Google Cloud Armor 預先設定的 WAF 規則是複雜的網頁應用程式防火牆 (WAF) 規則,包含依開放原始碼業界標準編譯的數十個簽名 。每個簽章都對應規則集中的攻擊偵測規則。Google 提供這些規則,讓 Google Cloud Armor 透過參照方便命名的規則,評估數十種不同的流量特徵,而不必手動定義每項特徵。
您可以調整 Google Cloud Armor 預先設定的 WAF 規則,使其最符合需求。如要進一步瞭解如何調整規則,請參閱「調整 Google Cloud Armor 預先設定的 WAF 規則 」。
下表完整列出可供 Google Cloud Armor 安全性政策使用的預先設定網路應用程式防火牆規則。規則來源為 OWASP 核心規則集 (CRS) 3.3.2 。建議您使用 3.3 版,以提高敏感度,並擴大受保護的攻擊類型。我們正在開發 CRS 3.0 的支援功能。
CRS 3.3
Google Cloud Armor 規則名稱
OWASP 規則名稱
目前狀態
SQL 插入
sqli-v33-stable與「sqli-v33-canary」同步
sqli-v33-canary最新
跨網站指令碼攻擊
xss-v33-stable與「xss-v33-canary」同步
xss-v33-canary最新
本機檔案包含
lfi-v33-stable與「lfi-v33-canary」同步
lfi-v33-canary最新
遠端檔案內含項目
rfi-v33-stable與「rfi-v33-canary」同步
rfi-v33-canary最新
遠端程式碼執行
rce-v33-stable與「rce-v33-canary」同步
rce-v33-canary最新
方法強制執行
methodenforcement-v33-stable與「methodenforcement-v33-canary」同步
methodenforcement-v33-canary最新
掃描器偵測
scannerdetection-v33-stable與「scannerdetection-v33-canary」同步
scannerdetection-v33-canary最新
通訊協定攻擊
protocolattack-v33-stable與「protocolattack-v33-canary」同步
protocolattack-v33-canary最新
PHP 注入式攻擊
php-v33-stable與「php-v33-canary」同步
php-v33-canary最新
工作階段固定攻擊
sessionfixation-v33-stable與「sessionfixation-v33-canary」同步
sessionfixation-v33-canary最新
Java 攻擊
java-v33-stable與「java-v33-canary」同步
java-v33-canary最新
NodeJS 攻擊
nodejs-v33-stable與「nodejs-v33-canary」同步
nodejs-v33-canary最新
CRS 3.0
Google Cloud Armor 規則名稱
OWASP 規則名稱
目前狀態
SQL 插入
sqli-stable與「sqli-canary」同步
sqli-canary最新
跨網站指令碼攻擊
xss-stable與「xss-canary」同步
xss-canary最新
本機檔案包含
lfi-stable與「lfi-canary」同步
lfi-canary最新
遠端檔案內含項目
rfi-stable與「rfi-canary」同步
rfi-canary最新
遠端程式碼執行
rce-stable與「rce-canary」同步
rce-canary最新
方法強制執行
methodenforcement-stable與「methodenforcement-canary」同步
methodenforcement-canary最新
掃描器偵測
scannerdetection-stable與「scannerdetection-canary」同步
scannerdetection-canary最新
通訊協定攻擊
protocolattack-stable與「protocolattack-canary」同步
protocolattack-canary最新
PHP 注入式攻擊
php-stable與「php-canary」同步
php-canary最新
工作階段固定攻擊
sessionfixation-stable與「sessionfixation-canary」同步
sessionfixation-canary最新
Java 攻擊
Not included
NodeJS 攻擊
Not included
此外,所有 Google Cloud Armor 客戶皆可使用下列 cve-canary 規則,偵測及選擇性封鎖下列安全漏洞:
CVE-2021-44228 和 CVE-2021-45046 Log4j RCE 安全漏洞942550-sqli JSON 格式內容安全漏洞
Google Cloud Armor 規則名稱
涵蓋的安全漏洞類型
cve-canaryLog4j 安全漏洞
json-sqli-canaryJSON 格式的 SQL 注入繞過安全漏洞
每個預先設定的 WAF 規則都有對應 OWASP CRS 偏執等級 的敏感度等級。靈敏度越低,代表簽章可信度越高,越不可能產生誤判。提高敏感度可加強安全性,但也會增加產生偽陽性的風險。
SQL 注入 (SQLi)
下表提供 SQLi 預先設定的 WAF 規則中,每個支援簽章的簽章 ID、敏感度層級和說明。
CRS 3.3
簽章 ID (規則 ID)
敏感度等級
說明
owasp-crs-v030301-id942100-sqli1
透過 libinjection 偵測到 SQL 注入攻擊
owasp-crs-v030301-id942140-sqli1
SQL 注入攻擊:偵測到常見的資料庫名稱
owasp-crs-v030301-id942160-sqli1
使用 sleep() 或 benchmark() 偵測盲目 SQLi 測試
owasp-crs-v030301-id942170-sqli1
偵測 SQL 基準和睡眠注入攻擊,包括條件式查詢
owasp-crs-v030301-id942190-sqli1
偵測 MSSQL 程式碼執行和資訊收集嘗試
owasp-crs-v030301-id942220-sqli1
尋找整數溢位攻擊
owasp-crs-v030301-id942230-sqli1
偵測條件式 SQL 注入攻擊
owasp-crs-v030301-id942240-sqli1
偵測 MySQL 字元集切換和 MSSQL DoS 攻擊
owasp-crs-v030301-id942250-sqli1
偵測到「MATCH AGAINST」
owasp-crs-v030301-id942270-sqli1
尋找基本 SQL 注入;MySQL 的常見攻擊字串
owasp-crs-v030301-id942280-sqli1
偵測 Postgres pg_sleep 插入
owasp-crs-v030301-id942290-sqli1
找出基本的 MongoDB SQL 注入攻擊嘗試
owasp-crs-v030301-id942320-sqli1
偵測 MySQL 和 PostgreSQL 預存程序/函式注入
owasp-crs-v030301-id942350-sqli1
偵測 MySQL UDF 注入和其他資料/結構操控嘗試
owasp-crs-v030301-id942360-sqli1
偵測串連的基本 SQL 注入和 SQLLFI 嘗試
owasp-crs-v030301-id942500-sqli1
偵測到 MySQL 行內註解
owasp-crs-v030301-id942110-sqli2
SQL 注入攻擊:偵測到常見的注入測試
owasp-crs-v030301-id942120-sqli2
SQL 注入攻擊:偵測到 SQL 運算子
owasp-crs-v030301-id942130-sqli2
SQL 注入攻擊:偵測到 SQL 恆真式
owasp-crs-v030301-id942150-sqli2
SQL 注入攻擊
owasp-crs-v030301-id942180-sqli2
偵測基本 SQL 驗證繞過嘗試 1/3
owasp-crs-v030301-id942200-sqli2
偵測 MySQL 註解/空格混淆式注入和反引號終止
owasp-crs-v030301-id942210-sqli2
偵測到鏈結式 SQL 注入攻擊 (1/2)
owasp-crs-v030301-id942260-sqli2
偵測基本 SQL 驗證繞過嘗試 2/3
owasp-crs-v030301-id942300-sqli2
偵測 MySQL 註解
owasp-crs-v030301-id942310-sqli2
偵測到串連式 SQL 注入攻擊 (2/2)
owasp-crs-v030301-id942330-sqli2
偵測經典的 SQL 注入探查 1/2
owasp-crs-v030301-id942340-sqli2
偵測基本 SQL 驗證繞過嘗試 3/3
owasp-crs-v030301-id942361-sqli2
根據關鍵字變更或聯集偵測基本 SQL 注入
owasp-crs-v030301-id942370-sqli2
偵測經典 SQL 注入探查 2/3
owasp-crs-v030301-id942380-sqli2
SQL 注入攻擊
owasp-crs-v030301-id942390-sqli2
SQL 注入攻擊
owasp-crs-v030301-id942400-sqli2
SQL 注入攻擊
owasp-crs-v030301-id942410-sqli2
SQL 注入攻擊
owasp-crs-v030301-id942470-sqli2
SQL 注入攻擊
owasp-crs-v030301-id942480-sqli2
SQL 注入攻擊
owasp-crs-v030301-id942430-sqli2
Restricted SQL Character Anomaly Detection (args): # of special
characters exceeded (12)
owasp-crs-v030301-id942440-sqli2
偵測到 SQL 註解序列
owasp-crs-v030301-id942450-sqli2
偵測到 SQL 十六進位編碼
owasp-crs-v030301-id942510-sqli2
偵測到嘗試以單引號或反引號規避 SQLi 的行為
owasp-crs-v030301-id942251-sqli3
偵測 HAVING 插入
owasp-crs-v030301-id942490-sqli3
偵測到經典的 SQL 注入探查 3/3
owasp-crs-v030301-id942420-sqli3
受限的 SQL 字元異常偵測 (Cookie):特殊字元數量超過上限 (8 個)
owasp-crs-v030301-id942431-sqli3
Restricted SQL Character Anomaly Detection (args):特殊字元數量超過上限 (6 個)
owasp-crs-v030301-id942460-sqli3
Meta-Character Anomaly Detection Alert - Repetitive Non-Word
Characters
owasp-crs-v030301-id942101-sqli3
透過 libinjection 偵測到 SQL 注入攻擊
owasp-crs-v030301-id942511-sqli3
偵測到嘗試使用單引號規避 SQLi 的活動
owasp-crs-v030301-id942421-sqli4
Restricted SQL Character Anomaly Detection (cookies): # of special
characters exceeded (3)
owasp-crs-v030301-id942432-sqli4
Restricted SQL Character Anomaly Detection (args): # of special
characters exceeded (2)
CRS 3.0
簽章 ID (規則 ID)
敏感度等級
說明
Not included1
透過 libinjection 偵測到 SQL 注入攻擊
owasp-crs-v030001-id942140-sqli1
SQL 注入攻擊:偵測到常見的資料庫名稱
owasp-crs-v030001-id942160-sqli1
使用 sleep() 或 benchmark() 偵測盲目 SQLi 測試
owasp-crs-v030001-id942170-sqli1
偵測 SQL 基準和睡眠注入攻擊,包括條件式查詢
owasp-crs-v030001-id942190-sqli1
偵測 MSSQL 程式碼執行和資訊收集嘗試
owasp-crs-v030001-id942220-sqli1
尋找整數溢位攻擊
owasp-crs-v030001-id942230-sqli1
偵測條件式 SQL 注入攻擊
owasp-crs-v030001-id942240-sqli1
偵測 MySQL 字元集切換和 MSSQL DoS 攻擊
owasp-crs-v030001-id942250-sqli1
偵測到「MATCH AGAINST」
owasp-crs-v030001-id942270-sqli1
尋找基本 SQL 注入;MySQL 的常見攻擊字串
owasp-crs-v030001-id942280-sqli1
偵測 Postgres pg_sleep 插入
owasp-crs-v030001-id942290-sqli1
找出基本的 MongoDB SQL 注入攻擊嘗試
owasp-crs-v030001-id942320-sqli1
偵測 MySQL 和 PostgreSQL 預存程序/函式注入
owasp-crs-v030001-id942350-sqli1
偵測 MySQL UDF 注入和其他資料/結構操控嘗試
owasp-crs-v030001-id942360-sqli1
偵測串連的基本 SQL 注入和 SQLLFI 嘗試
Not included1
偵測到 MySQL 行內註解
owasp-crs-v030001-id942110-sqli2
SQL 注入攻擊:偵測到常見的注入測試
owasp-crs-v030001-id942120-sqli2
SQL 注入攻擊:偵測到 SQL 運算子
Not included2
SQL 注入攻擊:偵測到 SQL 恆真式
owasp-crs-v030001-id942150-sqli2
SQL 注入攻擊
owasp-crs-v030001-id942180-sqli2
偵測基本 SQL 驗證繞過嘗試 1/3
owasp-crs-v030001-id942200-sqli2
偵測 MySQL 註解/空格混淆式注入和反引號終止
owasp-crs-v030001-id942210-sqli2
偵測到鏈結式 SQL 注入攻擊 (1/2)
owasp-crs-v030001-id942260-sqli2
偵測基本 SQL 驗證繞過嘗試 2/3
owasp-crs-v030001-id942300-sqli2
偵測 MySQL 註解
owasp-crs-v030001-id942310-sqli2
偵測到串連式 SQL 注入攻擊 (2/2)
owasp-crs-v030001-id942330-sqli2
偵測經典的 SQL 注入探查 1/2
owasp-crs-v030001-id942340-sqli2
偵測基本 SQL 驗證繞過嘗試 3/3
Not included2
根據關鍵字變更或聯集偵測基本 SQL 注入
Not included2
偵測經典 SQL 注入探查 2/3
owasp-crs-v030001-id942380-sqli2
SQL 注入攻擊
owasp-crs-v030001-id942390-sqli2
SQL 注入攻擊
owasp-crs-v030001-id942400-sqli2
SQL 注入攻擊
owasp-crs-v030001-id942410-sqli2
SQL 注入攻擊
Not included2
SQL 注入攻擊
Not included2
SQL 注入攻擊
owasp-crs-v030001-id942430-sqli2
Restricted SQL Character Anomaly Detection (args): # of special
characters exceeded (12)
owasp-crs-v030001-id942440-sqli2
偵測到 SQL 註解序列
owasp-crs-v030001-id942450-sqli2
偵測到 SQL 十六進位編碼
Not included2
偵測到嘗試以單引號或反引號規避 SQLi 的行為
owasp-crs-v030001-id942251-sqli3
偵測 HAVING 插入
Not included2
偵測到經典的 SQL 注入探查 3/3
owasp-crs-v030001-id942420-sqli3
受限的 SQL 字元異常偵測 (Cookie):特殊字元數量超過上限 (8 個)
owasp-crs-v030001-id942431-sqli3
Restricted SQL Character Anomaly Detection (args):特殊字元數量超過上限 (6 個)
owasp-crs-v030001-id942460-sqli3
Meta-Character Anomaly Detection Alert - Repetitive Non-Word
Characters
Not included3
透過 libinjection 偵測到 SQL 注入攻擊
Not included3
偵測到嘗試使用單引號規避 SQLi 的活動
owasp-crs-v030001-id942421-sqli4
Restricted SQL Character Anomaly Detection (cookies): # of special
characters exceeded (3)
owasp-crs-v030001-id942432-sqli4
Restricted SQL Character Anomaly Detection (args): # of special
characters exceeded (2)
您可以使用預設的敏感度參數搭配 evaluatePreconfiguredWaf(),在特定敏感度層級設定規則。根據預設,如果未設定規則集敏感度,Google Cloud Armor 會評估所有簽章。
CRS 3.3
敏感度等級
運算式
1
evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 1})
2
evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 2})
3
evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 3})
4
evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 4})
CRS 3.0
敏感度等級
運算式
1
evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 1})
2
evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 2})
3
evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 3})
4
evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 4})
跨網站指令碼攻擊 (XSS)
下表列出 XSS 預先設定的 WAF 規則中,各項支援簽章的簽章 ID、敏感度層級和說明。
CRS 3.3
簽章 ID (規則 ID)
敏感度等級
說明
owasp-crs-v030301-id941100-xss1
透過 libinjection 偵測到 XSS 攻擊
owasp-crs-v030301-id941110-xss1
XSS 篩選器 - 類別 1:指令碼標記向量
owasp-crs-v030301-id941120-xss1
XSS 篩選器 - 類別 2:事件處理常式向量
owasp-crs-v030301-id941130-xss1
XSS 篩選器 - 類別 3:屬性向量
owasp-crs-v030301-id941140-xss1
XSS 篩選器 - 類別 4:JavaScript URI 向量
owasp-crs-v030301-id941160-xss1
NoScript XSS InjectionChecker:HTML 注入
owasp-crs-v030301-id941170-xss1
NoScript XSS InjectionChecker:屬性注入
owasp-crs-v030301-id941180-xss1
節點驗證器黑名單關鍵字
owasp-crs-v030301-id941190-xss1
IE XSS Filters - Attack Detected
owasp-crs-v030301-id941200-xss1
IE XSS Filters - Attack Detected
owasp-crs-v030301-id941210-xss1
IE XSS Filters - Attack Detected
owasp-crs-v030301-id941220-xss1
IE XSS Filters - Attack Detected
owasp-crs-v030301-id941230-xss1
IE XSS Filters - Attack Detected
owasp-crs-v030301-id941240-xss1
IE XSS Filters - Attack Detected
owasp-crs-v030301-id941250-xss1
IE XSS Filters - Attack Detected
owasp-crs-v030301-id941260-xss1
IE XSS Filters - Attack Detected
owasp-crs-v030301-id941270-xss1
IE XSS Filters - Attack Detected
owasp-crs-v030301-id941280-xss1
IE XSS Filters - Attack Detected
owasp-crs-v030301-id941290-xss1
IE XSS Filters - Attack Detected
owasp-crs-v030301-id941300-xss1
IE XSS Filters - Attack Detected
owasp-crs-v030301-id941310-xss1
US-ASCII 編碼格式錯誤 XSS 篩選器 - 偵測到攻擊
owasp-crs-v030301-id941350-xss1
UTF-7 編碼 IE XSS - 偵測到攻擊
owasp-crs-v030301-id941360-xss1
偵測到象形文字混淆
owasp-crs-v030301-id941370-xss1
找到 JavaScript 全域變數
owasp-crs-v030301-id941101-xss2
透過 libinjection 偵測到 XSS 攻擊
owasp-crs-v030301-id941150-xss2
XSS 篩選器 - 類別 5:禁止使用的 HTML 屬性
owasp-crs-v030301-id941320-xss2
偵測到可能的 XSS 攻擊 - HTML 標記處理常式
owasp-crs-v030301-id941330-xss2
IE XSS Filters - Attack Detected
owasp-crs-v030301-id941340-xss2
IE XSS Filters - Attack Detected
owasp-crs-v030301-id941380-xss2
偵測到 AngularJS 用戶端範本注入
CRS 3.0
簽章 ID (規則 ID)
敏感度等級
說明
Not included1
透過 libinjection 偵測到 XSS 攻擊
owasp-crs-v030001-id941110-xss1
XSS 篩選器 - 類別 1:指令碼標記向量
owasp-crs-v030001-id941120-xss1
XSS 篩選器 - 類別 2:事件處理常式向量
owasp-crs-v030001-id941130-xss1
XSS 篩選器 - 類別 3:屬性向量
owasp-crs-v030001-id941140-xss1
XSS 篩選器 - 類別 4:JavaScript URI 向量
owasp-crs-v030001-id941160-xss1
NoScript XSS InjectionChecker:HTML 注入
owasp-crs-v030001-id941170-xss1
NoScript XSS InjectionChecker:屬性注入
owasp-crs-v030001-id941180-xss1
節點驗證器黑名單關鍵字
owasp-crs-v030001-id941190-xss1
IE XSS Filters - Attack Detected
owasp-crs-v030001-id941200-xss1
IE XSS Filters - Attack Detected
owasp-crs-v030001-id941210-xss1
IE XSS Filters - Attack Detected
owasp-crs-v030001-id941220-xss1
IE XSS Filters - Attack Detected
owasp-crs-v030001-id941230-xss1
IE XSS Filters - Attack Detected
owasp-crs-v030001-id941240-xss1
IE XSS Filters - Attack Detected
owasp-crs-v030001-id941250-xss1
IE XSS Filters - Attack Detected
owasp-crs-v030001-id941260-xss1
IE XSS Filters - Attack Detected
owasp-crs-v030001-id941270-xss1
IE XSS Filters - Attack Detected
owasp-crs-v030001-id941280-xss1
IE XSS Filters - Attack Detected
owasp-crs-v030001-id941290-xss1
IE XSS Filters - Attack Detected
owasp-crs-v030001-id941300-xss1
IE XSS Filters - Attack Detected
owasp-crs-v030001-id941310-xss1
US-ASCII 編碼格式錯誤 XSS 篩選器 - 偵測到攻擊
owasp-crs-v030001-id941350-xss1
UTF-7 編碼 IE XSS - 偵測到攻擊
Not included1
偵測到 JSFuck / 象形文字混淆處理
Not included1
找到 JavaScript 全域變數
Not included2
透過 libinjection 偵測到 XSS 攻擊
owasp-crs-v030001-id941150-xss2
XSS 篩選器 - 類別 5:禁止使用的 HTML 屬性
owasp-crs-v030001-id941320-xss2
偵測到可能的 XSS 攻擊 - HTML 標記處理常式
owasp-crs-v030001-id941330-xss2
IE XSS Filters - Attack Detected
owasp-crs-v030001-id941340-xss2
IE XSS Filters - Attack Detected
Not included2
偵測到 AngularJS 用戶端範本注入
您可以透過預設的敏感度參數使用 evaluatePreconfiguredWaf(),在特定敏感度層級設定規則。根據預設,如果未設定規則集敏感度,Google Cloud Armor 會評估所有簽章。
CRS 3.3
敏感度等級
運算式
1
evaluatePreconfiguredWaf('xss-v33-stable', {'sensitivity': 1})
2
evaluatePreconfiguredWaf('xss-v33-stable', {'sensitivity': 2})
CRS 3.0
敏感度等級
運算式
1
evaluatePreconfiguredWaf('xss-stable', {'sensitivity': 1})
本機檔案包含 (LFI)
下表提供 LFI 預先設定 WAF 規則中每個支援簽章的簽章 ID、敏感度層級和說明。
CRS 3.3
簽章 ID (規則 ID)
敏感度等級
說明
owasp-crs-v030301-id930100-lfi1
路徑遍歷攻擊 (/../)
owasp-crs-v030301-id930110-lfi1
路徑遍歷攻擊 (/../)
owasp-crs-v030301-id930120-lfi1
嘗試存取 OS 檔案
owasp-crs-v030301-id930130-lfi1
嘗試存取受限制的檔案
CRS 3.0
簽章 ID (規則 ID)
敏感度等級
說明
owasp-crs-v030001-id930100-lfi1
路徑遍歷攻擊 (/../)
owasp-crs-v030001-id930110-lfi1
路徑遍歷攻擊 (/../)
owasp-crs-v030001-id930120-lfi1
嘗試存取 OS 檔案
owasp-crs-v030001-id930130-lfi1
嘗試存取受限制的檔案
您可以透過預設的敏感度參數使用 evaluatePreconfiguredWaf(),在特定敏感度層級設定規則。LFI 的所有簽章都屬於機密等級 1。下列設定適用於所有機密程度:
CRS 3.3
敏感度等級
運算式
1
evaluatePreconfiguredWaf('lfi-v33-stable', {'sensitivity': 1})
CRS 3.0
敏感度等級
運算式
1
evaluatePreconfiguredWaf('lfi-stable', {'sensitivity': 1})
遠端程式碼執行 (RCE)
下表提供 RCE 預先設定 WAF 規則中,各項支援簽章的簽章 ID、敏感度等級和說明。
CRS 3.3
簽章 ID (規則 ID)
敏感度等級
說明
owasp-crs-v030301-id932100-rce1
UNIX 指令注入
owasp-crs-v030301-id932105-rce1
UNIX 指令注入
owasp-crs-v030301-id932110-rce1
Windows 命令注入
owasp-crs-v030301-id932115-rce1
Windows 命令注入
owasp-crs-v030301-id932120-rce1
找到 Windows PowerShell 命令
owasp-crs-v030301-id932130-rce1
發現 Unix Shell 運算式
owasp-crs-v030301-id932140-rce1
找到 Windows FOR/IF 指令
owasp-crs-v030301-id932150-rce1
直接執行 UNIX 指令
owasp-crs-v030301-id932160-rce1
發現 UNIX Shell 程式碼
owasp-crs-v030301-id932170-rce1
Shellshock (CVE-2014-6271)
owasp-crs-v030301-id932171-rce1
Shellshock (CVE-2014-6271)
owasp-crs-v030301-id932180-rce1
嘗試上傳受限制的檔案
owasp-crs-v030301-id932200-rce2
RCE Bypass Technique
owasp-crs-v030301-id932106-rce3
遠端指令執行:Unix 指令插入
owasp-crs-v030301-id932190-rce3
遠端指令執行:嘗試使用萬用字元規避技術
CRS 3.0
簽章 ID (規則 ID)
敏感度等級
說明
owasp-crs-v030001-id932100-rce1
UNIX 指令注入
owasp-crs-v030001-id932105-rce1
UNIX 指令注入
owasp-crs-v030001-id932110-rce1
Windows 命令注入
owasp-crs-v030001-id932115-rce1
Windows 命令注入
owasp-crs-v030001-id932120-rce1
找到 Windows PowerShell 命令
owasp-crs-v030001-id932130-rce1
發現 Unix Shell 運算式
owasp-crs-v030001-id932140-rce1
找到 Windows FOR/IF 指令
owasp-crs-v030001-id932150-rce1
直接執行 UNIX 指令
owasp-crs-v030001-id932160-rce1
發現 UNIX Shell 程式碼
owasp-crs-v030001-id932170-rce1
Shellshock (CVE-2014-6271)
owasp-crs-v030001-id932171-rce1
Shellshock (CVE-2014-6271)
Not included1
嘗試上傳受限制的檔案
Not included2
RCE Bypass Technique
Not included3
遠端指令執行:Unix 指令插入
Not included3
遠端指令執行:嘗試使用萬用字元規避技術
您可以透過預設的敏感度參數使用 evaluatePreconfiguredWaf(),在特定敏感度層級設定規則。所有 RCE 簽章的敏感度等級皆為 1。下列設定適用於所有機密程度:
CRS 3.3
敏感度等級
運算式
1
evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 1})
2
evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 2})
3
evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 3})
CRS 3.0
敏感度等級
運算式
1
evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 1})
2
evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 2})
3
evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 3})
遠端檔案包含 (RFI)
下表列出 RFI 預先設定的 WAF 規則中,每個支援簽章的簽章 ID、敏感度層級和說明。
CRS 3.3
簽章 ID (規則 ID)
敏感度等級
說明
owasp-crs-v030301-id931100-rfi1
使用 IP 位址的網址參數
owasp-crs-v030301-id931110-rfi1
搭配網址酬載使用的常見 RFI 易受攻擊參數名稱
owasp-crs-v030301-id931120-rfi1
使用尾端問號字元 (?) 的網址酬載
owasp-crs-v030301-id931130-rfi2
網域外參照/連結
CRS 3.0
簽章 ID (規則 ID)
敏感度等級
說明
owasp-crs-v030001-id931100-rfi1
使用 IP 位址的網址參數
owasp-crs-v030001-id931110-rfi1
搭配網址酬載使用的常見 RFI 易受攻擊參數名稱
owasp-crs-v030001-id931120-rfi1
使用尾端問號字元 (?) 的網址酬載
owasp-crs-v030001-id931130-rfi2
網域外參照/連結
您可以透過預設的敏感度參數使用 evaluatePreconfiguredWaf(),在特定敏感度層級設定規則。根據預設,如果未設定規則集敏感度,Google Cloud Armor 會評估所有簽章。
CRS 3.3
敏感度等級
運算式
1
evaluatePreconfiguredWaf('rfi-v33-stable', {'sensitivity': 1})
2
evaluatePreconfiguredWaf('rfi-v33-stable', {'sensitivity': 2})
CRS 3.0
敏感度等級
運算式
1
evaluatePreconfiguredWaf('rfi-stable', {'sensitivity': 1})
2
evaluatePreconfiguredWaf('rfi-stable', {'sensitivity': 2})
方法強制執行
注意: CRS 3.3 只允許 GET、HEAD、POST 和 OPTIONS HTTP 方法。 下表列出方法強制執行預先設定規則中支援的簽章,並提供簽章 ID、敏感程度和說明。
CRS 3.3
簽章 ID (規則 ID)
敏感度等級
說明
owasp-crs-v030301-id911100-methodenforcement1
政策不允許使用此方法
CRS 3.0
簽章 ID (規則 ID)
敏感度等級
說明
owasp-crs-v030001-id911100-methodenforcement1
政策不允許使用此方法
您可以透過預設的敏感度參數使用 evaluatePreconfiguredWaf(),在特定敏感度層級設定規則。根據預設,如果未設定規則集敏感度,Google Cloud Armor 會評估所有簽章。
CRS 3.3
敏感度等級
運算式
1
evaluatePreconfiguredWaf('methodenforcement-v33-stable', {'sensitivity': 1})
CRS 3.0
敏感度等級
運算式
1
evaluatePreconfiguredWaf('methodenforcement-stable', {'sensitivity': 1})
掃描器偵測
下表列出掃描器偵測預先設定規則中支援的簽章,並提供簽章 ID、敏感程度和說明。
CRS 3.3
簽章 ID (規則 ID)
敏感度等級
說明
owasp-crs-v030301-id913100-scannerdetection1
發現與安全掃描器相關聯的 User-Agent
owasp-crs-v030301-id913110-scannerdetection1
找到與安全掃描器相關聯的要求標頭
owasp-crs-v030301-id913120-scannerdetection1
發現與安全掃描器相關聯的要求檔案名稱/引數
owasp-crs-v030301-id913101-scannerdetection2
發現與指令碼/一般 HTTP 用戶端相關聯的使用者代理程式
owasp-crs-v030301-id913102-scannerdetection2
找到與網頁檢索器/機器人相關聯的使用者代理程式
CRS 3.0
簽章 ID (規則 ID)
敏感度等級
說明
owasp-crs-v030001-id913100-scannerdetection1
發現與安全掃描器相關聯的 User-Agent
owasp-crs-v030001-id913110-scannerdetection1
找到與安全掃描器相關聯的要求標頭
owasp-crs-v030001-id913120-scannerdetection1
發現與安全掃描器相關聯的要求檔案名稱/引數
owasp-crs-v030001-id913101-scannerdetection2
發現與指令碼/一般 HTTP 用戶端相關聯的使用者代理程式
owasp-crs-v030001-id913102-scannerdetection2
找到與網頁檢索器/機器人相關聯的使用者代理程式
您可以透過預設的敏感度參數使用 evaluatePreconfiguredWaf(),在特定敏感度層級設定規則。根據預設,如果未設定規則集敏感度,Google Cloud Armor 會評估所有簽章。
CRS 3.3
敏感度等級
運算式
1
evaluatePreconfiguredWaf('scannerdetection-v33-stable', {'sensitivity': 1})
2
evaluatePreconfiguredWaf('scannerdetection-v33-stable', {'sensitivity': 2})
CRS 3.0
敏感度等級
運算式
1
evaluatePreconfiguredWaf('scannerdetection-stable', {'sensitivity': 1})
2
evaluatePreconfiguredWaf('scannerdetection-stable', {'sensitivity': 2})
通訊協定攻擊
下表列出通訊協定攻擊預先設定規則中,每個支援簽章的簽章 ID、敏感程度和說明。
CRS 3.3
簽章 ID (規則 ID)
敏感度等級
說明
Not included1
HTTP 要求走私攻擊
owasp-crs-v030301-id921110-protocolattack1
HTTP 要求走私攻擊
owasp-crs-v030301-id921120-protocolattack1
HTTP 回應分割攻擊
owasp-crs-v030301-id921130-protocolattack1
HTTP 回應分割攻擊
owasp-crs-v030301-id921140-protocolattack1
透過標頭發動 HTTP 標頭插入攻擊
owasp-crs-v030301-id921150-protocolattack1
透過酬載進行 HTTP 標頭注入攻擊 (偵測到 CR/LF)
owasp-crs-v030301-id921160-protocolattack1
透過酬載 (偵測到 CR/LF 和標頭名稱) 進行 HTTP 標頭注入攻擊
owasp-crs-v030301-id921190-protocolattack1
HTTP 分割 (偵測到要求檔案名稱中有 CR/LF)
owasp-crs-v030301-id921200-protocolattack1
LDAP 注入攻擊
owasp-crs-v030301-id921151-protocolattack2
透過酬載進行 HTTP 標頭注入攻擊 (偵測到 CR/LF)
owasp-crs-v030301-id921170-protocolattack3
HTTP 參數汙染
CRS 3.0
簽章 ID (規則 ID)
敏感度等級
說明
owasp-crs-v030001-id921100-protocolattack1
HTTP 要求走私攻擊
owasp-crs-v030001-id921110-protocolattack1
HTTP 要求走私攻擊
owasp-crs-v030001-id921120-protocolattack1
HTTP 回應分割攻擊
owasp-crs-v030001-id921130-protocolattack1
HTTP 回應分割攻擊
owasp-crs-v030001-id921140-protocolattack1
透過標頭發動 HTTP 標頭插入攻擊
owasp-crs-v030001-id921150-protocolattack1
透過酬載進行 HTTP 標頭注入攻擊 (偵測到 CR/LF)
owasp-crs-v030001-id921160-protocolattack1
透過酬載 (偵測到 CR/LF 和標頭名稱) 進行 HTTP 標頭注入攻擊
Not included1
HTTP 分割 (偵測到要求檔案名稱中有 CR/LF)
Not included1
LDAP 注入攻擊
owasp-crs-v030001-id921151-protocolattack2
透過酬載進行 HTTP 標頭注入攻擊 (偵測到 CR/LF)
owasp-crs-v030001-id921170-protocolattack3
HTTP 參數汙染
您可以透過預設的敏感度參數使用 evaluatePreconfiguredWaf(),在特定敏感度層級設定規則。根據預設,如果未設定規則集敏感度,Google Cloud Armor 會評估所有簽章。
CRS 3.3
敏感度等級
運算式
1
evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 1})
2
evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 2})
3
evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 3})
CRS 3.0
敏感度等級
運算式
1
evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 1})
2
evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 2})
3
evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 3})
PHP
下表列出 PHP 預先設定的 WAF 規則中,各項支援簽章的簽章 ID、敏感度層級和說明。
CRS 3.3
簽章 ID (規則 ID)
敏感度等級
說明
owasp-crs-v030301-id933100-php1
PHP 注入攻擊:發現 PHP 開啟標記
owasp-crs-v030301-id933110-php1
PHP 注入攻擊:發現 PHP 指令碼檔案上傳
owasp-crs-v030301-id933120-php1
PHP 注入攻擊:發現設定指令
owasp-crs-v030301-id933130-php1
PHP 注入攻擊:發現變數
owasp-crs-v030301-id933140-php1
PHP 注入攻擊:發現 I/O 串流
owasp-crs-v030301-id933200-php1
PHP 注入式攻擊:偵測到包裝函式庫架構
owasp-crs-v030301-id933150-php1
PHP 注入攻擊:發現高風險的 PHP 函式名稱
owasp-crs-v030301-id933160-php1
PHP 注入攻擊:發現高風險的 PHP 函式呼叫
owasp-crs-v030301-id933170-php1
PHP 注入式攻擊:序列化物件注入
owasp-crs-v030301-id933180-php1
PHP 注入攻擊:發現變數函式呼叫
owasp-crs-v030301-id933210-php1
PHP 注入攻擊:發現變數函式呼叫
owasp-crs-v030301-id933151-php2
PHP 注入攻擊:發現中等風險的 PHP 函式名稱
owasp-crs-v030301-id933131-php3
PHP 注入攻擊:發現變數
owasp-crs-v030301-id933161-php3
PHP 注入攻擊:發現低價值 PHP 函式呼叫
owasp-crs-v030301-id933111-php3
PHP 注入攻擊:發現 PHP 指令碼檔案上傳
owasp-crs-v030301-id933190-php3
PHP 插入攻擊:發現 PHP 結尾標記
CRS 3.0
簽章 ID (規則 ID)
敏感度等級
說明
owasp-crs-v030001-id933100-php1
PHP 注入攻擊:發現 PHP 開啟標記
owasp-crs-v030001-id933110-php1
PHP 注入攻擊:發現 PHP 指令碼檔案上傳
owasp-crs-v030001-id933120-php1
PHP 注入攻擊:發現設定指令
owasp-crs-v030001-id933130-php1
PHP 注入攻擊:發現變數
owasp-crs-v030001-id933140-php1
PHP 注入攻擊:發現 I/O 串流
Not included1
PHP 注入式攻擊:偵測到包裝函式庫架構
owasp-crs-v030001-id933150-php1
PHP 注入攻擊:發現高風險的 PHP 函式名稱
owasp-crs-v030001-id933160-php1
PHP 注入攻擊:發現高風險的 PHP 函式呼叫
owasp-crs-v030001-id933170-php1
PHP 注入式攻擊:序列化物件注入
owasp-crs-v030001-id933180-php1
PHP 注入攻擊:發現變數函式呼叫
Not included1
PHP 注入攻擊:發現變數函式呼叫
owasp-crs-v030001-id933151-php2
PHP 注入攻擊:發現中等風險的 PHP 函式名稱
owasp-crs-v030001-id933131-php3
PHP 注入攻擊:發現變數
owasp-crs-v030001-id933161-php3
PHP 注入攻擊:發現低價值 PHP 函式呼叫
owasp-crs-v030001-id933111-php3
PHP 注入攻擊:發現 PHP 指令碼檔案上傳
Not included3
PHP 插入攻擊:發現 PHP 結尾標記
您可以透過預設的敏感度參數使用 evaluatePreconfiguredWaf(),在特定敏感度層級設定規則。根據預設,如果未設定規則集敏感度,Google Cloud Armor 會評估所有簽章。
CRS 3.3
敏感度等級
運算式
1
evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 1})
2
evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 2})
3
evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 3})
CRS 3.0
敏感度等級
運算式
1
evaluatePreconfiguredWaf('php-stable', {'sensitivity': 1})
2
evaluatePreconfiguredWaf('php-stable', {'sensitivity': 2})
3
evaluatePreconfiguredWaf('php-stable', {'sensitivity': 3})
工作階段固定
下表提供工作階段固定預先設定規則中,每個支援簽章的簽章 ID、敏感程度和說明。
CRS 3.3
簽章 ID (規則 ID)
敏感度等級
說明
owasp-crs-v030301-id943100-sessionfixation1
可能的工作階段固定攻擊:在 HTML 中設定 Cookie 值
owasp-crs-v030301-id943110-sessionfixation1
可能發生工作階段固定攻擊:工作階段 ID 參數名稱和網域外參照網址不符
owasp-crs-v030301-id943120-sessionfixation1
可能發生工作階段固定攻擊:沒有參照網址的工作階段 ID 參數名稱
CRS 3.0
簽章 ID (規則 ID)
敏感度等級
說明
owasp-crs-v030001-id943100-sessionfixation1
可能的工作階段固定攻擊:在 HTML 中設定 Cookie 值
owasp-crs-v030001-id943110-sessionfixation1
可能發生工作階段固定攻擊:工作階段 ID 參數名稱和網域外參照網址不符
owasp-crs-v030001-id943120-sessionfixation1
可能發生工作階段固定攻擊:沒有參照網址的工作階段 ID 參數名稱
您可以透過預設的敏感度參數使用 evaluatePreconfiguredWaf(),在特定敏感度層級設定規則。工作階段固定攻擊的所有簽章都屬於敏感度等級 1。下列設定適用於所有靈敏度等級:
CRS 3.3
敏感度等級
運算式
1
evaluatePreconfiguredWaf('sessionfixation-v33-stable', {'sensitivity': 1})
CRS 3.0
敏感度等級
運算式
1
evaluatePreconfiguredWaf('sessionfixation-stable', {'sensitivity': 1})
Java 攻擊
下表列出 Java 攻擊預先設定規則中,每個支援簽章的簽章 ID、敏感度等級和說明。
CRS 3.3
簽章 ID (規則 ID)
敏感度等級
說明
owasp-crs-v030301-id944100-java1
遠端指令執行:偵測到可疑的 Java 類別
owasp-crs-v030301-id944110-java1
遠端指令執行:Java 程序衍生 (CVE-2017-9805)
owasp-crs-v030301-id944120-java1
遠端指令執行:Java 序列化 (CVE-2015-4852)
owasp-crs-v030301-id944130-java1
偵測到可疑的 Java 類別
owasp-crs-v030301-id944200-java2
偵測到魔術位元組,可能正在使用 Java 序列化
owasp-crs-v030301-id944210-java2
偵測到 Base64 編碼的 Magic Bytes,可能正在使用 Java 序列化
owasp-crs-v030301-id944240-java2
遠端指令執行:Java 序列化 (CVE-2015-4852)
owasp-crs-v030301-id944250-java2
遠端指令執行:偵測到可疑的 Java 方法
owasp-crs-v030301-id944300-java3
Base64 編碼字串與可疑關鍵字相符
CRS 3.0
簽章 ID (規則 ID)
敏感度等級
說明
Not included1
遠端指令執行:偵測到可疑的 Java 類別
Not included1
遠端指令執行:Java 程序衍生 (CVE-2017-9805)
Not included1
遠端指令執行:Java 序列化 (CVE-2015-4852)
Not included1
偵測到可疑的 Java 類別
Not included2
偵測到魔術位元組,可能正在使用 Java 序列化
Not included2
偵測到 Base64 編碼的 Magic Bytes,可能正在使用 Java 序列化
Not included2
遠端指令執行:Java 序列化 (CVE-2015-4852)
Not included2
遠端指令執行:偵測到可疑的 Java 方法
Not included3
Base64 編碼字串與可疑關鍵字相符
您可以透過預設的敏感度參數使用 evaluatePreconfiguredWaf(),在特定敏感度層級設定規則。根據預設,如果未設定規則集敏感度,Google Cloud Armor 會評估所有簽章。
敏感度等級
運算式
1
evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 1})
2
evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 2})
3
evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 3})
NodeJS 攻擊
下表列出 NodeJS 攻擊預先設定規則中支援的每個簽章,並提供簽章 ID、敏感程度和說明。
下列預先設定的 WAF 規則簽章僅包含在 CRS 3.3 中。
CRS 3.3
簽章 ID (規則 ID)
敏感度等級
說明
owasp-crs-v030301-id934100-nodejs1
Node.js 注入攻擊
CRS 3.0
簽章 ID (規則 ID)
敏感度等級
說明
Not included1
Node.js 注入攻擊
您可以透過預設的敏感度參數使用 evaluatePreconfiguredWaf(),在特定敏感度層級設定規則。NodeJS 攻擊的所有簽章都屬於靈敏度等級 1。下列設定適用於其他機密等級:
敏感度等級
運算式
1
evaluatePreconfiguredWaf('nodejs-v33-stable', {'sensitivity': 1})
CVE 和其他安全漏洞
下表列出 CVE Log4j RCE 安全漏洞預先設定規則中,各項支援簽章的簽章 ID、敏感程度和說明。
簽章 ID (規則 ID)
敏感度等級
說明
owasp-crs-v030001-id044228-cve1
基本規則,有助於偵測 CVE-2021-44228
和 CVE-2021-45046 的攻擊嘗試
owasp-crs-v030001-id144228-cve1
Google 提供的強化功能,可涵蓋更多規避和混淆嘗試
owasp-crs-v030001-id244228-cve3
提高偵測敏感度,偵測更多規避和混淆嘗試,誤判風險僅略為增加
owasp-crs-v030001-id344228-cve3
提高偵測敏感度,以偵測更多使用 base64 編碼的規避和模糊處理嘗試,誤判風險僅略為增加
您可以透過預設的敏感度參數使用 evaluatePreconfiguredWaf(),在特定敏感度層級設定規則。根據預設,如果未設定規則集敏感度,Google Cloud Armor 會評估所有簽章。
敏感度等級
運算式
1
evaluatePreconfiguredWaf('cve-canary', {'sensitivity': 1})
2
evaluatePreconfiguredWaf('cve-canary', {'sensitivity': 2})
3
evaluatePreconfiguredWaf('cve-canary', {'sensitivity': 3})
JSON 格式內容 SQL 注入安全漏洞
下表提供支援的簽章 942550-sqli
簽章 ID (規則 ID)
敏感度等級
說明
owasp-crs-id942550-sqli2
偵測所有以 JSON 為基礎的 SQL 注入攻擊向量,包括在網址中發現的 SQL 注入攻擊簽章
使用下列運算式部署簽章:
evaluatePreconfiguredWaf('json-sqli-canary', {'sensitivity':0, 'opt_in_rule_ids': ['owasp-crs-id942550-sqli']})
建議您也啟用感應層級 2 的 sqli-v33-stable,全面防範以 JSON 為基礎的 SQL 注入攻擊。
限制
Google Cloud Armor 預先設定的 WAF 規則有下列限制:
WAF 規則變更通常需要幾分鐘才會生效。
在具有要求主體的 HTTP 要求類型中,Google Cloud Armor 只會處理 POST 要求。Google Cloud Armor 會根據前 8 KB 的 POST 內容評估預先設定的規則。詳情請參閱POST身體檢查限制
如果啟用 JSON 剖析功能,並使用相符的 Content-Type 標頭值,Google Cloud Armor 就能剖析 JSON 格式的內容 (包括格式正確的 GraphQL over HTTP 要求),並套用預先設定的 WAF 規則。詳情請參閱 JSON 剖析 。
如果預先設定的網路應用程式防火牆規則附加了要求欄位排除項目,您就無法使用 allow 動作。系統會自動允許符合例外的要求。
後續步驟
