamento dello scanner 1 

evaluatePreconfiguredExpr('scannerdetection-v33-stable',
  ['owasp-crs-v030301-id913101-scannerdetection',
  'owasp-crs-v030301-id913102-scannerdetection']
)
Livello di sensibilità del rilevamento dello scanner 2 

evaluatePreconfiguredExpr('scannerdetection-v33-stable')

In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità dell'insieme di regole, Google Cloud Armor valuta tutte le firme.

CRS 3.3

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('scannerdetection-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('scannerdetection-v33-stable', {'sensitivity': 2})

CRS 3.0

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('scannerdetection-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('scannerdetection-stable', {'sensitivity': 2})

Attacco di protocollo

La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola preconfigurata per gli attacchi di protocollo.

CRS 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
Not included 1 Azione di contrabbando di richieste HTTP
owasp-crs-v030301-id921110-protocolattack 1 Azione di contrabbando di richieste HTTP
owasp-crs-v030301-id921120-protocolattack 1 Ataque de fragmentación de la respuesta HTTP
owasp-crs-v030301-id921130-protocolattack 1 Ataque de fragmentación de la respuesta HTTP
owasp-crs-v030301-id921140-protocolattack 1 Attacco di inserimento di intestazioni HTTP tramite intestazioni
owasp-crs-v030301-id921150-protocolattack 1 Azione di attacco di iniezione di intestazioni HTTP tramite payload (rilevati CR/LF)
owasp-crs-v030301-id921160-protocolattack 1 Attacco di inserimento di intestazioni HTTP tramite payload (sono stati rilevati CR/LF e nome intestazione)
owasp-crs-v030301-id921190-protocolattack 1 Suddivisione HTTP (rilevato CR/LF nel nome file della richiesta)
owasp-crs-v030301-id921200-protocolattack 1 Attacco di iniezione LDAP
owasp-crs-v030301-id921151-protocolattack 2 Azione di attacco di iniezione di intestazioni HTTP tramite payload (rilevati CR/LF)
owasp-crs-v030301-id921170-protocolattack 3 Contaminazione dei parametri HTTP

CRS 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id921100-protocolattack 1 Azione di contrabbando di richieste HTTP
owasp-crs-v030001-id921110-protocolattack 1 Azione di contrabbando di richieste HTTP
owasp-crs-v030001-id921120-protocolattack 1 Ataque de fragmentación de la respuesta HTTP
owasp-crs-v030001-id921130-protocolattack 1 Ataque de fragmentación de la respuesta HTTP
owasp-crs-v030001-id921140-protocolattack 1 Attacco di inserimento di intestazioni HTTP tramite intestazioni
owasp-crs-v030001-id921150-protocolattack 1 Azione di attacco di iniezione di intestazioni HTTP tramite payload (rilevati CR/LF)
owasp-crs-v030001-id921160-protocolattack 1 Attacco di inserimento di intestazioni HTTP tramite payload (sono stati rilevati CR/LF e nome intestazione)
Not included 1 Suddivisione HTTP (rilevato CR/LF nel nome file della richiesta)
Not included 1 Attacco di iniezione LDAP
owasp-crs-v030001-id921151-protocolattack 2 Azione di attacco di iniezione di intestazioni HTTP tramite payload (rilevati CR/LF)
owasp-crs-v030001-id921170-protocolattack 3 Contaminazione dei parametri HTTP

Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disattivare le firme a livelli di sensibilità superiori.

Livello di sensibilità all'attacco del protocollo 1 

evaluatePreconfiguredExpr('protocolattack-v33-stable',
  ['owasp-crs-v030301-id921151-protocolattack',
  'owasp-crs-v030301-id921170-protocolattack']
)
Livello di sensibilità all'attacco del protocollo 2 

evaluatePreconfiguredExpr('protocolattack-v33-stable',
  ['owasp-crs-v030301-id921170-protocolattack']
)
Livello di sensibilità all'attacco del protocollo 3 

evaluatePreconfiguredExpr('protocolattack-v33-stable')

In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità dell'insieme di regole, Google Cloud Armor valuta tutte le firme.

CRS 3.3

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 3})

CRS 3.0

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 3})

PHP

La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola WAF preconfigurata per PHP.

CRS 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id933100-php 1 Azione di attacco di inserimento di codice PHP: tag PHP aperto trovato
owasp-crs-v030301-id933110-php 1 Azione di attacco di iniezione PHP: caricamento di file di script PHP rilevato
owasp-crs-v030301-id933120-php 1 Azione di attacco di inserimento di codice PHP: direttiva di configurazione trovata
owasp-crs-v030301-id933130-php 1 Aggressione con iniezione di codice PHP: variabili trovate
owasp-crs-v030301-id933140-php 1 Azione di attacco con iniezione di codice PHP: stream I/O trovato
owasp-crs-v030301-id933200-php 1 Aggressione con iniezione di codice PHP: schema wrapper rilevato
owasp-crs-v030301-id933150-php 1 Attacco di inserimento di codice PHP: è stato rilevato un nome di funzione PHP ad alto rischio
owasp-crs-v030301-id933160-php 1 Attacco di inserimento di codice PHP: è stata trovata una chiamata di funzione PHP ad alto rischio
owasp-crs-v030301-id933170-php 1 Azione di attacco con iniezione di codice PHP: iniezione di oggetti serializzati
owasp-crs-v030301-id933180-php 1 Azione di attacco di tipo PHP injection: chiamata di funzione variabile trovata
owasp-crs-v030301-id933210-php 1 Azione di attacco di tipo PHP injection: chiamata di funzione variabile trovata
owasp-crs-v030301-id933151-php 2 Azione di attacco di inserimento di codice PHP: è stato rilevato un nome di funzione PHP a rischio medio
owasp-crs-v030301-id933131-php 3 Aggressione con iniezione di codice PHP: variabili trovate
owasp-crs-v030301-id933161-php 3 Azione di attacco di tipo PHP injection: è stata trovata una chiamata di funzione PHP di basso valore
owasp-crs-v030301-id933111-php 3 Azione di attacco di iniezione PHP: caricamento di file di script PHP rilevato
owasp-crs-v030301-id933190-php 3 Azione di attacco con iniezione di codice PHP: tag di chiusura PHP trovato

CRS 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id933100-php 1 Azione di attacco di inserimento di codice PHP: tag PHP aperto trovato
owasp-crs-v030001-id933110-php 1 Azione di attacco di iniezione PHP: caricamento di file di script PHP rilevato
owasp-crs-v030001-id933120-php 1 Azione di attacco di inserimento di codice PHP: direttiva di configurazione trovata
owasp-crs-v030001-id933130-php 1 Aggressione con iniezione di codice PHP: variabili trovate
owasp-crs-v030001-id933140-php 1 Azione di attacco con iniezione di codice PHP: stream I/O trovato
Not included 1 Aggressione con iniezione di codice PHP: schema wrapper rilevato
owasp-crs-v030001-id933150-php 1 Attacco di inserimento di codice PHP: è stato rilevato un nome di funzione PHP ad alto rischio
owasp-crs-v030001-id933160-php 1 Attacco di inserimento di codice PHP: è stata trovata una chiamata di funzione PHP ad alto rischio
owasp-crs-v030001-id933170-php 1 Azione di attacco con iniezione di codice PHP: iniezione di oggetti serializzati
owasp-crs-v030001-id933180-php 1 Azione di attacco di tipo PHP injection: chiamata di funzione variabile trovata
Not included 1 Azione di attacco di tipo PHP injection: chiamata di funzione variabile trovata
owasp-crs-v030001-id933151-php 2 Azione di attacco di inserimento di codice PHP: è stato rilevato un nome di funzione PHP a rischio medio
owasp-crs-v030001-id933131-php 3 Aggressione con iniezione di codice PHP: variabili trovate
owasp-crs-v030001-id933161-php 3 Azione di attacco di tipo PHP injection: è stata trovata una chiamata di funzione PHP di basso valore
owasp-crs-v030001-id933111-php 3 Azione di attacco di iniezione PHP: caricamento di file di script PHP rilevato
Not included 3 Azione di attacco con iniezione di codice PHP: tag di chiusura PHP trovato

Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disattivare le firme a livelli di sensibilità superiori.

Livello di sensibilità agli attacchi di attacco di iniezione PHP 1 

evaluatePreconfiguredExpr('php-v33-stable',
['owasp-crs-v030301-id933151-php',
  'owasp-crs-v030301-id933131-php',
  'owasp-crs-v030301-id933161-php',
  'owasp-crs-v030301-id933111-php',
  'owasp-crs-v030301-id933190-php']
)
Livello di sensibilità agli attacchi di attacco di iniezione PHP 2 

evaluatePreconfiguredExpr('php-v33-stable',
  ['owasp-crs-v0303001-id933131-php',
  'owasp-crs-v0303001-id933161-php',
  'owasp-crs-v0303001-id933111-php',
  'owasp-crs-v030301-id933190-php'])
Livello di sensibilità agli attacchi di attacco di iniezione PHP 3 

evaluatePreconfiguredExpr('php-v33-stable')

In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità dell'insieme di regole, Google Cloud Armor valuta tutte le firme.

CRS 3.3

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 3})

CRS 3.0

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('php-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('php-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('php-stable', {'sensitivity': 3})

Fissaggio della sessione

La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola preconfigurata di fissazione della sessione.

CRS 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id943100-sessionfixation 1 Possibile attacco di fissazione della sessione: impostazione dei valori dei cookie in HTML
owasp-crs-v030301-id943110-sessionfixation 1 Possibile attacco di fissazione della sessione: nome del parametro SessionID con referer fuori dal dominio
owasp-crs-v030301-id943120-sessionfixation 1 Possibile attacco di fissazione della sessione: nome del parametro SessionID senza referer

CRS 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id943100-sessionfixation 1 Possibile attacco di fissazione della sessione: impostazione dei valori dei cookie in HTML
owasp-crs-v030001-id943110-sessionfixation 1 Possibile attacco di fissazione della sessione: nome del parametro SessionID con referer fuori dal dominio
owasp-crs-v030001-id943120-sessionfixation 1 Possibile attacco di fissazione della sessione: nome del parametro SessionID senza referer

Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disattivare le firme a livelli di sensibilità superiori. Tutte le firme per la fissazione della sessione sono a livello di sensibilità 1. La seguente configurazione è valida per tutti i livelli di sensibilità:

Livello di sensibilità della fissazione della sessione 1 

evaluatePreconfiguredExpr('sessionfixation-v33-stable')

In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Tutte le firme per la fissazione della sessione sono a livello di sensibilità 1. La seguente configurazione è valida per tutti i livelli di sensibilità:

CRS 3.3

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('sessionfixation-v33-stable', {'sensitivity': 1})

CRS 3.0

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('sessionfixation-stable', {'sensitivity': 1})

Attacco Java

La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola preconfigurata per gli attacchi Java.

CRS 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id944100-java 1 Esecuzione di comandi remoti: rilevata classe Java sospetta
owasp-crs-v030301-id944110-java 1 Esecuzione di comandi remoti: creazione di processi Java (CVE-2017-9805)
owasp-crs-v030301-id944120-java 1 Esecuzione di comandi remoti: serializzazione Java (CVE-2015-4852)
owasp-crs-v030301-id944130-java 1 Rilevata classe Java sospetta
owasp-crs-v030301-id944200-java 2 Byte magici rilevati, probabile serializzazione Java in uso
owasp-crs-v030301-id944210-java 2 Sono stati rilevati byte magici con codifica Base64, probabile serializzazione Java in uso
owasp-crs-v030301-id944240-java 2 Esecuzione di comandi remoti: serializzazione Java (CVE-2015-4852)
owasp-crs-v030301-id944250-java 2 Esecuzione di comandi remoti: rilevato metodo Java sospetto
owasp-crs-v030301-id944300-java 3 La stringa con codifica Base64 corrisponde alla parola chiave sospetta

CRS 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
Not included 1 Esecuzione di comandi remoti: rilevata classe Java sospetta
Not included 1 Esecuzione di comandi remoti: creazione di processi Java (CVE-2017-9805)
Not included 1 Esecuzione di comandi remoti: serializzazione Java (CVE-2015-4852)
Not included 1 Rilevata classe Java sospetta
Not included 2 Byte magici rilevati, probabile serializzazione Java in uso
Not included 2 Sono stati rilevati byte magici con codifica Base64, probabile serializzazione Java in uso
Not included 2 Esecuzione di comandi remoti: serializzazione Java (CVE-2015-4852)
Not included 2 Esecuzione di comandi remoti: rilevato metodo Java sospetto
Not included 3 La stringa con codifica Base64 corrisponde alla parola chiave sospetta

Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disattivare le firme a livelli di sensibilità superiori.

Livello di sensibilità agli attacchi Java 1 

evaluatePreconfiguredExpr('java-v33-stable',
['owasp-crs-v030301-id944200-java',
 'owasp-crs-v030301-id944210-java',
 'owasp-crs-v030301-id944240-java',
 'owasp-crs-v030301-id944250-java',
 'owasp-crs-v030301-id944300-java'])
Livello di sensibilità agli attacchi Java 2 

evaluatePreconfiguredExpr('java-v33-stable',
['owasp-crs-v030301-id944300-java'])
Livello di sensibilità agli attacchi Java 3 

evaluatePreconfiguredExpr('java-v33-stable')

In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità dell'insieme di regole, Google Cloud Armor valuta tutte le firme.

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 3})

Attacco Node.js

La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola preconfigurata per gli attacchi NodeJS.

Le seguenti firme delle regole WAF preconfigurate sono incluse solo in CRS 3.3.

CRS 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id934100-nodejs 1 Attacco di inserimento di Node.js

CRS 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
Not included 1 Attacco di inserimento di Node.js

Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disattivare le firme a livelli di sensibilità superiori. Tutte le firme per l'attacco NodeJS sono a livello di sensibilità 1. La seguente configurazione funziona per altri livelli di sensibilità:

Livello di sensibilità Node.js 1 

evaluatePreconfiguredExpr('nodejs-v33-stable')

In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Tutte le firme per gli attacchi NodeJS sono a livello di sensibilità 1. La seguente configurazione è valida per altri livelli di sensibilità:

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('nodejs-v33-stable', {'sensitivity': 1})

CVE e altre vulnerabilità

La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola preconfigurata per la vulnerabilità RCE di Log4j CVE.

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id044228-cve 1 Regola di base per rilevare i tentativi di exploit di CVE-2021-44228 & CVE-2021-45046
owasp-crs-v030001-id144228-cve 1 Miglioramenti forniti da Google per coprire più tentativi di bypass e offuscamento
owasp-crs-v030001-id244228-cve 3 Maggiore sensibilità del rilevamento per scegliere come target un numero ancora maggiore di tentativi di aggiramento e offuscamento, con un aumento nominale del rischio di rilevamento di falsi positivi
owasp-crs-v030001-id344228-cve 3 Maggiore sensibilità del rilevamento per scegliere come target un numero ancora maggiore di tentativi di bypass e offuscamento mediante la codifica base64, con un aumento nominale del rischio di rilevamento di falsi positivi

Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disattivare le firme a livelli di sensibilità superiori.

Livello di sensibilità CVE 1 

evaluatePreconfiguredExpr('cve-canary', ['owasp-crs-v030001-id244228-cve',
  'owasp-crs-v030001-id344228-cve'])
Livello di sensibilità CVE 3 

evaluatePreconfiguredExpr('cve-canary')

In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità dell'insieme di regole, Google Cloud Armor valuta tutte le firme.

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('cve-canary', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('cve-canary', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('cve-canary', {'sensitivity': 3})

Vulnerabilità SQLi dei contenuti in formato JSON

La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione della firma supportata 942550-sqli, che copre la vulnerabilità in cui gli utenti malintenzionati possono aggirare il WAF aggiungendo la sintassi JSON ai payload di SQL injection.

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-id942550-sqli 2 Rileva tutti i vettori di SQLi basati su JSON, incluse le firme SQLi trovate nell'URL

Utilizza la seguente espressione per eseguire il deployment della firma:

  evaluatePreconfiguredWaf('json-sqli-canary', {'sensitivity':0, 'opt_in_rule_ids': ['owasp-crs-id942550-sqli']})

Ti consigliamo di attivare anche sqli-v33-stable a livello di sensibilità 2 per risolvere completamente i aggiramenti di SQL injection basati su JSON.

Limitazioni

Le regole WAF preconfigurate di Google Cloud Armor presentano le seguenti limitazioni:

  • In genere, la propagazione delle modifiche alle regole WAF richiede diversi minuti.
  • Tra i tipi di richieste HTTP con un corpo della richiesta, Google Cloud Armor elabora solo le richieste POST. Google Cloud Armor valuta le regole preconfigurate in base ai primi 8 KB dei contenuti del corpo di POST. Per ulteriori informazioni, consulta la limitazione relativa all'ispezione del corpo POST.
  • Google Cloud Armor può analizzare e applicare regole WAF preconfigurate quando l'analisi di JSON è abilitata con un valore dell'intestazione Content-Type corrispondente. Per ulteriori informazioni, consulta la sezione Analisi del JSON.
  • Quando hai un'esclusione del campo della richiesta associata a una regola WAF preconfigurata, non puoi usare l'azione allow. Le richieste corrispondenti all'eccezione sono consentite automaticamente.

Passaggi successivi