Panoramica delle regole WAF preconfigurate di Google Cloud Armor

Le regole WAF preconfigurate di Google Cloud Armor sono regole WAF (Web Application Firewall) complesse con decine di firme compilate a partire da standard di settore open source. Ogni firma corrisponde a un rilevamento di attacco nel set di regole. Google offre queste regole così come sono. Le regole consentono a Google Cloud Armor di valutare dozzine di firme di traffico distinte facendo riferimento a regole denominate in modo pratico, anziché richiedere la definizione manuale di ogni firma.

Le regole WAF preconfigurate di Google Cloud Armor possono essere ottimizzate per soddisfare al meglio le tue esigenze. Per maggiori informazioni per informazioni su come ottimizzare le regole, consulta Ottimizzazione delle regole WAF preconfigurate di Google Cloud Armor.

La tabella seguente contiene un elenco completo di regole WAF preconfigurate disponibili per l'uso in un criterio di sicurezza di Google Cloud Armor. Le origini delle regole sono ModSecurity Core Rule Set (CRS) 3.0 e CRS 3.3.2. Ti consigliamo di utilizzare la versione 3.3 per una maggiore sensibilità e per un'ampia gamma di tipi di attacchi protetti. Il supporto di CRS 3.0 è in corso.

RP 3.3

Nome della regola Google Cloud Armor Nome della regola ModSecurity Stato corrente
SQL injection sqli-v33-stable Sincronizzato con sqli-v33-canary
sqli-v33-canary Più recenti
Cross-site scripting (XSS) xss-v33-stable Sincronizzata con xss-v33-canary
xss-v33-canary Più recenti
Inclusione locale di file lfi-v33-stable Sincronizzata con lfi-v33-canary
lfi-v33-canary Più recenti
Inclusione di file remoti rfi-v33-stable Sincronizzata con rfi-v33-canary
rfi-v33-canary Più recenti
Esecuzione di codice remota rce-v33-stable Sincronizzata con rce-v33-canary
rce-v33-canary Più recenti
Applicazione del metodo methodenforcement-v33-stable Sincronizzato con methodenforcement-v33-canary
methodenforcement-v33-canary Più recenti
Rilevamento dello scanner scannerdetection-v33-stable Sincronizzato con scannerdetection-v33-canary
scannerdetection-v33-canary Più recenti
Attacco di protocollo protocolattack-v33-stable Sincronizzata con protocolattack-v33-canary
protocolattack-v33-canary Più recenti
Attacco PHP injection php-v33-stable Sincronizzato con php-v33-canary
php-v33-canary Più recenti
Attacco di fissazione della sessione sessionfixation-v33-stable Sincronizzato con sessionfixation-v33-canary
sessionfixation-v33-canary Più recenti
Attacco Java java-v33-stable Sincronizzata con java-v33-canary
java-v33-canary Più recenti
Attacco NodeJS nodejs-v33-stable Sincronizzata con nodejs-v33-canary
nodejs-v33-canary Più recenti

CRS 3.0

Nome della regola Google Cloud Armor Nome della regola ModSecurity Stato corrente
SQL injection sqli-stable Sincronizzata con sqli-canary
sqli-canary Più recenti
Cross-site scripting (XSS) xss-stable Sincronizzato con xss-canary
xss-canary Più recenti
Inclusione locale di file lfi-stable Sincronizzato con lfi-canary
lfi-canary Più recenti
Inclusione di file remoti rfi-stable Sincronizzato con rfi-canary
rfi-canary Più recenti
Esecuzione di codice da remoto rce-stable Sincronizzata con rce-canary
rce-canary Più recenti
Applicazione del metodo methodenforcement-stable Sincronizzato con methodenforcement-canary
methodenforcement-canary Più recenti
Rilevamento dello scanner scannerdetection-stable Sincronizzato con scannerdetection-canary
scannerdetection-canary Più recenti
Attacco di protocollo protocolattack-stable Sincronizzata con protocolattack-canary
protocolattack-canary Più recenti
Attacco con iniezione di codice PHP php-stable Sincronizzato con php-canary
php-canary Più recenti
Attacco di fissazione della sessione sessionfixation-stable Sincronizzata con sessionfixation-canary
sessionfixation-canary Più recenti
Attacco Java Not included
Attacco Node.js Not included

Inoltre, le seguenti regole cve-canary sono disponibili per tutti i clienti di Google Cloud Armor per rilevare e, facoltativamente, bloccare le seguenti vulnerabilità:

  • Vulnerabilità di Log4j RCE CVE-2021-44228 e CVE-2021-45046
  • 942550-sqli Vulnerabilità dei contenuti in formato JSON
Nome regola Google Cloud Armor Tipi di vulnerabilità coperte
cve-canary Vulnerabilità Log4j
json-sqli-canary Vulnerabilità di bypass dell'SQL injection basata su JSON

Regole ModSecurity preconfigurate

Ogni regola WAF preconfigurata ha un livello di sensibilità che corrisponde a un ModSecurity a livello di paranoia. Un livello di sensibilità più basso indica una firma di confidenza più alta, che è minore. che genererà un falso positivo. Un livello di sensibilità più elevato aumenta la sicurezza, ma aumenta anche il rischio di generare un falso positivo.

SQL injection (SQLi)

La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola WAF preconfigurata per le SQLi.

CRS 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id942100-sqli 1 Attacco SQL injection rilevato tramite libinjection
owasp-crs-v030301-id942140-sqli 1 Attacco SQL injection: rilevati nomi di database comuni
owasp-crs-v030301-id942160-sqli 1 Rileva i test SQLi ciechi utilizzando dorm() o benchmark()
owasp-crs-v030301-id942170-sqli 1 Rileva il benchmark SQL e i tentativi di inserimento del sonno, inclusi query condizionali
owasp-crs-v030301-id942190-sqli 1 Rileva l'esecuzione di codice MSSQL e i tentativi di raccolta di informazioni
owasp-crs-v030301-id942220-sqli 1 Cerca attacchi di overflow di numeri interi
owasp-crs-v030301-id942230-sqli 1 Rileva i tentativi di SQL injection condizionale
owasp-crs-v030301-id942240-sqli 1 Rileva il cambio del set di caratteri MySQL e i tentativi DoS MSSQL
owasp-crs-v030301-id942250-sqli 1 Rileva MATCH AGAINST
owasp-crs-v030301-id942270-sqli 1 Cerca SQL injection di base; stringa di attacco comune per MySQL
owasp-crs-v030301-id942280-sqli 1 Rileva l'iniezione di pg_sleep di Postgres
owasp-crs-v030301-id942290-sqli 1 Individua i tentativi di SQL injection di base di MongoDB
owasp-crs-v030301-id942320-sqli 1 Rileva le stored procedure/iniezioni di funzioni MySQL e PostgreSQL
owasp-crs-v030301-id942350-sqli 1 Rileva l'iniezione di funzioni definite dall'utente di MySQL e altri tentativi di manipolazione di dati/strutture
owasp-crs-v030301-id942360-sqli 1 Rileva i tentativi concatenati di SQL injection di base e SQLLFI
owasp-crs-v030301-id942500-sqli 1 È stato rilevato un commento in linea MySQL
owasp-crs-v030301-id942110-sqli 2 Attacco SQL injection: test di iniezione comuni rilevati
owasp-crs-v030301-id942120-sqli 2 Azione di SQL injection: operatore SQL rilevato
owasp-crs-v030301-id942130-sqli 2 Azione di SQL injection: rilevata tautologia SQL
owasp-crs-v030301-id942150-sqli 2 Attacco SQL injection
owasp-crs-v030301-id942180-sqli 2 Rileva i tentativi di bypass dell'autenticazione SQL di base 1/3
owasp-crs-v030301-id942200-sqli 2 Rileva le iniezioni di commenti/spazi offuscati e l'accento grave di MySQL recesso
owasp-crs-v030301-id942210-sqli 2 Rileva i tentativi di iniezione SQL in catena 1/2
owasp-crs-v030301-id942260-sqli 2 Rileva i tentativi di bypass base dell'autenticazione SQL 2/3
owasp-crs-v030301-id942300-sqli 2 Rileva i commenti MySQL
owasp-crs-v030301-id942310-sqli 2 Rileva i tentativi di iniezione SQL in catena 2/2
owasp-crs-v030301-id942330-sqli 2 Rileva i sondaggi di SQL injection classici 1/2
owasp-crs-v030301-id942340-sqli 2 Rileva i tentativi di bypass dell'autenticazione SQL di base 3/3
owasp-crs-v030301-id942361-sqli 2 Rileva l'iniezione SQL di base in base alla parola chiave alter o union
owasp-crs-v030301-id942370-sqli 2 Rileva i probe di tempo classici della SQL injection 2/3
owasp-crs-v030301-id942380-sqli 2 Attacco SQL injection
owasp-crs-v030301-id942390-sqli 2 Attacco SQL injection
owasp-crs-v030301-id942400-sqli 2 Attacco SQL injection
owasp-crs-v030301-id942410-sqli 2 Attacco SQL injection
owasp-crs-v030301-id942470-sqli 2 Attacco SQL injection
owasp-crs-v030301-id942480-sqli 2 Attacco SQL injection
owasp-crs-v030301-id942430-sqli 2 Rilevamento di anomalie dei caratteri SQL con limitazioni (args): numero di caratteri speciali superato (12)
owasp-crs-v030301-id942440-sqli 2 Sequenza di commenti SQL rilevata
owasp-crs-v030301-id942450-sqli 2 Codifica esadecimale SQL identificata
owasp-crs-v030301-id942510-sqli 2 Tentativo di bypass SQLi rilevato tramite graduazioni o accenti gravi
owasp-crs-v030301-id942251-sqli 3 Rileva INSERIMENTO INiezioni
owasp-crs-v030301-id942490-sqli 3 Rileva i probe di tempo classici della SQL injection 3/3
owasp-crs-v030301-id942420-sqli 3 Rilevamento limitato di anomalie dei caratteri SQL (cookie): n. di speciali caratteri superati (8)
owasp-crs-v030301-id942431-sqli 3 Rilevamento limitato di anomalie SQL Character Anomaly (argomenti): n. di speciali caratteri superati (6)
owasp-crs-v030301-id942460-sqli 3 Avviso di rilevamento di anomalie nei meta-caratteri: caratteri non di parola ripetitivi
owasp-crs-v030301-id942101-sqli 3 Azione di SQL injection rilevata tramite libinjection
owasp-crs-v030301-id942511-sqli 3 Tentativo di bypass SQLi rilevato da segni di graduazione
owasp-crs-v030301-id942421-sqli 4 Rilevamento di anomalie dei caratteri SQL con limitazioni (cookie): numero di caratteri speciali superato (3)
owasp-crs-v030301-id942432-sqli 4 Rilevamento di anomalie dei caratteri SQL con limitazioni (args): numero di caratteri speciali superato (2)

CRS 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
Not included 1 Attacco SQL injection rilevato tramite libinjection
owasp-crs-v030001-id942140-sqli 1 Attacco SQL injection: rilevati nomi di database comuni
owasp-crs-v030001-id942160-sqli 1 Rileva i test SQLi ciechi utilizzando dorm() o benchmark()
owasp-crs-v030001-id942170-sqli 1 Rileva il benchmark SQL e i tentativi di inserimento del sonno, inclusi query condizionali
owasp-crs-v030001-id942190-sqli 1 Rileva l'esecuzione di codice MSSQL e i tentativi di raccolta di informazioni
owasp-crs-v030001-id942220-sqli 1 Cerca attacchi di overflow di numeri interi
owasp-crs-v030001-id942230-sqli 1 Rileva i tentativi di SQL injection condizionale
owasp-crs-v030001-id942240-sqli 1 Rileva il cambio del set di caratteri MySQL e i tentativi DoS MSSQL
owasp-crs-v030001-id942250-sqli 1 Rileva MATCH AGAINST
owasp-crs-v030001-id942270-sqli 1 Cerca SQL injection di base; stringa di attacco comune per MySQL
owasp-crs-v030001-id942280-sqli 1 Rileva l'iniezione di pg_sleep di Postgres
owasp-crs-v030001-id942290-sqli 1 Individua i tentativi di SQL injection di base di MongoDB
owasp-crs-v030001-id942320-sqli 1 Rileva le stored procedure/iniezioni di funzioni MySQL e PostgreSQL
owasp-crs-v030001-id942350-sqli 1 Rileva l'iniezione di funzioni definite dall'utente di MySQL e altri tentativi di manipolazione di dati/strutture
owasp-crs-v030001-id942360-sqli 1 Rileva i tentativi concatenati di SQL injection di base e SQLLFI
Not included 1 È stato rilevato un commento in linea MySQL
owasp-crs-v030001-id942110-sqli 2 Attacco SQL injection: test di iniezione comuni rilevati
owasp-crs-v030001-id942120-sqli 2 Azione di SQL injection: operatore SQL rilevato
Not included 2 Azione di SQL injection: rilevata tautologia SQL
owasp-crs-v030001-id942150-sqli 2 Attacco SQL injection
owasp-crs-v030001-id942180-sqli 2 Rileva i tentativi di bypass dell'autenticazione SQL di base 1/3
owasp-crs-v030001-id942200-sqli 2 Rileva le iniezioni di commenti/spazi offuscati e l'accento grave di MySQL recesso
owasp-crs-v030001-id942210-sqli 2 Rileva i tentativi di iniezione SQL in catena 1/2
owasp-crs-v030001-id942260-sqli 2 Rileva i tentativi di bypass base dell'autenticazione SQL 2/3
owasp-crs-v030001-id942300-sqli 2 Rileva i commenti MySQL
owasp-crs-v030001-id942310-sqli 2 Rileva i tentativi di iniezione SQL in catena 2/2
owasp-crs-v030001-id942330-sqli 2 Rileva i sondaggi di SQL injection classici 1/2
owasp-crs-v030001-id942340-sqli 2 Rileva i tentativi di bypass dell'autenticazione SQL di base 3/3
Not included 2 Rileva l'iniezione SQL di base in base alla parola chiave alter o union
Not included 2 Rileva i probe di tempo classici della SQL injection 2/3
owasp-crs-v030001-id942380-sqli 2 Attacco SQL injection
owasp-crs-v030001-id942390-sqli 2 Attacco SQL injection
owasp-crs-v030001-id942400-sqli 2 Attacco SQL injection
owasp-crs-v030001-id942410-sqli 2 Attacco SQL injection
Not included 2 Attacco SQL injection
Not included 2 Attacco SQL injection
owasp-crs-v030001-id942430-sqli 2 Rilevamento di anomalie dei caratteri SQL con limitazioni (args): numero di caratteri speciali superato (12)
owasp-crs-v030001-id942440-sqli 2 Sequenza di commenti SQL rilevata
owasp-crs-v030001-id942450-sqli 2 Codifica esadecimale SQL identificata
Not included 2 Tentativo di bypass SQLi rilevato tramite graduazioni o accenti gravi
owasp-crs-v030001-id942251-sqli 3 Rileva le iniezioni HAVING
Not included 2 Rileva sondaggi di SQL injection classici 3/3
owasp-crs-v030001-id942420-sqli 3 Rilevamento limitato di anomalie dei caratteri SQL (cookie): n. di speciali caratteri superati (8)
owasp-crs-v030001-id942431-sqli 3 Rilevamento limitato di anomalie SQL Character Anomaly (argomenti): n. di speciali caratteri superati (6)
owasp-crs-v030001-id942460-sqli 3 Avviso di rilevamento di anomalie nei meta-caratteri: caratteri non di parola ripetitivi
Not included 3 Azione di SQL injection rilevata tramite libinjection
Not included 3 Tentativo di bypass SQLi rilevato da segni di graduazione
owasp-crs-v030001-id942421-sqli 4 Rilevamento di anomalie dei caratteri SQL con limitazioni (cookie): numero di caratteri speciali superato (3)
owasp-crs-v030001-id942432-sqli 4 Rilevamento limitato di anomalie SQL Character Anomaly (argomenti): n. di speciali caratteri superati (2)

Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disattivare le firme a livelli di sensibilità superiori.

Livello di sensibilità SQLi 1 

evaluatePreconfiguredExpr('sqli-v33-stable',
['owasp-crs-v030301-id942110-sqli',
  'owasp-crs-v030301-id942120-sqli',
  'owasp-crs-v030301-id942130-sqli',
  'owasp-crs-v030301-id942150-sqli',
  'owasp-crs-v030301-id942180-sqli',
  'owasp-crs-v030301-id942200-sqli',
  'owasp-crs-v030301-id942210-sqli',
  'owasp-crs-v030301-id942260-sqli',
  'owasp-crs-v030301-id942300-sqli',
  'owasp-crs-v030301-id942310-sqli',
  'owasp-crs-v030301-id942330-sqli',
  'owasp-crs-v030301-id942340-sqli',
  'owasp-crs-v030301-id942361-sqli',
  'owasp-crs-v030301-id942370-sqli',
  'owasp-crs-v030301-id942380-sqli',
  'owasp-crs-v030301-id942390-sqli',
  'owasp-crs-v030301-id942400-sqli',
  'owasp-crs-v030301-id942410-sqli',
  'owasp-crs-v030301-id942470-sqli',
  'owasp-crs-v030301-id942480-sqli',
  'owasp-crs-v030301-id942430-sqli',
  'owasp-crs-v030301-id942440-sqli',
  'owasp-crs-v030301-id942450-sqli',
  'owasp-crs-v030301-id942510-sqli',
  'owasp-crs-v030301-id942251-sqli',
  'owasp-crs-v030301-id942490-sqli',
  'owasp-crs-v030301-id942420-sqli',
  'owasp-crs-v030301-id942431-sqli',
  'owasp-crs-v030301-id942460-sqli',
  'owasp-crs-v030301-id942101-sqli',
  'owasp-crs-v030301-id942511-sqli',
  'owasp-crs-v030301-id942421-sqli',
  'owasp-crs-v030301-id942432-sqli']
)
Livello di sensibilità SQLi 2 

evaluatePreconfiguredExpr('sqli-v33-stable',
 ['owasp-crs-v030301-id942251-sqli',
  'owasp-crs-v030301-id942490-sqli',
  'owasp-crs-v030301-id942420-sqli',
  'owasp-crs-v030301-id942431-sqli',
  'owasp-crs-v030301-id942460-sqli',
  'owasp-crs-v030301-id942101-sqli',
  'owasp-crs-v030301-id942511-sqli',
  'owasp-crs-v030301-id942421-sqli',
  'owasp-crs-v030301-id942432-sqli']
)
Livello di sensibilità SQLi 3 

evaluatePreconfiguredExpr('sqli-v33-stable',
        ['owasp-crs-v030301-id942421-sqli',
         'owasp-crs-v030301-id942432-sqli']
         )
Livello di sensibilità SQLi 4 

evaluatePreconfiguredExpr('sqli-v33-stable')

In alternativa, puoi configurare una regola a un livello di sensibilità particolare utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità dell'insieme di regole, Google Cloud Armor valuta tutte le firme.

RP 3.3

Livello di sensibilità Espressione
1 AssessmentPreconfiguratoWaf('sqli-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 2})
3 computePreconfiguratoWaf('sqli-v33-stable', {'sensitivity': 3})
4 AssessmentPreconfiguratoWaf('sqli-v33-stable', {'sensitivity': 4})

CRS 3.0

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 1})
2 computePreconfiguratoWaf('sqli-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 3})
4 AssessmentPreconfiguratoWaf('sqli-stable', {'sensitivity': 4})

Cross-site scripting (XSS)

La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola WAF preconfigurata XSS.

RP 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id941100-xss 1 Attacco XSS rilevato tramite libinjection
owasp-crs-v030301-id941110-xss 1 Filtro XSS - Categoria 1: Vettore tag script
owasp-crs-v030301-id941120-xss 1 Filtro XSS - Categoria 2: vettore gestore eventi
owasp-crs-v030301-id941130-xss 1 Filtro XSS - Categoria 3: Vettore attributo
owasp-crs-v030301-id941140-xss 1 Filtro XSS - Categoria 4: vettore URI JavaScript
owasp-crs-v030301-id941160-xss 1 NoScript XSS InjectionChecker: HTML Injection (Iniezione HTML)
owasp-crs-v030301-id941170-xss 1 NoScript XSS InjectionChecker: Attribute Injection (Iniezione di attributi)
owasp-crs-v030301-id941180-xss 1 Parole chiave della lista nera di Node-Validator
owasp-crs-v030301-id941190-xss 1 IE XSS Filtri - Attacco rilevato
owasp-crs-v030301-id941200-xss 1 IE XSS Filtri - Attacco rilevato
owasp-crs-v030301-id941210-xss 1 IE XSS Filtri - Attacco rilevato
owasp-crs-v030301-id941220-xss 1 IE XSS Filtri - Attacco rilevato
owasp-crs-v030301-id941230-xss 1 IE XSS Filtri - Attacco rilevato
owasp-crs-v030301-id941240-xss 1 IE XSS Filtri - Attacco rilevato
owasp-crs-v030301-id941250-xss 1 IE XSS Filtri - Attacco rilevato
owasp-crs-v030301-id941260-xss 1 IE XSS Filtri - Attacco rilevato
owasp-crs-v030301-id941270-xss 1 IE XSS Filtri - Attacco rilevato
owasp-crs-v030301-id941280-xss 1 IE XSS Filtri - Attacco rilevato
owasp-crs-v030301-id941290-xss 1 IE XSS Filtri - Attacco rilevato
owasp-crs-v030301-id941300-xss 1 IE XSS Filtri - Attacco rilevato
owasp-crs-v030301-id941310-xss 1 Filtro XSS per codifica US-ASCII non corretta: attacco rilevato
owasp-crs-v030301-id941350-xss 1 Codifica UTF-7 IE XSS - Attacco rilevato
owasp-crs-v030301-id941360-xss 1 È stato rilevato un offuscamento geroglifico
owasp-crs-v030301-id941370-xss 1 Variabile globale JavaScript trovata
owasp-crs-v030301-id941101-xss 2 Attacco XSS rilevato tramite libinjection
owasp-crs-v030301-id941150-xss 2 Filtro XSS - Categoria 5: Attributi HTML non consentiti
owasp-crs-v030301-id941320-xss 2 Possibile attacco XSS rilevato - Gestitore dei tag HTML
owasp-crs-v030301-id941330-xss 2 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030301-id941340-xss 2 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030301-id941380-xss 2 È stata rilevata l'inserimento del modello lato client AngularJS

CRS 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
Not included 1 Attacco XSS rilevato tramite libinjection
owasp-crs-v030001-id941110-xss 1 Filtro XSS - Categoria 1: Vettore tag script
owasp-crs-v030001-id941120-xss 1 Filtro XSS - Categoria 2: vettore gestore eventi
owasp-crs-v030001-id941130-xss 1 Filtro XSS - Categoria 3: Vettore attributo
owasp-crs-v030001-id941140-xss 1 Filtro XSS - Categoria 4: vettore URI JavaScript
owasp-crs-v030001-id941160-xss 1 NoScript XSS InjectionChecker: HTML Injection (Iniezione HTML)
owasp-crs-v030001-id941170-xss 1 NoScript XSS InjectionChecker: Attribute Injection (Iniezione di attributi)
owasp-crs-v030001-id941180-xss 1 Parole chiave della lista nera di Node-Validator
owasp-crs-v030001-id941190-xss 1 IE XSS Filtri - Attacco rilevato
owasp-crs-v030001-id941200-xss 1 IE XSS Filtri - Attacco rilevato
owasp-crs-v030001-id941210-xss 1 IE XSS Filtri - Attacco rilevato
owasp-crs-v030001-id941220-xss 1 IE XSS Filtri - Attacco rilevato
owasp-crs-v030001-id941230-xss 1 IE XSS Filtri - Attacco rilevato
owasp-crs-v030001-id941240-xss 1 IE XSS Filtri - Attacco rilevato
owasp-crs-v030001-id941250-xss 1 IE XSS Filtri - Attacco rilevato
owasp-crs-v030001-id941260-xss 1 IE XSS Filtri - Attacco rilevato
owasp-crs-v030001-id941270-xss 1 IE XSS Filtri - Attacco rilevato
owasp-crs-v030001-id941280-xss 1 IE XSS Filtri - Attacco rilevato
owasp-crs-v030001-id941290-xss 1 IE XSS Filtri - Attacco rilevato
owasp-crs-v030001-id941300-xss 1 IE XSS Filtri - Attacco rilevato
owasp-crs-v030001-id941310-xss 1 Filtro XSS per codifica US-ASCII non corretta: attacco rilevato
owasp-crs-v030001-id941350-xss 1 Codifica UTF-7 IE XSS - Attacco rilevato
Not included 1 È stata rilevata offuscamento JSFuck/Hieroglyphy
Not included 1 Variabile globale JavaScript trovata
Not included 2 Attacco XSS rilevato tramite libinjection
owasp-crs-v030001-id941150-xss 2 Filtro XSS - Categoria 5: Attributi HTML non consentiti
owasp-crs-v030001-id941320-xss 2 Possibile attacco XSS rilevato - Gestitore dei tag HTML
owasp-crs-v030001-id941330-xss 2 Filtri XSS di IE - Attacco rilevato
owasp-crs-v030001-id941340-xss 2 Filtri XSS di IE - Attacco rilevato
Not included 2 È stata rilevata l'inserimento del modello lato client AngularJS

Puoi configurare una regola a un determinato livello di sensibilità utilizzo di evaluatePreconfiguredExpr() per disattivare le firme con maggiore sensibilità diversi.

Livello di sensibilità XSS 1 

evaluatePreconfiguredExpr('xss-v33-stable',
['owasp-crs-v030301-id941101-xss',
  'owasp-crs-v030301-id941150-xss',
  'owasp-crs-v030301-id941320-xss',
  'owasp-crs-v030301-id941330-xss',
  'owasp-crs-v030301-id941340-xss',
  'owasp-crs-v030301-id941380-xss'
])


Tutte le firme per l'XSS sono al di sotto del livello di sensibilità 2. Le seguenti la configurazione funziona per altri livelli di sensibilità:

Livello di sensibilità XSS 2 

evaluatePreconfiguredExpr('xss-v33-stable')

In alternativa, puoi configurare una regola a un livello di sensibilità particolare utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Di predefinita, senza configurare la sensibilità del set di regole, Google Cloud Armor valuta tutte le firme.

RP 3.3

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('xss-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('xss-v33-stable', {'sensitivity': 2})

RP 3.0

Livello di sensibilità Espressione
1 AssessmentPreconfiguratoWaf('xss-stable', {'sensitivity': 1})

Inclusione locale di file (LFI)

La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola WAF preconfigurata per gli attacchi LFI.

CRS 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id930100-lfi 1 Attacco Path Traversal (/../)
owasp-crs-v030301-id930110-lfi 1 Attacco Path Traversal (/../)
owasp-crs-v030301-id930120-lfi 1 Tentativo di accesso al file del sistema operativo
owasp-crs-v030301-id930130-lfi 1 Tentativo di accesso ai file limitato

CRS 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id930100-lfi 1 Attacco Path Traversal (/../)
owasp-crs-v030001-id930110-lfi 1 Attacco Path Traversal (/../)
owasp-crs-v030001-id930120-lfi 1 Tentativo di accesso al file del sistema operativo
owasp-crs-v030001-id930130-lfi 1 Tentativo di accesso a file con limitazioni

Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disattivare le firme a livelli di sensibilità superiori. Tutte le firme per gli indicatori di livello di rischio sono al livello di sensibilità 1. La seguente configurazione è valida per tutti i livelli di sensibilità:

Livello di sensibilità LFI 1 

evaluatePreconfiguredExpr('lfi-v33-stable')

In alternativa, puoi configurare una regola a un livello di sensibilità particolare utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Tutti le firme per LFI sono al livello di sensibilità 1. La seguente configurazione funziona per tutti i livelli di sensibilità:

RP 3.3

Livello di sensibilità Espressione
1 computePreconfiguratoWaf('lfi-v33-stable', {'sensitivity': 1})

CRS 3.0

Livello di sensibilità Espressione
1 AssessmentPreconfiguratoWaf('lfi-stable', {'sensitivity': 1})

Esecuzione di codice remoto (RCE)

La tabella seguente fornisce l'ID firma, il livello di sensibilità e descrizione di ogni firma supportata nella regola WAF preconfigurata RCE.

CRS 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id932100-rce 1 Iniezione di comandi UNIX
owasp-crs-v030301-id932105-rce 1 Iniezione di comandi UNIX
owasp-crs-v030301-id932110-rce 1 Iniezione di comandi Windows
owasp-crs-v030301-id932115-rce 1 Iniezione di comandi Windows
owasp-crs-v030301-id932120-rce 1 Comando di Windows PowerShell trovato
owasp-crs-v030301-id932130-rce 1 Espressione della shell Unix trovata
owasp-crs-v030301-id932140-rce 1 Comando Windows FOR/IF trovato
owasp-crs-v030301-id932150-rce 1 Esecuzione diretta del comando UNIX
owasp-crs-v030301-id932160-rce 1 Trovato codice shell UNIX
owasp-crs-v030301-id932170-rce 1 Shellshock (CVE-2014-6271)
owasp-crs-v030301-id932171-rce 1 Shellshock (CVE-2014-6271)
owasp-crs-v030301-id932180-rce 1 Tentativo di caricamento di un file con limitazioni
owasp-crs-v030301-id932200-rce 2 Tecnica di bypass RCE
owasp-crs-v030301-id932106-rce 3 Esecuzione di comandi remoti: inserimento di comandi Unix
owasp-crs-v030301-id932190-rce 3 Esecuzione comando remoto: tentativo di tecnica di bypass con caratteri jolly

RP 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id932100-rce 1 Iniezione di comandi UNIX
owasp-crs-v030001-id932105-rce 1 Iniezione di comandi UNIX
owasp-crs-v030001-id932110-rce 1 Iniezione di comandi Windows
owasp-crs-v030001-id932115-rce 1 Iniezione di comandi Windows
owasp-crs-v030001-id932120-rce 1 Comando di Windows PowerShell trovato
owasp-crs-v030001-id932130-rce 1 Espressione della shell Unix trovata
owasp-crs-v030001-id932140-rce 1 Comando Windows FOR/IF trovato
owasp-crs-v030001-id932150-rce 1 Esecuzione diretta del comando UNIX
owasp-crs-v030001-id932160-rce 1 Trovato codice shell UNIX
owasp-crs-v030001-id932170-rce 1 Shellshock (CVE-2014-6271)
owasp-crs-v030001-id932171-rce 1 Shellshock (CVE-2014-6271)
Not included 1 Tentativo di caricamento di un file con limitazioni
Not included 2 Tecnica di bypass RCE
Not included 3 Esecuzione di comandi remoti: inserimento di comandi Unix
Not included 3 Esecuzione del comando remoto: tentativo di tecnica di bypass con caratteri jolly

Puoi configurare una regola a un determinato livello di sensibilità utilizzo di evaluatePreconfiguredExpr() per disattivare le firme con maggiore sensibilità diversi. La seguente configurazione funziona per tutti i livelli di sensibilità:

Livello di sensibilità RCE 1 

evaluatePreconfiguredExpr('rce-v33-stable',
          ['owasp-crs-v030301-id932200-rce',
           'owasp-crs-v030301-id932106-rce',
           'owasp-crs-v030301-id932190-rce'])
Livello di sensibilità RCE 2 

evaluatePreconfiguredExpr('rce-v33-stable',
           [ 'owasp-crs-v030301-id932106-rce',
           'owasp-crs-v030301-id932190-rce'])
Livello di sensibilità RCE 3 

evaluatePreconfiguredExpr('rce-v33-stable')

In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Tutte le firme per l'attacco di esecuzione di codice remoto sono a livello di sensibilità 1. La seguente configurazione funziona per tutti i livelli di sensibilità:

RP 3.3

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 1})
2 AssessmentPreconfigureWaf('rce-v33-stable', {'sensitivity': 2})
3 AssessmentPreconfiguratoWaf('rce-v33-stable', {'sensitivity': 3})

RP 3.0

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 1})
2 AssessmentPreconfiguratoWaf('rce-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 3})

Inclusione di file remoti (RFI)

La tabella seguente fornisce l'ID firma, il livello di sensibilità e descrizione di ciascuna firma supportata nella regola WAF preconfigurata di RFI.

RP 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id931100-rfi 1 Parametro URL che utilizza l'indirizzo IP
owasp-crs-v030301-id931110-rfi 1 Nome parametro vulnerabile RFI comune utilizzato con payload URL
owasp-crs-v030301-id931120-rfi 1 Payload dell'URL utilizzato con il carattere punto interrogativo finale (?)
owasp-crs-v030301-id931130-rfi 2 Link/riferimento fuori dominio

CRS 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id931100-rfi 1 Parametro URL che utilizza l'indirizzo IP
owasp-crs-v030001-id931110-rfi 1 Nome parametro vulnerabile RFI comune utilizzato con payload URL
owasp-crs-v030001-id931120-rfi 1 Payload dell'URL utilizzato con il carattere punto interrogativo finale (?)
owasp-crs-v030001-id931130-rfi 2 Riferimento/link esterno al dominio

Puoi configurare una regola a un determinato livello di sensibilità utilizzo di evaluatePreconfiguredExpr() per disattivare le firme con maggiore sensibilità diversi.

Livello di sensibilità RFI 1 

evaluatePreconfiguredExpr('rfi-v33-stable', ['owasp-crs-v030301-id931130-rfi'])

Tutte le firme per le RFI sono al di sotto del livello di sensibilità 2. La seguente configurazione è valida per altri livelli di sensibilità:

Livello di sensibilità RFI 2 

evaluatePreconfiguredExpr('rfi-v33-stable')

In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Di predefinita, senza configurare la sensibilità del set di regole, Google Cloud Armor valuta tutte le firme.

RP 3.3

Livello di sensibilità Espressione
1 AssessmentPreconfiguratoWaf('rfi-v33-stable', {'sensitivity': 1})
2 AssessmentPreconfiguratoWaf('rfi-v33-stable', {'sensitivity': 2})

RP 3.0

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('rfi-stable', {'sensitivity': 1})
2 AssessmentPreconfigureWaf('rfi-stable', {'sensitivity': 2})

Applicazione del metodo

La tabella seguente fornisce l'ID firma, il livello di sensibilità e descrizione di ogni firma supportata nell'applicazione del metodo preconfigurata personalizzata.

RP 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id911100-methodenforcement 1 Metodo non consentito dalle norme

RP 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id911100-methodenforcement 1 Il metodo non è consentito dai criteri

Puoi configurare una regola a un determinato livello di sensibilità utilizzo di evaluatePreconfiguredExpr() per disattivare le firme con maggiore sensibilità diversi. Tutte le firme per l'applicazione del metodo hanno il livello di sensibilità 1. La seguente configurazione funziona per altri livelli di sensibilità:

Livello di sensibilità 1 dell'applicazione del metodo 

evaluatePreconfiguredExpr('methodenforcement-v33-stable')

In alternativa, puoi configurare una regola a un livello di sensibilità particolare utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità dell'insieme di regole, Google Cloud Armor valuta tutte le firme.

RP 3.3

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('methodenforcement-v33-stable', {'sensitivity': 1})

CRS 3.0

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('methodenforcement-stable', {'sensitivity': 1})

Rilevamento scanner

La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola preconfigurata per il rilevamento degli scanner.

RP 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id913100-scannerdetection 1 Agente utente trovato associato allo scanner di sicurezza
owasp-crs-v030301-id913110-scannerdetection 1 Trovata intestazione della richiesta associata allo scanner di sicurezza
owasp-crs-v030301-id913120-scannerdetection 1 È stato trovato il nome file/l'argomento della richiesta associato allo scanner di sicurezza
owasp-crs-v030301-id913101-scannerdetection 2 È stato trovato lo user agent associato al client HTTP generico/di scripting
owasp-crs-v030301-id913102-scannerdetection 2 User-Agent trovato associato a crawler/bot web

RP 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id913100-scannerdetection 1 Agente utente trovato associato allo scanner di sicurezza
owasp-crs-v030001-id913110-scannerdetection 1 Trovata intestazione della richiesta associata allo scanner di sicurezza
owasp-crs-v030001-id913120-scannerdetection 1 È stato trovato il nome file/l'argomento della richiesta associato allo scanner di sicurezza
owasp-crs-v030001-id913101-scannerdetection 2 È stato trovato lo user agent associato al client HTTP generico/di scripting
owasp-crs-v030001-id913102-scannerdetection 2 User-Agent trovato associato a crawler/bot web

Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disattivare le firme a livelli di sensibilità superiori.

Livello di sensibilità del rilevamento dello scanner 1 

evaluatePreconfiguredExpr('scannerdetection-v33-stable',
  ['owasp-crs-v030301-id913101-scannerdetection',
  'owasp-crs-v030301-id913102-scannerdetection']
)
Livello di sensibilità del rilevamento dello scanner 2 

evaluatePreconfiguredExpr('scannerdetection-v33-stable')

In alternativa, puoi configurare una regola a un livello di sensibilità particolare utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità dell'insieme di regole, Google Cloud Armor valuta tutte le firme.

RP 3.3

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('scannerdetection-v33-stable', {'sensitivity': 1})
2 computePreconfigureWaf('scannerdetection-v33-stable', {'sensitivity': 2})

RP 3.0

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('scannerdetection-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('scannerdetection-stable', {'sensitivity': 2})

Attacco di protocollo

La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola preconfigurata per gli attacchi di protocollo.

RP 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
Not included 1 Attacco di contrabbando di richieste HTTP
owasp-crs-v030301-id921110-protocolattack 1 Attacco di contrabbando di richieste HTTP
owasp-crs-v030301-id921120-protocolattack 1 Ataque de fragmentación de la respuesta HTTP
owasp-crs-v030301-id921130-protocolattack 1 Ataque de fragmentación de la respuesta HTTP
owasp-crs-v030301-id921140-protocolattack 1 Attacco di inserimento di intestazioni HTTP tramite intestazioni
owasp-crs-v030301-id921150-protocolattack 1 Attacco HTTP Header Injection tramite payload (CR/LF rilevato)
owasp-crs-v030301-id921160-protocolattack 1 Attacco HTTP Header Injection tramite payload (CR/LF e nome dell’intestazione rilevati)
owasp-crs-v030301-id921190-protocolattack 1 Suddivisione HTTP (CR/LF nel nome file della richiesta rilevato)
owasp-crs-v030301-id921200-protocolattack 1 Attacco LDAP Injection
owasp-crs-v030301-id921151-protocolattack 2 Azione di attacco di iniezione di intestazioni HTTP tramite payload (rilevati CR/LF)
owasp-crs-v030301-id921170-protocolattack 3 Inquinamento parametro HTTP

CRS 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id921100-protocolattack 1 Attacco di contrabbando di richieste HTTP
owasp-crs-v030001-id921110-protocolattack 1 Attacco di contrabbando di richieste HTTP
owasp-crs-v030001-id921120-protocolattack 1 Ataque de fragmentación de la respuesta HTTP
owasp-crs-v030001-id921130-protocolattack 1 Ataque de fragmentación de la respuesta HTTP
owasp-crs-v030001-id921140-protocolattack 1 Attacco di inserimento di intestazioni HTTP tramite intestazioni
owasp-crs-v030001-id921150-protocolattack 1 Attacco HTTP Header Injection tramite payload (CR/LF rilevato)
owasp-crs-v030001-id921160-protocolattack 1 Attacco HTTP Header Injection tramite payload (CR/LF e nome dell’intestazione rilevati)
Not included 1 Suddivisione HTTP (CR/LF nel nome file della richiesta rilevato)
Not included 1 Attacco LDAP Injection
owasp-crs-v030001-id921151-protocolattack 2 Azione di attacco di iniezione di intestazioni HTTP tramite payload (rilevati CR/LF)
owasp-crs-v030001-id921170-protocolattack 3 Contaminazione dei parametri HTTP

Puoi configurare una regola a un determinato livello di sensibilità utilizzo di evaluatePreconfiguredExpr() per disattivare le firme con maggiore sensibilità diversi.

Livello di sensibilità all'attacco del protocollo 1 

evaluatePreconfiguredExpr('protocolattack-v33-stable',
  ['owasp-crs-v030301-id921151-protocolattack',
  'owasp-crs-v030301-id921170-protocolattack']
)
Protocolli di sensibilità all’attacco - livello 2 

evaluatePreconfiguredExpr('protocolattack-v33-stable',
  ['owasp-crs-v030301-id921170-protocolattack']
)
Protocollo livello di sensibilità all’attacco 3 

evaluatePreconfiguredExpr('protocolattack-v33-stable')

In alternativa, puoi configurare una regola a un livello di sensibilità particolare utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Di predefinita, senza configurare la sensibilità del set di regole, Google Cloud Armor valuta tutte le firme.

RP 3.3

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 2})
3 AssessmentPreconfiguratoWaf('protocolattack-v33-stable', {'sensitivity': 3})

CRS 3.0

Livello di sensibilità Espressione
1 computePreconfiguratoWaf('protocolattack-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 3})

PHP

La tabella seguente fornisce l'ID firma, il livello di sensibilità e descrizione di ogni firma supportata nella regola WAF preconfigurata in PHP.

CRS 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id933100-php 1 Azione di attacco di inserimento di codice PHP: tag PHP aperto trovato
owasp-crs-v030301-id933110-php 1 Azione di attacco di iniezione PHP: caricamento di file di script PHP rilevato
owasp-crs-v030301-id933120-php 1 Attacco PHP Injection: Trovata direttiva sulla configurazione
owasp-crs-v030301-id933130-php 1 Aggressione con iniezione di codice PHP: variabili trovate
owasp-crs-v030301-id933140-php 1 Attacco PHP Injection: Stream I/O trovato
owasp-crs-v030301-id933200-php 1 PHP Injection Attack: rilevamento dello schema wrapper
owasp-crs-v030301-id933150-php 1 Attacco di inserimento di codice PHP: è stato rilevato un nome di funzione PHP ad alto rischio
owasp-crs-v030301-id933160-php 1 Attacco di inserimento di codice PHP: è stata trovata una chiamata di funzione PHP ad alto rischio
owasp-crs-v030301-id933170-php 1 Attacco PHP Injection: Serialized Object Injection
owasp-crs-v030301-id933180-php 1 Attacco PHP Injection: scoperta di una chiamata di funzione variabile
owasp-crs-v030301-id933210-php 1 Attacco PHP Injection: scoperta di una chiamata di funzione variabile
owasp-crs-v030301-id933151-php 2 Attacco PHP Injection: nome della funzione PHP a rischio medio trovato
owasp-crs-v030301-id933131-php 3 Aggressione con iniezione di codice PHP: variabili trovate
owasp-crs-v030301-id933161-php 3 Azione di attacco di tipo PHP injection: è stata trovata una chiamata di funzione PHP di basso valore
owasp-crs-v030301-id933111-php 3 Azione di attacco di iniezione PHP: caricamento di file di script PHP rilevato
owasp-crs-v030301-id933190-php 3 Azione di attacco con iniezione di codice PHP: tag di chiusura PHP trovato

RP 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id933100-php 1 Azione di attacco di inserimento di codice PHP: tag PHP aperto trovato
owasp-crs-v030001-id933110-php 1 Azione di attacco di iniezione PHP: caricamento di file di script PHP rilevato
owasp-crs-v030001-id933120-php 1 Attacco PHP Injection: Trovata direttiva sulla configurazione
owasp-crs-v030001-id933130-php 1 Aggressione con iniezione di codice PHP: variabili trovate
owasp-crs-v030001-id933140-php 1 Attacco PHP Injection: Stream I/O trovato
Not included 1 PHP Injection Attack: rilevamento dello schema wrapper
owasp-crs-v030001-id933150-php 1 Attacco di inserimento di codice PHP: è stato rilevato un nome di funzione PHP ad alto rischio
owasp-crs-v030001-id933160-php 1 Attacco di inserimento di codice PHP: è stata trovata una chiamata di funzione PHP ad alto rischio
owasp-crs-v030001-id933170-php 1 Attacco PHP Injection: Serialized Object Injection
owasp-crs-v030001-id933180-php 1 Attacco PHP Injection: scoperta di una chiamata di funzione variabile
Not included 1 Attacco PHP Injection: scoperta di una chiamata di funzione variabile
owasp-crs-v030001-id933151-php 2 Attacco PHP Injection: nome della funzione PHP a rischio medio trovato
owasp-crs-v030001-id933131-php 3 Aggressione con iniezione di codice PHP: variabili trovate
owasp-crs-v030001-id933161-php 3 Azione di attacco di tipo PHP injection: è stata trovata una chiamata di funzione PHP di basso valore
owasp-crs-v030001-id933111-php 3 Azione di attacco di iniezione PHP: caricamento di file di script PHP rilevato
Not included 3 Azione di attacco con iniezione di codice PHP: tag di chiusura PHP trovato

Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disattivare le firme a livelli di sensibilità superiori.

Livello di sensibilità agli attacchi di attacco di iniezione PHP 1 

evaluatePreconfiguredExpr('php-v33-stable',
['owasp-crs-v030301-id933151-php',
  'owasp-crs-v030301-id933131-php',
  'owasp-crs-v030301-id933161-php',
  'owasp-crs-v030301-id933111-php',
  'owasp-crs-v030301-id933190-php']
)
Livello di sensibilità agli attacchi di attacco di iniezione PHP 2 

evaluatePreconfiguredExpr('php-v33-stable',
  ['owasp-crs-v0303001-id933131-php',
  'owasp-crs-v0303001-id933161-php',
  'owasp-crs-v0303001-id933111-php',
  'owasp-crs-v030301-id933190-php'])
Livello di sensibilità agli attacchi di attacco di iniezione PHP 3 

evaluatePreconfiguredExpr('php-v33-stable')

In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità dell'insieme di regole, Google Cloud Armor valuta tutte le firme.

RP 3.3

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 1})
2 AssessmentPreconfiguratoWaf('php-v33-stable', {'sensitivity': 2})
3 computePreconfiguratoWaf('php-v33-stable', {'sensitivity': 3})

CRS 3.0

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('php-stable', {'sensitivity': 1})
2 AssessmentPreconfigureWaf('php-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('php-stable', {'sensitivity': 3})

Fissazione della sessione

La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola preconfigurata di fissazione della sessione.

CRS 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id943100-sessionfixation 1 Possibile attacco di fissazione della sessione: impostazione dei valori dei cookie in HTML
owasp-crs-v030301-id943110-sessionfixation 1 Possibile attacco di fissazione della sessione: nome del parametro SessionID con referer fuori dal dominio
owasp-crs-v030301-id943120-sessionfixation 1 Possibile attacco di fissazione della sessione: nome parametro SessionID senza referrer

RP 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id943100-sessionfixation 1 Possibile attacco di fissazione della sessione: impostazione dei valori dei cookie in HTML
owasp-crs-v030001-id943110-sessionfixation 1 Possibile attacco di fissazione della sessione: nome del parametro SessionID con referer fuori dal dominio
owasp-crs-v030001-id943120-sessionfixation 1 Possibile attacco di fissazione della sessione: nome del parametro SessionID senza referer

Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disattivare le firme a livelli di sensibilità superiori. Tutte le firme per la fissazione della sessione sono al livello di sensibilità 1. La seguente configurazione è valida per tutti i livelli di sensibilità:

Livello di sensibilità della fissazione della sessione 1 

evaluatePreconfiguredExpr('sessionfixation-v33-stable')

In alternativa, puoi configurare una regola a un livello di sensibilità particolare utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Tutti le firme per la fissazione della sessione sono al livello di sensibilità 1. La seguente configurazione è valida per tutti i livelli di sensibilità:

RP 3.3

Livello di sensibilità Espressione
1 computePreconfigureWaf('sessionfixation-v33-stable', {'sensitivity': 1})

CRS 3.0

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('sessionfixation-stable', {'sensitivity': 1})

Attacco Java

La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola preconfigurata per gli attacchi Java.

RP 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id944100-java 1 Esecuzione del comando remoto: è stata rilevata una classe Java sospetta
owasp-crs-v030301-id944110-java 1 Esecuzione di comandi remoti: creazione di processi Java (CVE-2017-9805)
owasp-crs-v030301-id944120-java 1 Esecuzione di comandi remoti: serializzazione Java (CVE-2015-4852)
owasp-crs-v030301-id944130-java 1 Rilevata classe Java sospetta
owasp-crs-v030301-id944200-java 2 Byte magici rilevati, probabile serializzazione Java in uso
owasp-crs-v030301-id944210-java 2 Sono stati rilevati byte magici con codifica Base64, probabile serializzazione Java in uso
owasp-crs-v030301-id944240-java 2 Esecuzione del comando remoto: serializzazione Java (CVE-2015-4852)
owasp-crs-v030301-id944250-java 2 Esecuzione di comandi remoti: rilevato metodo Java sospetto
owasp-crs-v030301-id944300-java 3 La stringa codificata Base64 corrisponde a una parola chiave sospetta

CRS 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
Not included 1 Esecuzione del comando remoto: è stata rilevata una classe Java sospetta
Not included 1 Esecuzione di comandi remoti: creazione di processi Java (CVE-2017-9805)
Not included 1 Esecuzione di comandi remoti: serializzazione Java (CVE-2015-4852)
Not included 1 Rilevata classe Java sospetta
Not included 2 Byte magici rilevati, probabile serializzazione Java in uso
Not included 2 Sono stati rilevati byte magici con codifica Base64, probabile serializzazione Java in uso
Not included 2 Esecuzione del comando remoto: serializzazione Java (CVE-2015-4852)
Not included 2 Esecuzione di comandi remoti: rilevato metodo Java sospetto
Not included 3 La stringa codificata Base64 corrisponde a una parola chiave sospetta

Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disattivare le firme a livelli di sensibilità superiori.

Livello di sensibilità agli attacchi Java 1 

evaluatePreconfiguredExpr('java-v33-stable',
['owasp-crs-v030301-id944200-java',
 'owasp-crs-v030301-id944210-java',
 'owasp-crs-v030301-id944240-java',
 'owasp-crs-v030301-id944250-java',
 'owasp-crs-v030301-id944300-java'])
Livello di sensibilità agli attacchi Java 2 

evaluatePreconfiguredExpr('java-v33-stable',
['owasp-crs-v030301-id944300-java'])
Livello di sensibilità agli attacchi Java 3 

evaluatePreconfiguredExpr('java-v33-stable')

In alternativa, puoi configurare una regola a un livello di sensibilità particolare utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Per impostazione predefinita, senza configurare la sensibilità dell'insieme di regole, Google Cloud Armor valuta tutte le firme.

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 3})

Attacco NodeJS

La tabella seguente fornisce l'ID firma, il livello di sensibilità e descrizione di ogni firma supportata nell’attacco NodeJS preconfigurato personalizzata.

Le seguenti firme delle regole WAF preconfigurate sono incluse solo in CRS 3.3.

CRS 3.3

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030301-id934100-nodejs 1 Attacco injection Node.js

RP 3.0

ID firma (ID regola) Livello di sensibilità Descrizione
Not included 1 Attacco injection Node.js

Puoi configurare una regola a un determinato livello di sensibilità utilizzo di evaluatePreconfiguredExpr() per disattivare le firme con maggiore sensibilità diversi. Tutte le firme per l'attacco NodeJS sono a livello di sensibilità 1. La la seguente configurazione funziona per altri livelli di sensibilità:

Livello di sensibilità Node.js 1 

evaluatePreconfiguredExpr('nodejs-v33-stable')

In alternativa, puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Tutti le firme per l'attacco NodeJS sono al livello di sensibilità 1. Le seguenti la configurazione funziona per altri livelli di sensibilità:

Livello di sensibilità Espressione
1 evaluatePreconfiguredWaf('nodejs-v33-stable', {'sensitivity': 1})

CVE e altre vulnerabilità

La tabella seguente fornisce l'ID firma, il livello di sensibilità e la descrizione di ogni firma supportata nella regola preconfigurata per la vulnerabilità RCE di Log4j CVE.

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-v030001-id044228-cve 1 Regola di base per contribuire a rilevare i tentativi di exploit di CVE-2021-44228 & CVE-2021-45046
owasp-crs-v030001-id144228-cve 1 Miglioramenti forniti da Google per coprire più tentativi di bypass e offuscamento
owasp-crs-v030001-id244228-cve 3 Maggiore sensibilità del rilevamento per scegliere come target un numero ancora maggiore di tentativi di aggiramento e offuscamento, con un aumento nominale del rischio di rilevamento di falsi positivi
owasp-crs-v030001-id344228-cve 3 Maggiore sensibilità del rilevamento per scegliere come target un numero ancora maggiore di tentativi di bypass e offuscamento mediante la codifica base64, con un aumento nominale del rischio di rilevamento di falsi positivi

Puoi configurare una regola a un determinato livello di sensibilità utilizzando evaluatePreconfiguredExpr() per disattivare le firme a livelli di sensibilità superiori.

Livello di sensibilità CVE 1 

evaluatePreconfiguredExpr('cve-canary', ['owasp-crs-v030001-id244228-cve',
  'owasp-crs-v030001-id344228-cve'])
Livello di sensibilità CVE 3 

evaluatePreconfiguredExpr('cve-canary')

In alternativa, puoi configurare una regola a un livello di sensibilità particolare utilizzando evaluatePreconfiguredWaf() con un parametro di sensibilità preimpostato. Di predefinita, senza configurare la sensibilità del set di regole, Google Cloud Armor valuta tutte le firme.

Livello di sensibilità Espressione
1 AssessmentPreconfigureWaf('cve-canary', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('cve-canary', {'sensitivity': 2})
3 AssessmentPreconfiguratoWaf('cve-canary', {'sensitivity': 3})

Vulnerabilità SQLi dei contenuti con formattazione JSON

La tabella seguente fornisce l'ID firma, il livello di sensibilità e descrizione della firma supportata 942550-sqli, che copre la vulnerabilità in cui i malintenzionati possono bypassare WAF aggiungendo la sintassi JSON ai payload di SQL injection.

ID firma (ID regola) Livello di sensibilità Descrizione
owasp-crs-id942550-sqli 2 Rileva tutti i vettori di SQLi basati su JSON, incluse le firme SQLi trovate nell'URL

Utilizza la seguente espressione per eseguire il deployment della firma:

  evaluatePreconfiguredWaf('json-sqli-canary', {'sensitivity':0, 'opt_in_rule_ids': ['owasp-crs-id942550-sqli']})

Ti consigliamo di attivare anche sqli-v33-stable al livello di sensibilità 2 per risolvere completamente i problemi Bypassa SQL injection.

Limitazioni

Le regole WAF preconfigurate di Google Cloud Armor hanno le seguenti limitazioni:

  • Tra i tipi di richiesta HTTP con un corpo della richiesta, Google Cloud Armor elabora solo POST richieste. Google Cloud Armor valuta le regole preconfigurate in base ai primi 8 KB dei contenuti del corpo di POST. Per ulteriori informazioni, consulta la limitazione relativa all'ispezione del corpo POST.
  • Google Cloud Armor può analizzare e applicare regole WAF preconfigurate quando l'analisi di JSON è abilitata con un valore dell'intestazione Content-Type corrispondente. Per ulteriori informazioni, consulta la sezione Analisi del JSON.
  • Quando hai un'esclusione del campo della richiesta associata a una regola WAF preconfigurata, non puoi utilizzare l'azione allow. Le richieste corrispondenti all'eccezione vengono automaticamente consentito.

Passaggi successivi