Google Cloud Armor 預先設定的 WAF 規則是複雜的網路應用程式防火牆 (WAF) 規則,包含依開放原始碼業界標準編譯的數十個簽名。每個簽章都對應規則集中的攻擊偵測規則。Google 會照常提供這些規則。這些規則可讓 Cloud Armor 參照方便命名的規則,評估數十種不同的流量特徵,而不必手動定義每項特徵。
您可以調整 Google Cloud Armor 預先設定的 WAF 規則,以符合自身需求。如要進一步瞭解如何調整規則,請參閱「調整 Google Cloud Armor 預先設定的 WAF 規則」。
下表列出可供 Cloud Armor 安全性政策使用的預先設定 WAF 規則。這些規則是以 OWASP ModSecurity 核心規則集 (CRS) 為依據,例如 OWASP 核心規則集 4.22。建議使用 4.22 版,取得最新防護功能,抵禦現代威脅。我們正在開發 CRS 3.3 和 3.0 的支援功能。不過,如果工作負載允許使用 4.22 規則,建議您盡量避免使用舊版,尤其是 CRS 3.0 版。
CRS 4.22
| Cloud Armor 規則名稱 |
OWASP 規則名稱 |
目前狀態 |
| SQL 插入 |
sqli-v422-stable |
已與「sqli-v422-canary」同步 |
sqli-v422-canary |
最新 |
| 跨網站指令碼攻擊 |
xss-v422-stable |
已與「xss-v422-canary」同步 |
xss-v422-canary |
最新 |
| 本機檔案包含 |
lfi-v422-stable |
已與「lfi-v422-canary」同步 |
lfi-v422-canary |
最新 |
| 遠端檔案包含 |
rfi-v422-stable |
已與「rfi-v422-canary」同步 |
rfi-v422-canary |
最新 |
| 遠端程式碼執行 |
rce-v422-stable |
已與「rce-v422-canary」同步 |
rce-v422-canary |
最新 |
| 方法強制執行 |
methodenforcement-v422-stable |
已與「methodenforcement-v422-canary」同步 |
methodenforcement-v422-canary |
最新 |
| 掃描器偵測 |
scannerdetection-v422-stable |
已與「scannerdetection-v422-canary」同步 |
scannerdetection-v422-canary |
最新 |
| 通訊協定攻擊 |
protocolattack-v422-stable |
已與「protocolattack-v422-canary」同步 |
protocolattack-v422-canary |
最新 |
| PHP 注入式攻擊 |
php-v422-stable |
已與「php-v422-canary」同步 |
php-v422-canary |
最新 |
| 工作階段固定攻擊 |
sessionfixation-v422-stable |
已與「sessionfixation-v422-canary」同步 |
sessionfixation-v422-canary |
最新 |
| Java 攻擊 |
java-v422-stable |
已與「java-v422-canary」同步 |
java-v422-canary |
最新 |
| 一般攻擊 |
generic-v422-stable |
已與「generic-v422-canary」同步 |
generic-v422-canary |
最新 |
CRS 3.3
| Cloud Armor 規則名稱 |
OWASP 規則名稱 |
目前狀態 |
| SQL 插入 |
sqli-v33-stable |
已與「sqli-v33-canary」同步 |
sqli-v33-canary |
最新 |
| 跨網站指令碼攻擊 |
xss-v33-stable |
已與「xss-v33-canary」同步 |
xss-v33-canary |
最新 |
| 本機檔案包含 |
lfi-v33-stable |
已與「lfi-v33-canary」同步 |
lfi-v33-canary |
最新 |
| 遠端檔案包含 |
rfi-v33-stable |
已與「rfi-v33-canary」同步 |
rfi-v33-canary |
最新 |
| 遠端程式碼執行 |
rce-v33-stable |
已與「rce-v33-canary」同步 |
rce-v33-canary |
最新 |
| 方法強制執行 |
methodenforcement-v33-stable |
已與「methodenforcement-v33-canary」同步 |
methodenforcement-v33-canary |
最新 |
| 掃描器偵測 |
scannerdetection-v33-stable |
已與「scannerdetection-v33-canary」同步 |
scannerdetection-v33-canary |
最新 |
| 通訊協定攻擊 |
protocolattack-v33-stable |
已與「protocolattack-v33-canary」同步 |
protocolattack-v33-canary |
最新 |
| PHP 注入式攻擊 |
php-v33-stable |
已與「php-v33-canary」同步 |
php-v33-canary |
最新 |
| 工作階段固定攻擊 |
sessionfixation-v33-stable |
已與「sessionfixation-v33-canary」同步 |
sessionfixation-v33-canary |
最新 |
| Java 攻擊 |
java-v33-stable |
已與「java-v33-canary」同步 |
java-v33-canary |
最新 |
| NodeJS 攻擊 |
nodejs-v33-stable |
已與「nodejs-v33-canary」同步 |
nodejs-v33-canary |
最新 |
CRS 3.0
| Cloud Armor 規則名稱 |
OWASP 規則名稱 |
目前狀態 |
| SQL 插入 |
sqli-stable |
已與「sqli-canary」同步 |
sqli-canary |
最新 |
| 跨網站指令碼攻擊 |
xss-stable |
已與「xss-canary」同步 |
xss-canary |
最新 |
| 本機檔案包含 |
lfi-stable |
已與「lfi-canary」同步 |
lfi-canary |
最新 |
| 遠端檔案包含 |
rfi-stable |
已與「rfi-canary」同步 |
rfi-canary |
最新 |
| 遠端程式碼執行 |
rce-stable |
已與「rce-canary」同步 |
rce-canary |
最新 |
| 方法強制執行 |
methodenforcement-stable |
已與「methodenforcement-canary」同步 |
methodenforcement-canary |
最新 |
| 掃描器偵測 |
scannerdetection-stable |
已與「scannerdetection-canary」同步 |
scannerdetection-canary |
最新 |
| 通訊協定攻擊 |
protocolattack-stable |
已與「protocolattack-canary」同步 |
protocolattack-canary |
最新 |
| PHP 注入式攻擊 |
php-stable |
已與「php-canary」同步 |
php-canary |
最新 |
| 工作階段固定攻擊 |
sessionfixation-stable |
已與「sessionfixation-canary」同步 |
sessionfixation-canary |
最新 |
| Java 攻擊 |
Not included |
| NodeJS 攻擊 |
Not included |
此外,所有 Cloud Armor 客戶都能使用下列 cve-canary 規則,偵測並選擇性封鎖下列安全漏洞:
CVE-2021-44228 和 CVE-2021-45046 Log4j RCE 安全漏洞942550-sqli JSON 格式內容安全漏洞google-mrs-v202512-id000001-rce和 google-mrs-v202512-id000002-rce React RCE 安全漏洞
| Cloud Armor 規則名稱 |
涵蓋的安全漏洞類型 |
cve-canary |
Log4j 和 React RCE 安全漏洞 |
json-sqli-canary |
JSON 格式的 SQL 注入繞過安全漏洞 |
每個預先設定的 WAF 規則都有對應至 OWASP CRS 偏執等級的敏感度等級。靈敏度越低,代表簽章可信度越高,越不可能產生偽陽性。提高敏感度可加強安全性,但也會增加產生偽陽性的風險。根據預設,Cloud Armor 會以敏感度等級 4 執行,並在啟用後評估規則集中的所有簽章。
SQL 注入 (SQLi)
下表列出 SQLi 預先設定的 WAF 規則中,各項支援簽章的簽章 ID、敏感度等級和說明。
CRS 4.22
| 簽章 ID (規則 ID) |
機密等級 |
說明 |
owasp-crs-v042200-id942100-sqli |
1 |
使用 libinjection 偵測到 SQL 注入攻擊 |
owasp-crs-v042200-id942140-sqli |
1 |
SQL 注入攻擊:偵測到常見的資料庫名稱 |
owasp-crs-v042200-id942151-sqli |
1 |
SQL 注入攻擊:偵測到 SQL 函式名稱 |
owasp-crs-v042200-id942160-sqli |
1 |
使用 sleep 或 benchmark 偵測 SQLi 測試 |
owasp-crs-v042200-id942170-sqli |
1 |
偵測 SQL benchmark 和 sleep 注入攻擊,包括條件式查詢 |
owasp-crs-v042200-id942190-sqli |
1 |
偵測 MSSQL 程式碼執行和資訊收集嘗試 |
owasp-crs-v042200-id942220-sqli |
1 |
尋找整數溢位攻擊 |
owasp-crs-v042200-id942230-sqli |
1 |
偵測條件式 SQL 注入攻擊 |
owasp-crs-v042200-id942240-sqli |
1 |
偵測 MySQL 字元集切換和 MSSQL DoS 攻擊 |
owasp-crs-v042200-id942250-sqli |
1 |
偵測 MATCH AGAINST、MERGE 和 EXECUTE IMMEDIATE 注入 |
owasp-crs-v042200-id942270-sqli |
1 |
尋找基本的 SQL 注入;適用於 MySQL、Oracle 等的常見攻擊字串 |
owasp-crs-v042200-id942280-sqli |
1 |
偵測 Postgres pg_sleep 注入、waitfor延遲攻擊和資料庫關閉嘗試 |
owasp-crs-v042200-id942290-sqli |
1 |
偵測基本的 MongoDB SQL 注入攻擊 |
owasp-crs-v042200-id942320-sqli |
1 |
偵測 MySQL 和 PostgreSQL 預存程序或函式注入 |
owasp-crs-v042200-id942350-sqli |
1 |
偵測 MySQL UDF 注入和其他資料或結構操控嘗試 |
owasp-crs-v042200-id942360-sqli |
1 |
偵測串連的基本 SQL 注入和 SQLLFI 嘗試 |
owasp-crs-v042200-id942500-sqli |
1 |
偵測到 MySQL 內嵌註解 |
owasp-crs-v042200-id942540-sqli |
1 |
SQL 驗證繞過 (分割查詢) |
owasp-crs-v042200-id942560-sqli |
1 |
偵測到 MySQL 科學記號有效負載 |
owasp-crs-v042200-id942550-sqli |
1 |
以 JSON 為基礎的 SQL 注入 |
owasp-crs-v042200-id942120-sqli |
2 |
SQL 注入攻擊:偵測到 SQL 運算子 |
owasp-crs-v042200-id942130-sqli |
2 |
SQL 注入式攻擊:偵測到以 SQL 布林值為基礎的攻擊 |
owasp-crs-v042200-id942131-sqli |
2 |
SQL 注入式攻擊:偵測到以 SQL 布林值為基礎的攻擊 |
owasp-crs-v042200-id942150-sqli |
2 |
SQL 注入攻擊:偵測到 SQL 函式名稱 |
owasp-crs-v042200-id942180-sqli |
2 |
偵測基本 SQL 驗證繞過嘗試 1/3 |
owasp-crs-v042200-id942200-sqli |
2 |
偵測 MySQL 註解或空格混淆的插入內容,以及反引號終止 |
owasp-crs-v042200-id942210-sqli |
2 |
偵測到鏈結式 SQL 注入攻擊 (1/2) |
owasp-crs-v042200-id942260-sqli |
2 |
偵測基本 SQL 驗證繞過嘗試 2/3 |
owasp-crs-v042200-id942300-sqli |
2 |
偵測 MySQL 註解、條件和 ch(a)r 插入內容 |
owasp-crs-v042200-id942310-sqli |
2 |
偵測到連鎖 SQL 注入攻擊 (2/2) |
owasp-crs-v042200-id942330-sqli |
2 |
偵測經典 SQL 注入探查 1/3 |
owasp-crs-v042200-id942340-sqli |
2 |
偵測基本 SQL 驗證繞過嘗試 3/3 |
owasp-crs-v042200-id942361-sqli |
2 |
根據關鍵字變更或聯集偵測基本 SQL 注入 |
owasp-crs-v042200-id942362-sqli |
2 |
偵測串連的基本 SQL 注入和 SQLLFI 嘗試 |
owasp-crs-v042200-id942370-sqli |
2 |
偵測經典 SQL 注入探查 2/3 |
owasp-crs-v042200-id942380-sqli |
2 |
SQL 注入攻擊 |
owasp-crs-v042200-id942390-sqli |
2 |
SQL 注入攻擊 |
owasp-crs-v042200-id942400-sqli |
2 |
SQL 注入攻擊 |
owasp-crs-v042200-id942410-sqli |
2 |
SQL 注入攻擊 |
owasp-crs-v042200-id942470-sqli |
2 |
SQL 注入攻擊 |
owasp-crs-v042200-id942480-sqli |
2 |
SQL 注入攻擊 |
owasp-crs-v042200-id942430-sqli |
2 |
偵測到受限的 SQL 字元異常 (args):特殊字元數量超出上限 (12 個) |
owasp-crs-v042200-id942440-sqli |
2 |
偵測到 SQL 註解序列 |
owasp-crs-v042200-id942450-sqli |
2 |
偵測到 SQL 十六進位編碼 |
owasp-crs-v042200-id942510-sqli |
2 |
偵測到嘗試以單引號或反引號規避 SQLi 的行為 |
owasp-crs-v042200-id942520-sqli |
2 |
偵測基本 SQL 驗證繞過嘗試 4.0/4 |
owasp-crs-v042200-id942521-sqli |
2 |
偵測基本 SQL 驗證繞過嘗試 4.1/4 |
owasp-crs-v042200-id942522-sqli |
2 |
偵測基本 SQL 驗證繞過嘗試 4.1/4 |
owasp-crs-v042200-id942101-sqli |
2 |
使用 libinjection 偵測到 SQL 注入攻擊 |
owasp-crs-v042200-id942152-sqli |
2 |
SQL 注入攻擊:偵測到 SQL 函式名稱 |
owasp-crs-v042200-id942321-sqli |
2 |
偵測 MySQL 和 PostgreSQL 預存程序或函式注入 |
owasp-crs-v042200-id942251-sqli |
3 |
偵測 HAVING 插入 |
owasp-crs-v042200-id942490-sqli |
3 |
偵測到經典 SQL 注入探查 3/3 |
owasp-crs-v042200-id942420-sqli |
3 |
受限的 SQL 字元異常偵測 (Cookie):特殊字元數量超過上限 (8 個) |
owasp-crs-v042200-id942431-sqli |
3 |
Restricted SQL character anomaly detection (args): # of special
characters exceeded (6) |
owasp-crs-v042200-id942460-sqli |
3 |
中繼字元異常偵測快訊 - 重複的非文字字元 |
owasp-crs-v042200-id942511-sqli |
3 |
偵測到嘗試使用勾號規避 SQLi 的活動 |
owasp-crs-v042200-id942530-sqli |
3 |
偵測到 SQLi 查詢終止 |
owasp-crs-v042200-id942421-sqli |
4 |
受限的 SQL 字元異常偵測 (Cookie):特殊字元數量超過上限 (3 個) |
owasp-crs-v042200-id942432-sqli |
4 |
Restricted SQL character anomaly detection (args): # of special
characters exceeded (2) |
CRS 3.3
| 簽章 ID (規則 ID) |
機密等級 |
說明 |
owasp-crs-v030301-id942100-sqli |
1 |
使用 libinjection 偵測到 SQL 注入攻擊 |
owasp-crs-v030301-id942140-sqli |
1 |
SQL 注入攻擊:偵測到常見的資料庫名稱 |
owasp-crs-v030301-id942160-sqli |
1 |
使用 sleep 或 benchmark 偵測 SQLi 測試 |
owasp-crs-v030301-id942170-sqli |
1 |
偵測 SQL sleep 或 benchmark 注入攻擊,包括條件查詢 |
owasp-crs-v030301-id942190-sqli |
1 |
偵測 MSSQL 程式碼執行和資訊收集嘗試 |
owasp-crs-v030301-id942220-sqli |
1 |
尋找整數溢位攻擊 |
owasp-crs-v030301-id942230-sqli |
1 |
偵測條件式 SQL 注入攻擊 |
owasp-crs-v030301-id942240-sqli |
1 |
偵測 MySQL 字元集切換和 MSSQL DoS 攻擊 |
owasp-crs-v030301-id942250-sqli |
1 |
偵測到「MATCH AGAINST」 |
owasp-crs-v030301-id942270-sqli |
1 |
尋找基本 SQL 注入;MySQL 的常見攻擊字串 |
owasp-crs-v030301-id942280-sqli |
1 |
偵測 Postgres pg_sleep 注入 |
owasp-crs-v030301-id942290-sqli |
1 |
偵測基本的 MongoDB SQL 注入攻擊 |
owasp-crs-v030301-id942320-sqli |
1 |
偵測 MySQL 和 PostgreSQL 預存程序或函式注入 |
owasp-crs-v030301-id942350-sqli |
1 |
偵測 MySQL UDF 注入和其他資料或結構操控嘗試 |
owasp-crs-v030301-id942360-sqli |
1 |
偵測串連的基本 SQL 注入和 SQLLFI 嘗試 |
owasp-crs-v030301-id942500-sqli |
1 |
偵測到 MySQL 內嵌註解 |
owasp-crs-v030301-id942110-sqli |
2 |
SQL 注入式攻擊:偵測到常見的注入測試 |
owasp-crs-v030301-id942120-sqli |
2 |
SQL 注入攻擊:偵測到 SQL 運算子 |
owasp-crs-v030301-id942130-sqli |
2 |
SQL 注入攻擊:偵測到 SQL 同義反覆 |
owasp-crs-v030301-id942150-sqli |
2 |
SQL 注入攻擊 |
owasp-crs-v030301-id942180-sqli |
2 |
偵測基本 SQL 驗證繞過嘗試 1/3 |
owasp-crs-v030301-id942200-sqli |
2 |
偵測 MySQL 註解或空格混淆的插入內容,以及反引號終止 |
owasp-crs-v030301-id942210-sqli |
2 |
偵測到鏈結式 SQL 注入攻擊 (1/2) |
owasp-crs-v030301-id942260-sqli |
2 |
偵測基本 SQL 驗證繞過嘗試 2/3 |
owasp-crs-v030301-id942300-sqli |
2 |
偵測 MySQL 註解 |
owasp-crs-v030301-id942310-sqli |
2 |
偵測到連鎖 SQL 注入攻擊 (2/2) |
owasp-crs-v030301-id942330-sqli |
2 |
偵測經典的 SQL 注入探查 1/2 |
owasp-crs-v030301-id942340-sqli |
2 |
偵測基本 SQL 驗證繞過嘗試 3/3 |
owasp-crs-v030301-id942361-sqli |
2 |
根據關鍵字變更或聯集偵測基本 SQL 注入 |
owasp-crs-v030301-id942370-sqli |
2 |
偵測經典 SQL 注入探查 2/3 |
owasp-crs-v030301-id942380-sqli |
2 |
SQL 注入攻擊 |
owasp-crs-v030301-id942390-sqli |
2 |
SQL 注入攻擊 |
owasp-crs-v030301-id942400-sqli |
2 |
SQL 注入攻擊 |
owasp-crs-v030301-id942410-sqli |
2 |
SQL 注入攻擊 |
owasp-crs-v030301-id942470-sqli |
2 |
SQL 注入攻擊 |
owasp-crs-v030301-id942480-sqli |
2 |
SQL 注入攻擊 |
owasp-crs-v030301-id942430-sqli |
2 |
偵測到受限的 SQL 字元異常 (args):特殊字元數量超出上限 (12 個) |
owasp-crs-v030301-id942440-sqli |
2 |
偵測到 SQL 註解序列 |
owasp-crs-v030301-id942450-sqli |
2 |
偵測到 SQL 十六進位編碼 |
owasp-crs-v030301-id942510-sqli |
2 |
偵測到嘗試以單引號或反引號規避 SQLi 的活動 |
owasp-crs-v030301-id942251-sqli |
3 |
偵測 HAVING 插入 |
owasp-crs-v030301-id942490-sqli |
3 |
偵測到經典 SQL 注入探查 3/3 |
owasp-crs-v030301-id942420-sqli |
3 |
受限的 SQL 字元異常偵測 (Cookie):特殊字元數量超過上限 (8 個) |
owasp-crs-v030301-id942431-sqli |
3 |
Restricted SQL character anomaly detection (args): # of special
characters exceeded (6) |
owasp-crs-v030301-id942460-sqli |
3 |
中繼字元異常偵測快訊 - 重複的非文字字元 |
owasp-crs-v030301-id942101-sqli |
3 |
使用 libinjection 偵測到 SQL 注入攻擊 |
owasp-crs-v030301-id942511-sqli |
3 |
偵測到嘗試使用勾號規避 SQLi 的活動 |
owasp-crs-v030301-id942421-sqli |
4 |
受限的 SQL 字元異常偵測 (Cookie):特殊字元數量超過上限 (3 個) |
owasp-crs-v030301-id942432-sqli |
4 |
Restricted SQL character anomaly detection (args): # of special
characters exceeded (2) |
CRS 3.0
| 簽章 ID (規則 ID) |
機密等級 |
說明 |
Not included |
1 |
使用 libinjection 偵測到 SQL 注入攻擊 |
owasp-crs-v030001-id942140-sqli |
1 |
SQL 注入攻擊:偵測到常見的資料庫名稱 |
owasp-crs-v030001-id942160-sqli |
1 |
使用 sleep 或 benchmark 偵測 SQLi 測試 |
owasp-crs-v030001-id942170-sqli |
1 |
偵測 SQL sleep 或 benchmark 注入攻擊,包括條件查詢 |
owasp-crs-v030001-id942190-sqli |
1 |
偵測 MSSQL 程式碼執行和資訊收集嘗試 |
owasp-crs-v030001-id942220-sqli |
1 |
尋找整數溢位攻擊 |
owasp-crs-v030001-id942230-sqli |
1 |
偵測條件式 SQL 注入攻擊 |
owasp-crs-v030001-id942240-sqli |
1 |
偵測 MySQL 字元集切換和 MSSQL DoS 攻擊 |
owasp-crs-v030001-id942250-sqli |
1 |
偵測到「MATCH AGAINST」 |
owasp-crs-v030001-id942270-sqli |
1 |
尋找基本 SQL 注入;MySQL 的常見攻擊字串 |
owasp-crs-v030001-id942280-sqli |
1 |
偵測 Postgres pg_sleep 注入 |
owasp-crs-v030001-id942290-sqli |
1 |
偵測基本的 MongoDB SQL 注入攻擊 |
owasp-crs-v030001-id942320-sqli |
1 |
偵測 MySQL 和 PostgreSQL 預存程序或函式注入 |
owasp-crs-v030001-id942350-sqli |
1 |
偵測 MySQL UDF 注入和其他資料或結構操控嘗試 |
owasp-crs-v030001-id942360-sqli |
1 |
偵測串連的基本 SQL 注入和 SQLLFI 嘗試 |
Not included |
1 |
偵測到 MySQL 內嵌註解 |
owasp-crs-v030001-id942110-sqli |
2 |
SQL 注入式攻擊:偵測到常見的注入測試 |
owasp-crs-v030001-id942120-sqli |
2 |
SQL 注入攻擊:偵測到 SQL 運算子 |
Not included |
2 |
SQL 注入攻擊:偵測到 SQL 同義反覆 |
owasp-crs-v030001-id942150-sqli |
2 |
SQL 注入攻擊 |
owasp-crs-v030001-id942180-sqli |
2 |
偵測基本 SQL 驗證繞過嘗試 1/3 |
owasp-crs-v030001-id942200-sqli |
2 |
偵測 MySQL 註解或空格混淆的插入內容,以及反引號終止 |
owasp-crs-v030001-id942210-sqli |
2 |
偵測到鏈結式 SQL 注入攻擊 (1/2) |
owasp-crs-v030001-id942260-sqli |
2 |
偵測基本 SQL 驗證繞過嘗試 2/3 |
owasp-crs-v030001-id942300-sqli |
2 |
偵測 MySQL 註解 |
owasp-crs-v030001-id942310-sqli |
2 |
偵測到連鎖 SQL 注入攻擊 (2/2) |
owasp-crs-v030001-id942330-sqli |
2 |
偵測經典的 SQL 注入探查 1/2 |
owasp-crs-v030001-id942340-sqli |
2 |
偵測基本 SQL 驗證繞過嘗試 3/3 |
Not included |
2 |
根據關鍵字變更或聯集偵測基本 SQL 注入 |
Not included |
2 |
偵測經典 SQL 注入探查 2/3 |
owasp-crs-v030001-id942380-sqli |
2 |
SQL 注入攻擊 |
owasp-crs-v030001-id942390-sqli |
2 |
SQL 注入攻擊 |
owasp-crs-v030001-id942400-sqli |
2 |
SQL 注入攻擊 |
owasp-crs-v030001-id942410-sqli |
2 |
SQL 注入攻擊 |
Not included |
2 |
SQL 注入攻擊 |
Not included |
2 |
SQL 注入攻擊 |
owasp-crs-v030001-id942430-sqli |
2 |
偵測到受限的 SQL 字元異常 (args):特殊字元數量超出上限 (12 個) |
owasp-crs-v030001-id942440-sqli |
2 |
偵測到 SQL 註解序列 |
owasp-crs-v030001-id942450-sqli |
2 |
偵測到 SQL 十六進位編碼 |
Not included |
2 |
偵測到嘗試以單引號或反引號規避 SQLi 的活動 |
owasp-crs-v030001-id942251-sqli |
3 |
偵測 HAVING 插入 |
Not included |
2 |
偵測到經典 SQL 注入探查 3/3 |
owasp-crs-v030001-id942420-sqli |
3 |
受限的 SQL 字元異常偵測 (Cookie):特殊字元數量超過上限 (8 個) |
owasp-crs-v030001-id942431-sqli |
3 |
Restricted SQL character anomaly detection (args): # of special
characters exceeded (6) |
owasp-crs-v030001-id942460-sqli |
3 |
中繼字元異常偵測快訊 - 重複的非文字字元 |
Not included |
3 |
使用 libinjection 偵測到 SQL 注入攻擊 |
Not included |
3 |
偵測到嘗試使用勾號規避 SQLi 的活動 |
owasp-crs-v030001-id942421-sqli |
4 |
受限的 SQL 字元異常偵測 (Cookie):特殊字元數量超過上限 (3 個) |
owasp-crs-v030001-id942432-sqli |
4 |
Restricted SQL character anomaly detection (args): # of special
characters exceeded (2) |
您可以使用 evaluatePreconfiguredWaf 和預設的機密程度參數,在特定機密程度設定規則。根據預設,如果沒有設定規則集敏感度,Cloud Armor 會評估所有簽章。
CRS 4.22
| 機密等級 |
運算式 |
| 1 |
evaluatePreconfiguredWaf('sqli-v422-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('sqli-v422-stable', {'sensitivity': 2}) |
| 3 |
evaluatePreconfiguredWaf('sqli-v422-stable', {'sensitivity': 3}) |
| 4 |
evaluatePreconfiguredWaf('sqli-v422-stable', {'sensitivity': 4}) |
CRS 3.3
| 機密等級 |
運算式 |
| 1 |
evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 2}) |
| 3 |
evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 3}) |
| 4 |
evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 4}) |
CRS 3.0
| 機密等級 |
運算式 |
| 1 |
evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 2}) |
| 3 |
evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 3}) |
| 4 |
evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 4}) |
跨網站指令碼攻擊 (XSS)
下表列出 XSS 預先設定的 WAF 規則中,各項支援簽章的簽章 ID、敏感度等級和說明。
CRS 4.22
| 簽章 ID (規則 ID) |
機密等級 |
說明 |
owasp-crs-v042200-id941100-xss |
1 |
使用 libinjection 偵測到 XSS 攻擊 |
owasp-crs-v042200-id941110-xss |
1 |
XSS 篩選器 - 類別 1:指令碼標記向量 |
owasp-crs-v042200-id941130-xss |
1 |
XSS 篩選器 - 類別 3:屬性向量 |
owasp-crs-v042200-id941140-xss |
1 |
XSS 篩選器 - 類別 4:JavaScript URI 向量 |
owasp-crs-v042200-id941160-xss |
1 |
NoScript XSS InjectionChecker:HTML 注入 |
owasp-crs-v042200-id941170-xss |
1 |
NoScript XSS InjectionChecker:屬性插入 |
owasp-crs-v042200-id941180-xss |
1 |
節點驗證器拒絕清單關鍵字 |
owasp-crs-v042200-id941190-xss |
1 |
IE XSS 篩選器 - 偵測到攻擊 |
owasp-crs-v042200-id941200-xss |
1 |
IE XSS 篩選器 - 偵測到攻擊 |
owasp-crs-v042200-id941210-xss |
1 |
偵測到 JavaScript 字詞 |
owasp-crs-v042200-id941220-xss |
1 |
IE XSS 篩選器 - 偵測到攻擊 |
owasp-crs-v042200-id941230-xss |
1 |
IE XSS 篩選器 - 偵測到攻擊 |
owasp-crs-v042200-id941240-xss |
1 |
IE XSS 篩選器 - 偵測到攻擊 |
owasp-crs-v042200-id941250-xss |
1 |
IE XSS 篩選器 - 偵測到攻擊 |
owasp-crs-v042200-id941260-xss |
1 |
IE XSS 篩選器 - 偵測到攻擊 |
owasp-crs-v042200-id941270-xss |
1 |
IE XSS 篩選器 - 偵測到攻擊 |
owasp-crs-v042200-id941280-xss |
1 |
IE XSS 篩選器 - 偵測到攻擊 |
owasp-crs-v042200-id941290-xss |
1 |
IE XSS 篩選器 - 偵測到攻擊 |
owasp-crs-v042200-id941300-xss |
1 |
IE XSS 篩選器 - 偵測到攻擊 |
owasp-crs-v042200-id941310-xss |
1 |
US-ASCII 格式錯誤的編碼 XSS 篩選器 - 偵測到攻擊 |
owasp-crs-v042200-id941350-xss |
1 |
UTF-7 編碼 IE XSS - 偵測到攻擊 |
owasp-crs-v042200-id941360-xss |
1 |
偵測到象形文字混淆 |
owasp-crs-v042200-id941370-xss |
1 |
找到 JavaScript 全域變數 |
owasp-crs-v042200-id941390-xss |
1 |
偵測到 JavaScript 方法 |
owasp-crs-v042200-id941400-xss |
1 |
沒有括號的 XSS JavaScript 函式 |
owasp-crs-v042200-id941101-xss |
2 |
使用 libinjection 偵測到 XSS 攻擊 |
owasp-crs-v042200-id941120-xss |
2 |
XSS 篩選器 - 類別 2:事件處理常式向量 |
owasp-crs-v042200-id941150-xss |
2 |
XSS 篩選器 - 類別 5:禁止使用的 HTML 屬性 |
owasp-crs-v042200-id941181-xss |
2 |
節點驗證器拒絕清單關鍵字 |
owasp-crs-v042200-id941320-xss |
2 |
偵測到可能的 XSS 攻擊 - HTML 標記處理常式 |
owasp-crs-v042200-id941330-xss |
2 |
IE XSS 篩選器 - 偵測到攻擊 |
owasp-crs-v042200-id941340-xss |
2 |
IE XSS 篩選器 - 偵測到攻擊 |
owasp-crs-v042200-id941380-xss |
2 |
偵測到 AngularJS 用戶端範本注入攻擊 |
CRS 3.3
| 簽章 ID (規則 ID) |
機密等級 |
說明 |
owasp-crs-v030301-id941100-xss |
1 |
使用 libinjection 偵測到 XSS 攻擊 |
owasp-crs-v030301-id941110-xss |
1 |
XSS 篩選器 - 類別 1:指令碼標記向量 |
owasp-crs-v030301-id941120-xss |
1 |
XSS 篩選器 - 類別 2:事件處理常式向量 |
owasp-crs-v030301-id941130-xss |
1 |
XSS 篩選器 - 類別 3:屬性向量 |
owasp-crs-v030301-id941140-xss |
1 |
XSS 篩選器 - 類別 4:JavaScript URI 向量 |
owasp-crs-v030301-id941160-xss |
1 |
NoScript XSS InjectionChecker:HTML 注入 |
owasp-crs-v030301-id941170-xss |
1 |
NoScript XSS InjectionChecker:屬性插入 |
owasp-crs-v030301-id941180-xss |
1 |
節點驗證器拒絕清單關鍵字 |
owasp-crs-v030301-id941190-xss |
1 |
IE XSS 篩選器 - 偵測到攻擊 |
owasp-crs-v030301-id941200-xss |
1 |
IE XSS 篩選器 - 偵測到攻擊 |
owasp-crs-v030301-id941210-xss |
1 |
IE XSS 篩選器 - 偵測到攻擊 |
owasp-crs-v030301-id941220-xss |
1 |
IE XSS 篩選器 - 偵測到攻擊 |
owasp-crs-v030301-id941230-xss |
1 |
IE XSS 篩選器 - 偵測到攻擊 |
owasp-crs-v030301-id941240-xss |
1 |
IE XSS 篩選器 - 偵測到攻擊 |
owasp-crs-v030301-id941250-xss |
1 |
IE XSS 篩選器 - 偵測到攻擊 |
owasp-crs-v030301-id941260-xss |
1 |
IE XSS 篩選器 - 偵測到攻擊 |
owasp-crs-v030301-id941270-xss |
1 |
IE XSS 篩選器 - 偵測到攻擊 |
owasp-crs-v030301-id941280-xss |
1 |
IE XSS 篩選器 - 偵測到攻擊 |
owasp-crs-v030301-id941290-xss |
1 |
IE XSS 篩選器 - 偵測到攻擊 |
owasp-crs-v030301-id941300-xss |
1 |
IE XSS 篩選器 - 偵測到攻擊 |
owasp-crs-v030301-id941310-xss |
1 |
US-ASCII 格式錯誤的編碼 XSS 篩選器 - 偵測到攻擊 |
owasp-crs-v030301-id941350-xss |
1 |
UTF-7 編碼 IE XSS - 偵測到攻擊 |
owasp-crs-v030301-id941360-xss |
1 |
偵測到象形文字混淆 |
owasp-crs-v030301-id941370-xss |
1 |
找到 JavaScript 全域變數 |
owasp-crs-v030301-id941101-xss |
2 |
使用 libinjection 偵測到 XSS 攻擊 |
owasp-crs-v030301-id941150-xss |
2 |
XSS 篩選器 - 類別 5:禁止使用的 HTML 屬性 |
owasp-crs-v030301-id941320-xss |
2 |
偵測到可能的 XSS 攻擊 - HTML 標記處理常式 |
owasp-crs-v030301-id941330-xss |
2 |
IE XSS 篩選器 - 偵測到攻擊 |
owasp-crs-v030301-id941340-xss |
2 |
IE XSS 篩選器 - 偵測到攻擊 |
owasp-crs-v030301-id941380-xss |
2 |
偵測到 AngularJS 用戶端範本注入攻擊 |
CRS 3.0
| 簽章 ID (規則 ID) |
機密等級 |
說明 |
Not included |
1 |
使用 libinjection 偵測到 XSS 攻擊 |
owasp-crs-v030001-id941110-xss |
1 |
XSS 篩選器 - 類別 1:指令碼標記向量 |
owasp-crs-v030001-id941120-xss |
1 |
XSS 篩選器 - 類別 2:事件處理常式向量 |
owasp-crs-v030001-id941130-xss |
1 |
XSS 篩選器 - 類別 3:屬性向量 |
owasp-crs-v030001-id941140-xss |
1 |
XSS 篩選器 - 類別 4:JavaScript URI 向量 |
owasp-crs-v030001-id941160-xss |
1 |
NoScript XSS InjectionChecker:HTML 注入 |
owasp-crs-v030001-id941170-xss |
1 |
NoScript XSS InjectionChecker:屬性插入 |
owasp-crs-v030001-id941180-xss |
1 |
節點驗證器拒絕清單關鍵字 |
owasp-crs-v030001-id941190-xss |
1 |
IE XSS 篩選器 - 偵測到攻擊 |
owasp-crs-v030001-id941200-xss |
1 |
IE XSS 篩選器 - 偵測到攻擊 |
owasp-crs-v030001-id941210-xss |
1 |
IE XSS 篩選器 - 偵測到攻擊 |
owasp-crs-v030001-id941220-xss |
1 |
IE XSS 篩選器 - 偵測到攻擊 |
owasp-crs-v030001-id941230-xss |
1 |
IE XSS 篩選器 - 偵測到攻擊 |
owasp-crs-v030001-id941240-xss |
1 |
IE XSS 篩選器 - 偵測到攻擊 |
owasp-crs-v030001-id941250-xss |
1 |
IE XSS 篩選器 - 偵測到攻擊 |
owasp-crs-v030001-id941260-xss |
1 |
IE XSS 篩選器 - 偵測到攻擊 |
owasp-crs-v030001-id941270-xss |
1 |
IE XSS 篩選器 - 偵測到攻擊 |
owasp-crs-v030001-id941280-xss |
1 |
IE XSS 篩選器 - 偵測到攻擊 |
owasp-crs-v030001-id941290-xss |
1 |
IE XSS 篩選器 - 偵測到攻擊 |
owasp-crs-v030001-id941300-xss |
1 |
IE XSS 篩選器 - 偵測到攻擊 |
owasp-crs-v030001-id941310-xss |
1 |
US-ASCII 格式錯誤的編碼 XSS 篩選器 - 偵測到攻擊 |
owasp-crs-v030001-id941350-xss |
1 |
UTF-7 編碼 IE XSS - 偵測到攻擊 |
Not included |
1 |
偵測到 JSF*ck 或象形文字混淆 |
Not included |
1 |
找到 JavaScript 全域變數 |
Not included |
2 |
使用 libinjection 偵測到 XSS 攻擊 |
owasp-crs-v030001-id941150-xss |
2 |
XSS 篩選器 - 類別 5:禁止使用的 HTML 屬性 |
owasp-crs-v030001-id941320-xss |
2 |
偵測到可能的 XSS 攻擊 - HTML 標記處理常式 |
owasp-crs-v030001-id941330-xss |
2 |
IE XSS 篩選器 - 偵測到攻擊 |
owasp-crs-v030001-id941340-xss |
2 |
IE XSS 篩選器 - 偵測到攻擊 |
Not included |
2 |
偵測到 AngularJS 用戶端範本注入攻擊 |
您可以透過預設的敏感度參數使用 evaluatePreconfiguredWaf,在特定敏感度層級設定規則。根據預設,如果沒有設定規則集敏感度,Cloud Armor 會評估所有簽章。
CRS 4.22
| 機密等級 |
運算式 |
| 1 |
evaluatePreconfiguredWaf('xss-v422-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('xss-v422-stable', {'sensitivity': 2}) |
CRS 3.3
| 機密等級 |
運算式 |
| 1 |
evaluatePreconfiguredWaf('xss-v33-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('xss-v33-stable', {'sensitivity': 2}) |
CRS 3.0
| 機密等級 |
運算式 |
| 1 |
evaluatePreconfiguredWaf('xss-stable', {'sensitivity': 1}) |
本機檔案包含 (LFI)
下表列出 LFI 預先設定的 WAF 規則中,各項支援簽章的簽章 ID、敏感度等級和說明。
CRS 4.22
| 簽章 ID (規則 ID) |
機密等級 |
說明 |
owasp-crs-v042200-id930100-lfi |
1 |
路徑遍歷攻擊 (/../) 或 (/.../) |
owasp-crs-v042200-id930110-lfi |
1 |
路徑遍歷攻擊 (/../) 或 (/.../) |
owasp-crs-v042200-id930120-lfi |
1 |
嘗試存取 OS 檔案 |
owasp-crs-v042200-id930130-lfi |
1 |
嘗試存取受限制的檔案 |
owasp-crs-v042200-id930121-lfi |
2 |
REQUEST_HEADERS 中嘗試存取 OS 檔案 |
CRS 3.3
| 簽章 ID (規則 ID) |
機密等級 |
說明 |
owasp-crs-v030301-id930100-lfi |
1 |
路徑遍歷攻擊 (/../) |
owasp-crs-v030301-id930110-lfi |
1 |
路徑遍歷攻擊 (/../) |
owasp-crs-v030301-id930120-lfi |
1 |
嘗試存取 OS 檔案 |
owasp-crs-v030301-id930130-lfi |
1 |
嘗試存取受限制的檔案 |
CRS 3.0
| 簽章 ID (規則 ID) |
機密等級 |
說明 |
owasp-crs-v030001-id930100-lfi |
1 |
路徑遍歷攻擊 (/../) |
owasp-crs-v030001-id930110-lfi |
1 |
路徑遍歷攻擊 (/../) |
owasp-crs-v030001-id930120-lfi |
1 |
嘗試存取 OS 檔案 |
owasp-crs-v030001-id930130-lfi |
1 |
嘗試存取受限制的檔案 |
您可以透過預設的敏感度參數使用 evaluatePreconfiguredWaf,在特定敏感度層級設定規則。LFI 的所有簽章都屬於機密等級 1。下列設定適用於所有敏感度等級:
CRS 4.22
| 機密等級 |
運算式 |
| 1 |
evaluatePreconfiguredWaf('lfi-v422-stable', {'sensitivity': 1}) |
CRS 3.3
| 機密等級 |
運算式 |
| 1 |
evaluatePreconfiguredWaf('lfi-v33-stable', {'sensitivity': 1}) |
CRS 3.0
| 機密等級 |
運算式 |
| 1 |
evaluatePreconfiguredWaf('lfi-stable', {'sensitivity': 1}) |
遠端程式碼執行 (RCE)
下表列出 RCE 預先設定的 WAF 規則中,各項支援簽章的簽章 ID、敏感度等級和說明。
CRS 4.22
| 簽章 ID (規則 ID) |
機密等級 |
說明 |
owasp-crs-v042200-id932230-rce |
1 |
遠端指令執行:UNIX 指令注入 (2-3 個字元) |
owasp-crs-v042200-id932235-rce |
1 |
遠端指令執行:UNIX 指令注入 (指令未規避) |
owasp-crs-v042200-id932120-rce |
1 |
遠端指令執行:發現 Windows HTML 標記處理常式指令 |
owasp-crs-v042200-id932125-rce |
1 |
遠端執行指令:Windows HTML 標記處理常式別名指令注入 |
owasp-crs-v042200-id932130-rce |
1 |
遠端指令執行:發現 UNIX shell 運算式 |
owasp-crs-v042200-id932140-rce |
1 |
遠端指令執行:發現 Windows FOR 或 IF 指令 |
owasp-crs-v042200-id932270-rce |
1 |
遠端指令執行:發現 UNIX shell 運算式 |
owasp-crs-v042200-id932250-rce |
1 |
遠端執行指令:直接執行 UNIX 指令 |
owasp-crs-v042200-id932260-rce |
1 |
遠端執行指令:直接執行 UNIX 指令 |
owasp-crs-v042200-id932330-rce |
1 |
遠端指令執行:叫用 UNIX 殼層記錄 |
owasp-crs-v042200-id932160-rce |
1 |
遠端指令執行:發現 UNIX 殼層程式碼 |
owasp-crs-v042200-id932170-rce |
1 |
遠端指令執行:shellshock (CVE-2014-6271) |
owasp-crs-v042200-id932171-rce |
1 |
遠端指令執行:shellshock (CVE-2014-6271) |
owasp-crs-v042200-id932175-rce |
1 |
遠端指令執行:叫用 UNIX 殼層別名 |
owasp-crs-v042200-id932180-rce |
1 |
嘗試上傳受限制的檔案 |
owasp-crs-v042200-id932370-rce |
1 |
遠端指令執行:Windows 指令注入 |
owasp-crs-v042200-id932380-rce |
1 |
遠端指令執行:Windows 指令注入 |
owasp-crs-v042200-id932280-rce |
1 |
遠端指令執行:發現大括號擴充 |
owasp-crs-v042200-id932231-rce |
2 |
遠端指令執行:UNIX 指令注入 |
owasp-crs-v042200-id932131-rce |
2 |
遠端指令執行:發現 UNIX shell 運算式 |
owasp-crs-v042200-id932200-rce |
2 |
RCE 略過技術 |
owasp-crs-v042200-id932205-rce |
2 |
RCE 略過技術 |
owasp-crs-v042200-id932206-rce |
2 |
RCE 略過技術 |
owasp-crs-v042200-id932220-rce |
2 |
遠端指令執行:使用管道的 UNIX 指令插入 |
owasp-crs-v042200-id932240-rce |
2 |
遠端指令執行:偵測到 UNIX 指令注入規避嘗試 |
owasp-crs-v042200-id932210-rce |
2 |
遠端執行指令:執行 SQLite 系統指令 |
owasp-crs-v042200-id932271-rce |
2 |
遠端指令執行:發現 UNIX shell 運算式 |
owasp-crs-v042200-id932300-rce |
2 |
遠端指令執行:執行 SMTP 指令 |
owasp-crs-v042200-id932310-rce |
2 |
遠端指令執行:執行 IMAP 指令 |
owasp-crs-v042200-id932320-rce |
2 |
遠端執行指令:執行 POP3 指令 |
owasp-crs-v042200-id932236-rce |
2 |
遠端指令執行:UNIX 指令注入 (指令未規避) |
owasp-crs-v042200-id932239-rce |
2 |
遠端指令執行:在 User-Agent 或 Referer 標頭中發現 UNIX 指令注入 |
owasp-crs-v042200-id932161-rce |
2 |
遠端指令執行:在 REQUEST_HEADERS 中發現 UNIX 殼層程式碼 |
owasp-crs-v042200-id932371-rce |
2 |
遠端指令執行:Windows 指令注入 |
owasp-crs-v042200-id932281-rce |
2 |
遠端指令執行:發現大括號擴充 |
owasp-crs-v042200-id932207-rce |
2 |
RCE 略過技術 |
owasp-crs-v042200-id932232-rce |
3 |
遠端指令執行:UNIX 指令注入 |
owasp-crs-v042200-id932237-rce |
3 |
遠端指令執行:在 REQUEST_HEADERS 中發現 UNIX 殼層程式碼 |
owasp-crs-v042200-id932238-rce |
3 |
遠端指令執行:在 REQUEST_HEADERS 中發現 UNIX 殼層程式碼 |
owasp-crs-v042200-id932190-rce |
3 |
遠端指令執行:嘗試使用萬用字元規避技術 |
owasp-crs-v042200-id932301-rce |
3 |
遠端執行指令:執行 SMTP 指令 |
owasp-crs-v042200-id932311-rce |
3 |
遠端指令執行:執行 IMAP 指令 |
owasp-crs-v042200-id932321-rce |
3 |
遠端執行指令:執行 POP3 指令 |
owasp-crs-v042200-id932331-rce |
3 |
遠端指令執行:叫用 UNIX 殼層記錄 |
CRS 3.3
| 簽章 ID (規則 ID) |
機密等級 |
說明 |
owasp-crs-v030301-id932100-rce |
1 |
UNIX 指令注入 |
owasp-crs-v030301-id932105-rce |
1 |
UNIX 指令注入 |
owasp-crs-v030301-id932110-rce |
1 |
Windows 命令注入 |
owasp-crs-v030301-id932115-rce |
1 |
Windows 命令注入 |
owasp-crs-v030301-id932120-rce |
1 |
找到 Windows PowerShell 指令 |
owasp-crs-v030301-id932130-rce |
1 |
發現 UNIX Shell 運算式 |
owasp-crs-v030301-id932140-rce |
1 |
找到 Windows FOR 或 IF 指令 |
owasp-crs-v030301-id932150-rce |
1 |
直接執行 UNIX 指令 |
owasp-crs-v030301-id932160-rce |
1 |
找到 UNIX shell 程式碼 |
owasp-crs-v030301-id932170-rce |
1 |
Shellshock (CVE-2014-6271) |
owasp-crs-v030301-id932171-rce |
1 |
Shellshock (CVE-2014-6271) |
owasp-crs-v030301-id932180-rce |
1 |
嘗試上傳受限制的檔案 |
owasp-crs-v030301-id932200-rce |
2 |
RCE 略過技術 |
owasp-crs-v030301-id932106-rce |
3 |
遠端指令執行:UNIX 指令注入 |
owasp-crs-v030301-id932190-rce |
3 |
遠端指令執行:嘗試使用萬用字元規避技術 |
CRS 3.0
| 簽章 ID (規則 ID) |
機密等級 |
說明 |
owasp-crs-v030001-id932100-rce |
1 |
UNIX 指令注入 |
owasp-crs-v030001-id932105-rce |
1 |
UNIX 指令注入 |
owasp-crs-v030001-id932110-rce |
1 |
Windows 命令注入 |
owasp-crs-v030001-id932115-rce |
1 |
Windows 命令注入 |
owasp-crs-v030001-id932120-rce |
1 |
找到 Windows PowerShell 指令 |
owasp-crs-v030001-id932130-rce |
1 |
發現 UNIX Shell 運算式 |
owasp-crs-v030001-id932140-rce |
1 |
找到 Windows FOR 或 IF 指令 |
owasp-crs-v030001-id932150-rce |
1 |
直接執行 UNIX 指令 |
owasp-crs-v030001-id932160-rce |
1 |
找到 UNIX shell 程式碼 |
owasp-crs-v030001-id932170-rce |
1 |
Shellshock (CVE-2014-6271) |
owasp-crs-v030001-id932171-rce |
1 |
Shellshock (CVE-2014-6271) |
Not included |
1 |
嘗試上傳受限制的檔案 |
Not included |
2 |
RCE 略過技術 |
Not included |
3 |
遠端指令執行:UNIX 指令注入 |
Not included |
3 |
遠端指令執行:嘗試使用萬用字元規避技術 |
您可以透過預設的敏感度參數使用 evaluatePreconfiguredWaf,在特定敏感度層級設定規則。所有 RCE 簽章的靈敏度等級皆為 1。下列設定適用於所有敏感度層級:
CRS 4.22
| 機密等級 |
運算式 |
| 1 |
evaluatePreconfiguredWaf('rce-v422-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('rce-v422-stable', {'sensitivity': 2}) |
| 3 |
evaluatePreconfiguredWaf('rce-v422-stable', {'sensitivity': 3}) |
CRS 3.3
| 機密等級 |
運算式 |
| 1 |
evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 2}) |
| 3 |
evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 3}) |
CRS 3.0
| 機密等級 |
運算式 |
| 1 |
evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 2}) |
| 3 |
evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 3}) |
遠端檔案包含 (RFI)
下表列出 RFI 預先設定的 WAF 規則中,每個支援簽章的簽章 ID、敏感度等級和說明。
CRS 4.22
| 簽章 ID (規則 ID) |
機密等級 |
說明 |
owasp-crs-v042200-id931100-rfi |
1 |
可能遭到遠端檔案夾帶 (RFI) 攻擊:使用 IP 位址的網址參數 |
owasp-crs-v042200-id931110-rfi |
1 |
可能遭到遠端檔案夾帶 (RFI) 攻擊:常見的 RFI 易受攻擊參數名稱與網址酬載搭配使用 |
owasp-crs-v042200-id931120-rfi |
1 |
可能遭到遠端檔案夾帶 (RFI) 攻擊:網址酬載使用尾端問號字元 (?) |
owasp-crs-v042200-id931130-rfi |
2 |
可能遭到遠端檔案包含 (RFI) 攻擊:網域外參照或連結 |
owasp-crs-v042200-id931131-rfi |
2 |
可能遭到遠端檔案包含 (RFI) 攻擊:網域外參照或連結 |
CRS 3.3
| 簽章 ID (規則 ID) |
機密等級 |
說明 |
owasp-crs-v030301-id931100-rfi |
1 |
使用 IP 位址的網址參數 |
owasp-crs-v030301-id931110-rfi |
1 |
搭配網址酬載使用的常見 RFI 易受攻擊參數名稱 |
owasp-crs-v030301-id931120-rfi |
1 |
搭配尾端問號字元 (?) 使用的網址酬載 |
owasp-crs-v030301-id931130-rfi |
2 |
網域外參照或連結 |
CRS 3.0
| 簽章 ID (規則 ID) |
機密等級 |
說明 |
owasp-crs-v030001-id931100-rfi |
1 |
使用 IP 位址的網址參數 |
owasp-crs-v030001-id931110-rfi |
1 |
搭配網址酬載使用的常見 RFI 易受攻擊參數名稱 |
owasp-crs-v030001-id931120-rfi |
1 |
搭配尾端問號字元 (?) 使用的網址酬載 |
owasp-crs-v030001-id931130-rfi |
2 |
網域外參照或連結 |
您可以透過預設的敏感度參數使用 evaluatePreconfiguredWaf,在特定敏感度層級設定規則。根據預設,如果沒有設定規則集敏感度,Cloud Armor 會評估所有簽章。
CRS 4.22
| 機密等級 |
運算式 |
| 1 |
evaluatePreconfiguredWaf('rfi-v422-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('rfi-v422-stable', {'sensitivity': 2}) |
CRS 3.3
| 機密等級 |
運算式 |
| 1 |
evaluatePreconfiguredWaf('rfi-v33-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('rfi-v33-stable', {'sensitivity': 2}) |
CRS 3.0
| 機密等級 |
運算式 |
| 1 |
evaluatePreconfiguredWaf('rfi-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('rfi-stable', {'sensitivity': 2}) |
方法強制執行
下表列出方法強制執行預先設定規則中支援的簽章,並提供簽章 ID、敏感程度和說明。
CRS 4.22
| 簽章 ID (規則 ID) |
機密等級 |
說明 |
owasp-crs-v042200-id911100-methodenforcement |
1 |
政策不允許使用此方法 |
CRS 3.3
| 簽章 ID (規則 ID) |
機密等級 |
說明 |
owasp-crs-v030301-id911100-methodenforcement |
1 |
政策不允許使用此方法 |
CRS 3.0
| 簽章 ID (規則 ID) |
機密等級 |
說明 |
owasp-crs-v030001-id911100-methodenforcement |
1 |
政策不允許使用此方法 |
您可以透過預設的敏感度參數使用 evaluatePreconfiguredWaf,在特定敏感度層級設定規則。根據預設,如果沒有設定規則集敏感度,Cloud Armor 會評估所有簽章。
CRS 4.22
| 機密等級 |
運算式 |
| 1 |
evaluatePreconfiguredWaf('methodenforcement-v422-stable', {'sensitivity': 1}) |
CRS 3.3
| 機密等級 |
運算式 |
| 1 |
evaluatePreconfiguredWaf('methodenforcement-v33-stable', {'sensitivity': 1}) |
CRS 3.0
| 機密等級 |
運算式 |
| 1 |
evaluatePreconfiguredWaf('methodenforcement-stable', {'sensitivity': 1}) |
掃描器偵測
下表列出掃描器偵測預先設定規則中支援的簽章,並提供簽章 ID、敏感程度和說明。
CRS 4.22
| 簽章 ID (規則 ID) |
機密等級 |
說明 |
owasp-crs-v042200-id913100-scannerdetection |
1 |
找到與安全掃描器相關聯的使用者代理程式 |
CRS 3.3
| 簽章 ID (規則 ID) |
機密等級 |
說明 |
owasp-crs-v030301-id913100-scannerdetection |
1 |
找到與安全掃描器相關聯的使用者代理程式 |
owasp-crs-v030301-id913110-scannerdetection |
1 |
找到與安全掃描器相關聯的要求標頭 |
owasp-crs-v030301-id913120-scannerdetection |
1 |
發現與安全掃描器相關聯的要求檔案名稱或引數 |
owasp-crs-v030301-id913101-scannerdetection |
2 |
發現與指令碼或一般 HTTP 用戶端相關聯的使用者代理程式 |
owasp-crs-v030301-id913102-scannerdetection |
2 |
找到與網路檢索器或機器人相關聯的使用者代理程式 |
CRS 3.0
| 簽章 ID (規則 ID) |
機密等級 |
說明 |
owasp-crs-v030001-id913100-scannerdetection |
1 |
找到與安全掃描器相關聯的使用者代理程式 |
owasp-crs-v030001-id913110-scannerdetection |
1 |
找到與安全掃描器相關聯的要求標頭 |
owasp-crs-v030001-id913120-scannerdetection |
1 |
發現與安全掃描器相關聯的要求檔案名稱或引數 |
owasp-crs-v030001-id913101-scannerdetection |
2 |
發現與指令碼或一般 HTTP 用戶端相關聯的使用者代理程式 |
owasp-crs-v030001-id913102-scannerdetection |
2 |
找到與網路檢索器或機器人相關聯的使用者代理程式 |
您可以透過預設的敏感度參數使用 evaluatePreconfiguredWaf,在特定敏感度層級設定規則。根據預設,如果沒有設定規則集敏感度,Cloud Armor 會評估所有簽章。
CRS 4.22
| 機密等級 |
運算式 |
| 1 |
evaluatePreconfiguredWaf('scannerdetection-v422-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('scannerdetection-v422-stable', {'sensitivity': 2}) |
CRS 3.3
| 機密等級 |
運算式 |
| 1 |
evaluatePreconfiguredWaf('scannerdetection-v33-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('scannerdetection-v33-stable', {'sensitivity': 2}) |
CRS 3.0
| 機密等級 |
運算式 |
| 1 |
evaluatePreconfiguredWaf('scannerdetection-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('scannerdetection-stable', {'sensitivity': 2}) |
通訊協定攻擊
下表列出通訊協定攻擊預先設定規則中,每個支援簽章的簽章 ID、敏感度等級和說明。
CRS 4.22
| 簽章 ID (規則 ID) |
機密等級 |
說明 |
owasp-crs-v042200-id921110-protocolattack |
1 |
HTTP 要求走私攻擊 |
owasp-crs-v042200-id921120-protocolattack |
1 |
HTTP 回應分割攻擊 |
owasp-crs-v042200-id921130-protocolattack |
1 |
HTTP 回應分割攻擊 |
owasp-crs-v042200-id921140-protocolattack |
1 |
使用標頭發動 HTTP 標頭注入攻擊 |
owasp-crs-v042200-id921150-protocolattack |
1 |
使用酬載發動 HTTP 標頭注入攻擊 (偵測到 CR/LF) |
owasp-crs-v042200-id921160-protocolattack |
1 |
使用酬載發動 HTTP 標頭注入攻擊 (偵測到 CR/LF 和標頭名稱) |
owasp-crs-v042200-id921190-protocolattack |
1 |
HTTP 分割 (偵測到要求檔案名稱中有 CR/LF) |
owasp-crs-v042200-id921200-protocolattack |
1 |
LDAP 注入式攻擊 |
owasp-crs-v042200-id921421-protocolattack |
1 |
Content-Type 標頭:MIME 類型宣告以外的危險 Content-Type |
owasp-crs-v042200-id921240-protocolattack |
1 |
偵測到 mod_proxy 攻擊嘗試 |
owasp-crs-v042200-id921250-protocolattack |
1 |
系統偵測到您嘗試使用舊版 Cookie (第 1 版) |
owasp-crs-v042200-id921151-protocolattack |
2 |
使用酬載發動 HTTP 標頭注入攻擊 (偵測到 CR/LF) |
owasp-crs-v042200-id921422-protocolattack |
2 |
Content-Type 標頭:MIME 類型宣告以外的危險 Content-Type |
owasp-crs-v042200-id921230-protocolattack |
3 |
偵測到 HTTP 範圍標頭 |
owasp-crs-v042200-id921170-protocolattack |
3 |
HTTP 參數污染 (%{MATCHED_VAR_NAME}) |
owasp-crs-v042200-id921210-protocolattack |
3 |
偵測到參數陣列後方的偽造字元後,發生 HTTP 參數汙染 |
owasp-crs-v042200-id921220-protocolattack |
4 |
可使用陣列表示法進行 HTTP 參數污染 |
CRS 3.3
| 簽章 ID (規則 ID) |
機密等級 |
說明 |
Not included |
1 |
HTTP 要求走私攻擊 |
owasp-crs-v030301-id921110-protocolattack |
1 |
HTTP 要求走私攻擊 |
owasp-crs-v030301-id921120-protocolattack |
1 |
HTTP 回應分割攻擊 |
owasp-crs-v030301-id921130-protocolattack |
1 |
HTTP 回應分割攻擊 |
owasp-crs-v030301-id921140-protocolattack |
1 |
使用標頭發動 HTTP 標頭注入攻擊 |
owasp-crs-v030301-id921150-protocolattack |
1 |
使用酬載發動 HTTP 標頭注入攻擊 (偵測到 CR/LF) |
owasp-crs-v030301-id921160-protocolattack |
1 |
使用酬載發動 HTTP 標頭注入攻擊 (偵測到 CR/LF 和標頭名稱) |
owasp-crs-v030301-id921190-protocolattack |
1 |
HTTP 分割 (偵測到要求檔案名稱中有 CR/LF) |
owasp-crs-v030301-id921200-protocolattack |
1 |
LDAP 注入式攻擊 |
owasp-crs-v030301-id921151-protocolattack |
2 |
使用酬載發動 HTTP 標頭注入攻擊 (偵測到 CR/LF) |
owasp-crs-v030301-id921170-protocolattack |
3 |
HTTP 參數污染 |
CRS 3.0
| 簽章 ID (規則 ID) |
機密等級 |
說明 |
owasp-crs-v030001-id921100-protocolattack |
1 |
HTTP 要求走私攻擊 |
owasp-crs-v030001-id921110-protocolattack |
1 |
HTTP 要求走私攻擊 |
owasp-crs-v030001-id921120-protocolattack |
1 |
HTTP 回應分割攻擊 |
owasp-crs-v030001-id921130-protocolattack |
1 |
HTTP 回應分割攻擊 |
owasp-crs-v030001-id921140-protocolattack |
1 |
使用標頭發動 HTTP 標頭注入攻擊 |
owasp-crs-v030001-id921150-protocolattack |
1 |
使用酬載發動 HTTP 標頭注入攻擊 (偵測到 CR/LF) |
owasp-crs-v030001-id921160-protocolattack |
1 |
使用酬載發動 HTTP 標頭注入攻擊 (偵測到 CR/LF 和標頭名稱) |
Not included |
1 |
HTTP 分割 (偵測到要求檔案名稱中有 CR/LF) |
Not included |
1 |
LDAP 注入式攻擊 |
owasp-crs-v030001-id921151-protocolattack |
2 |
使用酬載發動 HTTP 標頭注入攻擊 (偵測到 CR/LF) |
owasp-crs-v030001-id921170-protocolattack |
3 |
HTTP 參數污染 |
您可以透過預設的敏感度參數使用 evaluatePreconfiguredWaf,在特定敏感度層級設定規則。根據預設,如果沒有設定規則集敏感度,Cloud Armor 會評估所有簽章。
CRS 4.22
| 機密等級 |
運算式 |
| 1 |
evaluatePreconfiguredWaf('protocolattack-v422-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('protocolattack-v422-stable', {'sensitivity': 2}) |
| 3 |
evaluatePreconfiguredWaf('protocolattack-v422-stable', {'sensitivity': 3}) |
CRS 3.3
| 機密等級 |
運算式 |
| 1 |
evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 2}) |
| 3 |
evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 3}) |
CRS 3.0
| 機密等級 |
運算式 |
| 1 |
evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 2}) |
| 3 |
evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 3}) |
PHP
下表列出 PHP 預先設定的 WAF 規則中,每個支援簽章的簽章 ID、敏感度等級和說明。
CRS 4.22
| 簽章 ID (規則 ID) |
機密等級 |
說明 |
owasp-crs-v042200-id933100-php |
1 |
PHP 注入攻擊:發現 PHP 開啟標記 |
owasp-crs-v042200-id933110-php |
1 |
PHP 注入攻擊:發現上傳的 PHP 指令碼檔案 |
owasp-crs-v042200-id933120-php |
1 |
PHP 注入式攻擊:發現設定指令 |
owasp-crs-v042200-id933130-php |
1 |
PHP 注入式攻擊:發現變數 |
owasp-crs-v042200-id933135-php |
1 |
PHP 注入式攻擊:發現變數存取權 |
owasp-crs-v042200-id933140-php |
1 |
PHP 注入式攻擊:發現 I/O 串流 |
owasp-crs-v042200-id933200-php |
1 |
PHP 注入式攻擊:偵測到包裝函式配置 |
owasp-crs-v042200-id933150-php |
1 |
PHP 注入攻擊:發現高風險的 PHP 函式名稱 |
owasp-crs-v042200-id933160-php |
1 |
PHP 注入攻擊:發現高風險的 PHP 函式呼叫 |
owasp-crs-v042200-id933170-php |
1 |
PHP 注入式攻擊:序列化物件注入 |
owasp-crs-v042200-id933180-php |
1 |
PHP 注入攻擊:發現變數函式呼叫 |
owasp-crs-v042200-id933210-php |
1 |
PHP 注入攻擊:發現變數函式呼叫 |
owasp-crs-v042200-id933151-php |
2 |
PHP 注入攻擊:發現中風險的 PHP 函式名稱 |
owasp-crs-v042200-id933152-php |
2 |
PHP 注入攻擊:發現中風險的 PHP 函式名稱 |
owasp-crs-v042200-id933153-php |
2 |
PHP 注入攻擊:發現中風險的 PHP 函式名稱 |
owasp-crs-v042200-id933131-php |
3 |
PHP 注入式攻擊:發現變數 |
owasp-crs-v042200-id933161-php |
3 |
PHP 注入攻擊:發現低價值 PHP 函式呼叫 |
owasp-crs-v042200-id933111-php |
3 |
PHP 注入攻擊:發現上傳的 PHP 指令碼檔案 |
owasp-crs-v042200-id933190-php |
3 |
PHP 注入攻擊:發現 PHP 結尾標記 |
owasp-crs-v042200-id933211-php |
3 |
PHP 注入攻擊:發現變數函式呼叫 |
CRS 3.3
| 簽章 ID (規則 ID) |
機密等級 |
說明 |
owasp-crs-v030301-id933100-php |
1 |
PHP 注入攻擊:發現 PHP 開啟標記 |
owasp-crs-v030301-id933110-php |
1 |
PHP 注入攻擊:發現上傳的 PHP 指令碼檔案 |
owasp-crs-v030301-id933120-php |
1 |
PHP 注入式攻擊:發現設定指令 |
owasp-crs-v030301-id933130-php |
1 |
PHP 注入式攻擊:發現變數 |
owasp-crs-v030301-id933140-php |
1 |
PHP 注入式攻擊:發現 I/O 串流 |
owasp-crs-v030301-id933200-php |
1 |
PHP 注入式攻擊:偵測到包裝函式配置 |
owasp-crs-v030301-id933150-php |
1 |
PHP 注入攻擊:發現高風險的 PHP 函式名稱 |
owasp-crs-v030301-id933160-php |
1 |
PHP 注入攻擊:發現高風險的 PHP 函式呼叫 |
owasp-crs-v030301-id933170-php |
1 |
PHP 注入式攻擊:序列化物件注入 |
owasp-crs-v030301-id933180-php |
1 |
PHP 注入攻擊:發現變數函式呼叫 |
owasp-crs-v030301-id933210-php |
1 |
PHP 注入攻擊:發現變數函式呼叫 |
owasp-crs-v030301-id933151-php |
2 |
PHP 注入攻擊:發現中風險的 PHP 函式名稱 |
owasp-crs-v030301-id933131-php |
3 |
PHP 注入式攻擊:發現變數 |
owasp-crs-v030301-id933161-php |
3 |
PHP 注入攻擊:發現低價值 PHP 函式呼叫 |
owasp-crs-v030301-id933111-php |
3 |
PHP 注入攻擊:發現上傳的 PHP 指令碼檔案 |
owasp-crs-v030301-id933190-php |
3 |
PHP 注入攻擊:發現 PHP 結尾標記 |
CRS 3.0
| 簽章 ID (規則 ID) |
機密等級 |
說明 |
owasp-crs-v030001-id933100-php |
1 |
PHP 注入攻擊:發現 PHP 開啟標記 |
owasp-crs-v030001-id933110-php |
1 |
PHP 注入攻擊:發現上傳的 PHP 指令碼檔案 |
owasp-crs-v030001-id933120-php |
1 |
PHP 注入式攻擊:發現設定指令 |
owasp-crs-v030001-id933130-php |
1 |
PHP 注入式攻擊:發現變數 |
owasp-crs-v030001-id933140-php |
1 |
PHP 注入式攻擊:發現 I/O 串流 |
Not included |
1 |
PHP 注入式攻擊:偵測到包裝函式配置 |
owasp-crs-v030001-id933150-php |
1 |
PHP 注入攻擊:發現高風險的 PHP 函式名稱 |
owasp-crs-v030001-id933160-php |
1 |
PHP 注入攻擊:發現高風險的 PHP 函式呼叫 |
owasp-crs-v030001-id933170-php |
1 |
PHP 注入式攻擊:序列化物件注入 |
owasp-crs-v030001-id933180-php |
1 |
PHP 注入攻擊:發現變數函式呼叫 |
Not included |
1 |
PHP 注入攻擊:發現變數函式呼叫 |
owasp-crs-v030001-id933151-php |
2 |
PHP 注入攻擊:發現中風險的 PHP 函式名稱 |
owasp-crs-v030001-id933131-php |
3 |
PHP 注入式攻擊:發現變數 |
owasp-crs-v030001-id933161-php |
3 |
PHP 注入攻擊:發現低價值 PHP 函式呼叫 |
owasp-crs-v030001-id933111-php |
3 |
PHP 注入攻擊:發現上傳的 PHP 指令碼檔案 |
Not included |
3 |
PHP 注入攻擊:發現 PHP 結尾標記 |
您可以透過預設的敏感度參數使用 evaluatePreconfiguredWaf,在特定敏感度層級設定規則。根據預設,如果沒有設定規則集敏感度,Cloud Armor 會評估所有簽章。
CRS 4.22
| 機密等級 |
運算式 |
| 1 |
evaluatePreconfiguredWaf('php-v422-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('php-v422-stable', {'sensitivity': 2}) |
| 3 |
evaluatePreconfiguredWaf('php-v422-stable', {'sensitivity': 3}) |
CRS 3.3
| 機密等級 |
運算式 |
| 1 |
evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 2}) |
| 3 |
evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 3}) |
CRS 3.0
| 機密等級 |
運算式 |
| 1 |
evaluatePreconfiguredWaf('php-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('php-stable', {'sensitivity': 2}) |
| 3 |
evaluatePreconfiguredWaf('php-stable', {'sensitivity': 3}) |
工作階段固定
下表列出工作階段固定預先設定規則中,每個支援簽章的簽章 ID、敏感程度和說明。
CRS 4.22
| 簽章 ID (規則 ID) |
機密等級 |
說明 |
owasp-crs-v042200-id943100-sessionfixation |
1 |
可能發生工作階段固定攻擊:在 HTML 中設定 Cookie 值 |
owasp-crs-v042200-id943110-sessionfixation |
1 |
可能遭到工作階段固定攻擊:工作階段 ID 參數名稱含有網域外參照網址 |
owasp-crs-v042200-id943120-sessionfixation |
1 |
可能發生工作階段固定攻擊:工作階段 ID 參數名稱沒有參照網址 |
CRS 3.3
| 簽章 ID (規則 ID) |
機密等級 |
說明 |
owasp-crs-v030301-id943100-sessionfixation |
1 |
可能發生工作階段固定攻擊:在 HTML 中設定 Cookie 值 |
owasp-crs-v030301-id943110-sessionfixation |
1 |
可能遭到工作階段固定攻擊:工作階段 ID 參數名稱含有網域外參照網址 |
owasp-crs-v030301-id943120-sessionfixation |
1 |
可能發生工作階段固定攻擊:工作階段 ID 參數名稱沒有參照網址 |
CRS 3.0
| 簽章 ID (規則 ID) |
機密等級 |
說明 |
owasp-crs-v030001-id943100-sessionfixation |
1 |
可能發生工作階段固定攻擊:在 HTML 中設定 Cookie 值 |
owasp-crs-v030001-id943110-sessionfixation |
1 |
可能遭到工作階段固定攻擊:工作階段 ID 參數名稱含有網域外參照網址 |
owasp-crs-v030001-id943120-sessionfixation |
1 |
可能發生工作階段固定攻擊:工作階段 ID 參數名稱沒有參照網址 |
您可以透過預設的敏感度參數使用 evaluatePreconfiguredWaf,在特定敏感度層級設定規則。工作階段固定攻擊的所有簽章都屬於靈敏度等級 1。下列設定適用於所有靈敏度等級:
CRS 4.22
| 機密等級 |
運算式 |
| 1 |
evaluatePreconfiguredWaf('sessionfixation-v422-stable', {'sensitivity': 1}) |
CRS 3.3
| 機密等級 |
運算式 |
| 1 |
evaluatePreconfiguredWaf('sessionfixation-v33-stable', {'sensitivity': 1}) |
CRS 3.0
| 機密等級 |
運算式 |
| 1 |
evaluatePreconfiguredWaf('sessionfixation-stable', {'sensitivity': 1}) |
Java 攻擊
下表列出 Java 攻擊預先設定規則中,每個支援簽章的簽章 ID、敏感度等級和說明。
CRS 4.22
| 簽章 ID (規則 ID) |
機密等級 |
說明 |
owasp-crs-v042200-id944100-java |
1 |
遠端指令執行:偵測到可疑的 Java 類別 |
owasp-crs-v042200-id944110-java |
1 |
遠端執行指令:產生 Java 程序 (CVE-2017-9805) |
owasp-crs-v042200-id944120-java |
1 |
遠端指令執行:Java 序列化 (CVE-2015-4852) |
owasp-crs-v042200-id944130-java |
1 |
偵測到可疑的 Java 類別 |
owasp-crs-v042200-id944140-java |
1 |
Java 注入攻擊:發現上傳的 JavaScript 檔案 |
owasp-crs-v042200-id944150-java |
1 |
可能執行遠端指令:Log4j 或 Log4shell |
owasp-crs-v042200-id944151-java |
2 |
可能執行遠端指令:Log4j 或 Log4shell |
owasp-crs-v042200-id944200-java |
2 |
偵測到魔術位元組,可能正在使用 Java 序列化 |
owasp-crs-v042200-id944210-java |
2 |
偵測到 Base64 編碼的 Magic Bytes,可能正在使用 Java 序列化 |
owasp-crs-v042200-id944240-java |
2 |
遠端指令執行:Java 序列化 (CVE-2015-4852) |
owasp-crs-v042200-id944250-java |
2 |
遠端指令執行:偵測到可疑的 Java 方法 |
owasp-crs-v042200-id944260-java |
2 |
遠端執行命令:惡意類別載入有效酬載 |
owasp-crs-v042200-id944300-java |
3 |
Base64 編碼字串與可疑關鍵字相符 |
owasp-crs-v042200-id944152-java |
4 |
可能執行遠端指令:Log4j 或 Log4shell |
CRS 3.3
| 簽章 ID (規則 ID) |
機密等級 |
說明 |
owasp-crs-v030301-id944100-java |
1 |
遠端指令執行:偵測到可疑的 Java 類別 |
owasp-crs-v030301-id944110-java |
1 |
遠端執行指令:產生 Java 程序 (CVE-2017-9805) |
owasp-crs-v030301-id944120-java |
1 |
遠端指令執行:Java 序列化 (CVE-2015-4852) |
owasp-crs-v030301-id944130-java |
1 |
偵測到可疑的 Java 類別 |
owasp-crs-v030301-id944200-java |
2 |
偵測到魔術位元組,可能正在使用 Java 序列化 |
owasp-crs-v030301-id944210-java |
2 |
偵測到 Base64 編碼的 Magic Bytes,可能正在使用 Java 序列化 |
owasp-crs-v030301-id944240-java |
2 |
遠端指令執行:Java 序列化 (CVE-2015-4852) |
owasp-crs-v030301-id944250-java |
2 |
遠端指令執行:偵測到可疑的 Java 方法 |
owasp-crs-v030301-id944300-java |
3 |
Base64 編碼字串與可疑關鍵字相符 |
CRS 3.0
| 簽章 ID (規則 ID) |
機密等級 |
說明 |
Not included |
1 |
遠端指令執行:偵測到可疑的 Java 類別 |
Not included |
1 |
遠端執行指令:產生 Java 程序 (CVE-2017-9805) |
Not included |
1 |
遠端指令執行:Java 序列化 (CVE-2015-4852) |
Not included |
1 |
偵測到可疑的 Java 類別 |
Not included |
2 |
偵測到魔術位元組,可能正在使用 Java 序列化 |
Not included |
2 |
偵測到 Base64 編碼的 Magic Bytes,可能正在使用 Java 序列化 |
Not included |
2 |
遠端指令執行:Java 序列化 (CVE-2015-4852) |
Not included |
2 |
遠端指令執行:偵測到可疑的 Java 方法 |
Not included |
3 |
Base64 編碼字串與可疑關鍵字相符 |
您可以透過預設的敏感度參數使用 evaluatePreconfiguredWaf,在特定敏感度層級設定規則。根據預設,如果沒有設定規則集敏感度,Cloud Armor 會評估所有簽章。
CRS 4.22
| 機密等級 |
運算式 |
| 1 |
evaluatePreconfiguredWaf('java-v422-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('java-v422-stable', {'sensitivity': 2}) |
| 3 |
evaluatePreconfiguredWaf('java-v422-stable', {'sensitivity': 3}) |
CRS 3.3
| 機密等級 |
運算式 |
| 1 |
evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 2}) |
| 3 |
evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 3}) |
一般攻擊
下表列出一般攻擊預先設定規則中,各項支援簽章的簽章 ID、敏感程度和說明。
CRS 4.22
| 簽章 ID (規則 ID) |
機密等級 |
說明 |
owasp-crs-v042200-id934100-generic |
1 |
Node.js 注入式攻擊 1/2 |
owasp-crs-v042200-id934110-generic |
1 |
可能發生伺服器端偽造要求 (SSRF) 攻擊:參數中的雲端服務供應商中繼資料網址 |
owasp-crs-v042200-id934130-generic |
1 |
JavaScript 原型鏈汙染 |
owasp-crs-v042200-id934150-generic |
1 |
Ruby 注入式攻擊 |
owasp-crs-v042200-id934160-generic |
1 |
Node.js DoS 攻擊 |
owasp-crs-v042200-id934170-generic |
1 |
PHP 資料架構攻擊 |
owasp-crs-v042200-id934101-generic |
2 |
Node.js 注入式攻擊 2/2 |
owasp-crs-v042200-id934120-generic |
2 |
可能遭到伺服器端偽造要求 (SSRF) 攻擊:使用 IP 位址的網址參數 |
owasp-crs-v042200-id934140-generic |
2 |
Perl 注入式攻擊 |
owasp-crs-v042200-id934180-generic |
2 |
SSTI 攻擊 |
CRS 3.3
| 簽章 ID (規則 ID) |
機密等級 |
說明 |
owasp-crs-v030301-id934100-nodejs |
1 |
Node.js 注入式攻擊 |
CRS 3.0
| 簽章 ID (規則 ID) |
機密等級 |
說明 |
Not included |
1 |
Node.js 注入式攻擊 |
您可以透過預設的敏感度參數使用 evaluatePreconfiguredWaf,在特定敏感度層級設定規則。NodeJS 攻擊的所有簽章都屬於靈敏度等級 1。下列設定適用於其他機密程度:
CRS 4.22
| 機密等級 |
運算式 |
| 1 |
evaluatePreconfiguredWaf('generic-v422-stable', {'sensitivity': 1}) |
CRS 3.3
| 機密等級 |
運算式 |
| 1 |
evaluatePreconfiguredWaf('nodejs-v33-stable', {'sensitivity': 1}) |
Cloud Armor 網路應用程式防火牆規則比較:CRS 3.3 和 CRS 4.22
下表完整列出 Cloud Armor CRS 3.3 和 CRS 4.22 規則集的差異。
CRS 3.3 的 nodejs 類別在 CRS 4.22 中已重新命名為 generic,但兩者共用相同的規則 ID 前置字串「934」。建議使用 CRS 4.22,以防範現代威脅。
| 類別 |
OWASP 規則 |
規則 ID |
在 CRS 3.3 中 |
CRS 4.22 |
狀態 |
| 跨網站指令碼攻擊 (XSS) | xss-v422-stable | 941100 | 是 | 是 | 兩者並用 |
| 跨網站指令碼攻擊 (XSS) | xss-v422-stable | 941101 | 是 | 是 | 兩者並用 |
| 跨網站指令碼攻擊 (XSS) | xss-v422-stable | 941110 | 是 | 是 | 兩者並用 |
| 跨網站指令碼攻擊 (XSS) | xss-v422-stable | 941120 | 是 | 是 | 兩者並用 |
| 跨網站指令碼攻擊 (XSS) | xss-v422-stable | 941130 | 是 | 是 | 兩者並用 |
| 跨網站指令碼攻擊 (XSS) | xss-v422-stable | 941140 | 是 | 是 | 兩者並用 |
| 跨網站指令碼攻擊 (XSS) | xss-v422-stable | 941150 | 是 | 是 | 兩者並用 |
| 跨網站指令碼攻擊 (XSS) | xss-v422-stable | 941160 | 是 | 是 | 兩者並用 |
| 跨網站指令碼攻擊 (XSS) | xss-v422-stable | 941170 | 是 | 是 | 兩者並用 |
| 跨網站指令碼攻擊 (XSS) | xss-v422-stable | 941180 | 是 | 是 | 兩者並用 |
| 跨網站指令碼攻擊 (XSS) | xss-v422-stable | 941181 | 否 | 是 | 4.22 Only |
| 跨網站指令碼攻擊 (XSS) | xss-v422-stable | 941190 | 是 | 是 | 兩者並用 |
| 跨網站指令碼攻擊 (XSS) | xss-v422-stable | 941200 | 是 | 是 | 兩者並用 |
| 跨網站指令碼攻擊 (XSS) | xss-v422-stable | 941210 | 是 | 是 | 兩者並用 |
| 跨網站指令碼攻擊 (XSS) | xss-v422-stable | 941220 | 是 | 是 | 兩者並用 |
| 跨網站指令碼攻擊 (XSS) | xss-v422-stable | 941230 | 是 | 是 | 兩者並用 |
| 跨網站指令碼攻擊 (XSS) | xss-v422-stable | 941240 | 是 | 是 | 兩者並用 |
| 跨網站指令碼攻擊 (XSS) | xss-v422-stable | 941250 | 是 | 是 | 兩者並用 |
| 跨網站指令碼攻擊 (XSS) | xss-v422-stable | 941260 | 是 | 是 | 兩者並用 |
| 跨網站指令碼攻擊 (XSS) | xss-v422-stable | 941270 | 是 | 是 | 兩者並用 |
| 跨網站指令碼攻擊 (XSS) | xss-v422-stable | 941280 | 是 | 是 | 兩者並用 |
| 跨網站指令碼攻擊 (XSS) | xss-v422-stable | 941290 | 是 | 是 | 兩者並用 |
| 跨網站指令碼攻擊 (XSS) | xss-v422-stable | 941300 | 是 | 是 | 兩者並用 |
| 跨網站指令碼攻擊 (XSS) | xss-v422-stable | 941310 | 是 | 是 | 兩者並用 |
| 跨網站指令碼攻擊 (XSS) | xss-v422-stable | 941320 | 是 | 是 | 兩者並用 |
| 跨網站指令碼攻擊 (XSS) | xss-v422-stable | 941330 | 是 | 是 | 兩者並用 |
| 跨網站指令碼攻擊 (XSS) | xss-v422-stable | 941340 | 是 | 是 | 兩者並用 |
| 跨網站指令碼攻擊 (XSS) | xss-v422-stable | 941350 | 是 | 是 | 兩者並用 |
| 跨網站指令碼攻擊 (XSS) | xss-v422-stable | 941360 | 是 | 是 | 兩者並用 |
| 跨網站指令碼攻擊 (XSS) | xss-v422-stable | 941370 | 是 | 是 | 兩者並用 |
| 跨網站指令碼攻擊 (XSS) | xss-v422-stable | 941380 | 是 | 是 | 兩者並用 |
| 跨網站指令碼攻擊 (XSS) | xss-v422-stable | 941390 | 否 | 是 | 4.22 Only |
| 跨網站指令碼攻擊 (XSS) | xss-v422-stable | 941400 | 否 | 是 | 4.22 Only |
| 一般 (NodeJS) | generic-v422-stable | 934100 | 是 | 是 | 兩者並用 |
| 一般 (NodeJS) | generic-v422-stable | 934101 | 否 | 是 | 4.22 Only |
| 一般 (NodeJS) | generic-v422-stable | 934110 | 否 | 是 | 4.22 Only |
| 一般 (NodeJS) | generic-v422-stable | 934120 | 否 | 是 | 4.22 Only |
| 一般 (NodeJS) | generic-v422-stable | 934130 | 否 | 是 | 4.22 Only |
| 一般 (NodeJS) | generic-v422-stable | 934140 | 否 | 是 | 4.22 Only |
| 一般 (NodeJS) | generic-v422-stable | 934150 | 否 | 是 | 4.22 Only |
| 一般 (NodeJS) | generic-v422-stable | 934160 | 否 | 是 | 4.22 Only |
| 一般 (NodeJS) | generic-v422-stable | 934170 | 否 | 是 | 4.22 Only |
| 一般 (NodeJS) | generic-v422-stable | 934180 | 否 | 是 | 4.22 Only |
| Java | java-v422-stable | 944100 | 是 | 是 | 兩者並用 |
| Java | java-v422-stable | 944110 | 是 | 是 | 兩者並用 |
| Java | java-v422-stable | 944120 | 是 | 是 | 兩者並用 |
| Java | java-v422-stable | 944130 | 是 | 是 | 兩者並用 |
| Java | java-v422-stable | 944140 | 否 | 是 | 4.22 Only |
| Java | java-v422-stable | 944150 | 否 | 是 | 4.22 Only |
| Java | java-v422-stable | 944151 | 否 | 是 | 4.22 Only |
| Java | java-v422-stable | 944152 | 否 | 是 | 4.22 Only |
| Java | java-v422-stable | 944200 | 是 | 是 | 兩者並用 |
| Java | java-v422-stable | 944210 | 是 | 是 | 兩者並用 |
| Java | java-v422-stable | 944240 | 是 | 是 | 兩者並用 |
| Java | java-v422-stable | 944250 | 是 | 是 | 兩者並用 |
| Java | java-v422-stable | 944260 | 否 | 是 | 4.22 Only |
| Java | java-v422-stable | 944300 | 是 | 是 | 兩者並用 |
| 本機檔案包含 (LFI) | lfi-v422-stable | 930100 | 是 | 是 | 兩者並用 |
| 本機檔案包含 (LFI) | lfi-v422-stable | 930110 | 是 | 是 | 兩者並用 |
| 本機檔案包含 (LFI) | lfi-v422-stable | 930120 | 是 | 是 | 兩者並用 |
| 本機檔案包含 (LFI) | lfi-v422-stable | 930121 | 否 | 是 | 4.22 Only |
| 本機檔案包含 (LFI) | lfi-v422-stable | 930130 | 是 | 是 | 兩者並用 |
| 方法強制執行 | methodenforcement-v422-stable | 911100 | 是 | 是 | 兩者並用 |
| PHP | php-v422-stable | 933100 | 是 | 是 | 兩者並用 |
| PHP | php-v422-stable | 933110 | 是 | 是 | 兩者並用 |
| PHP | php-v422-stable | 933111 | 是 | 是 | 兩者並用 |
| PHP | php-v422-stable | 933120 | 是 | 是 | 兩者並用 |
| PHP | php-v422-stable | 933130 | 是 | 是 | 兩者並用 |
| PHP | php-v422-stable | 933131 | 是 | 是 | 兩者並用 |
| PHP | php-v422-stable | 933135 | 否 | 是 | 4.22 Only |
| PHP | php-v422-stable | 933140 | 是 | 是 | 兩者並用 |
| PHP | php-v422-stable | 933150 | 是 | 是 | 兩者並用 |
| PHP | php-v422-stable | 933151 | 是 | 是 | 兩者並用 |
| PHP | php-v422-stable | 933152 | 否 | 是 | 4.22 Only |
| PHP | php-v422-stable | 933153 | 否 | 是 | 4.22 Only |
| PHP | php-v422-stable | 933160 | 是 | 是 | 兩者並用 |
| PHP | php-v422-stable | 933161 | 是 | 是 | 兩者並用 |
| PHP | php-v422-stable | 933170 | 是 | 是 | 兩者並用 |
| PHP | php-v422-stable | 933180 | 是 | 是 | 兩者並用 |
| PHP | php-v422-stable | 933190 | 是 | 是 | 兩者並用 |
| PHP | php-v422-stable | 933200 | 是 | 是 | 兩者並用 |
| PHP | php-v422-stable | 933210 | 是 | 是 | 兩者並用 |
| PHP | php-v422-stable | 933211 | 否 | 是 | 4.22 Only |
| 通訊協定攻擊 | protocolattack-v422-stable | 921110 | 是 | 是 | 兩者並用 |
| 通訊協定攻擊 | protocolattack-v422-stable | 921120 | 是 | 是 | 兩者並用 |
| 通訊協定攻擊 | protocolattack-v422-stable | 921130 | 是 | 是 | 兩者並用 |
| 通訊協定攻擊 | protocolattack-v422-stable | 921140 | 是 | 是 | 兩者並用 |
| 通訊協定攻擊 | protocolattack-v422-stable | 921150 | 是 | 是 | 兩者並用 |
| 通訊協定攻擊 | protocolattack-v422-stable | 921151 | 是 | 是 | 兩者並用 |
| 通訊協定攻擊 | protocolattack-v422-stable | 921160 | 是 | 是 | 兩者並用 |
| 通訊協定攻擊 | protocolattack-v422-stable | 921170 | 是 | 是 | 兩者並用 |
| 通訊協定攻擊 | protocolattack-v422-stable | 921190 | 是 | 是 | 兩者並用 |
| 通訊協定攻擊 | protocolattack-v422-stable | 921200 | 是 | 是 | 兩者並用 |
| 通訊協定攻擊 | protocolattack-v422-stable | 921210 | 否 | 是 | 4.22 Only |
| 通訊協定攻擊 | protocolattack-v422-stable | 921220 | 否 | 是 | 4.22 Only |
| 通訊協定攻擊 | protocolattack-v422-stable | 921230 | 否 | 是 | 4.22 Only |
| 通訊協定攻擊 | protocolattack-v422-stable | 921240 | 否 | 是 | 4.22 Only |
| 通訊協定攻擊 | protocolattack-v422-stable | 921250 | 否 | 是 | 4.22 Only |
| 通訊協定攻擊 | protocolattack-v422-stable | 921421 | 否 | 是 | 4.22 Only |
| 通訊協定攻擊 | protocolattack-v422-stable | 921422 | 否 | 是 | 4.22 Only |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932100 | 是 | 否 | 3.3 Only |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932105 | 是 | 否 | 3.3 Only |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932106 | 是 | 否 | 3.3 Only |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932110 | 是 | 否 | 3.3 Only |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932115 | 是 | 否 | 3.3 Only |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932120 | 是 | 是 | 兩者並用 |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932125 | 否 | 是 | 4.22 Only |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932130 | 是 | 是 | 兩者並用 |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932131 | 否 | 是 | 4.22 Only |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932140 | 是 | 是 | 兩者並用 |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932150 | 是 | 否 | 3.3 Only |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932160 | 是 | 是 | 兩者並用 |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932161 | 否 | 是 | 4.22 Only |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932170 | 是 | 是 | 兩者並用 |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932171 | 是 | 是 | 兩者並用 |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932175 | 否 | 是 | 4.22 Only |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932180 | 是 | 是 | 兩者並用 |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932190 | 是 | 是 | 兩者並用 |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932200 | 是 | 是 | 兩者並用 |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932205 | 否 | 是 | 4.22 Only |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932206 | 否 | 是 | 4.22 Only |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932207 | 否 | 是 | 4.22 Only |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932210 | 否 | 是 | 4.22 Only |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932220 | 否 | 是 | 4.22 Only |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932230 | 否 | 是 | 4.22 Only |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932231 | 否 | 是 | 4.22 Only |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932232 | 否 | 是 | 4.22 Only |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932235 | 否 | 是 | 4.22 Only |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932236 | 否 | 是 | 4.22 Only |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932237 | 否 | 是 | 4.22 Only |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932238 | 否 | 是 | 4.22 Only |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932239 | 否 | 是 | 4.22 Only |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932240 | 否 | 是 | 4.22 Only |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932250 | 否 | 是 | 4.22 Only |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932260 | 否 | 是 | 4.22 Only |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932270 | 否 | 是 | 4.22 Only |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932271 | 否 | 是 | 4.22 Only |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932280 | 否 | 是 | 4.22 Only |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932281 | 否 | 是 | 4.22 Only |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932300 | 否 | 是 | 4.22 Only |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932301 | 否 | 是 | 4.22 Only |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932310 | 否 | 是 | 4.22 Only |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932311 | 否 | 是 | 4.22 Only |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932320 | 否 | 是 | 4.22 Only |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932321 | 否 | 是 | 4.22 Only |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932330 | 否 | 是 | 4.22 Only |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932331 | 否 | 是 | 4.22 Only |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932370 | 否 | 是 | 4.22 Only |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932371 | 否 | 是 | 4.22 Only |
| 遠端程式碼執行 (RCE) | rce-v422-stable | 932380 | 否 | 是 | 4.22 Only |
| 遠端檔案包含 (RFI) | rfi-v422-stable | 931100 | 是 | 是 | 兩者並用 |
| 遠端檔案包含 (RFI) | rfi-v422-stable | 931110 | 是 | 是 | 兩者並用 |
| 遠端檔案包含 (RFI) | rfi-v422-stable | 931120 | 是 | 是 | 兩者並用 |
| 遠端檔案包含 (RFI) | rfi-v422-stable | 931130 | 是 | 是 | 兩者並用 |
| 遠端檔案包含 (RFI) | rfi-v422-stable | 931131 | 否 | 是 | 4.22 Only |
| SQL 注入 (SQLi) | sqli-v422-stable | 942100 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942101 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942110 | 是 | 否 | 3.3 Only |
| SQL 注入 (SQLi) | sqli-v422-stable | 942120 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942130 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942131 | 否 | 是 | 4.22 Only |
| SQL 注入 (SQLi) | sqli-v422-stable | 942140 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942150 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942151 | 否 | 是 | 4.22 Only |
| SQL 注入 (SQLi) | sqli-v422-stable | 942152 | 否 | 是 | 4.22 Only |
| SQL 注入 (SQLi) | sqli-v422-stable | 942160 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942170 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942180 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942190 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942200 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942210 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942220 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942230 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942240 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942250 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942251 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942260 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942270 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942280 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942290 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942300 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942310 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942320 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942321 | 否 | 是 | 4.22 Only |
| SQL 注入 (SQLi) | sqli-v422-stable | 942330 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942340 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942350 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942360 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942361 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942362 | 否 | 是 | 4.22 Only |
| SQL 注入 (SQLi) | sqli-v422-stable | 942370 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942380 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942390 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942400 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942410 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942420 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942421 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942430 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942431 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942432 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942440 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942450 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942460 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942470 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942480 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942490 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942500 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942510 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942511 | 是 | 是 | 兩者並用 |
| SQL 注入 (SQLi) | sqli-v422-stable | 942520 | 否 | 是 | 4.22 Only |
| SQL 注入 (SQLi) | sqli-v422-stable | 942521 | 否 | 是 | 4.22 Only |
| SQL 注入 (SQLi) | sqli-v422-stable | 942522 | 否 | 是 | 4.22 Only |
| SQL 注入 (SQLi) | sqli-v422-stable | 942530 | 否 | 是 | 4.22 Only |
| SQL 注入 (SQLi) | sqli-v422-stable | 942540 | 否 | 是 | 4.22 Only |
| SQL 注入 (SQLi) | sqli-v422-stable | 942550 | 否 | 是 | 4.22 Only |
| SQL 注入 (SQLi) | sqli-v422-stable | 942560 | 否 | 是 | 4.22 Only |
| 掃描器偵測 | scannerdetection-v422-stable | 913100 | 是 | 是 | 兩者並用 |
| 掃描器偵測 | scannerdetection-v422-stable | 913101 | 是 | 否 | 3.3 Only |
| 掃描器偵測 | scannerdetection-v422-stable | 913102 | 是 | 否 | 3.3 Only |
| 掃描器偵測 | scannerdetection-v422-stable | 913110 | 是 | 否 | 3.3 Only |
| 掃描器偵測 | scannerdetection-v422-stable | 913120 | 是 | 否 | 3.3 Only |
| 工作階段固定 | sessionfixation-v422-stable | 943100 | 是 | 是 | 兩者並用 |
| 工作階段固定 | sessionfixation-v422-stable | 943110 | 是 | 是 | 兩者並用 |
| 工作階段固定 | sessionfixation-v422-stable | 943120 | 是 | 是 | 兩者並用 |
CVE 和其他安全漏洞
下表列出 React RCE 漏洞規則中支援的各項簽章,並提供簽章 ID、敏感程度和說明,協助您偵測及防範 CVE-2025-55182。
| 簽章 ID (規則 ID) |
機密等級 |
說明 |
google-mrs-v202512-id000001-rce |
0 |
React RCE 安全漏洞,有助於偵測及降低 CVE-2025-55182 的風險 |
google-mrs-v202512-id000002-rce |
0 |
React RCE 安全漏洞,有助於偵測及降低 CVE-2025-55182 的風險 |
請使用下列運算式偵測並降低 CVE-2025-55182 的風險:
(has(request.headers['next-action']) || has(request.headers['rsc-action-id']) ||request.headers['content-type'].contains('multipart/form-data') || request.headers['content-type'].contains('application/x-www-form-urlencoded') ) && evaluatePreconfiguredWaf('cve-canary',{'sensitivity': 0, 'opt_in_rule_ids': ['google-mrs-v202512-id000001-rce', 'google-mrs-v202512-id000002-rce']})
下表列出 CVE Log4j RCE 安全漏洞預先設定規則中,各項支援簽章的簽章 ID、敏感度等級和說明。
| 簽章 ID (規則 ID) |
機密等級 |
說明 |
owasp-crs-v030001-id044228-cve |
1 |
基本規則,有助於偵測 CVE-2021-44228
和 CVE-2021-45046 的攻擊嘗試 |
owasp-crs-v030001-id144228-cve |
1 |
Google 提供的強化功能,可防範更多規避和混淆嘗試 |
owasp-crs-v030001-id244228-cve |
3 |
提高偵測敏感度,偵測更多規避和混淆嘗試,偽陽性風險僅略微增加 |
owasp-crs-v030001-id344228-cve |
3 |
提高偵測敏感度,以偵測更多使用 base64 編碼的規避和模糊處理嘗試,誤判風險僅略為增加 |
您可以透過預設的敏感度參數使用 evaluatePreconfiguredWaf,在特定敏感度層級設定規則。根據預設,如果沒有設定規則集敏感度,Cloud Armor 會評估所有簽章。
| 機密等級 |
運算式 |
| 1 |
evaluatePreconfiguredWaf('cve-canary', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('cve-canary', {'sensitivity': 2}) |
| 3 |
evaluatePreconfiguredWaf('cve-canary', {'sensitivity': 3}) |
JSON 格式內容 SQL 注入安全漏洞
下表提供支援的簽章 942550-sqli 的簽章 ID、敏感度等級和說明,涵蓋惡意攻擊者可將 JSON 語法附加至 SQL 注入酬載,藉此規避 WAF 的安全漏洞。
| 簽章 ID (規則 ID) |
機密等級 |
說明 |
owasp-crs-id942550-sqli |
2 |
偵測所有以 JSON 為基礎的 SQL 注入攻擊向量,包括在網址中發現的 SQL 注入攻擊特徵 |
使用下列運算式部署簽章:
evaluatePreconfiguredWaf('json-sqli-canary', {'sensitivity':0, 'opt_in_rule_ids': ['owasp-crs-id942550-sqli']})
建議您也啟用感應層級 2 的 sqli-v33-stable,全面防範以 JSON 為基礎的 SQL 注入攻擊。
限制
Cloud Armor 預先設定的 WAF 規則有下列限制:
- WAF 規則變更通常需要幾分鐘才會生效。
- 在含有要求主體的 HTTP 要求類型中,Cloud Armor 只會處理含有主體的要求。Cloud Armor 會根據要求主體內容的前 64 KB,評估預先設定的規則。詳情請參閱「要求主體檢查限制」。
- 啟用 JSON 剖析功能後,Cloud Armor 就能剖析 JSON 格式的內容,並套用預先設定的 WAF 規則。詳情請參閱「剖析要求主體內容」。
- 如果從檢查中排除要求欄位,以減少預先設定的網路應用程式防火牆規則發生偽陽性情形,您就無法對該規則使用
allow 動作。系統會自動允許明確排除在檢查範圍外的要求欄位。
- Cloud Armor 預先設定的 WAF 規則只能用於負載平衡器後端的後端服務。因此,負載平衡配額和限制適用於您的部署作業。詳情請參閱負載平衡配額。
後續步驟
