Übersicht über vorkonfigurierte WAF-Regeln für Cloud Armor

Vorkonfigurierte WAF-Regeln für Google Cloud Armor sind komplexe Web Application Firewall (WAF)-Regeln mit Dutzenden von Signaturen, die aus Open-Source-Branchenstandards kompiliert wurden. Jede Signatur entspricht einer Angriffserkennungsregel im Regelsatz. Google bietet diese Regeln wie besehen an. Die Regeln ermöglichen es Cloud Armor, Dutzende von unterschiedlichen Traffic-Signaturen auszuwerten. Dabei bezieht sich Cloud Armor auf Regeln, die praktischerweise benannt sind, anstatt dass Sie jede Signatur manuell definieren müssen.

Vorkonfigurierte WAF-Regeln für Google Cloud Armor können an Ihre Anforderungen angepasst werden. Weitere Informationen zum Optimieren der Regeln finden Sie unter Vorkonfigurierte WAF-Regeln für Google Cloud Armor optimieren.

Die folgende Tabelle enthält eine umfassende Liste vorkonfigurierter WAF-Regeln, die in einer Cloud Armor-Sicherheitsrichtlinie verwendet werden können. Diese Regeln basieren auf dem OWASP ModSecurity Core Rule Set (CRS), z. B. OWASP Core Rule Set 4.22. Wir empfehlen, Version 4.22 zu verwenden, um den bestmöglichen Schutz vor modernen Bedrohungen zu erhalten. Derzeit werden CRS 3.3 und 3.0 unterstützt. Wir empfehlen jedoch, ältere Versionen, insbesondere CRS-Version 3.0, zu vermeiden, wenn Ihre Arbeitslasten die Regeln der Version 4.22 zulassen.

CRS 4.22

Name der Cloud Armor-Regel OWASP-Regelname Aktueller Status
SQL-Injection sqli-v422-stable Mit sqli-v422-canary synchronisiert
sqli-v422-canary Neueste
Cross-Site-Scripting xss-v422-stable Mit xss-v422-canary synchronisiert
xss-v422-canary Neueste
Aufnahme lokaler Dateien lfi-v422-stable Mit lfi-v422-canary synchronisiert
lfi-v422-canary Neueste
Remote-Datei einschließen rfi-v422-stable Mit rfi-v422-canary synchronisiert
rfi-v422-canary Neueste
Codeausführung per Fernzugriff rce-v422-stable Mit rce-v422-canary synchronisiert
rce-v422-canary Neueste
Methodenerzwingung methodenforcement-v422-stable Mit methodenforcement-v422-canary synchronisiert
methodenforcement-v422-canary Neueste
Scannererkennung scannerdetection-v422-stable Mit scannerdetection-v422-canary synchronisiert
scannerdetection-v422-canary Neueste
Protokollangriff protocolattack-v422-stable Mit protocolattack-v422-canary synchronisiert
protocolattack-v422-canary Neueste
PHP-Injection-Angriff php-v422-stable Mit php-v422-canary synchronisiert
php-v422-canary Neueste
Sitzungsfixierungsangriff sessionfixation-v422-stable Mit sessionfixation-v422-canary synchronisiert
sessionfixation-v422-canary Neueste
Java-Angriff java-v422-stable Mit java-v422-canary synchronisiert
java-v422-canary Neueste
Allgemeiner Angriff generic-v422-stable Mit generic-v422-canary synchronisiert
generic-v422-canary Neueste

CRS 3.3

Name der Cloud Armor-Regel OWASP-Regelname Aktueller Status
SQL-Injection sqli-v33-stable Mit sqli-v33-canary synchronisiert
sqli-v33-canary Neueste
Cross-Site-Scripting xss-v33-stable Mit xss-v33-canary synchronisiert
xss-v33-canary Neueste
Aufnahme lokaler Dateien lfi-v33-stable Mit lfi-v33-canary synchronisiert
lfi-v33-canary Neueste
Remote-Datei einschließen rfi-v33-stable Mit rfi-v33-canary synchronisiert
rfi-v33-canary Neueste
Codeausführung per Fernzugriff rce-v33-stable Mit rce-v33-canary synchronisiert
rce-v33-canary Neueste
Methodenerzwingung methodenforcement-v33-stable Mit methodenforcement-v33-canary synchronisiert
methodenforcement-v33-canary Neueste
Scannererkennung scannerdetection-v33-stable Mit scannerdetection-v33-canary synchronisiert
scannerdetection-v33-canary Neueste
Protokollangriff protocolattack-v33-stable Mit protocolattack-v33-canary synchronisiert
protocolattack-v33-canary Neueste
PHP-Injection-Angriff php-v33-stable Mit php-v33-canary synchronisiert
php-v33-canary Neueste
Sitzungsfixierungsangriff sessionfixation-v33-stable Mit sessionfixation-v33-canary synchronisiert
sessionfixation-v33-canary Neueste
Java-Angriff java-v33-stable Mit java-v33-canary synchronisiert
java-v33-canary Neueste
NodeJS-Angriff nodejs-v33-stable Mit nodejs-v33-canary synchronisiert
nodejs-v33-canary Neueste

CRS 3.0

Name der Cloud Armor-Regel OWASP-Regelname Aktueller Status
SQL-Injection sqli-stable Mit sqli-canary synchronisiert
sqli-canary Neueste
Cross-Site-Scripting xss-stable Mit xss-canary synchronisiert
xss-canary Neueste
Aufnahme lokaler Dateien lfi-stable Mit lfi-canary synchronisiert
lfi-canary Neueste
Remote-Datei einschließen rfi-stable Mit rfi-canary synchronisiert
rfi-canary Neueste
Codeausführung per Fernzugriff rce-stable Mit rce-canary synchronisiert
rce-canary Neueste
Methodenerzwingung methodenforcement-stable Mit methodenforcement-canary synchronisiert
methodenforcement-canary Neueste
Scannererkennung scannerdetection-stable Mit scannerdetection-canary synchronisiert
scannerdetection-canary Neueste
Protokollangriff protocolattack-stable Mit protocolattack-canary synchronisiert
protocolattack-canary Neueste
PHP-Injection-Angriff php-stable Mit php-canary synchronisiert
php-canary Neueste
Sitzungsfixierungsangriff sessionfixation-stable Mit sessionfixation-canary synchronisiert
sessionfixation-canary Neueste
Java-Angriff Not included
NodeJS-Angriff Not included

Darüber hinaus stehen die folgenden cve-canary-Regeln allen Cloud Armor-Kunden zur Verfügung, um die folgenden Sicherheitslücken zu erkennen und optional zu blockieren:

  • Log4j RCE-Sicherheitslücken CVE-2021-44228 und CVE-2021-45046
  • Sicherheitslücke bei 942550-sqli-Inhalten im JSON-Format
  • google-mrs-v202512-id000001-rce und google-mrs-v202512-id000002-rce React-RCE-Sicherheitslücke
Name der Cloud Armor-Regel Abgedeckte Sicherheitslückentypen
cve-canary RCE-Sicherheitslücken in Log4j und React
json-sqli-canary Sicherheitslücke in Form einer JSON-basierten SQL-Injection-Umgehung

Vorkonfigurierte OWASP-Regeln

Jede vorkonfigurierte WAF-Regel hat eine Empfindlichkeitsstufe, die einer OWASP CRS-Paranoia-Ebene entspricht. Eine niedrigere Empfindlichkeitsstufe weist auf eine vertrauenswürdigere Signatur hin, bei der die Wahrscheinlichkeit eines falsch-positiven Ergebnisses geringer ist. Eine höhere Empfindlichkeitsstufe erhöht die Sicherheit, erhöht aber auch das Risiko, ein falsch-positives Ergebnis zu erzeugen. Standardmäßig wird Cloud Armor auf Empfindlichkeitsstufe 4 ausgeführt und wertet alle Signaturen in einem Regelsatz aus, sobald er aktiviert ist.

SQL-Injection (SQLi)

Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten WAF-Regel für SQLi.

CRS 4.22

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v042200-id942100-sqli 1 SQL-Injection-Angriff über libinjection erkannt
owasp-crs-v042200-id942140-sqli 1 SQL-Injection-Angriff: Allgemeine DB-Namen erkannt
owasp-crs-v042200-id942151-sqli 1 SQL-Injection-Angriff: SQL-Funktionsname erkannt
owasp-crs-v042200-id942160-sqli 1 Erkennt SQLi-Tests mit sleep oder benchmark
owasp-crs-v042200-id942170-sqli 1 Erkennt SQL-benchmark- und sleep-Einschleusungsversuche, einschließlich bedingter Abfragen
owasp-crs-v042200-id942190-sqli 1 Erkennt MSSQL-Codeausführung und Informationserfassungsversuche
owasp-crs-v042200-id942220-sqli 1 Sucht nach Integer-Overflow-Angriffen
owasp-crs-v042200-id942230-sqli 1 Erkennt Angriffsversuche mit bedingter SQL-Injection.
owasp-crs-v042200-id942240-sqli 1 Erkennt MySQL-Zeichensatzwechsel und MSSQL-DoS-Angriffsversuche
owasp-crs-v042200-id942250-sqli 1 Erkennt MATCH AGAINST-, MERGE- und EXECUTE IMMEDIATE-Einschleusungen
owasp-crs-v042200-id942270-sqli 1 Sucht nach einfacher SQL-Injection; gängiger Angriffs-String für MySQL, Oracle und andere
owasp-crs-v042200-id942280-sqli 1 Erkennt Postgres-pg_sleep-Einschleusungen, waitfor-Verzögerungsangriffe und Versuche, die Datenbank herunterzufahren
owasp-crs-v042200-id942290-sqli 1 Erkennt Angriffsversuche mit grundlegender MongoDB SQL-Injection
owasp-crs-v042200-id942320-sqli 1 Erkennt Einschleusungen von gespeicherten Prozeduren oder Funktionen für MySQL und PostgreSQL.
owasp-crs-v042200-id942350-sqli 1 Erkennt MySQL-UDF-Einschleusungen und andere Versuche der Manipulation von Daten bzw. der Struktur
owasp-crs-v042200-id942360-sqli 1 Erkennt Versuche des Verkettens einfacher eingeschleuster SQL-Befehle und von SQL/LFI
owasp-crs-v042200-id942500-sqli 1 MySQL-Inline-Kommentar erkannt
owasp-crs-v042200-id942540-sqli 1 Umgehung der SQL-Authentifizierung (aufgeteilte Abfrage)
owasp-crs-v042200-id942560-sqli 1 MySQL-Nutzlast in wissenschaftlicher Schreibweise erkannt
owasp-crs-v042200-id942550-sqli 1 JSON-basierte SQL-Injection
owasp-crs-v042200-id942120-sqli 2 SQL-Injection-Angriff: SQL-Operator erkannt
owasp-crs-v042200-id942130-sqli 2 SQL-Injection-Angriff: Boolescher SQL-Angriff erkannt
owasp-crs-v042200-id942131-sqli 2 SQL-Injection-Angriff: Boolescher SQL-Angriff erkannt
owasp-crs-v042200-id942150-sqli 2 SQL-Injection-Angriff: SQL-Funktionsname erkannt
owasp-crs-v042200-id942180-sqli 2 Erkennt Umgehungsversuche der einfachen SQL-Authentifizierung 1/3
owasp-crs-v042200-id942200-sqli 2 Erkennt durch MySQL-Kommentare oder -Leerzeichen verschleierte Einschleusungen und die Terminierung per Backtick
owasp-crs-v042200-id942210-sqli 2 Erkennt verkettete SQL-Injection-Versuche 1/2
owasp-crs-v042200-id942260-sqli 2 Erkennt Umgehungsversuche der einfachen SQL-Authentifizierung 2/3
owasp-crs-v042200-id942300-sqli 2 Erkennt MySQL-Kommentare, ‑Bedingungen und ‑ch(a)r-Einschleusungen
owasp-crs-v042200-id942310-sqli 2 Erkennt verkettete SQL-Injection-Versuche 2/2
owasp-crs-v042200-id942330-sqli 2 Erkennt Probings von klassischen SQL-Injection 1/3
owasp-crs-v042200-id942340-sqli 2 Erkennt Umgehungsversuche der einfachen SQL-Authentifizierung 3/3
owasp-crs-v042200-id942361-sqli 2 Erkennt einfache SQL-Injection basierend auf Schlüsselwortänderungen oder Union
owasp-crs-v042200-id942362-sqli 2 Erkennt Versuche des Verkettens einfacher eingeschleuster SQL-Befehle und von SQL/LFI
owasp-crs-v042200-id942370-sqli 2 Erkennt Probings von klassischen SQL-Einschleusungen 2/3
owasp-crs-v042200-id942380-sqli 2 SQL-Injection-Angriff
owasp-crs-v042200-id942390-sqli 2 SQL-Injection-Angriff
owasp-crs-v042200-id942400-sqli 2 SQL-Injection-Angriff
owasp-crs-v042200-id942410-sqli 2 SQL-Injection-Angriff
owasp-crs-v042200-id942470-sqli 2 SQL-Injection-Angriff
owasp-crs-v042200-id942480-sqli 2 SQL-Injection-Angriff
owasp-crs-v042200-id942430-sqli 2 Eingeschränkte Anomalieerkennung für SQL-Zeichen (Argumente): Anzahl von Sonderzeichen überschritten (12)
owasp-crs-v042200-id942440-sqli 2 SQL-Kommentarsequenz erkannt
owasp-crs-v042200-id942450-sqli 2 SQL-Hex-Codierung erkannt
owasp-crs-v042200-id942510-sqli 2 SQLi-Umgang durch erkannte Ticks oder Graviszeichen
owasp-crs-v042200-id942520-sqli 2 Erkennt Umgehungsversuche der einfachen SQL-Authentifizierung 4.0/4
owasp-crs-v042200-id942521-sqli 2 Erkennt Umgehungsversuche der einfachen SQL-Authentifizierung 4.1/4
owasp-crs-v042200-id942522-sqli 2 Erkennt Umgehungsversuche der einfachen SQL-Authentifizierung 4.1/4
owasp-crs-v042200-id942101-sqli 2 SQL-Injection-Angriff über libinjection erkannt
owasp-crs-v042200-id942152-sqli 2 SQL-Injection-Angriff: SQL-Funktionsname erkannt
owasp-crs-v042200-id942321-sqli 2 Erkennt Einschleusungen von gespeicherten Prozeduren oder Funktionen für MySQL und PostgreSQL.
owasp-crs-v042200-id942251-sqli 3 Erkennt HAVING-Einschleusungen
owasp-crs-v042200-id942490-sqli 3 Erkennt Probings von klassischen SQL-Einschleusungen 3/3
owasp-crs-v042200-id942420-sqli 3 Eingeschränkte Anomalieerkennung für SQL-Zeichen (Cookies): Anzahl von Sonderzeichen überschritten (8)
owasp-crs-v042200-id942431-sqli 3 Eingeschränkte Anomalieerkennung für SQL-Zeichen (Argumente): Anzahl von Sonderzeichen überschritten (6)
owasp-crs-v042200-id942460-sqli 3 Warnung: Erkennung einer Metazeichenanomalie – Wiederholte Non-Word-Zeichen
owasp-crs-v042200-id942511-sqli 3 SQLi-Umgehungsversuch durch erkannte Ticks
owasp-crs-v042200-id942530-sqli 3 SQLi-Abfragebeendigung erkannt
owasp-crs-v042200-id942421-sqli 4 Eingeschränkte Anomalieerkennung für SQL-Zeichen (Cookies): Anzahl von Sonderzeichen überschritten (3)
owasp-crs-v042200-id942432-sqli 4 Eingeschränkte Anomalieerkennung für SQL-Zeichen (Argumente): Anzahl von Sonderzeichen überschritten (2)

CRS 3.3

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030301-id942100-sqli 1 SQL-Injection-Angriff über libinjection erkannt
owasp-crs-v030301-id942140-sqli 1 SQL-Injection-Angriff: Allgemeine DB-Namen erkannt
owasp-crs-v030301-id942160-sqli 1 Erkennt SQLi-Tests mit sleep oder benchmark
owasp-crs-v030301-id942170-sqli 1 Erkennt SQL-sleep- oder benchmark-Einschleusungsversuche, einschließlich bedingter Abfragen
owasp-crs-v030301-id942190-sqli 1 Erkennt MSSQL-Codeausführung und Informationserfassungsversuche
owasp-crs-v030301-id942220-sqli 1 Sucht nach Integer-Overflow-Angriffen
owasp-crs-v030301-id942230-sqli 1 Erkennt Angriffsversuche mit bedingter SQL-Injection.
owasp-crs-v030301-id942240-sqli 1 Erkennt MySQL-Zeichensatzwechsel und MSSQL-DoS-Angriffsversuche
owasp-crs-v030301-id942250-sqli 1 Erkennt MATCH AGAINST
owasp-crs-v030301-id942270-sqli 1 Sucht nach einfacher SQL-Injection; gängiger Angriffs-String für MySQL
owasp-crs-v030301-id942280-sqli 1 Erkennt Postgres-pg_sleep-Einschleusung
owasp-crs-v030301-id942290-sqli 1 Erkennt Angriffsversuche mit grundlegender MongoDB SQL-Injection
owasp-crs-v030301-id942320-sqli 1 Erkennt Einschleusungen von gespeicherten Prozeduren oder Funktionen für MySQL und PostgreSQL.
owasp-crs-v030301-id942350-sqli 1 Erkennt MySQL-UDF-Einschleusungen und andere Versuche der Manipulation von Daten bzw. der Struktur
owasp-crs-v030301-id942360-sqli 1 Erkennt Versuche des Verkettens einfacher eingeschleuster SQL-Befehle und von SQL/LFI
owasp-crs-v030301-id942500-sqli 1 MySQL-Inline-Kommentar erkannt
owasp-crs-v030301-id942110-sqli 2 SQL-Injection-Angriff: Allgemeine Tests auf Befehlseinschleusung erkannt
owasp-crs-v030301-id942120-sqli 2 SQL-Injection-Angriff: SQL-Operator erkannt
owasp-crs-v030301-id942130-sqli 2 SQL-Injection-Angriff: SQL-Tautologie erkannt
owasp-crs-v030301-id942150-sqli 2 SQL-Injection-Angriff
owasp-crs-v030301-id942180-sqli 2 Erkennt Umgehungsversuche der einfachen SQL-Authentifizierung 1/3
owasp-crs-v030301-id942200-sqli 2 Erkennt durch MySQL-Kommentare oder -Leerzeichen verschleierte Einschleusungen und die Terminierung per Backtick
owasp-crs-v030301-id942210-sqli 2 Erkennt verkettete SQL-Injection-Versuche 1/2
owasp-crs-v030301-id942260-sqli 2 Erkennt Umgehungsversuche der einfachen SQL-Authentifizierung 2/3
owasp-crs-v030301-id942300-sqli 2 Erkennt MySQL-Kommentare
owasp-crs-v030301-id942310-sqli 2 Erkennt verkettete SQL-Injection-Versuche 2/2
owasp-crs-v030301-id942330-sqli 2 Erkennt Probings von klassischen SQL-Injection 1/2
owasp-crs-v030301-id942340-sqli 2 Erkennt Umgehungsversuche der einfachen SQL-Authentifizierung 3/3
owasp-crs-v030301-id942361-sqli 2 Erkennt einfache SQL-Injection basierend auf Schlüsselwortänderungen oder Union
owasp-crs-v030301-id942370-sqli 2 Erkennt Probings von klassischen SQL-Einschleusungen 2/3
owasp-crs-v030301-id942380-sqli 2 SQL-Injection-Angriff
owasp-crs-v030301-id942390-sqli 2 SQL-Injection-Angriff
owasp-crs-v030301-id942400-sqli 2 SQL-Injection-Angriff
owasp-crs-v030301-id942410-sqli 2 SQL-Injection-Angriff
owasp-crs-v030301-id942470-sqli 2 SQL-Injection-Angriff
owasp-crs-v030301-id942480-sqli 2 SQL-Injection-Angriff
owasp-crs-v030301-id942430-sqli 2 Eingeschränkte Anomalieerkennung für SQL-Zeichen (Argumente): Anzahl von Sonderzeichen überschritten (12)
owasp-crs-v030301-id942440-sqli 2 SQL-Kommentarsequenz erkannt
owasp-crs-v030301-id942450-sqli 2 SQL-Hex-Codierung erkannt
owasp-crs-v030301-id942510-sqli 2 SQLi-Umgang durch erkannte Ticks oder Graviszeichen
owasp-crs-v030301-id942251-sqli 3 Erkennt HAVING-Einschleusungen
owasp-crs-v030301-id942490-sqli 3 Erkennt Probings von klassischen SQL-Einschleusungen 3/3
owasp-crs-v030301-id942420-sqli 3 Eingeschränkte Anomalieerkennung für SQL-Zeichen (Cookies): Anzahl von Sonderzeichen überschritten (8)
owasp-crs-v030301-id942431-sqli 3 Eingeschränkte Anomalieerkennung für SQL-Zeichen (Argumente): Anzahl von Sonderzeichen überschritten (6)
owasp-crs-v030301-id942460-sqli 3 Warnung: Erkennung einer Metazeichenanomalie – Wiederholte Non-Word-Zeichen
owasp-crs-v030301-id942101-sqli 3 SQL-Injection-Angriff über libinjection erkannt
owasp-crs-v030301-id942511-sqli 3 SQLi-Umgehungsversuch durch erkannte Ticks
owasp-crs-v030301-id942421-sqli 4 Eingeschränkte Anomalieerkennung für SQL-Zeichen (Cookies): Anzahl von Sonderzeichen überschritten (3)
owasp-crs-v030301-id942432-sqli 4 Eingeschränkte Anomalieerkennung für SQL-Zeichen (Argumente): Anzahl von Sonderzeichen überschritten (2)

CRS 3.0

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
Not included 1 SQL-Injection-Angriff über libinjection erkannt
owasp-crs-v030001-id942140-sqli 1 SQL-Injection-Angriff: Allgemeine DB-Namen erkannt
owasp-crs-v030001-id942160-sqli 1 Erkennt SQLi-Tests mit sleep oder benchmark
owasp-crs-v030001-id942170-sqli 1 Erkennt SQL-sleep- oder benchmark-Einschleusungsversuche, einschließlich bedingter Abfragen
owasp-crs-v030001-id942190-sqli 1 Erkennt MSSQL-Codeausführung und Informationserfassungsversuche
owasp-crs-v030001-id942220-sqli 1 Sucht nach Integer-Overflow-Angriffen
owasp-crs-v030001-id942230-sqli 1 Erkennt Angriffsversuche mit bedingter SQL-Injection.
owasp-crs-v030001-id942240-sqli 1 Erkennt MySQL-Zeichensatzwechsel und MSSQL-DoS-Angriffsversuche
owasp-crs-v030001-id942250-sqli 1 Erkennt MATCH AGAINST
owasp-crs-v030001-id942270-sqli 1 Sucht nach einfacher SQL-Injection; gängiger Angriffs-String für MySQL
owasp-crs-v030001-id942280-sqli 1 Erkennt Postgres-pg_sleep-Einschleusung
owasp-crs-v030001-id942290-sqli 1 Erkennt Angriffsversuche mit grundlegender MongoDB SQL-Injection
owasp-crs-v030001-id942320-sqli 1 Erkennt Einschleusungen von gespeicherten Prozeduren oder Funktionen für MySQL und PostgreSQL.
owasp-crs-v030001-id942350-sqli 1 Erkennt MySQL-UDF-Einschleusungen und andere Versuche der Manipulation von Daten bzw. der Struktur
owasp-crs-v030001-id942360-sqli 1 Erkennt Versuche des Verkettens einfacher eingeschleuster SQL-Befehle und von SQL/LFI
Not included 1 MySQL-Inline-Kommentar erkannt
owasp-crs-v030001-id942110-sqli 2 SQL-Injection-Angriff: Allgemeine Tests auf Befehlseinschleusung erkannt
owasp-crs-v030001-id942120-sqli 2 SQL-Injection-Angriff: SQL-Operator erkannt
Not included 2 SQL-Injection-Angriff: SQL-Tautologie erkannt
owasp-crs-v030001-id942150-sqli 2 SQL-Injection-Angriff
owasp-crs-v030001-id942180-sqli 2 Erkennt Umgehungsversuche der einfachen SQL-Authentifizierung 1/3
owasp-crs-v030001-id942200-sqli 2 Erkennt durch MySQL-Kommentare oder -Leerzeichen verschleierte Einschleusungen und die Terminierung per Backtick
owasp-crs-v030001-id942210-sqli 2 Erkennt verkettete SQL-Injection-Versuche 1/2
owasp-crs-v030001-id942260-sqli 2 Erkennt Umgehungsversuche der einfachen SQL-Authentifizierung 2/3
owasp-crs-v030001-id942300-sqli 2 Erkennt MySQL-Kommentare
owasp-crs-v030001-id942310-sqli 2 Erkennt verkettete SQL-Injection-Versuche 2/2
owasp-crs-v030001-id942330-sqli 2 Erkennt Probings von klassischen SQL-Injection 1/2
owasp-crs-v030001-id942340-sqli 2 Erkennt Umgehungsversuche der einfachen SQL-Authentifizierung 3/3
Not included 2 Erkennt einfache SQL-Injection basierend auf Schlüsselwortänderungen oder Union
Not included 2 Erkennt Probings von klassischen SQL-Einschleusungen 2/3
owasp-crs-v030001-id942380-sqli 2 SQL-Injection-Angriff
owasp-crs-v030001-id942390-sqli 2 SQL-Injection-Angriff
owasp-crs-v030001-id942400-sqli 2 SQL-Injection-Angriff
owasp-crs-v030001-id942410-sqli 2 SQL-Injection-Angriff
Not included 2 SQL-Injection-Angriff
Not included 2 SQL-Injection-Angriff
owasp-crs-v030001-id942430-sqli 2 Eingeschränkte Anomalieerkennung für SQL-Zeichen (Argumente): Anzahl von Sonderzeichen überschritten (12)
owasp-crs-v030001-id942440-sqli 2 SQL-Kommentarsequenz erkannt
owasp-crs-v030001-id942450-sqli 2 SQL-Hex-Codierung erkannt
Not included 2 SQLi-Umgang durch erkannte Ticks oder Graviszeichen
owasp-crs-v030001-id942251-sqli 3 Erkennt HAVING-Einschleusungen
Not included 2 Erkennt Probings von klassischen SQL-Einschleusungen 3/3
owasp-crs-v030001-id942420-sqli 3 Eingeschränkte Anomalieerkennung für SQL-Zeichen (Cookies): Anzahl von Sonderzeichen überschritten (8)
owasp-crs-v030001-id942431-sqli 3 Eingeschränkte Anomalieerkennung für SQL-Zeichen (Argumente): Anzahl von Sonderzeichen überschritten (6)
owasp-crs-v030001-id942460-sqli 3 Warnung: Erkennung einer Metazeichenanomalie – Wiederholte Non-Word-Zeichen
Not included 3 SQL-Injection-Angriff über libinjection erkannt
Not included 3 SQLi-Umgehungsversuch durch erkannte Ticks
owasp-crs-v030001-id942421-sqli 4 Eingeschränkte Anomalieerkennung für SQL-Zeichen (Cookies): Anzahl von Sonderzeichen überschritten (3)
owasp-crs-v030001-id942432-sqli 4 Eingeschränkte Anomalieerkennung für SQL-Zeichen (Argumente): Anzahl von Sonderzeichen überschritten (2)

Sie können eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf mit einem voreingestellten Empfindlichkeitsparameter. Standardmäßig wertet Cloud Armor alle Signaturen aus, ohne die Empfindlichkeit des Regelsatzes zu konfigurieren.

CRS 4.22

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('sqli-v422-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('sqli-v422-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('sqli-v422-stable', {'sensitivity': 3})
4 evaluatePreconfiguredWaf('sqli-v422-stable', {'sensitivity': 4})

CRS 3.3

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 3})
4 evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 4})

CRS 3.0

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 3})
4 evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 4})

Cross-Site-Scripting (XSS)

Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten WAF-Regel für XSS.

CRS 4.22

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v042200-id941100-xss 1 XSS-Angriff über libinjection erkannt
owasp-crs-v042200-id941110-xss 1 XSS-Filter – Kategorie 1: Skript-Tag-Vektor
owasp-crs-v042200-id941130-xss 1 XSS-Filter – Kategorie 3: Attributvektor
owasp-crs-v042200-id941140-xss 1 XSS-Filter – Kategorie 4: JavaScript-URI-Vektor
owasp-crs-v042200-id941160-xss 1 NoScript XSS InjectionChecker: HTML-Einschleusung
owasp-crs-v042200-id941170-xss 1 NoScript XSS InjectionChecker: Attributeinschleusung
owasp-crs-v042200-id941180-xss 1 Keywords von Sperrliste für Knotenvalidierung
owasp-crs-v042200-id941190-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v042200-id941200-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v042200-id941210-xss 1 JavaScript-Wort erkannt
owasp-crs-v042200-id941220-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v042200-id941230-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v042200-id941240-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v042200-id941250-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v042200-id941260-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v042200-id941270-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v042200-id941280-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v042200-id941290-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v042200-id941300-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v042200-id941310-xss 1 Falsch formatierte US-ASCII-Codierung für XSS-Filter – Angriff erkannt
owasp-crs-v042200-id941350-xss 1 UTF-7-Codierung – IE XSS – Angriff erkannt
owasp-crs-v042200-id941360-xss 1 Hierarchie-Verschleierung erkannt
owasp-crs-v042200-id941370-xss 1 Globale JavaScript-Variable gefunden
owasp-crs-v042200-id941390-xss 1 JavaScript-Methode erkannt
owasp-crs-v042200-id941400-xss 1 XSS-JavaScript-Funktion ohne Klammern
owasp-crs-v042200-id941101-xss 2 XSS-Angriff über libinjection erkannt
owasp-crs-v042200-id941120-xss 2 XSS-Filter – Kategorie 2: Event-Handler-Vektor
owasp-crs-v042200-id941150-xss 2 XSS-Filter – Kategorie 5: Unzulässige HTML-Attribute
owasp-crs-v042200-id941181-xss 2 Keywords von Sperrliste für Knotenvalidierung
owasp-crs-v042200-id941320-xss 2 Möglicher XSS-Angriff erkannt – HTML-Tag-Handler
owasp-crs-v042200-id941330-xss 2 IE-XSS-Filter – Angriff erkannt
owasp-crs-v042200-id941340-xss 2 IE-XSS-Filter – Angriff erkannt
owasp-crs-v042200-id941380-xss 2 AngularJS-Clientvorlagenvorlage erkannt

CRS 3.3

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030301-id941100-xss 1 XSS-Angriff über libinjection erkannt
owasp-crs-v030301-id941110-xss 1 XSS-Filter – Kategorie 1: Skript-Tag-Vektor
owasp-crs-v030301-id941120-xss 1 XSS-Filter – Kategorie 2: Event-Handler-Vektor
owasp-crs-v030301-id941130-xss 1 XSS-Filter – Kategorie 3: Attributvektor
owasp-crs-v030301-id941140-xss 1 XSS-Filter – Kategorie 4: JavaScript-URI-Vektor
owasp-crs-v030301-id941160-xss 1 NoScript XSS InjectionChecker: HTML-Einschleusung
owasp-crs-v030301-id941170-xss 1 NoScript XSS InjectionChecker: Attributeinschleusung
owasp-crs-v030301-id941180-xss 1 Keywords von Sperrliste für Knotenvalidierung
owasp-crs-v030301-id941190-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030301-id941200-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030301-id941210-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030301-id941220-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030301-id941230-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030301-id941240-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030301-id941250-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030301-id941260-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030301-id941270-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030301-id941280-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030301-id941290-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030301-id941300-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030301-id941310-xss 1 Falsch formatierte US-ASCII-Codierung für XSS-Filter – Angriff erkannt
owasp-crs-v030301-id941350-xss 1 UTF-7-Codierung – IE XSS – Angriff erkannt
owasp-crs-v030301-id941360-xss 1 Hierarchie-Verschleierung erkannt
owasp-crs-v030301-id941370-xss 1 Globale JavaScript-Variable gefunden
owasp-crs-v030301-id941101-xss 2 XSS-Angriff über libinjection erkannt
owasp-crs-v030301-id941150-xss 2 XSS-Filter – Kategorie 5: Unzulässige HTML-Attribute
owasp-crs-v030301-id941320-xss 2 Möglicher XSS-Angriff erkannt – HTML-Tag-Handler
owasp-crs-v030301-id941330-xss 2 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030301-id941340-xss 2 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030301-id941380-xss 2 AngularJS-Clientvorlagenvorlage erkannt

CRS 3.0

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
Not included 1 XSS-Angriff über libinjection erkannt
owasp-crs-v030001-id941110-xss 1 XSS-Filter – Kategorie 1: Skript-Tag-Vektor
owasp-crs-v030001-id941120-xss 1 XSS-Filter – Kategorie 2: Event-Handler-Vektor
owasp-crs-v030001-id941130-xss 1 XSS-Filter – Kategorie 3: Attributvektor
owasp-crs-v030001-id941140-xss 1 XSS-Filter – Kategorie 4: JavaScript-URI-Vektor
owasp-crs-v030001-id941160-xss 1 NoScript XSS InjectionChecker: HTML-Einschleusung
owasp-crs-v030001-id941170-xss 1 NoScript XSS InjectionChecker: Attributeinschleusung
owasp-crs-v030001-id941180-xss 1 Keywords von Sperrliste für Knotenvalidierung
owasp-crs-v030001-id941190-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941200-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941210-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941220-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941230-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941240-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941250-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941260-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941270-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941280-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941290-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941300-xss 1 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941310-xss 1 Falsch formatierte US-ASCII-Codierung für XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941350-xss 1 UTF-7-Codierung – IE XSS – Angriff erkannt
Not included 1 JSF*ck- oder Hieroglyphy-Verschleierung erkannt
Not included 1 Globale JavaScript-Variable gefunden
Not included 2 XSS-Angriff über libinjection erkannt
owasp-crs-v030001-id941150-xss 2 XSS-Filter – Kategorie 5: Unzulässige HTML-Attribute
owasp-crs-v030001-id941320-xss 2 Möglicher XSS-Angriff erkannt – HTML-Tag-Handler
owasp-crs-v030001-id941330-xss 2 IE-XSS-Filter – Angriff erkannt
owasp-crs-v030001-id941340-xss 2 IE-XSS-Filter – Angriff erkannt
Not included 2 AngularJS-Clientvorlagenvorlage erkannt

Sie können eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf mit einem voreingestellten Empfindlichkeitsparameter. Standardmäßig wertet Cloud Armor alle Signaturen aus, ohne die Empfindlichkeit des Regelsatzes zu konfigurieren.

CRS 4.22

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('xss-v422-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('xss-v422-stable', {'sensitivity': 2})

CRS 3.3

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('xss-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('xss-v33-stable', {'sensitivity': 2})

CRS 3.0

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('xss-stable', {'sensitivity': 1})

Aufnahme lokaler Dateien (Local File Inclusion, LFI)

Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten WAF-Regel für LFI.

CRS 4.22

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v042200-id930100-lfi 1 Path Traversal-Angriff (/../) oder (/.../)
owasp-crs-v042200-id930110-lfi 1 Path Traversal-Angriff (/../) oder (/.../)
owasp-crs-v042200-id930120-lfi 1 Zugriffsversuch auf Betriebssystemdatei
owasp-crs-v042200-id930130-lfi 1 Zugriffsversuch auf Datei mit eingeschränktem Zugriff
owasp-crs-v042200-id930121-lfi 2 Zugriffsversuch auf Betriebssystemdatei in REQUEST_HEADERS

CRS 3.3

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030301-id930100-lfi 1 Path Traversal-Angriff (/../)
owasp-crs-v030301-id930110-lfi 1 Path Traversal-Angriff (/../)
owasp-crs-v030301-id930120-lfi 1 Zugriffsversuch auf Betriebssystemdatei
owasp-crs-v030301-id930130-lfi 1 Zugriffsversuch auf Datei mit eingeschränktem Zugriff

CRS 3.0

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030001-id930100-lfi 1 Path Traversal-Angriff (/../)
owasp-crs-v030001-id930110-lfi 1 Path Traversal-Angriff (/../)
owasp-crs-v030001-id930120-lfi 1 Zugriffsversuch auf Betriebssystemdatei
owasp-crs-v030001-id930130-lfi 1 Zugriffsversuch auf Datei mit eingeschränktem Zugriff

Sie können eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf mit einem voreingestellten Empfindlichkeitsparameter. Alle Signaturen für LFI entsprechen der Empfindlichkeitsstufe 1. Die folgende Konfiguration funktioniert für alle Empfindlichkeitsstufen:

CRS 4.22

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('lfi-v422-stable', {'sensitivity': 1})

CRS 3.3

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('lfi-v33-stable', {'sensitivity': 1})

CRS 3.0

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('lfi-stable', {'sensitivity': 1})

Codeausführung per Fernzugriff (Remote Code Execution, RCE)

Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten WAF-Regel für RCE.

CRS 4.22

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v042200-id932230-rce 1 Remotebefehlsausführung: UNIX-Befehlseinschleusung (2–3 Zeichen)
owasp-crs-v042200-id932235-rce 1 Remotebefehlsausführung: UNIX-Befehlseinschleusung (Befehl ohne Umgehung)
owasp-crs-v042200-id932120-rce 1 Remote-Befehlsausführung: Windows-Befehl für HTML-Tag-Handler gefunden
owasp-crs-v042200-id932125-rce 1 Remotebefehlsausführung: Alias-Befehlseinschleusung in Windows-HTML-Tag-Handler
owasp-crs-v042200-id932130-rce 1 Remotebefehlsausführung: UNIX-Shell-Ausdruck gefunden
owasp-crs-v042200-id932140-rce 1 Remote-Befehlsausführung: Windows-FOR- oder IF-Befehl gefunden
owasp-crs-v042200-id932270-rce 1 Remotebefehlsausführung: UNIX-Shell-Ausdruck gefunden
owasp-crs-v042200-id932250-rce 1 Remotebefehlsausführung: Direkte Ausführung von UNIX-Befehlen
owasp-crs-v042200-id932260-rce 1 Remotebefehlsausführung: Direkte Ausführung von UNIX-Befehlen
owasp-crs-v042200-id932330-rce 1 Remotebefehlsausführung: Aufruf des UNIX-Shell-Verlaufs
owasp-crs-v042200-id932160-rce 1 Remotebefehlsausführung: UNIX-Shell-Code gefunden
owasp-crs-v042200-id932170-rce 1 Remotebefehlsausführung: Shellshock (CVE-2014-6271)
owasp-crs-v042200-id932171-rce 1 Remotebefehlsausführung: Shellshock (CVE-2014-6271)
owasp-crs-v042200-id932175-rce 1 Remotebefehlsausführung: Aufruf von UNIX-Shell-Alias
owasp-crs-v042200-id932180-rce 1 Eingeschränkter Dateiupload-Versuch
owasp-crs-v042200-id932370-rce 1 Remotebefehlsausführung: Windows-Befehlseinschleusung
owasp-crs-v042200-id932380-rce 1 Remotebefehlsausführung: Windows-Befehlseinschleusung
owasp-crs-v042200-id932280-rce 1 Remote-Befehlsausführung: Geschweifte Klammern gefunden
owasp-crs-v042200-id932231-rce 2 Remotebefehlsausführung: UNIX-Befehlseinschleusung
owasp-crs-v042200-id932131-rce 2 Remotebefehlsausführung: UNIX-Shell-Ausdruck gefunden
owasp-crs-v042200-id932200-rce 2 RCE-Bypass-Methode
owasp-crs-v042200-id932205-rce 2 RCE-Bypass-Methode
owasp-crs-v042200-id932206-rce 2 RCE-Bypass-Methode
owasp-crs-v042200-id932220-rce 2 Remotebefehlsausführung: UNIX-Befehlseinschleusung mit Pipe
owasp-crs-v042200-id932240-rce 2 Remotebefehlsausführung: Versuch, eine UNIX-Befehlseinschleusung zu umgehen, erkannt
owasp-crs-v042200-id932210-rce 2 Remotebefehlsausführung: Ausführung von SQLite-Systembefehlen
owasp-crs-v042200-id932271-rce 2 Remotebefehlsausführung: UNIX-Shell-Ausdruck gefunden
owasp-crs-v042200-id932300-rce 2 Remotebefehlsausführung: SMTP-Befehlsausführung
owasp-crs-v042200-id932310-rce 2 Remotebefehlsausführung: IMAP-Befehlsausführung
owasp-crs-v042200-id932320-rce 2 Remotebefehlsausführung: POP3-Befehlsausführung
owasp-crs-v042200-id932236-rce 2 Remotebefehlsausführung: UNIX-Befehlseinschleusung (Befehl ohne Umgehung)
owasp-crs-v042200-id932239-rce 2 Remotebefehlsausführung: UNIX-Befehlseinschleusung im User-Agent- oder Referer-Header gefunden
owasp-crs-v042200-id932161-rce 2 Remotebefehlsausführung: UNIX-Shell-Code in REQUEST_HEADERS gefunden
owasp-crs-v042200-id932371-rce 2 Remotebefehlsausführung: Windows-Befehlseinschleusung
owasp-crs-v042200-id932281-rce 2 Remote-Befehlsausführung: Geschweifte Klammern gefunden
owasp-crs-v042200-id932207-rce 2 RCE-Bypass-Methode
owasp-crs-v042200-id932232-rce 3 Remotebefehlsausführung: UNIX-Befehlseinschleusung
owasp-crs-v042200-id932237-rce 3 Remotebefehlsausführung: UNIX-Shell-Code in REQUEST_HEADERS gefunden
owasp-crs-v042200-id932238-rce 3 Remotebefehlsausführung: UNIX-Shell-Code in REQUEST_HEADERS gefunden
owasp-crs-v042200-id932190-rce 3 Remote-Befehlsausführung: Versuch, einen Platzhalter zu umgehen
owasp-crs-v042200-id932301-rce 3 Remotebefehlsausführung: SMTP-Befehlsausführung
owasp-crs-v042200-id932311-rce 3 Remotebefehlsausführung: IMAP-Befehlsausführung
owasp-crs-v042200-id932321-rce 3 Remotebefehlsausführung: POP3-Befehlsausführung
owasp-crs-v042200-id932331-rce 3 Remotebefehlsausführung: Aufruf des UNIX-Shell-Verlaufs

CRS 3.3

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030301-id932100-rce 1 UNIX-Befehlseinschleusung
owasp-crs-v030301-id932105-rce 1 UNIX-Befehlseinschleusung
owasp-crs-v030301-id932110-rce 1 Windows-Befehlseinschleusung
owasp-crs-v030301-id932115-rce 1 Windows-Befehlseinschleusung
owasp-crs-v030301-id932120-rce 1 Windows PowerShell-Befehl gefunden
owasp-crs-v030301-id932130-rce 1 UNIX-Shell-Ausdruck gefunden
owasp-crs-v030301-id932140-rce 1 Windows-FOR- oder IF-Befehl gefunden
owasp-crs-v030301-id932150-rce 1 Direkte Ausführung von UNIX-Befehlen
owasp-crs-v030301-id932160-rce 1 UNIX-Shell-Code gefunden
owasp-crs-v030301-id932170-rce 1 Shellshock (CVE-2014-6271)
owasp-crs-v030301-id932171-rce 1 Shellshock (CVE-2014-6271)
owasp-crs-v030301-id932180-rce 1 Eingeschränkter Dateiupload-Versuch
owasp-crs-v030301-id932200-rce 2 RCE-Bypass-Methode
owasp-crs-v030301-id932106-rce 3 Remotebefehlsausführung: UNIX-Befehlseinschleusung
owasp-crs-v030301-id932190-rce 3 Remote-Befehlsausführung: Versuch, einen Platzhalter zu umgehen

CRS 3.0

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030001-id932100-rce 1 UNIX-Befehlseinschleusung
owasp-crs-v030001-id932105-rce 1 UNIX-Befehlseinschleusung
owasp-crs-v030001-id932110-rce 1 Windows-Befehlseinschleusung
owasp-crs-v030001-id932115-rce 1 Windows-Befehlseinschleusung
owasp-crs-v030001-id932120-rce 1 Windows PowerShell-Befehl gefunden
owasp-crs-v030001-id932130-rce 1 UNIX-Shell-Ausdruck gefunden
owasp-crs-v030001-id932140-rce 1 Windows-FOR- oder IF-Befehl gefunden
owasp-crs-v030001-id932150-rce 1 Direkte Ausführung von UNIX-Befehlen
owasp-crs-v030001-id932160-rce 1 UNIX-Shell-Code gefunden
owasp-crs-v030001-id932170-rce 1 Shellshock (CVE-2014-6271)
owasp-crs-v030001-id932171-rce 1 Shellshock (CVE-2014-6271)
Not included 1 Eingeschränkter Dateiupload-Versuch
Not included 2 RCE-Bypass-Methode
Not included 3 Remotebefehlsausführung: UNIX-Befehlseinschleusung
Not included 3 Remote-Befehlsausführung: Versuch, einen Platzhalter zu umgehen

Sie können eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf mit einem voreingestellten Empfindlichkeitsparameter. Alle Signaturen für RCE entsprechen der Empfindlichkeitsstufe 1. Die folgende Konfiguration funktioniert für alle Empfindlichkeitsstufen:

CRS 4.22

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('rce-v422-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('rce-v422-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('rce-v422-stable', {'sensitivity': 3})

CRS 3.3

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 3})

CRS 3.0

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 3})

Datei-Aufnahme per Fernzugriff (Remote File Inclusion, RFI)

Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten WAF-Regel für RFI.

CRS 4.22

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v042200-id931100-rfi 1 Möglicher RFI-Angriff (Remote File Inclusion): URL-Parameter mit IP-Adresse
owasp-crs-v042200-id931110-rfi 1 Möglicher RFI-Angriff (Remote File Inclusion): Verwendung eines häufigen und für RFI anfälligen Parameternamens mit URL-Nutzlast
owasp-crs-v042200-id931120-rfi 1 Möglicher RFI-Angriff (Remote File Inclusion): URL-Nutzlast mit nachgestelltem Fragezeichen (?)
owasp-crs-v042200-id931130-rfi 2 Möglicher RFI-Angriff (Remote File Inclusion): Verweis oder Link außerhalb der Domain
owasp-crs-v042200-id931131-rfi 2 Möglicher RFI-Angriff (Remote File Inclusion): Verweis oder Link außerhalb der Domain

CRS 3.3

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030301-id931100-rfi 1 Verwendung von IP-Adresse für URL-Parameter
owasp-crs-v030301-id931110-rfi 1 Verwendung eines häufigen und für RFI anfälligen Parameternamens mit URL-Nutzlast
owasp-crs-v030301-id931120-rfi 1 Verwendung von URL-Nutzlast mit nachgestelltem Fragezeichen (?)
owasp-crs-v030301-id931130-rfi 2 Domain-externer Verweis oder Link

CRS 3.0

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030001-id931100-rfi 1 Verwendung von IP-Adresse für URL-Parameter
owasp-crs-v030001-id931110-rfi 1 Verwendung eines häufigen und für RFI anfälligen Parameternamens mit URL-Nutzlast
owasp-crs-v030001-id931120-rfi 1 Verwendung von URL-Nutzlast mit nachgestelltem Fragezeichen (?)
owasp-crs-v030001-id931130-rfi 2 Domain-externer Verweis oder Link

Sie können eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf mit einem voreingestellten Empfindlichkeitsparameter. Standardmäßig wertet Cloud Armor alle Signaturen aus, ohne die Empfindlichkeit des Regelsatzes zu konfigurieren.

CRS 4.22

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('rfi-v422-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('rfi-v422-stable', {'sensitivity': 2})

CRS 3.3

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('rfi-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('rfi-v33-stable', {'sensitivity': 2})

CRS 3.0

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('rfi-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('rfi-stable', {'sensitivity': 2})

Methodenerzwingung

Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten Methodenerzwingungsregel.

CRS 4.22

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v042200-id911100-methodenforcement 1 Methode ist gemäß Richtlinie nicht zulässig

CRS 3.3

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030301-id911100-methodenforcement 1 Methode ist gemäß Richtlinie nicht zulässig

CRS 3.0

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030001-id911100-methodenforcement 1 Methode ist gemäß Richtlinie nicht zulässig

Sie können eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf mit einem voreingestellten Empfindlichkeitsparameter. Standardmäßig wertet Cloud Armor alle Signaturen aus, ohne die Empfindlichkeit des Regelsatzes zu konfigurieren.

CRS 4.22

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('methodenforcement-v422-stable', {'sensitivity': 1})

CRS 3.3

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('methodenforcement-v33-stable', {'sensitivity': 1})

CRS 3.0

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('methodenforcement-stable', {'sensitivity': 1})

Scannererkennung

Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten Scannererkennungsregel.

CRS 4.22

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v042200-id913100-scannerdetection 1 User-Agent gefunden, der mit dem Sicherheitsscanner verknüpft ist

CRS 3.3

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030301-id913100-scannerdetection 1 User-Agent gefunden, der mit dem Sicherheitsscanner verknüpft ist
owasp-crs-v030301-id913110-scannerdetection 1 Anfrageheader gefunden, der mit dem Sicherheitsscanner verknüpft ist
owasp-crs-v030301-id913120-scannerdetection 1 Dateiname oder Argument für Anfrage gefunden, der/das mit dem Sicherheitsscanner verknüpft ist
owasp-crs-v030301-id913101-scannerdetection 2 User-Agent gefunden, der mit Scripting oder generischem HTTP-Client verknüpft ist
owasp-crs-v030301-id913102-scannerdetection 2 User-Agent gefunden, der mit Web-Crawler oder Bot verknüpft ist

CRS 3.0

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030001-id913100-scannerdetection 1 User-Agent gefunden, der mit dem Sicherheitsscanner verknüpft ist
owasp-crs-v030001-id913110-scannerdetection 1 Anfrageheader gefunden, der mit dem Sicherheitsscanner verknüpft ist
owasp-crs-v030001-id913120-scannerdetection 1 Dateiname oder Argument für Anfrage gefunden, der/das mit dem Sicherheitsscanner verknüpft ist
owasp-crs-v030001-id913101-scannerdetection 2 User-Agent gefunden, der mit Scripting oder generischem HTTP-Client verknüpft ist
owasp-crs-v030001-id913102-scannerdetection 2 User-Agent gefunden, der mit Web-Crawler oder Bot verknüpft ist

Sie können eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf mit einem voreingestellten Empfindlichkeitsparameter. Standardmäßig wertet Cloud Armor alle Signaturen aus, ohne die Empfindlichkeit des Regelsatzes zu konfigurieren.

CRS 4.22

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('scannerdetection-v422-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('scannerdetection-v422-stable', {'sensitivity': 2})

CRS 3.3

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('scannerdetection-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('scannerdetection-v33-stable', {'sensitivity': 2})

CRS 3.0

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('scannerdetection-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('scannerdetection-stable', {'sensitivity': 2})

Protokollangriff

Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten Protokollangriffsregel.

CRS 4.22

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v042200-id921110-protocolattack 1 HTTP-Anfrage-Schmuggelangriff
owasp-crs-v042200-id921120-protocolattack 1 HTTP-Antwort-Aufteilungsangriff
owasp-crs-v042200-id921130-protocolattack 1 HTTP-Antwort-Aufteilungsangriff
owasp-crs-v042200-id921140-protocolattack 1 HTTP-Header-Injection-Angriff über Header
owasp-crs-v042200-id921150-protocolattack 1 HTTP-Header-Injection-Angriff über Nutzlast (CR/LF erkannt)
owasp-crs-v042200-id921160-protocolattack 1 HTTP-Header-Injection-Angriff über Nutzlast (CR/LF und Header-Name erkannt)
owasp-crs-v042200-id921190-protocolattack 1 HTTP-Aufteilung (CR/LF im Dateinamen der Anfrage erkannt)
owasp-crs-v042200-id921200-protocolattack 1 Angriff mit LDAP-Einschleusung
owasp-crs-v042200-id921421-protocolattack 1 Content-Type-Header: Gefährlicher Content-Type außerhalb der MIME-Typ-Deklaration
owasp-crs-v042200-id921240-protocolattack 1 Angriffsversuch auf mod_proxy erkannt
owasp-crs-v042200-id921250-protocolattack 1 Es wurde versucht, alte Cookies v1 zu verwenden.
owasp-crs-v042200-id921151-protocolattack 2 HTTP-Header-Injection-Angriff über Nutzlast (CR/LF erkannt)
owasp-crs-v042200-id921422-protocolattack 2 Content-Type-Header: Gefährlicher Content-Type außerhalb der MIME-Typ-Deklaration
owasp-crs-v042200-id921230-protocolattack 3 HTTP-Bereichsheader erkannt
owasp-crs-v042200-id921170-protocolattack 3 HTTP-Parameter-Pollution (%{MATCHED_VAR_NAME})
owasp-crs-v042200-id921210-protocolattack 3 HTTP-Parameter-Pollution nach Erkennung eines gefälschten Zeichens nach dem Parameter-Array
owasp-crs-v042200-id921220-protocolattack 4 HTTP-Parameter-Pollution mit Array-Notation möglich

CRS 3.3

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
Not included 1 HTTP-Anfrage-Schmuggelangriff
owasp-crs-v030301-id921110-protocolattack 1 HTTP-Anfrage-Schmuggelangriff
owasp-crs-v030301-id921120-protocolattack 1 HTTP-Antwort-Aufteilungsangriff
owasp-crs-v030301-id921130-protocolattack 1 HTTP-Antwort-Aufteilungsangriff
owasp-crs-v030301-id921140-protocolattack 1 HTTP-Header-Injection-Angriff über Header
owasp-crs-v030301-id921150-protocolattack 1 HTTP-Header-Injection-Angriff über Nutzlast (CR/LF erkannt)
owasp-crs-v030301-id921160-protocolattack 1 HTTP-Header-Injection-Angriff über Nutzlast (CR/LF und Header-Name erkannt)
owasp-crs-v030301-id921190-protocolattack 1 HTTP-Aufteilung (CR/LF im Dateinamen der Anfrage erkannt)
owasp-crs-v030301-id921200-protocolattack 1 Angriff mit LDAP-Einschleusung
owasp-crs-v030301-id921151-protocolattack 2 HTTP-Header-Injection-Angriff über Nutzlast (CR/LF erkannt)
owasp-crs-v030301-id921170-protocolattack 3 HTTP-Parameter-Pollution

CRS 3.0

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030001-id921100-protocolattack 1 HTTP-Anfrage-Schmuggelangriff
owasp-crs-v030001-id921110-protocolattack 1 HTTP-Anfrage-Schmuggelangriff
owasp-crs-v030001-id921120-protocolattack 1 HTTP-Antwort-Aufteilungsangriff
owasp-crs-v030001-id921130-protocolattack 1 HTTP-Antwort-Aufteilungsangriff
owasp-crs-v030001-id921140-protocolattack 1 HTTP-Header-Injection-Angriff über Header
owasp-crs-v030001-id921150-protocolattack 1 HTTP-Header-Injection-Angriff über Nutzlast (CR/LF erkannt)
owasp-crs-v030001-id921160-protocolattack 1 HTTP-Header-Injection-Angriff über Nutzlast (CR/LF und Header-Name erkannt)
Not included 1 HTTP-Aufteilung (CR/LF im Dateinamen der Anfrage erkannt)
Not included 1 Angriff mit LDAP-Einschleusung
owasp-crs-v030001-id921151-protocolattack 2 HTTP-Header-Injection-Angriff über Nutzlast (CR/LF erkannt)
owasp-crs-v030001-id921170-protocolattack 3 HTTP-Parameter-Pollution

Sie können eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf mit einem voreingestellten Empfindlichkeitsparameter. Standardmäßig wertet Cloud Armor alle Signaturen aus, ohne die Empfindlichkeit des Regelsatzes zu konfigurieren.

CRS 4.22

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('protocolattack-v422-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('protocolattack-v422-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('protocolattack-v422-stable', {'sensitivity': 3})

CRS 3.3

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 3})

CRS 3.0

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 3})

PHP

Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten WAF-Regel für PHP.

CRS 4.22

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v042200-id933100-php 1 PHP-Injektionsangriff: PHP-Open-Tag gefunden
owasp-crs-v042200-id933110-php 1 PHP-Injektionsangriff: PHP-Skriptdatei-Upload gefunden
owasp-crs-v042200-id933120-php 1 PHP-Injektionsangriff: Konfigurationsanweisung gefunden
owasp-crs-v042200-id933130-php 1 PHP-Injektionsangriff: Variablen gefunden
owasp-crs-v042200-id933135-php 1 PHP-Injektionsangriff: Zugriff auf Variablen gefunden
owasp-crs-v042200-id933140-php 1 PHP-Injektionsangriff: E/A-Stream gefunden
owasp-crs-v042200-id933200-php 1 PHP-Injektionsangriff: Wrapper-Schema erkannt
owasp-crs-v042200-id933150-php 1 PHP-Injektionsangriff: PHP-Funktionsname mit hohem Risiko gefunden
owasp-crs-v042200-id933160-php 1 PHP-Injektionsangriff: PHP-Funktionsaufruf mit hohem Risiko gefunden
owasp-crs-v042200-id933170-php 1 PHP-Injektionsangriff: Serialisierte Objektinjektion
owasp-crs-v042200-id933180-php 1 PHP-Injektionsangriff: Variabler Funktionsaufruf gefunden
owasp-crs-v042200-id933210-php 1 PHP-Injektionsangriff: Variabler Funktionsaufruf gefunden
owasp-crs-v042200-id933151-php 2 PHP-Injektionsangriff: PHP-Funktionsname mit mittlerem Risiko gefunden
owasp-crs-v042200-id933152-php 2 PHP-Injektionsangriff: PHP-Funktionsname mit mittlerem Risiko gefunden
owasp-crs-v042200-id933153-php 2 PHP-Injektionsangriff: PHP-Funktionsname mit mittlerem Risiko gefunden
owasp-crs-v042200-id933131-php 3 PHP-Injektionsangriff: Variablen gefunden
owasp-crs-v042200-id933161-php 3 PHP-Injektionsangriff: PHP-Funktionsaufruf mit niedrigem Wert gefunden
owasp-crs-v042200-id933111-php 3 PHP-Injektionsangriff: PHP-Skriptdatei-Upload gefunden
owasp-crs-v042200-id933190-php 3 PHP-Injektionsangriff: PHP-Schließtag gefunden
owasp-crs-v042200-id933211-php 3 PHP-Injektionsangriff: Variabler Funktionsaufruf gefunden

CRS 3.3

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030301-id933100-php 1 PHP-Injektionsangriff: PHP-Open-Tag gefunden
owasp-crs-v030301-id933110-php 1 PHP-Injektionsangriff: PHP-Skriptdatei-Upload gefunden
owasp-crs-v030301-id933120-php 1 PHP-Injektionsangriff: Konfigurationsanweisung gefunden
owasp-crs-v030301-id933130-php 1 PHP-Injektionsangriff: Variablen gefunden
owasp-crs-v030301-id933140-php 1 PHP-Injektionsangriff: E/A-Stream gefunden
owasp-crs-v030301-id933200-php 1 PHP-Injektionsangriff: Wrapper-Schema erkannt
owasp-crs-v030301-id933150-php 1 PHP-Injektionsangriff: PHP-Funktionsname mit hohem Risiko gefunden
owasp-crs-v030301-id933160-php 1 PHP-Injektionsangriff: PHP-Funktionsaufruf mit hohem Risiko gefunden
owasp-crs-v030301-id933170-php 1 PHP-Injektionsangriff: Serialisierte Objektinjektion
owasp-crs-v030301-id933180-php 1 PHP-Injektionsangriff: Variabler Funktionsaufruf gefunden
owasp-crs-v030301-id933210-php 1 PHP-Injektionsangriff: Variabler Funktionsaufruf gefunden
owasp-crs-v030301-id933151-php 2 PHP-Injektionsangriff: PHP-Funktionsname mit mittlerem Risiko gefunden
owasp-crs-v030301-id933131-php 3 PHP-Injektionsangriff: Variablen gefunden
owasp-crs-v030301-id933161-php 3 PHP-Injektionsangriff: PHP-Funktionsaufruf mit niedrigem Wert gefunden
owasp-crs-v030301-id933111-php 3 PHP-Injektionsangriff: PHP-Skriptdatei-Upload gefunden
owasp-crs-v030301-id933190-php 3 PHP-Injektionsangriff: PHP-Schließtag gefunden

CRS 3.0

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030001-id933100-php 1 PHP-Injektionsangriff: PHP-Open-Tag gefunden
owasp-crs-v030001-id933110-php 1 PHP-Injektionsangriff: PHP-Skriptdatei-Upload gefunden
owasp-crs-v030001-id933120-php 1 PHP-Injektionsangriff: Konfigurationsanweisung gefunden
owasp-crs-v030001-id933130-php 1 PHP-Injektionsangriff: Variablen gefunden
owasp-crs-v030001-id933140-php 1 PHP-Injektionsangriff: E/A-Stream gefunden
Not included 1 PHP-Injektionsangriff: Wrapper-Schema erkannt
owasp-crs-v030001-id933150-php 1 PHP-Injektionsangriff: PHP-Funktionsname mit hohem Risiko gefunden
owasp-crs-v030001-id933160-php 1 PHP-Injektionsangriff: PHP-Funktionsaufruf mit hohem Risiko gefunden
owasp-crs-v030001-id933170-php 1 PHP-Injektionsangriff: Serialisierte Objektinjektion
owasp-crs-v030001-id933180-php 1 PHP-Injektionsangriff: Variabler Funktionsaufruf gefunden
Not included 1 PHP-Injektionsangriff: Variabler Funktionsaufruf gefunden
owasp-crs-v030001-id933151-php 2 PHP-Injektionsangriff: PHP-Funktionsname mit mittlerem Risiko gefunden
owasp-crs-v030001-id933131-php 3 PHP-Injektionsangriff: Variablen gefunden
owasp-crs-v030001-id933161-php 3 PHP-Injektionsangriff: PHP-Funktionsaufruf mit niedrigem Wert gefunden
owasp-crs-v030001-id933111-php 3 PHP-Injektionsangriff: PHP-Skriptdatei-Upload gefunden
Not included 3 PHP-Injektionsangriff: PHP-Schließtag gefunden

Sie können eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf mit einem voreingestellten Empfindlichkeitsparameter. Standardmäßig wertet Cloud Armor alle Signaturen aus, ohne die Empfindlichkeit des Regelsatzes zu konfigurieren.

CRS 4.22

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('php-v422-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('php-v422-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('php-v422-stable', {'sensitivity': 3})

CRS 3.3

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 3})

CRS 3.0

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('php-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('php-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('php-stable', {'sensitivity': 3})

Sitzungsfixierung

Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten Sitzungsfixierungsregel.

CRS 4.22

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v042200-id943100-sessionfixation 1 Möglicher Sitzungsfixierungsangriff: Cookie-Werte in HTML festlegen
owasp-crs-v042200-id943110-sessionfixation 1 Möglicher Sitzungsfixierungsangriff: SessionID-Parametername mit Verweis außerhalb der Domain
owasp-crs-v042200-id943120-sessionfixation 1 Möglicher Sitzungsfixierungsangriff: SessionID-Parametername ohne Verweis

CRS 3.3

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030301-id943100-sessionfixation 1 Möglicher Sitzungsfixierungsangriff: Cookie-Werte in HTML festlegen
owasp-crs-v030301-id943110-sessionfixation 1 Möglicher Sitzungsfixierungsangriff: SessionID-Parametername mit Verweis außerhalb der Domain
owasp-crs-v030301-id943120-sessionfixation 1 Möglicher Sitzungsfixierungsangriff: SessionID-Parametername ohne Verweis

CRS 3.0

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030001-id943100-sessionfixation 1 Möglicher Sitzungsfixierungsangriff: Cookie-Werte in HTML festlegen
owasp-crs-v030001-id943110-sessionfixation 1 Möglicher Sitzungsfixierungsangriff: SessionID-Parametername mit Verweis außerhalb der Domain
owasp-crs-v030001-id943120-sessionfixation 1 Möglicher Sitzungsfixierungsangriff: SessionID-Parametername ohne Verweis

Sie können eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf mit einem voreingestellten Empfindlichkeitsparameter. Alle Signaturen für die Sitzungsfixierung entsprechen der Empfindlichkeitsstufe 1. Die folgende Konfiguration funktioniert für alle Empfindlichkeitsstufen:

CRS 4.22

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('sessionfixation-v422-stable', {'sensitivity': 1})

CRS 3.3

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('sessionfixation-v33-stable', {'sensitivity': 1})

CRS 3.0

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('sessionfixation-stable', {'sensitivity': 1})

Java-Angriff

Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten Java-Angriffsregel.

CRS 4.22

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v042200-id944100-java 1 Remote-Befehlsausführung: Verdächtige Java-Klasse erkannt
owasp-crs-v042200-id944110-java 1 Remote-Befehlsausführung: Java-Prozess erzeugen (CVE-2017-9805)
owasp-crs-v042200-id944120-java 1 Remote-Befehlsausführung: Java-Serialisierung (CVE-2015-4852)
owasp-crs-v042200-id944130-java 1 Verdächtige Java-Klasse erkannt
owasp-crs-v042200-id944140-java 1 Java-Injektionsangriff: JavaScript-Datei-Upload gefunden
owasp-crs-v042200-id944150-java 1 Mögliche Remote-Befehlsausführung: Log4j oder Log4shell
owasp-crs-v042200-id944151-java 2 Mögliche Remote-Befehlsausführung: Log4j oder Log4shell
owasp-crs-v042200-id944200-java 2 Magische Bytes erkannt, wahrscheinliche Java-Serialisierung
owasp-crs-v042200-id944210-java 2 Magische Bytes erkannt, Base64-codiert, wahrscheinlich Java-Serialisierung verwendet
owasp-crs-v042200-id944240-java 2 Remote-Befehlsausführung: Java-Serialisierung (CVE-2015-4852)
owasp-crs-v042200-id944250-java 2 Remote-Befehlsausführung: Verdächtige Java-Methode erkannt
owasp-crs-v042200-id944260-java 2 Remotebefehlsausführung: Nutzlast zum Laden schädlicher Klassen
owasp-crs-v042200-id944300-java 3 Base64-codierter String, der mit verdächtigem Suchbegriff übereinstimmt
owasp-crs-v042200-id944152-java 4 Mögliche Remote-Befehlsausführung: Log4j oder Log4shell

CRS 3.3

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030301-id944100-java 1 Remote-Befehlsausführung: Verdächtige Java-Klasse erkannt
owasp-crs-v030301-id944110-java 1 Remote-Befehlsausführung: Java-Prozess erzeugen (CVE-2017-9805)
owasp-crs-v030301-id944120-java 1 Remote-Befehlsausführung: Java-Serialisierung (CVE-2015-4852)
owasp-crs-v030301-id944130-java 1 Verdächtige Java-Klasse erkannt
owasp-crs-v030301-id944200-java 2 Magische Bytes erkannt, wahrscheinliche Java-Serialisierung
owasp-crs-v030301-id944210-java 2 Magische Bytes erkannt, Base64-codiert, wahrscheinlich Java-Serialisierung verwendet
owasp-crs-v030301-id944240-java 2 Remote-Befehlsausführung: Java-Serialisierung (CVE-2015-4852)
owasp-crs-v030301-id944250-java 2 Remote-Befehlsausführung: Verdächtige Java-Methode erkannt
owasp-crs-v030301-id944300-java 3 Base64-codierter String, der mit verdächtigem Suchbegriff übereinstimmt

CRS 3.0

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
Not included 1 Remote-Befehlsausführung: Verdächtige Java-Klasse erkannt
Not included 1 Remote-Befehlsausführung: Java-Prozess erzeugen (CVE-2017-9805)
Not included 1 Remote-Befehlsausführung: Java-Serialisierung (CVE-2015-4852)
Not included 1 Verdächtige Java-Klasse erkannt
Not included 2 Magische Bytes erkannt, wahrscheinliche Java-Serialisierung
Not included 2 Magische Bytes erkannt, Base64-codiert, wahrscheinlich Java-Serialisierung verwendet
Not included 2 Remote-Befehlsausführung: Java-Serialisierung (CVE-2015-4852)
Not included 2 Remote-Befehlsausführung: Verdächtige Java-Methode erkannt
Not included 3 Base64-codierter String, der mit verdächtigem Suchbegriff übereinstimmt

Sie können eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf mit einem voreingestellten Empfindlichkeitsparameter. Standardmäßig wertet Cloud Armor alle Signaturen aus, ohne die Empfindlichkeit des Regelsatzes zu konfigurieren.

CRS 4.22

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('java-v422-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('java-v422-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('java-v422-stable', {'sensitivity': 3})

CRS 3.3

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 3})

Allgemeiner Angriff

Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten generischen Angriffsregel.

CRS 4.22

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v042200-id934100-generic 1 Node.js-Injektionsangriff 1/2
owasp-crs-v042200-id934110-generic 1 Möglicher Angriff durch serverseitige Anfragefälschung (SSRF): Metadaten-URL des Cloud-Anbieters im Parameter
owasp-crs-v042200-id934130-generic 1 JavaScript-Prototype-Pollution
owasp-crs-v042200-id934150-generic 1 Ruby-Injection-Angriff
owasp-crs-v042200-id934160-generic 1 Node.js-DoS-Angriff
owasp-crs-v042200-id934170-generic 1 PHP-Datenschema-Angriff
owasp-crs-v042200-id934101-generic 2 Node.js-Injektionsangriff 2/2
owasp-crs-v042200-id934120-generic 2 Möglicher Angriff durch serverseitige Anfragefälschung (SSRF): URL-Parameter mit IP-Adresse
owasp-crs-v042200-id934140-generic 2 Perl-Injection-Angriff
owasp-crs-v042200-id934180-generic 2 SSTI-Angriff

CRS 3.3

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030301-id934100-nodejs 1 Node.js-Injektionsangriff

CRS 3.0

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
Not included 1 Node.js-Injektionsangriff

Sie können eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf mit einem voreingestellten Empfindlichkeitsparameter. Alle Signaturen für den NodeJS-Angriff entsprechen der Empfindlichkeitsstufe 1. Die folgende Konfiguration funktioniert für andere Empfindlichkeitsstufen:

CRS 4.22

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('generic-v422-stable', {'sensitivity': 1})

CRS 3.3

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('nodejs-v33-stable', {'sensitivity': 1})

Vergleich von Cloud Armor WAF-Regeln: CRS 3.3 und CRS 4.22

In der folgenden Tabelle finden Sie die vollständige Liste der Unterschiede zwischen den Cloud Armor-Regelsätzen CRS 3.3 und CRS 4.22.

Die Kategorie nodejs aus CRS 3.3 wurde in CRS 4.22 in generic umbenannt. Sie haben jedoch das gleiche Regel-ID-Präfix „934“. CRS 4.22 wird für den modernen Schutz vor Bedrohungen empfohlen.

Kategorie OWASP-Regel Regel-ID In CRS 3.3 In CRS 4.22 Status
Cross-Site-Scripting (XSS)xss-v422-stable941100JaJaBeides
Cross-Site-Scripting (XSS)xss-v422-stable941101JaJaBeides
Cross-Site-Scripting (XSS)xss-v422-stable941110JaJaBeides
Cross-Site-Scripting (XSS)xss-v422-stable941120JaJaBeides
Cross-Site-Scripting (XSS)xss-v422-stable941130JaJaBeides
Cross-Site-Scripting (XSS)xss-v422-stable941140JaJaBeides
Cross-Site-Scripting (XSS)xss-v422-stable941150JaJaBeides
Cross-Site-Scripting (XSS)xss-v422-stable941160JaJaBeides
Cross-Site-Scripting (XSS)xss-v422-stable941170JaJaBeides
Cross-Site-Scripting (XSS)xss-v422-stable941180JaJaBeides
Cross-Site-Scripting (XSS)xss-v422-stable941181NeinJa4.22 Nur
Cross-Site-Scripting (XSS)xss-v422-stable941190JaJaBeides
Cross-Site-Scripting (XSS)xss-v422-stable941200JaJaBeides
Cross-Site-Scripting (XSS)xss-v422-stable941210JaJaBeides
Cross-Site-Scripting (XSS)xss-v422-stable941220JaJaBeides
Cross-Site-Scripting (XSS)xss-v422-stable941230JaJaBeides
Cross-Site-Scripting (XSS)xss-v422-stable941240JaJaBeides
Cross-Site-Scripting (XSS)xss-v422-stable941250JaJaBeides
Cross-Site-Scripting (XSS)xss-v422-stable941260JaJaBeides
Cross-Site-Scripting (XSS)xss-v422-stable941270JaJaBeides
Cross-Site-Scripting (XSS)xss-v422-stable941280JaJaBeides
Cross-Site-Scripting (XSS)xss-v422-stable941290JaJaBeides
Cross-Site-Scripting (XSS)xss-v422-stable941300JaJaBeides
Cross-Site-Scripting (XSS)xss-v422-stable941310JaJaBeides
Cross-Site-Scripting (XSS)xss-v422-stable941320JaJaBeides
Cross-Site-Scripting (XSS)xss-v422-stable941330JaJaBeides
Cross-Site-Scripting (XSS)xss-v422-stable941340JaJaBeides
Cross-Site-Scripting (XSS)xss-v422-stable941350JaJaBeides
Cross-Site-Scripting (XSS)xss-v422-stable941360JaJaBeides
Cross-Site-Scripting (XSS)xss-v422-stable941370JaJaBeides
Cross-Site-Scripting (XSS)xss-v422-stable941380JaJaBeides
Cross-Site-Scripting (XSS)xss-v422-stable941390NeinJa4.22 Nur
Cross-Site-Scripting (XSS)xss-v422-stable941400NeinJa4.22 Nur
Allgemein (NodeJS)generic-v422-stable934100JaJaBeides
Allgemein (NodeJS)generic-v422-stable934101NeinJa4.22 Nur
Allgemein (NodeJS)generic-v422-stable934110NeinJa4.22 Nur
Allgemein (NodeJS)generic-v422-stable934120NeinJa4.22 Nur
Allgemein (NodeJS)generic-v422-stable934130NeinJa4.22 Nur
Allgemein (NodeJS)generic-v422-stable934140NeinJa4.22 Nur
Allgemein (NodeJS)generic-v422-stable934150NeinJa4.22 Nur
Allgemein (NodeJS)generic-v422-stable934160NeinJa4.22 Nur
Allgemein (NodeJS)generic-v422-stable934170NeinJa4.22 Nur
Allgemein (NodeJS)generic-v422-stable934180NeinJa4.22 Nur
Javajava-v422-stable944100JaJaBeides
Javajava-v422-stable944110JaJaBeides
Javajava-v422-stable944120JaJaBeides
Javajava-v422-stable944130JaJaBeides
Javajava-v422-stable944140NeinJa4.22 Nur
Javajava-v422-stable944150NeinJa4.22 Nur
Javajava-v422-stable944151NeinJa4.22 Nur
Javajava-v422-stable944152NeinJa4.22 Nur
Javajava-v422-stable944200JaJaBeides
Javajava-v422-stable944210JaJaBeides
Javajava-v422-stable944240JaJaBeides
Javajava-v422-stable944250JaJaBeides
Javajava-v422-stable944260NeinJa4.22 Nur
Javajava-v422-stable944300JaJaBeides
Aufnahme lokaler Dateien (Local File Inclusion, LFI)lfi-v422-stable930100JaJaBeides
Aufnahme lokaler Dateien (Local File Inclusion, LFI)lfi-v422-stable930110JaJaBeides
Aufnahme lokaler Dateien (Local File Inclusion, LFI)lfi-v422-stable930120JaJaBeides
Aufnahme lokaler Dateien (Local File Inclusion, LFI)lfi-v422-stable930121NeinJa4.22 Nur
Aufnahme lokaler Dateien (Local File Inclusion, LFI)lfi-v422-stable930130JaJaBeides
Methodenerzwingungmethodenforcement-v422-stable911100JaJaBeides
PHPphp-v422-stable933100JaJaBeides
PHPphp-v422-stable933110JaJaBeides
PHPphp-v422-stable933111JaJaBeides
PHPphp-v422-stable933120JaJaBeides
PHPphp-v422-stable933130JaJaBeides
PHPphp-v422-stable933131JaJaBeides
PHPphp-v422-stable933135NeinJa4.22 Nur
PHPphp-v422-stable933140JaJaBeides
PHPphp-v422-stable933150JaJaBeides
PHPphp-v422-stable933151JaJaBeides
PHPphp-v422-stable933152NeinJa4.22 Nur
PHPphp-v422-stable933153NeinJa4.22 Nur
PHPphp-v422-stable933160JaJaBeides
PHPphp-v422-stable933161JaJaBeides
PHPphp-v422-stable933170JaJaBeides
PHPphp-v422-stable933180JaJaBeides
PHPphp-v422-stable933190JaJaBeides
PHPphp-v422-stable933200JaJaBeides
PHPphp-v422-stable933210JaJaBeides
PHPphp-v422-stable933211NeinJa4.22 Nur
Protokollangriffprotocolattack-v422-stable921110JaJaBeides
Protokollangriffprotocolattack-v422-stable921120JaJaBeides
Protokollangriffprotocolattack-v422-stable921130JaJaBeides
Protokollangriffprotocolattack-v422-stable921140JaJaBeides
Protokollangriffprotocolattack-v422-stable921150JaJaBeides
Protokollangriffprotocolattack-v422-stable921151JaJaBeides
Protokollangriffprotocolattack-v422-stable921160JaJaBeides
Protokollangriffprotocolattack-v422-stable921170JaJaBeides
Protokollangriffprotocolattack-v422-stable921190JaJaBeides
Protokollangriffprotocolattack-v422-stable921200JaJaBeides
Protokollangriffprotocolattack-v422-stable921210NeinJa4.22 Nur
Protokollangriffprotocolattack-v422-stable921220NeinJa4.22 Nur
Protokollangriffprotocolattack-v422-stable921230NeinJa4.22 Nur
Protokollangriffprotocolattack-v422-stable921240NeinJa4.22 Nur
Protokollangriffprotocolattack-v422-stable921250NeinJa4.22 Nur
Protokollangriffprotocolattack-v422-stable921421NeinJa4.22 Nur
Protokollangriffprotocolattack-v422-stable921422NeinJa4.22 Nur
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932100JaNein3.3 Nur
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932105JaNein3.3 Nur
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932106JaNein3.3 Nur
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932110JaNein3.3 Nur
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932115JaNein3.3 Nur
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932120JaJaBeides
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932125NeinJa4.22 Nur
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932130JaJaBeides
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932131NeinJa4.22 Nur
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932140JaJaBeides
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932150JaNein3.3 Nur
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932160JaJaBeides
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932161NeinJa4.22 Nur
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932170JaJaBeides
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932171JaJaBeides
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932175NeinJa4.22 Nur
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932180JaJaBeides
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932190JaJaBeides
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932200JaJaBeides
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932205NeinJa4.22 Nur
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932206NeinJa4.22 Nur
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932207NeinJa4.22 Nur
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932210NeinJa4.22 Nur
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932220NeinJa4.22 Nur
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932230NeinJa4.22 Nur
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932231NeinJa4.22 Nur
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932232NeinJa4.22 Nur
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932235NeinJa4.22 Nur
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932236NeinJa4.22 Nur
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932237NeinJa4.22 Nur
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932238NeinJa4.22 Nur
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932239NeinJa4.22 Nur
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932240NeinJa4.22 Nur
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932250NeinJa4.22 Nur
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932260NeinJa4.22 Nur
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932270NeinJa4.22 Nur
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932271NeinJa4.22 Nur
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932280NeinJa4.22 Nur
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932281NeinJa4.22 Nur
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932300NeinJa4.22 Nur
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932301NeinJa4.22 Nur
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932310NeinJa4.22 Nur
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932311NeinJa4.22 Nur
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932320NeinJa4.22 Nur
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932321NeinJa4.22 Nur
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932330NeinJa4.22 Nur
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932331NeinJa4.22 Nur
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932370NeinJa4.22 Nur
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932371NeinJa4.22 Nur
Codeausführung per Fernzugriff (Remote Code Execution, RCE)rce-v422-stable932380NeinJa4.22 Nur
Datei-Aufnahme per Fernzugriff (Remote File Inclusion, RFI)rfi-v422-stable931100JaJaBeides
Datei-Aufnahme per Fernzugriff (Remote File Inclusion, RFI)rfi-v422-stable931110JaJaBeides
Datei-Aufnahme per Fernzugriff (Remote File Inclusion, RFI)rfi-v422-stable931120JaJaBeides
Datei-Aufnahme per Fernzugriff (Remote File Inclusion, RFI)rfi-v422-stable931130JaJaBeides
Datei-Aufnahme per Fernzugriff (Remote File Inclusion, RFI)rfi-v422-stable931131NeinJa4.22 Nur
SQL-Injection (SQLi)sqli-v422-stable942100JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942101JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942110JaNein3.3 Nur
SQL-Injection (SQLi)sqli-v422-stable942120JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942130JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942131NeinJa4.22 Nur
SQL-Injection (SQLi)sqli-v422-stable942140JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942150JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942151NeinJa4.22 Nur
SQL-Injection (SQLi)sqli-v422-stable942152NeinJa4.22 Nur
SQL-Injection (SQLi)sqli-v422-stable942160JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942170JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942180JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942190JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942200JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942210JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942220JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942230JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942240JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942250JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942251JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942260JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942270JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942280JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942290JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942300JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942310JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942320JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942321NeinJa4.22 Nur
SQL-Injection (SQLi)sqli-v422-stable942330JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942340JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942350JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942360JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942361JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942362NeinJa4.22 Nur
SQL-Injection (SQLi)sqli-v422-stable942370JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942380JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942390JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942400JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942410JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942420JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942421JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942430JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942431JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942432JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942440JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942450JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942460JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942470JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942480JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942490JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942500JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942510JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942511JaJaBeides
SQL-Injection (SQLi)sqli-v422-stable942520NeinJa4.22 Nur
SQL-Injection (SQLi)sqli-v422-stable942521NeinJa4.22 Nur
SQL-Injection (SQLi)sqli-v422-stable942522NeinJa4.22 Nur
SQL-Injection (SQLi)sqli-v422-stable942530NeinJa4.22 Nur
SQL-Injection (SQLi)sqli-v422-stable942540NeinJa4.22 Nur
SQL-Injection (SQLi)sqli-v422-stable942550NeinJa4.22 Nur
SQL-Injection (SQLi)sqli-v422-stable942560NeinJa4.22 Nur
Scannererkennungscannerdetection-v422-stable913100JaJaBeides
Scannererkennungscannerdetection-v422-stable913101JaNein3.3 Nur
Scannererkennungscannerdetection-v422-stable913102JaNein3.3 Nur
Scannererkennungscannerdetection-v422-stable913110JaNein3.3 Nur
Scannererkennungscannerdetection-v422-stable913120JaNein3.3 Nur
Sitzungsfixierungsessionfixation-v422-stable943100JaJaBeides
Sitzungsfixierungsessionfixation-v422-stable943110JaJaBeides
Sitzungsfixierungsessionfixation-v422-stable943120JaJaBeides

CVEs und andere Sicherheitslücken

Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der Regel für RCE-Sicherheitslücken in React, um CVE-2025-55182 zu erkennen und zu beheben.

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
google-mrs-v202512-id000001-rce 0 React-RCE-Sicherheitslücke zur Erkennung und Minderung von CVE-2025-55182
google-mrs-v202512-id000002-rce 0 React-RCE-Sicherheitslücke zur Erkennung und Minderung von CVE-2025-55182

Verwenden Sie den folgenden Ausdruck, um CVE-2025-55182 zu erkennen und zu beheben:

(has(request.headers['next-action']) || has(request.headers['rsc-action-id']) ||request.headers['content-type'].contains('multipart/form-data') || request.headers['content-type'].contains('application/x-www-form-urlencoded') ) && evaluatePreconfiguredWaf('cve-canary',{'sensitivity': 0, 'opt_in_rule_ids': ['google-mrs-v202512-id000001-rce', 'google-mrs-v202512-id000002-rce']})

Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten Regel für die CVE Log4j RCE-Schwachstelle.

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-v030001-id044228-cve 1 Basisregel zur Erkennung von Exploit-Versuchen von CVE-2021-44228 und CVE-2021-45046
owasp-crs-v030001-id144228-cve 1 Von Google bereitgestellte Verbesserungen, um mehr Umgehungs- und Verschleierungsversuche abzudecken
owasp-crs-v030001-id244228-cve 3 Erhöhte Empfindlichkeit der Erkennung, um noch mehr Umgehungs- und Verschleierungsversuche zu erkennen, wobei das Risiko einer falsch-positiven Erkennung nur geringfügig steigt
owasp-crs-v030001-id344228-cve 3 Erhöhte Empfindlichkeit der Erkennung, um noch mehr Umgehungs- und Verschleierungsversuche mit base64-Codierung zu erkennen, wobei das Risiko einer falsch-positiven Erkennung nur geringfügig steigt

Sie können eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf mit einem voreingestellten Empfindlichkeitsparameter. Standardmäßig wertet Cloud Armor alle Signaturen aus, ohne die Empfindlichkeit des Regelsatzes zu konfigurieren.

Empfindlichkeitsstufe Ausdruck
1 evaluatePreconfiguredWaf('cve-canary', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('cve-canary', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('cve-canary', {'sensitivity': 3})

SQLi-Sicherheitslücke bei JSON-formatierten Inhalten

Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung der unterstützten Signatur 942550-sqli, die die Sicherheitslücke abdeckt, bei der böswillige Angreifer die WAF umgehen können, indem sie JSON-Syntax an SQL-Injection-Payloads anhängen.

Signatur-ID (Regel-ID) Empfindlichkeitsstufe Beschreibung
owasp-crs-id942550-sqli 2 Erkennt alle JSON-basierten SQLi-Vektoren, einschließlich SQLi-Signaturen in der URL

Verwenden Sie den folgenden Ausdruck, um die Signatur bereitzustellen:

  evaluatePreconfiguredWaf('json-sqli-canary', {'sensitivity':0, 'opt_in_rule_ids': ['owasp-crs-id942550-sqli']})

Wir empfehlen, sqli-v33-stable auch auf Sensitivitätsstufe 2 zu aktivieren, um JSON-basierte SQL-Injection-Umgehungen vollständig zu verhindern.

Beschränkungen

Vorkonfigurierte WAF-Regeln für Cloud Armor unterliegen den folgenden Einschränkungen:

  • Es dauert in der Regel einige Minuten, bis Änderungen an WAF-Regeln übernommen werden.
  • Von den HTTP-Anfragetypen mit einem Anfragetext verarbeitet Cloud Armor nur Anfragen mit einem Textkörper. Cloud Armor wertet vorkonfigurierte Regeln für die ersten 64 KB des Anfragetextinhalts aus. Weitere Informationen finden Sie unter Beschränkung der POST-Textprüfung.
  • Wenn das JSON-Parsing aktiviert ist, kann Cloud Armor vorkonfigurierte WAF-Regeln für JSON-formatierte Inhalte parsen und anwenden. Weitere Informationen finden Sie unter Parsing von Anfragetextkörperinhalten.
  • Wenn Sie Anfragefelder von der Prüfung ausschließen, um falsch positive Ergebnisse für eine vorkonfigurierte WAF-Regel zu reduzieren, können Sie die Aktion allow nicht mit dieser Regel verwenden. Anfragefelder, die ausdrücklich von der Prüfung ausgeschlossen sind, werden automatisch zugelassen.
  • Vorkonfigurierte WAF-Regeln für Cloud Armor können nur mit Back-End-Diensten hinter einem Load-Balancer verwendet werden. Daher gelten für Ihre Bereitstellung die Kontingente und Limits für das Load-Balancing. Weitere Informationen finden Sie unter Kontingente für das Load-Balancing.

Nächste Schritte