Panoramica delle regole WAF preconfigurate di Google Cloud Armor
Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
Le regole WAF preconfigurate di Google Cloud Armor sono regole web application firewall (WAF) complesse con decine di firme compilate a partire da standard di settore open source. Ogni firma corrisponde a una regola di rilevamento degli attacchi nel ruleset. Google offre queste regole così come sono. Le regole consentono a Google Cloud Armor di valutare decine di firme di traffico distinte facendo riferimento a regole con nomi pratici anziché richiedere di definire manualmente ogni firma.
La seguente tabella contiene un elenco completo delle regole WAF preconfigurate
disponibili per l'utilizzo in un criterio di sicurezza di Google Cloud Armor. Le
origini delle regole sono OWASP Core Rule Set (CRS)
3.3.2.
Ti consigliamo di utilizzare la versione 3.3 per una maggiore sensibilità e per una
gamma più ampia di tipi di attacchi protetti. Il supporto per CRS 3.0 è in corso.
CRS 3.3
Nome della regola Google Cloud Armor
Nome regola OWASP
Stato corrente
SQL injection
sqli-v33-stable
Sincronizzato con sqli-v33-canary
sqli-v33-canary
Più recenti
Cross-site scripting (XSS)
xss-v33-stable
Sincronizzato con xss-v33-canary
xss-v33-canary
Più recenti
Inclusione di file locali
lfi-v33-stable
Sincronizzato con lfi-v33-canary
lfi-v33-canary
Più recenti
Inclusione di file remoti
rfi-v33-stable
Sincronizzato con rfi-v33-canary
rfi-v33-canary
Più recenti
Esecuzione di codice da remoto
rce-v33-stable
Sincronizzato con rce-v33-canary
rce-v33-canary
Più recenti
Applicazione forzata del metodo
methodenforcement-v33-stable
Sincronizzato con methodenforcement-v33-canary
methodenforcement-v33-canary
Più recenti
Rilevamento dello scanner
scannerdetection-v33-stable
Sincronizzato con scannerdetection-v33-canary
scannerdetection-v33-canary
Più recenti
Attacco al protocollo
protocolattack-v33-stable
Sincronizzato con protocolattack-v33-canary
protocolattack-v33-canary
Più recenti
Attacco di injection PHP
php-v33-stable
Sincronizzato con php-v33-canary
php-v33-canary
Più recenti
Attacco di sessione fissa
sessionfixation-v33-stable
Sincronizzato con sessionfixation-v33-canary
sessionfixation-v33-canary
Più recenti
Attacco Java
java-v33-stable
Sincronizzato con java-v33-canary
java-v33-canary
Più recenti
Attacco NodeJS
nodejs-v33-stable
Sincronizzato con nodejs-v33-canary
nodejs-v33-canary
Più recenti
CRS 3.0
Nome della regola Google Cloud Armor
Nome regola OWASP
Stato corrente
SQL injection
sqli-stable
Sincronizzato con sqli-canary
sqli-canary
Più recenti
Cross-site scripting (XSS)
xss-stable
Sincronizzato con xss-canary
xss-canary
Più recenti
Inclusione di file locali
lfi-stable
Sincronizzato con lfi-canary
lfi-canary
Più recenti
Inclusione di file remoti
rfi-stable
Sincronizzato con rfi-canary
rfi-canary
Più recenti
Esecuzione di codice da remoto
rce-stable
Sincronizzato con rce-canary
rce-canary
Più recenti
Applicazione forzata del metodo
methodenforcement-stable
Sincronizzato con methodenforcement-canary
methodenforcement-canary
Più recenti
Rilevamento dello scanner
scannerdetection-stable
Sincronizzato con scannerdetection-canary
scannerdetection-canary
Più recenti
Attacco al protocollo
protocolattack-stable
Sincronizzato con protocolattack-canary
protocolattack-canary
Più recenti
Attacco di injection PHP
php-stable
Sincronizzato con php-canary
php-canary
Più recenti
Attacco di sessione fissa
sessionfixation-stable
Sincronizzato con sessionfixation-canary
sessionfixation-canary
Più recenti
Attacco Java
Not included
Attacco NodeJS
Not included
Inoltre, le seguenti regole cve-canary sono disponibili per tutti i clienti di Google Cloud Armor per rilevare e bloccare facoltativamente le seguenti vulnerabilità:
Vulnerabilità di esecuzione di codice in modalità remota (RCE) CVE-2021-44228 e CVE-2021-45046 di Log4j
Vulnerabilità dei contenuti in formato JSON 942550-sqli
Nome della regola Google Cloud Armor
Tipi di vulnerabilità coperti
cve-canary
Vulnerabilità Log4j
json-sqli-canary
Vulnerabilità di bypass dell'SQL injection basata su JSON
Regole OWASP preconfigurate
Ogni regola WAF preconfigurata ha un livello di sensibilità che corrisponde a un
livello di paranoia
OWASP CRS�.
Un livello di sensibilità più basso indica una firma con un'attendibilità più elevata, che ha meno probabilità di generare un falso positivo. Un livello di sensibilità più alto aumenta la sicurezza, ma anche il rischio di generare un falso positivo.
SQL injection (SQLi)
La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola WAF preconfigurata SQLi.
CRS 3.3
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030301-id942100-sqli
1
Attacco SQL injection rilevato tramite libinjection
owasp-crs-v030301-id942140-sqli
1
Attacco SQL injection: rilevati nomi DB comuni
owasp-crs-v030301-id942160-sqli
1
Rileva test SQLi ciechi utilizzando sleep() o benchmark()
owasp-crs-v030301-id942170-sqli
1
Rileva tentativi di benchmark SQL e di inserimento di sospensione, incluse
query condizionali
owasp-crs-v030301-id942190-sqli
1
Rileva l'esecuzione di codice MSSQL e i tentativi di raccolta di informazioni
owasp-crs-v030301-id942220-sqli
1
Cerca attacchi di overflow di numeri interi
owasp-crs-v030301-id942230-sqli
1
Rileva i tentativi di SQL injection condizionale
owasp-crs-v030301-id942240-sqli
1
Rileva il cambio di charset MySQL e i tentativi di DoS MSSQL
owasp-crs-v030301-id942250-sqli
1
Rileva MATCH AGAINST
owasp-crs-v030301-id942270-sqli
1
Cerca l'SQL injection di base; stringa di attacco comune per MySQL
owasp-crs-v030301-id942280-sqli
1
Rileva l'iniezione di pg_sleep di Postgres
owasp-crs-v030301-id942290-sqli
1
Rileva i tentativi di SQL injection di base di MongoDB
owasp-crs-v030301-id942320-sqli
1
Rileva le iniezioni di procedure/funzioni archiviate MySQL e PostgreSQL
owasp-crs-v030301-id942350-sqli
1
Rileva l'inserimento di UDF MySQL e altri tentativi di manipolazione di dati/strutture
owasp-crs-v030301-id942360-sqli
1
Rileva tentativi di SQL injection di base concatenati e SQLLFI
owasp-crs-v030301-id942500-sqli
1
Commento in linea MySQL rilevato
owasp-crs-v030301-id942110-sqli
2
Attacco SQL injection: rilevamento di test di injection comuni
owasp-crs-v030301-id942120-sqli
2
Attacco SQL injection: operatore SQL rilevato
owasp-crs-v030301-id942130-sqli
2
Attacco SQL injection: tautologia SQL rilevata
owasp-crs-v030301-id942150-sqli
2
Attacco di SQL injection
owasp-crs-v030301-id942180-sqli
2
Rileva i tentativi di bypass dell'autenticazione SQL di base 1/3
owasp-crs-v030301-id942200-sqli
2
Rileva iniezioni con commenti/spazi MySQL offuscati e terminazione
con accento grave
owasp-crs-v030301-id942210-sqli
2
Rileva tentativi di SQL injection concatenati 1/2
owasp-crs-v030301-id942260-sqli
2
Rileva i tentativi di bypass dell'autenticazione SQL di base 2/3
owasp-crs-v030301-id942300-sqli
2
Rileva i commenti MySQL
owasp-crs-v030301-id942310-sqli
2
Rileva tentativi di SQL injection concatenati 2/2
owasp-crs-v030301-id942330-sqli
2
Rileva i probing SQL injection classici 1/2
owasp-crs-v030301-id942340-sqli
2
Rileva i tentativi di bypass dell'autenticazione SQL di base 3/3
owasp-crs-v030301-id942361-sqli
2
Rileva l'SQL injection di base in base all'alterazione o all'unione di parole chiave
owasp-crs-v030301-id942370-sqli
2
Rileva i probing SQL injection classici 2/3
owasp-crs-v030301-id942380-sqli
2
Attacco di SQL injection
owasp-crs-v030301-id942390-sqli
2
Attacco di SQL injection
owasp-crs-v030301-id942400-sqli
2
Attacco di SQL injection
owasp-crs-v030301-id942410-sqli
2
Attacco di SQL injection
owasp-crs-v030301-id942470-sqli
2
Attacco di SQL injection
owasp-crs-v030301-id942480-sqli
2
Attacco di SQL injection
owasp-crs-v030301-id942430-sqli
2
Rilevamento anomalie caratteri SQL con limitazioni (args): numero di caratteri speciali
superato (12)
owasp-crs-v030301-id942440-sqli
2
Sequenza di commenti SQL rilevata
owasp-crs-v030301-id942450-sqli
2
Codifica esadecimale SQL identificata
owasp-crs-v030301-id942510-sqli
2
Tentativo di bypass di SQLi rilevato tramite apici o backtick
owasp-crs-v030301-id942251-sqli
3
Rileva le iniezioni HAVING
owasp-crs-v030301-id942490-sqli
3
Rileva i probing di SQL injection classici 3/3
owasp-crs-v030301-id942420-sqli
3
Rilevamento anomalie dei caratteri SQL con limitazioni (cookie): numero di caratteri speciali superato (8)
owasp-crs-v030301-id942431-sqli
3
Restricted SQL Character Anomaly Detection (args): # of special
characters exceeded (6)
owasp-crs-v030301-id942460-sqli
3
Avviso di rilevamento di anomalie nei metacaratteri - Caratteri non di parole ripetitivi
owasp-crs-v030301-id942101-sqli
3
Attacco SQL injection rilevato tramite libinjection
owasp-crs-v030301-id942511-sqli
3
Tentativo di bypass di SQLi tramite apici rilevato
owasp-crs-v030301-id942421-sqli
4
Rilevamento anomalie dei caratteri SQL con limitazioni (cookie): numero di caratteri speciali
superato (3)
owasp-crs-v030301-id942432-sqli
4
Rilevamento di anomalie dei caratteri SQL con limitazioni (args): numero di caratteri speciali superato (2)
CRS 3.0
ID firma (ID regola)
Livello di sensibilità
Descrizione
Not included
1
Attacco SQL injection rilevato tramite libinjection
owasp-crs-v030001-id942140-sqli
1
Attacco SQL injection: rilevati nomi DB comuni
owasp-crs-v030001-id942160-sqli
1
Rileva test SQLi ciechi utilizzando sleep() o benchmark()
owasp-crs-v030001-id942170-sqli
1
Rileva tentativi di benchmark SQL e di inserimento di sospensione, incluse
query condizionali
owasp-crs-v030001-id942190-sqli
1
Rileva l'esecuzione di codice MSSQL e i tentativi di raccolta di informazioni
owasp-crs-v030001-id942220-sqli
1
Cerca attacchi di overflow di numeri interi
owasp-crs-v030001-id942230-sqli
1
Rileva i tentativi di SQL injection condizionale
owasp-crs-v030001-id942240-sqli
1
Rileva il cambio di charset MySQL e i tentativi di DoS MSSQL
owasp-crs-v030001-id942250-sqli
1
Rileva MATCH AGAINST
owasp-crs-v030001-id942270-sqli
1
Cerca l'SQL injection di base; stringa di attacco comune per MySQL
owasp-crs-v030001-id942280-sqli
1
Rileva l'iniezione di pg_sleep di Postgres
owasp-crs-v030001-id942290-sqli
1
Rileva i tentativi di SQL injection di base di MongoDB
owasp-crs-v030001-id942320-sqli
1
Rileva le iniezioni di procedure/funzioni archiviate MySQL e PostgreSQL
owasp-crs-v030001-id942350-sqli
1
Rileva l'inserimento di UDF MySQL e altri tentativi di manipolazione di dati/strutture
owasp-crs-v030001-id942360-sqli
1
Rileva tentativi di SQL injection di base concatenati e SQLLFI
Not included
1
Commento in linea MySQL rilevato
owasp-crs-v030001-id942110-sqli
2
Attacco SQL injection: rilevamento di test di injection comuni
owasp-crs-v030001-id942120-sqli
2
Attacco SQL injection: operatore SQL rilevato
Not included
2
Attacco SQL injection: tautologia SQL rilevata
owasp-crs-v030001-id942150-sqli
2
Attacco di SQL injection
owasp-crs-v030001-id942180-sqli
2
Rileva i tentativi di bypass dell'autenticazione SQL di base 1/3
owasp-crs-v030001-id942200-sqli
2
Rileva iniezioni con commenti/spazi MySQL offuscati e terminazione
con accento grave
owasp-crs-v030001-id942210-sqli
2
Rileva tentativi di SQL injection concatenati 1/2
owasp-crs-v030001-id942260-sqli
2
Rileva i tentativi di bypass dell'autenticazione SQL di base 2/3
owasp-crs-v030001-id942300-sqli
2
Rileva i commenti MySQL
owasp-crs-v030001-id942310-sqli
2
Rileva tentativi di SQL injection concatenati 2/2
owasp-crs-v030001-id942330-sqli
2
Rileva i probing SQL injection classici 1/2
owasp-crs-v030001-id942340-sqli
2
Rileva i tentativi di bypass dell'autenticazione SQL di base 3/3
Not included
2
Rileva l'SQL injection di base in base all'alterazione o all'unione di parole chiave
Not included
2
Rileva i probing SQL injection classici 2/3
owasp-crs-v030001-id942380-sqli
2
Attacco di SQL injection
owasp-crs-v030001-id942390-sqli
2
Attacco di SQL injection
owasp-crs-v030001-id942400-sqli
2
Attacco di SQL injection
owasp-crs-v030001-id942410-sqli
2
Attacco di SQL injection
Not included
2
Attacco di SQL injection
Not included
2
Attacco di SQL injection
owasp-crs-v030001-id942430-sqli
2
Rilevamento anomalie caratteri SQL con limitazioni (args): numero di caratteri speciali
superato (12)
owasp-crs-v030001-id942440-sqli
2
Sequenza di commenti SQL rilevata
owasp-crs-v030001-id942450-sqli
2
Codifica esadecimale SQL identificata
Not included
2
Tentativo di bypass di SQLi rilevato tramite apici o backtick
owasp-crs-v030001-id942251-sqli
3
Rileva le iniezioni HAVING
Not included
2
Rileva i probing di SQL injection classici 3/3
owasp-crs-v030001-id942420-sqli
3
Rilevamento anomalie dei caratteri SQL con limitazioni (cookie): numero di caratteri speciali superato (8)
owasp-crs-v030001-id942431-sqli
3
Restricted SQL Character Anomaly Detection (args): # of special
characters exceeded (6)
owasp-crs-v030001-id942460-sqli
3
Avviso di rilevamento di anomalie nei metacaratteri - Caratteri non di parole ripetitivi
Not included
3
Attacco SQL injection rilevato tramite libinjection
Not included
3
Tentativo di bypass di SQLi tramite apici rilevato
owasp-crs-v030001-id942421-sqli
4
Rilevamento anomalie dei caratteri SQL con limitazioni (cookie): numero di caratteri speciali
superato (3)
owasp-crs-v030001-id942432-sqli
4
Rilevamento di anomalie dei caratteri SQL con limitazioni (args): numero di caratteri speciali superato (2)
Puoi configurare una regola a un determinato livello di sensibilità utilizzando
evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per
impostazione predefinita, senza configurare la sensibilità del set di regole, Google Cloud Armor
valuta tutte le firme.
Filtro XSS - Categoria 5: attributi HTML non consentiti
owasp-crs-v030001-id941320-xss
2
Possibile attacco XSS rilevato - Gestore tag HTML
owasp-crs-v030001-id941330-xss
2
IE XSS Filters - Attack Detected
owasp-crs-v030001-id941340-xss
2
IE XSS Filters - Attack Detected
Not included
2
Rilevata l'iniezione di modelli lato client AngularJS
Puoi configurare una regola a un determinato livello di sensibilità
utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per
impostazione predefinita, senza configurare la sensibilità del set di regole, Google Cloud Armor
valuta tutte le firme.
La tabella seguente fornisce l'ID firma, il livello di sensibilità e la
descrizione di ogni firma supportata nella regola WAF preconfigurata LFI.
CRS 3.3
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030301-id930100-lfi
1
Attacco path traversal (/../)
owasp-crs-v030301-id930110-lfi
1
Attacco path traversal (/../)
owasp-crs-v030301-id930120-lfi
1
Tentativo di accesso ai file del sistema operativo
owasp-crs-v030301-id930130-lfi
1
Tentativo di accesso limitato al file
CRS 3.0
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030001-id930100-lfi
1
Attacco path traversal (/../)
owasp-crs-v030001-id930110-lfi
1
Attacco path traversal (/../)
owasp-crs-v030001-id930120-lfi
1
Tentativo di accesso ai file del sistema operativo
owasp-crs-v030001-id930130-lfi
1
Tentativo di accesso limitato al file
Puoi configurare una regola a un determinato livello di sensibilità
utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Tutte
le firme per LFI sono al livello di sensibilità 1. La seguente configurazione
funziona per tutti i livelli di sensibilità:
La tabella seguente fornisce l'ID firma, il livello di sensibilità e la
descrizione di ogni firma supportata nella regola WAF preconfigurata RCE.
CRS 3.3
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030301-id932100-rce
1
Iniezione di comandi UNIX
owasp-crs-v030301-id932105-rce
1
Iniezione di comandi UNIX
owasp-crs-v030301-id932110-rce
1
Iniezione di comandi Windows
owasp-crs-v030301-id932115-rce
1
Iniezione di comandi Windows
owasp-crs-v030301-id932120-rce
1
Comando Windows PowerShell trovato
owasp-crs-v030301-id932130-rce
1
Espressione della shell Unix trovata
owasp-crs-v030301-id932140-rce
1
Trovato comando FOR/IF di Windows
owasp-crs-v030301-id932150-rce
1
Esecuzione diretta di comandi UNIX
owasp-crs-v030301-id932160-rce
1
Codice shell UNIX trovato
owasp-crs-v030301-id932170-rce
1
Shellshock (CVE-2014-6271)
owasp-crs-v030301-id932171-rce
1
Shellshock (CVE-2014-6271)
owasp-crs-v030301-id932180-rce
1
Tentativo di caricamento di file limitato
owasp-crs-v030301-id932200-rce
2
Tecnica di bypass RCE
owasp-crs-v030301-id932106-rce
3
Esecuzione di comando remoto: inserimento di comandi Unix
owasp-crs-v030301-id932190-rce
3
Esecuzione di comando remoto: tentativo di bypass della tecnica con caratteri jolly
CRS 3.0
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030001-id932100-rce
1
Iniezione di comandi UNIX
owasp-crs-v030001-id932105-rce
1
Iniezione di comandi UNIX
owasp-crs-v030001-id932110-rce
1
Iniezione di comandi Windows
owasp-crs-v030001-id932115-rce
1
Iniezione di comandi Windows
owasp-crs-v030001-id932120-rce
1
Comando Windows PowerShell trovato
owasp-crs-v030001-id932130-rce
1
Espressione della shell Unix trovata
owasp-crs-v030001-id932140-rce
1
Trovato comando FOR/IF di Windows
owasp-crs-v030001-id932150-rce
1
Esecuzione diretta di comandi UNIX
owasp-crs-v030001-id932160-rce
1
Codice shell UNIX trovato
owasp-crs-v030001-id932170-rce
1
Shellshock (CVE-2014-6271)
owasp-crs-v030001-id932171-rce
1
Shellshock (CVE-2014-6271)
Not included
1
Tentativo di caricamento di file limitato
Not included
2
Tecnica di bypass RCE
Not included
3
Esecuzione di comando remoto: inserimento di comandi Unix
Not included
3
Esecuzione di comando remoto: tentativo di bypass della tecnica con caratteri jolly
Puoi configurare una regola a un determinato livello di sensibilità
utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Tutte
le firme per l'esecuzione di codice remoto sono al livello di sensibilità 1. La seguente configurazione funziona
per tutti i livelli di sensibilità:
La tabella seguente fornisce l'ID firma, il livello di sensibilità e la
descrizione di ogni firma supportata nella regola WAF preconfigurata RFI.
CRS 3.3
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030301-id931100-rfi
1
Parametro URL che utilizza l'indirizzo IP
owasp-crs-v030301-id931110-rfi
1
Nome del parametro vulnerabile RFI comune utilizzato con il payload dell'URL
owasp-crs-v030301-id931120-rfi
1
Payload dell'URL utilizzato con il carattere punto interrogativo finale (?)
owasp-crs-v030301-id931130-rfi
2
Riferimento/link esterno al dominio
CRS 3.0
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030001-id931100-rfi
1
Parametro URL che utilizza l'indirizzo IP
owasp-crs-v030001-id931110-rfi
1
Nome del parametro vulnerabile RFI comune utilizzato con il payload dell'URL
owasp-crs-v030001-id931120-rfi
1
Payload dell'URL utilizzato con il carattere punto interrogativo finale (?)
owasp-crs-v030001-id931130-rfi
2
Riferimento/link esterno al dominio
Puoi configurare una regola a un determinato livello di sensibilità
utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per
impostazione predefinita, senza configurare la sensibilità del set di regole, Google Cloud Armor
valuta tutte le firme.
La tabella seguente fornisce l'ID firma, il livello di sensibilità e la
descrizione di ogni firma supportata nella regola preconfigurata di applicazione del metodo.
CRS 3.3
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030301-id911100-methodenforcement
1
Il metodo non è consentito dai criteri
CRS 3.0
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030001-id911100-methodenforcement
1
Il metodo non è consentito dai criteri
Puoi configurare una regola a un determinato livello di sensibilità
utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per
impostazione predefinita, senza configurare la sensibilità del set di regole, Google Cloud Armor
valuta tutte le firme.
La tabella seguente fornisce l'ID firma, il livello di sensibilità e la
descrizione di ogni firma supportata nella regola preconfigurata di rilevamento
dello scanner.
CRS 3.3
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030301-id913100-scannerdetection
1
User-Agent associato a Security Scanner trovato
owasp-crs-v030301-id913110-scannerdetection
1
Intestazione della richiesta trovata associata allo scanner di sicurezza
owasp-crs-v030301-id913120-scannerdetection
1
Trovato nome file/argomento della richiesta associato allo scanner di sicurezza
owasp-crs-v030301-id913101-scannerdetection
2
User-Agent trovato associato a scripting/client HTTP generico
owasp-crs-v030301-id913102-scannerdetection
2
User-agent trovato associato a crawler/bot web
CRS 3.0
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030001-id913100-scannerdetection
1
User-Agent associato a Security Scanner trovato
owasp-crs-v030001-id913110-scannerdetection
1
Intestazione della richiesta trovata associata allo scanner di sicurezza
owasp-crs-v030001-id913120-scannerdetection
1
Trovato nome file/argomento della richiesta associato allo scanner di sicurezza
owasp-crs-v030001-id913101-scannerdetection
2
User-Agent trovato associato a scripting/client HTTP generico
owasp-crs-v030001-id913102-scannerdetection
2
User-agent trovato associato a crawler/bot web
Puoi configurare una regola a un determinato livello di sensibilità
utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per
impostazione predefinita, senza configurare la sensibilità del set di regole, Google Cloud Armor
valuta tutte le firme.
La tabella seguente fornisce l'ID firma, il livello di sensibilità e la
descrizione di ogni firma supportata nella regola preconfigurata di attacco al protocollo.
CRS 3.3
ID firma (ID regola)
Livello di sensibilità
Descrizione
Not included
1
Attacco di contrabbando di richieste HTTP
owasp-crs-v030301-id921110-protocolattack
1
Attacco di contrabbando di richieste HTTP
owasp-crs-v030301-id921120-protocolattack
1
Attacco di suddivisione della risposta HTTP
owasp-crs-v030301-id921130-protocolattack
1
Attacco di suddivisione della risposta HTTP
owasp-crs-v030301-id921140-protocolattack
1
Attacco di inserimento di intestazioni HTTP tramite intestazioni
owasp-crs-v030301-id921150-protocolattack
1
Attacco di inserimento di intestazioni HTTP tramite payload (rilevato CR/LF)
owasp-crs-v030301-id921160-protocolattack
1
Attacco di inserimento di intestazioni HTTP tramite payload (rilevamento di CR/LF e nome dell'intestazione)
owasp-crs-v030301-id921190-protocolattack
1
Suddivisione HTTP (rilevato CR/LF nel nome file della richiesta)
owasp-crs-v030301-id921200-protocolattack
1
Attacco di injection LDAP
owasp-crs-v030301-id921151-protocolattack
2
Attacco di inserimento di intestazioni HTTP tramite payload (rilevato CR/LF)
owasp-crs-v030301-id921170-protocolattack
3
HTTP Parameter Pollution
CRS 3.0
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030001-id921100-protocolattack
1
Attacco di contrabbando di richieste HTTP
owasp-crs-v030001-id921110-protocolattack
1
Attacco di contrabbando di richieste HTTP
owasp-crs-v030001-id921120-protocolattack
1
Attacco di suddivisione della risposta HTTP
owasp-crs-v030001-id921130-protocolattack
1
Attacco di suddivisione della risposta HTTP
owasp-crs-v030001-id921140-protocolattack
1
Attacco di inserimento di intestazioni HTTP tramite intestazioni
owasp-crs-v030001-id921150-protocolattack
1
Attacco di inserimento di intestazioni HTTP tramite payload (rilevato CR/LF)
owasp-crs-v030001-id921160-protocolattack
1
Attacco di inserimento di intestazioni HTTP tramite payload (rilevamento di CR/LF e nome dell'intestazione)
Not included
1
Suddivisione HTTP (rilevato CR/LF nel nome file della richiesta)
Not included
1
Attacco di injection LDAP
owasp-crs-v030001-id921151-protocolattack
2
Attacco di inserimento di intestazioni HTTP tramite payload (rilevato CR/LF)
owasp-crs-v030001-id921170-protocolattack
3
HTTP Parameter Pollution
Puoi configurare una regola a un determinato livello di sensibilità
utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per
impostazione predefinita, senza configurare la sensibilità del set di regole, Google Cloud Armor
valuta tutte le firme.
La tabella seguente fornisce l'ID firma, il livello di sensibilità e la
descrizione di ogni firma supportata nella regola WAF preconfigurata di PHP.
CRS 3.3
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030301-id933100-php
1
PHP Injection Attack: PHP Open Tag Found
owasp-crs-v030301-id933110-php
1
Attacco di iniezione PHP: caricamento del file di script PHP trovato
owasp-crs-v030301-id933120-php
1
Attacco di iniezione PHP: direttiva di configurazione trovata
owasp-crs-v030301-id933130-php
1
Attacco di injection PHP: variabili trovate
owasp-crs-v030301-id933140-php
1
PHP Injection Attack: I/O Stream Found
owasp-crs-v030301-id933200-php
1
PHP Injection Attack: Wrapper scheme detected
owasp-crs-v030301-id933150-php
1
Attacco di iniezione PHP: trovato nome di funzione PHP ad alto rischio
owasp-crs-v030301-id933160-php
1
Attacco di iniezione PHP: è stata trovata una chiamata di funzione PHP ad alto rischio
owasp-crs-v030301-id933170-php
1
Attacco di injection PHP: injection di oggetti serializzati
owasp-crs-v030301-id933180-php
1
Attacco di iniezione PHP: chiamata di funzione variabile trovata
owasp-crs-v030301-id933210-php
1
Attacco di iniezione PHP: chiamata di funzione variabile trovata
owasp-crs-v030301-id933151-php
2
Attacco di iniezione PHP: trovato nome di funzione PHP a rischio medio
owasp-crs-v030301-id933131-php
3
Attacco di injection PHP: variabili trovate
owasp-crs-v030301-id933161-php
3
Attacco di iniezione PHP: è stata trovata una chiamata di funzione PHP di basso valore
owasp-crs-v030301-id933111-php
3
Attacco di iniezione PHP: caricamento del file di script PHP trovato
owasp-crs-v030301-id933190-php
3
PHP Injection Attack: PHP Closing Tag Found
CRS 3.0
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030001-id933100-php
1
PHP Injection Attack: PHP Open Tag Found
owasp-crs-v030001-id933110-php
1
Attacco di iniezione PHP: caricamento del file di script PHP trovato
owasp-crs-v030001-id933120-php
1
Attacco di iniezione PHP: direttiva di configurazione trovata
owasp-crs-v030001-id933130-php
1
Attacco di injection PHP: variabili trovate
owasp-crs-v030001-id933140-php
1
PHP Injection Attack: I/O Stream Found
Not included
1
PHP Injection Attack: Wrapper scheme detected
owasp-crs-v030001-id933150-php
1
Attacco di iniezione PHP: trovato nome di funzione PHP ad alto rischio
owasp-crs-v030001-id933160-php
1
Attacco di iniezione PHP: è stata trovata una chiamata di funzione PHP ad alto rischio
owasp-crs-v030001-id933170-php
1
Attacco di injection PHP: injection di oggetti serializzati
owasp-crs-v030001-id933180-php
1
Attacco di iniezione PHP: chiamata di funzione variabile trovata
Not included
1
Attacco di iniezione PHP: chiamata di funzione variabile trovata
owasp-crs-v030001-id933151-php
2
Attacco di iniezione PHP: trovato nome di funzione PHP a rischio medio
owasp-crs-v030001-id933131-php
3
Attacco di injection PHP: variabili trovate
owasp-crs-v030001-id933161-php
3
Attacco di iniezione PHP: è stata trovata una chiamata di funzione PHP di basso valore
owasp-crs-v030001-id933111-php
3
Attacco di iniezione PHP: caricamento del file di script PHP trovato
Not included
3
PHP Injection Attack: PHP Closing Tag Found
Puoi configurare una regola a un determinato livello di sensibilità
utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per
impostazione predefinita, senza configurare la sensibilità del set di regole, Google Cloud Armor
valuta tutte le firme.
La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola preconfigurata di session fixation.
CRS 3.3
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030301-id943100-sessionfixation
1
Possibile attacco di sessione: impostazione dei valori dei cookie in HTML
owasp-crs-v030301-id943110-sessionfixation
1
Possibile attacco di session fixation: nome del parametro SessionID con referer off-domain
owasp-crs-v030301-id943120-sessionfixation
1
Possibile attacco di sessione: nome del parametro SessionID senza referer
CRS 3.0
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030001-id943100-sessionfixation
1
Possibile attacco di sessione: impostazione dei valori dei cookie in HTML
owasp-crs-v030001-id943110-sessionfixation
1
Possibile attacco di session fixation: nome del parametro SessionID con referer off-domain
owasp-crs-v030001-id943120-sessionfixation
1
Possibile attacco di sessione: nome del parametro SessionID senza referer
Puoi configurare una regola a un determinato livello di sensibilità
utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Tutte
le firme per la sessione fissa si trovano al livello di sensibilità 1. La seguente
configurazione funziona per tutti i livelli di sensibilità:
La tabella seguente fornisce l'ID firma, il livello di sensibilità e la
descrizione di ogni firma supportata nella regola preconfigurata
per gli attacchi Java.
CRS 3.3
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030301-id944100-java
1
Esecuzione di comando remoto: rilevata classe Java sospetta
owasp-crs-v030301-id944110-java
1
Esecuzione di comando remoto: generazione di processi Java (CVE-2017-9805)
owasp-crs-v030301-id944120-java
1
Esecuzione di comandi remoti: serializzazione Java (CVE-2015-4852)
owasp-crs-v030301-id944130-java
1
Rilevata classe Java sospetta
owasp-crs-v030301-id944200-java
2
Byte magici rilevati, probabilmente in uso la serializzazione Java
owasp-crs-v030301-id944210-java
2
Byte magici rilevati con codifica Base64, probabilmente in uso la serializzazione Java
owasp-crs-v030301-id944240-java
2
Esecuzione di comandi remoti: serializzazione Java (CVE-2015-4852)
owasp-crs-v030301-id944250-java
2
Esecuzione di comando remoto: rilevato metodo Java sospetto
owasp-crs-v030301-id944300-java
3
Stringa con codifica Base64 corrispondente a una parola chiave sospetta
CRS 3.0
ID firma (ID regola)
Livello di sensibilità
Descrizione
Not included
1
Esecuzione di comando remoto: rilevata classe Java sospetta
Not included
1
Esecuzione di comando remoto: generazione di processi Java (CVE-2017-9805)
Not included
1
Esecuzione di comandi remoti: serializzazione Java (CVE-2015-4852)
Not included
1
Rilevata classe Java sospetta
Not included
2
Byte magici rilevati, probabilmente in uso la serializzazione Java
Not included
2
Byte magici rilevati con codifica Base64, probabilmente in uso la serializzazione Java
Not included
2
Esecuzione di comandi remoti: serializzazione Java (CVE-2015-4852)
Not included
2
Esecuzione di comando remoto: rilevato metodo Java sospetto
Not included
3
Stringa con codifica Base64 corrispondente a una parola chiave sospetta
Puoi configurare una regola a un determinato livello di sensibilità
utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per
impostazione predefinita, senza configurare la sensibilità del set di regole, Google Cloud Armor
valuta tutte le firme.
La tabella seguente fornisce l'ID firma, il livello di sensibilità e la
descrizione di ogni firma supportata nella regola preconfigurata
per gli attacchi NodeJS.
Le seguenti firme di regole WAF preconfigurate sono incluse solo in CRS
3.3.
CRS 3.3
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030301-id934100-nodejs
1
Attacco di iniezione Node.js
CRS 3.0
ID firma (ID regola)
Livello di sensibilità
Descrizione
Not included
1
Attacco di iniezione Node.js
Puoi configurare una regola a un determinato livello di sensibilità
utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Tutte
le firme per l'attacco NodeJS sono al livello di sensibilità 1. La seguente
configurazione funziona per altri livelli di sensibilità:
La tabella seguente fornisce l'ID firma, il livello di sensibilità e la
descrizione di ogni firma supportata nella regola preconfigurata
CVE Log4j RCE.
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-v030001-id044228-cve
1
Regola di base per rilevare tentativi di exploit di CVE-2021-44228
e CVE-2021-45046
owasp-crs-v030001-id144228-cve
1
Miglioramenti forniti da Google per coprire più tentativi di bypass e offuscamento
owasp-crs-v030001-id244228-cve
3
Maggiore sensibilità del rilevamento per intercettare un numero ancora maggiore di tentativi di bypass e
offuscamento, con un aumento nominale del rischio di rilevamento di falsi positivi
owasp-crs-v030001-id344228-cve
3
Maggiore sensibilità del rilevamento per intercettare un numero ancora maggiore di tentativi di bypass e
offuscamento mediante la codifica Base64, con un aumento nominale del rischio di rilevamento di falsi positivi
Puoi configurare una regola a un determinato livello di sensibilità
utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per
impostazione predefinita, senza configurare la sensibilità del set di regole, Google Cloud Armor
valuta tutte le firme.
La seguente tabella fornisce l'ID firma, il livello di sensibilità e la
descrizione della firma supportata
942550-sqli,
che copre la vulnerabilità in cui gli autori di attacchi dannosi possono
bypassare WAF aggiungendo la sintassi JSON ai payload di SQL injection.
ID firma (ID regola)
Livello di sensibilità
Descrizione
owasp-crs-id942550-sqli
2
Rileva tutti i vettori SQLi basati su JSON, incluse le firme SQLi
trovate nell'URL
Utilizza la seguente espressione per eseguire il deployment della firma:
Ti consigliamo di attivare anche sqli-v33-stable al livello di sensibilità 2 per
risolvere completamente i bypass dell'SQL injection basati su JSON.
Limitazioni
Le regole WAF preconfigurate di Google Cloud Armor presentano le seguenti limitazioni:
In genere, la propagazione delle modifiche alle regole WAF richiede diversi minuti.
Tra i tipi di richieste HTTP con un corpo della richiesta, Google Cloud Armor
elabora solo le richieste POST. Google Cloud Armor valuta le regole preconfigurate in base ai primi 8 KB del contenuto del corpo di POST. Per ulteriori informazioni, vedi
Limitazione dell'ispezione della carrozzeria.POST
Google Cloud Armor può analizzare e applicare regole WAF preconfigurate ai contenuti formattati in JSON (incluse le richieste GraphQL su HTTP formattate correttamente) quando l'analisi JSON è abilitata con un valore di intestazione Content-Type corrispondente. Per ulteriori
informazioni, consulta la sezione
Analisi JSON.
Quando a una regola WAF preconfigurata è associata un'esclusione di campi della richiesta, non puoi
utilizzare l'azione allow. Le richieste corrispondenti all'eccezione vengono
consentite automaticamente.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-07-14 UTC."],[[["Google Cloud Armor offers preconfigured WAF rules derived from OWASP CRS 3.0 and 3.3.2, allowing the evaluation of numerous distinct traffic signatures using named rules rather than manual definition."],["These preconfigured WAF rules can be tuned to adjust their sensitivity levels, ranging from 1 to 4, where lower sensitivity indicates higher confidence and less false positives, while higher sensitivity increases security but with a higher risk of false positives."],["Google Cloud Armor rules cover a range of attack types such as SQL injection, cross-site scripting, local and remote file inclusion, remote code execution, method enforcement, scanner detection, protocol attacks, PHP injection, session fixation, Java and NodeJS attacks."],["The service offers `cve-canary` rules to specifically detect vulnerabilities like Log4j RCE (`CVE-2021-44228` and `CVE-2021-45046`) and `942550-sqli` to detect JSON-formatted content SQLi vulnerabilities."],["Google Cloud Armor preconfigured WAF rules have some limitations such as only processing `POST` request types and only inspecting the first 8KB of `POST` body content."]]],[]]
