Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’ensemble de règles par défaut géré par Azure (DRS) dans le pare-feu d’applications web Application Gateway (WAF) protège activement les applications web contre les vulnérabilités et les attaques courantes. Ces ensembles de règles, gérés par Azure, sont mis à jour si nécessaire pour se prémunir contre les nouvelles signatures d’attaques. L’ensemble de règles par défaut incorpore également les règles de collecte Microsoft Threat Intelligence. L’équipe Microsoft Intelligence collabore à la rédaction de ces règles, ce qui garantit une meilleure couverture, des correctifs de vulnérabilités spécifiques et une réduction des faux positifs.
Vous pouvez désactiver des règles individuellement ou définir des actions spécifiques pour chaque règle. Cet article répertorie les règles et ensembles de règles actuels disponibles. Si un ensemble de règles publié nécessite une mise à jour, nous la documenterons ici.
Remarque
Lorsqu'on modifie la version de l'ensemble des règles dans une stratégie WAF, vous devez reporter votre action de règle existante ainsi que les modifications de l'état et les exclusions pour les appliquer à la nouvelle version de l'ensemble de règles. Pour plus d’informations, consultez Mise à niveau ou modification de la version de l’ensemble de règles.
Ensemble de règles par défaut 2.1
L’ensemble de règles par défaut (DRS) 2.1 est basé sur le Core Rule Set (CRS) de l'OWASP (Open Web Application Security Project) 3.3.2 et inclut des règles de protection propriétaire supplémentaires développées par l’équipe Microsoft Threat Intelligence ainsi que des mises à jour des signatures pour réduire les faux positifs. Il prend également en charge les transformations au-delà du simple décodage d’URL.
DRS 2.1 offre un nouveau moteur et de nouveaux ensembles de règles défendant les injections Java, un ensemble initial de vérifications de chargement de fichiers et moins de faux positifs par rapport aux versions CRS. Vous pouvez également personnaliser les règles en fonction de vos besoins. En savoir plus sur le nouveau moteur WAF Azure.
DRS 2.1 inclut 17 groupes de règles, comme le montre le tableau suivant. Chaque groupe contient plusieurs règles, et vous pouvez personnaliser le comportement des règles individuelles, des groupes de règles ou d’un ensemble de règles entier.
| Type de menace | Nom du groupe de règles |
|---|---|
| Général | Général |
| Verrouiller les méthodes (PUT, PATCH) | DE MISE EN ŒUVRE DES MÉTHODES |
| Problèmes de protocole et d’encodage | PROTOCOL-ENFORCEMENT |
| Injection d’en-tête, trafic de demandes et fractionnement de réponse | ATTAQUE PAR PROTOCOLE |
| Attaques de fichier et de chemin d’accès | LFI |
| Attaques d’inclusion de fichiers à distance (RFI) | RFI |
| Attaques d’exécution de code à distance | RCE |
| Attaques par injection PHP | PHP |
| Attaques JS de nœud | NodeJS |
| Attaques par exécution de scripts de site à site | XSS |
| Attaques par injection de code SQL | SQLI |
| Attaques de fixation de session | SESSION-FIXATION |
| Attaques JAVA | SESSION-JAVA |
| Attaques par interpréteur de commandes web (MS) | MS-ThreatIntel-WebShells |
| Attaques AppSec (MS) | MS-ThreatIntel-AppSec |
| Attaques par injection sql (MS) | MS-ThreatIntel-SQLI |
| Attaques CVE (MS) | MS-ThreatIntel-CVEs |
Conseils de réglage précis pour DRS 2.1
Suivez les instructions suivantes pour paramétrer waf pendant que vous commencez à utiliser DRS 2.1 sur le WAF Application Gateway :
| Identificateur de la règle | Groupe de règles | Descriptif | Recommandation |
|---|---|---|---|
| 942110 | SQLI | Attaque par injection de code SQL : test d’injection courant détecté | Désactiver la règle 942110, remplacée par la règle MSTIC 99031001 |
| 942150 | SQLI | Attaque par injection de code SQL | Désactiver la règle 942150, remplacée par la règle MSTIC 99031003 |
| 942260 | SQLI | Détecte les tentatives de contournement d’authentification SQL de base 2/3 | Désactiver la règle 942260, remplacée par la règle MSTIC 99031004 |
| 942430 | SQLI | Détection restreinte d’anomalies de caractères SQL (args) : nombre de caractères spéciaux dépassés (12) | Désactiver la règle 942430, elle déclenche trop de faux positifs |
| 942440 | SQLI | Séquence de commentaire SQL détectée | Désactiver la règle 942440, remplacée par la règle MSTIC 99031002 |
| 99005006 | MS-ThreatIntel-WebShells | Tentative d’interaction Spring4Shell | Laisser la règle activée pour empêcher la vulnérabilité SpringShell |
| 99001014 | MS-ThreatIntel-CVEs | Tentative d’injection d’expression de routage Spring Cloud CVE-2022-22963 | Laisser la règle activée pour empêcher la vulnérabilité SpringShell |
| 99001015 | MS-ThreatIntel-CVEs | Tentative d’exploitation d’objets de classe non sécurisée Spring Framework CVE-2022-22965 | Laisser la règle activée pour empêcher la vulnérabilité SpringShell |
| 99001016 | MS-ThreatIntel-CVEs | Tentative d’injection d’actionneur Spring Cloud Gateway CVE-2022-22947 | Laisser la règle activée pour empêcher la vulnérabilité SpringShell |
| 99001017 | MS-ThreatIntel-CVEs | Tentative d’exploitation du chargement de fichier Apache Struts CVE-2023-50164 | Définissez l’action sur Bloquer pour contrer la vulnérabilité d’Apache Struts. Score d’anomalie non pris en charge pour cette règle |
Ensembles de règles de base (CRS) - hérité
L’ensemble de règles managées recommandé est le Default Rule Set 2.1, qui est basé sur le Core Rule Set (CRS) 3.3.2 de l'Open Web Application Security Project (OWASP) et inclut des règles de protection propriétaires supplémentaires développées par l’équipe Microsoft Threat Intelligence, ainsi que des mises à jour des signatures pour réduire les faux positifs. Lors de la création d’une stratégie WAF, vous devez utiliser la dernière version de l’ensemble de règles recommandée DRS 2.1. Si vous disposez d’une stratégie WAF existante à l’aide de CRS 3.2 ou CRS 3.1, il est recommandé de procéder à la mise à niveau vers DRS 2.1. Pour plus d’informations, consultez Mettre à niveau la version de l’ensemble de règles CRS ou DRS.
Remarque
CRS 3.2 est uniquement disponible sur la référence SKU WAF_v2. Vous ne pouvez pas passer de CRS 3.2 à CRS 3.1 ou version antérieure, car CRS 3.2 s’exécute sur le nouveau moteur WAF Azure. Il est recommandé de mettre à jour vers la dernière version du DRS 2.1 directement et de valider les nouvelles règles en toute sécurité en modifiant l’action des nouvelles règles en mode de journalisation. Pour plus d’informations, consultez Valider les nouvelles règles en toute sécurité.
Le pare-feu d’applications web (WAF) s’exécutant sur Application Gateway pour conteneurs ne prend pas en charge l’ensemble de règles de base (CRS).
Réglage des ensembles de règles managés
Le DRS et le CRS sont activés par défaut en mode détection dans vos stratégies WAF. Vous pouvez activer ou désactiver des règles individuellement dans l’ensemble de règles managé en fonction des exigences propres à votre application. Vous pouvez également définir des actions spécifiques par règle. Le DRS/CRS prend en charge les actions de blocage, de journalisation et d'évaluation des anomalies. L’ensemble de règles Bot Manager prend en charge les actions autoriser, bloquer et journaliser.
Parfois, il peut s’avérer nécessaire d’omettre certains attributs de requête d’une évaluation WAF. Les jetons insérés par Active Directory qui sont utilisés pour l’authentification en sont un exemple courant. Vous pouvez configurer des exclusions à appliquer lorsque des règles WAF spécifiques sont évaluées ou pour qu’elles s’appliquent globalement à l’évaluation de toutes les règles WAF. Les règles d’exclusion s’appliquent à l’ensemble de votre application web. Pour plus d’informations, consultez Web Application Firewall (WAF) avec listes d’exclusions Application Gateway.
Par défaut, Azure WAF utilise l'évaluation des anomalies lorsqu’une requête correspond à une règle. En outre, vous pouvez configurer des règles personnalisées dans la même stratégie WAF si vous souhaitez contourner l’une des règles préconfigurées dans l’ensemble de règles de base.
Les règles personnalisées sont toujours appliquées avant l’évaluation des règles de l’ensemble de règles de base. Si une demande correspond à une règle personnalisée, l’action de la règle correspondante est appliquée. La demande est bloquée ou transmise au back-end. Aucune autre règle personnalisée ou règle de l’ensemble de règles de base n’est traitée.
Scoring d’anomalie
Quand vous utilisez le CRS ou le DRS 2.1, votre WAF est configuré par défaut pour utiliser le scoring d’anomalie. Le trafic correspondant à une règle n’est pas immédiatement bloqué, même lorsque votre WAF est en mode prévention. Au lieu de cela, les ensembles de règles OWASP définissent une gravité pour chaque règle : Critique, Erreur, Avertissement ou Avis. La gravité affecte à la requête une valeur numérique appelée score d’anomalie.
| Gravité de la règle | Valeur contribuant au score de l’anomalie |
|---|---|
| Critique | 5 |
| Erreur | 4 |
| Avertissement | 3 |
| Avis | 2 |
Si le score d’anomalie est supérieur ou égal à 5 et que le WAF est en mode de prévention, la requête est bloquée. Si le score d’anomalie est supérieur ou égal à 5 et que le WAF est en mode de détection, la requête est journalisée mais pas bloquée.
Par exemple, une seule correspondance de règle Critique suffit pour que le WAF bloque une requête, en mode de prévention, car le score d’anomalie global est de 5. Toutefois, une correspondance de règle d’Avertissement n’augmente le score d’anomalie que de 3, ce qui est insuffisant pour bloquer le trafic. Quand une règle d’anomalie est déclenchée, elle présente une action « Correspondance » dans les journaux. Si le score d’anomalie est égal à 5 ou supérieur, une règle distincte est déclenchée avec l’action « Bloquée » ou « Détectée » selon que la stratégie WAF est en mode Prévention ou Détection. Pour plus d’informations, consultez le mode de notation des anomalies.
Niveau paranoïa
Chaque règle est affectée dans un niveau paranoïa (PL) spécifique. Les règles configurées dans Paranoia Level 1 (PL1) sont moins agressives et ne déclenchent guère de faux positifs. Ils fournissent une sécurité de base avec un besoin minimal de réglage précis. Les règles de PL2 détectent davantage d’attaques, mais elles sont censées déclencher des faux positifs qui doivent être affinés.
Par défaut, les versions de règle DRS 2.1 et CRS 3.2 sont préconfigurées dans Paranoia Level 2, y compris les règles attribuées dans PL1 et PL2. Si vous souhaitez utiliser WAF exclusivement avec PL1, vous pouvez désactiver toutes les règles PL2 ou toutes les règles PL2 ou modifier leur action en « journal ». PL3 et PL4 ne sont actuellement pas pris en charge dans azure WAF.
Remarque
Le jeu de règles CRS 3.2 inclut des règles dans PL3 et PL4, mais ces règles sont toujours inactives et ne peuvent pas être activées, quel que soit leur état ou action configuré.
Mise à niveau ou modification de la version du jeu de règles
Si vous effectuez une mise à niveau ou que vous affectez une nouvelle version du jeu de règles et souhaitez conserver les remplacements et exclusions de règles existants, il est recommandé d’utiliser PowerShell, l’interface CLI, l’API REST ou un modèle pour apporter des modifications de version du jeu de règles. Une nouvelle version d’un ensemble de règles peut avoir des règles plus récentes ou des groupes de règles supplémentaires, que vous souhaiterez peut-être valider en toute sécurité. Il est recommandé de valider les modifications dans un environnement de test, d’ajuster le cas échéant, puis de déployer dans un environnement de production. Pour plus d’informations, consultez Mettre à niveau la version de l’ensemble de règles CRS ou DRS
Si vous utilisez le portail Azure pour affecter un nouveau jeu de règles managés à une stratégie WAF, toutes les personnalisations précédentes de l’ensemble de règles managés existant, telles que l’état des règles, les actions de règle et les exclusions au niveau de la règle, sont réinitialisées aux valeurs par défaut du nouvel ensemble de règles managés. Toutefois, les règles personnalisées, les paramètres de stratégie et les exclusions globales restent inchangés lors de l’affectation du nouvel ensemble de règles. Vous devez redéfinir les remplacements de règles et valider les modifications avant le déploiement dans un environnement de production.
Bot Manager 1.0
L’ensemble de règles de Bot Manager 1.0 offre une protection contre les bots malveillants et permet de détecter les bons bots. Les règles fournissent un contrôle granulaire sur les bots détectés par WAF en classant les bots dans les catégories suivantes selon leur trafic : bon (Good), mauvais (Bad) ou inconnu (Unknown).
| Groupe de règles | Descriptif |
|---|---|
| BadBots | Protection contre les bots malveillants |
| GoodBots | Identification des bots bienveillants |
| UnknownBots | Identification des bots inconnus |
Bot Manager 1.1
L’ensemble de règles de Bot Manager 1.1 améliore l’ensemble de règles de Bot Manager 1.0. Il offre une protection renforcée contre les bots malveillants et une meilleure détection des bons bots.
| Groupe de règles | Descriptif |
|---|---|
| BadBots | Protection contre les bots malveillants |
| GoodBots | Identification des bots bienveillants |
| UnknownBots | Identification des bots inconnus |
Les règles et groupes de règles suivants sont disponibles durant l’utilisation du pare-feu d’applications web sur Application Gateway.
Ensembles de règles 2.1
Général
| Identificateur de la règle | Gravité du score d’anomalie | Niveau de paranoïa | Descriptif |
|---|---|---|---|
| 200002 | Critique - 5 % | PL1 | Échec de l’analyse du corps de la requête |
| 200003 | Critique - 5 % | PL1 | Échec de la validation stricte du corps de la requête à parties multiples |
METHOD ENFORCEMENT
| Identificateur de la règle | Gravité du score d’anomalie | Niveau de paranoïa | Descriptif |
|---|---|---|---|
| 911100 | Critique - 5 % | PL1 | La méthode n’est pas autorisée par la stratégie |
PROTOCOL-ENFORCEMENT
| Identificateur de la règle | Gravité du score d’anomalie | Niveau de paranoïa | Descriptif |
|---|---|---|---|
| 920100 | Avis - 2 | PL1 | Ligne de requête HTTP non valide |
| 920120 | Critique - 5 % | PL1 | Tentative de contournement de données en plusieurs parties/de formulaire |
| 920121 | Critique - 5 % | PL2 | Tentative de contournement de données en plusieurs parties/de formulaire |
| 920160 | Critique - 5 % | PL1 | L’en-tête HTTP Content-Length n’est pas numérique |
| 920170 | Critique - 5 % | PL1 | GET ou HEAD Request with Body Content |
| 920171 | Critique - 5 % | PL1 | GET ou HEAD Request with Transfer-Encoding |
| 920180 | Avis - 2 | PL1 | En-tête de longueur de contenu manquant de la requête POST |
| 920181 | Avertissement - 3 | PL1 | Les en-têtes Content-Length et Transfer-Encoding présentent 99001003 |
| 920190 | Avertissement - 3 | PL1 | Plage : Dernière valeur d’octet non valide |
| 920200 | Avertissement - 3 | PL2 | Plage : champs trop nombreux (6 ou plus) |
| 920201 | Avertissement - 3 | PL2 | Plage : champs trop nombreux pour la requête PDF (35 ou plus) |
| 920210 | Critique - 5 % | PL1 | Données d’en-tête de connexion multiples/conflictuelles trouvées |
| 920220 | Avertissement - 3 | PL1 | Tentative d’attaque abusive d’encodage d’URL |
| 920230 | Avertissement - 3 | PL2 | Détection d’encodage de plusieurs URL |
| 920240 | Avertissement - 3 | PL1 | Tentative d’attaque abusive d’encodage d’URL |
| 920260 | Avertissement - 3 | PL1 | Tentative d’attaque abusive Pleine/Moyenne largeur Unicode |
| 920270 | Erreur - 4 | PL1 | Caractère non valide dans la requête (caractère null) |
| 920271 | Critique - 5 % | PL2 | Caractère non valide dans la requête (caractères non imprimables) |
| 920280 | Avertissement - 3 | PL1 | En-tête d’hôte manquant dans la requête |
| 920290 | Avertissement - 3 | PL1 | En-tête d’hôte vide |
| 920300 | Avis - 2 | PL2 | En-tête Accept manquant dans la requête |
| 920310 | Avis - 2 | PL1 | Requête contenant un en-tête Accept vide |
| 920311 | Avis - 2 | PL1 | Requête contenant un en-tête Accept vide |
| 920320 | Avis - 2 | PL2 | En-tête User-Agent manquant |
| 920330 | Avis - 2 | PL1 | En-tête User-Agent vide |
| 920340 | Avis - 2 | PL1 | Requête contenant du contenu, mais dont l’en-tête Content-Type est manquant |
| 920341 | Critique - 5 % | PL1 | Requête dont le contenu nécessite l’en-tête Content-Type |
| 920350 | Avertissement - 3 | PL1 | L’en-tête d’hôte est une adresse IP numérique |
| 920420 | Critique - 5 % | PL1 | Le type de contenu de la requête n’est pas autorisé par la stratégie |
| 920430 | Critique - 5 % | PL1 | La version du protocole HTTP n’est pas autorisée par la stratégie |
| 920440 | Critique - 5 % | PL1 | Extension de fichier URL limitée par la stratégie |
| 920450 | Critique - 5 % | PL1 | En-tête HTTP limité par la stratégie |
| 920470 | Critique - 5 % | PL1 | En-tête Content-type non conforme |
| 920480 | Critique - 5 % | PL1 | Le jeu de caractères du type de contenu de la requête n’est pas autorisé par la stratégie |
| 920500 | Critique - 5 % | PL1 | Tentative d’accès à un fichier de sauvegarde ou de travail |
PROTOCOL-ATTACK
| Identificateur de la règle | Gravité du score d’anomalie | Niveau de paranoïa | Descriptif |
|---|---|---|---|
| 921110 | Critique - 5 % | PL1 | Attaque par dissimulation de requête HTTP |
| 921120 | Critique - 5 % | PL1 | Attaque par fractionnement de réponse HTTP |
| 921130 | Critique - 5 % | PL1 | Attaque par fractionnement de réponse HTTP |
| 921140 | Critique - 5 % | PL1 | Attaque par injection d’en-tête HTTP via les en-têtes |
| 921150 | Critique - 5 % | PL1 | Attaque par injection d’en-tête HTTP via la charge utile (CR/LF détecté) |
| 921151 | Critique - 5 % | PL2 | Attaque par injection d’en-tête HTTP via la charge utile (CR/LF détecté) |
| 921160 | Critique - 5 % | PL1 | Attaque par injection d’en-tête HTTP via la charge utile (CR/LF et nom d’en-tête détecté) |
| 921190 | Critique - 5 % | PL1 | Fractionnement HTTP (CR/LF détecté dans le nom de fichier de demande) |
| 921200 | Critique - 5 % | PL1 | Attaque par injection de code LDAP |
Inclusion de fichier local (LFI, Local File Inclusion)
| Identificateur de la règle | Gravité du score d’anomalie | Niveau de paranoïa | Descriptif |
|---|---|---|---|
| 930100 | Critique - 5 % | PL1 | Attaque par traversée de chemin (/../) |
| 930110 | Critique - 5 % | PL1 | Attaque par traversée de chemin (/../) |
| 930120 | Critique - 5 % | PL1 | Tentative d’accès au fichier du système d’exploitation |
| 930130 | Critique - 5 % | PL1 | Tentative d’accès au fichier restreint |
Inclusion de fichier distant (RFI, Remote File Inclusion)
| Identificateur de la règle | Gravité du score d’anomalie | Niveau de paranoïa | Descriptif |
|---|---|---|---|
| 931100 | Critique - 5 % | PL1 | Attaque possible par inclusion de fichier distant : paramètre d’URL utilisant l’adresse IP |
| 931110 | Critique - 5 % | PL1 | Attaque possible par inclusion de fichier distant (RFI) : nom de paramètre vulnérable RFI commun utilisé avec la charge utile URL |
| 931120 | Critique - 5 % | PL1 | Attaque possible par inclusion de fichier distant : charge utile URL utilisée avec caractère point d’interrogation de fin (?) |
| 931130 | Critique - 5 % | PL2 | Attaque possible par inclusion de fichier distant : Référence/Lien hors domaine |
Exécution de commande à distance (RCE, Remote Command Execution)
| Identificateur de la règle | Gravité du score d’anomalie | Niveau de paranoïa | Descriptif |
|---|---|---|---|
| 932100 | Critique - 5 % | PL1 | Exécution de commande à distance : Injection de commande Unix |
| 932105 | Critique - 5 % | PL1 | Exécution de commande à distance : Injection de commande Unix |
| 932110 | Critique - 5 % | PL1 | Exécution de commande à distance : Injection de commande Windows |
| 932115 | Critique - 5 % | PL1 | Exécution de commande à distance : Injection de commande Windows |
| 932120 | Critique - 5 % | PL1 | Exécution de commande à distance : commande Windows PowerShell détectée |
| 932130 | Critique - 5 % | PL1 | Exécution de commandes distantes : Vulnérabilité d’expression ou de confluence du shell Unix(CVE-2022-26134) trouvée |
| 932140 | Critique - 5 % | PL1 | Exécution de commande à distance : commande Windows FOR/IF détectée |
| 932150 | Critique - 5 % | PL1 | Exécution de commande à distance : Exécution de commande UNIX directe |
| 932160 | Critique - 5 % | PL1 | Exécution de commande à distance : code de l’interpréteur de commandes Unix détecté |
| 932170 | Critique - 5 % | PL1 | Exécution de commande à distance : Shellshock (CVE-2014-6271) |
| 932171 | Critique - 5 % | PL1 | Exécution de commande à distance : Shellshock (CVE-2014-6271) |
| 932180 | Critique - 5 % | PL1 | Tentative de chargement de fichier limitée |
Attaques par PHP
| Identificateur de la règle | Gravité du score d’anomalie | Niveau de paranoïa | Descriptif |
|---|---|---|---|
| 933100 | Critique - 5 % | PL1 | Attaque par injection de code PHP : balise d’ouverture/fermeture détectée |
| 933110 | Critique - 5 % | PL1 | Attaque par injection de code PHP : Chargement de fichiers de script PHP détecté |
| 933120 | Critique - 5 % | PL1 | Attaque par injection de code PHP : directive de configuration détectée |
| 933130 | Critique - 5 % | PL1 | Attaque par injection de code PHP : Variables détectées |
| 933140 | Critique - 5 % | PL1 | Attaque par injection de code PHP : Flux d’E/S détecté |
| 933150 | Critique - 5 % | PL1 | Attaque par injection de code PHP : nom de fonction PHP à risque élevé détecté |
| 933151 | Critique - 5 % | PL2 | Attaque par injection de code PHP : Nom de fonction PHP à risque modéré détecté |
| 933160 | Critique - 5 % | PL1 | Attaque par injection de code PHP : appel de fonction PHP à risque élevé détecté |
| 933170 | Critique - 5 % | PL1 | Attaque par injection de code PHP : Injection d’objet sérialisé |
| 933180 | Critique - 5 % | PL1 | Attaque par injection de code PHP : appel de fonction variable détecté |
| 933200 | Critique - 5 % | PL1 | Attaque par injection de code PHP : schéma de wrapper détecté |
| 933210 | Critique - 5 % | PL1 | Attaque par injection de code PHP : appel de fonction variable détecté |
Attaques par Node.js
| Identificateur de la règle | Gravité du score d’anomalie | Niveau de paranoïa | Descriptif |
|---|---|---|---|
| 934100 | Critique - 5 % | PL1 | Attaque par injection de code Node.js |
XSS - Scripts intersites
| Identificateur de la règle | Gravité du score d’anomalie | Niveau de paranoïa | Descriptif |
|---|---|---|---|
| 941100 | Critique - 5 % | PL1 | Attaque XSS détectée via libinjection |
| 941101 | Critique - 5 % | PL2 | Attaque XSS détectée via libinjection Cette règle détecte les demandes avec un en-tête Referer |
| 941110 | Critique - 5 % | PL1 | Filtre XSS - Catégorie 1 : vecteur de balise de script |
| 941120 | Critique - 5 % | PL1 | Filtre XSS - Catégorie 2 : vecteur de gestionnaire d’événements |
| 941130 | Critique - 5 % | PL1 | Filtre XSS - Catégorie 3 : vecteur d’attribut |
| 941140 | Critique - 5 % | PL1 | Filtre XSS - Catégorie 4 : vecteur URI JavaScript |
| 941150 | Critique - 5 % | PL2 | Filtre XSS - Catégorie 5 : attributs HTML non autorisés |
| 941160 | Critique - 5 % | PL1 | NoScript XSS InjectionChecker : Injection HTML. |
| 941170 | Critique - 5 % | PL1 | NoScript XSS InjectionChecker : injection d’attributs. |
| 941180 | Critique - 5 % | PL1 | Mots clés de la liste de refus du validateur de nœuds |
| 941190 | Critique - 5 % | PL1 | XSS utilisant des feuilles de style |
| 941200 | Critique - 5 % | PL1 | XSS utilisant des frames VML |
| 941210 | Critique - 5 % | PL1 | XSS utilisant du JavaScript obfusqué |
| 941220 | Critique - 5 % | PL1 | XSS utilisant du VB Script obfusqué |
| 941230 | Critique - 5 % | PL1 | XSS utilisant la balise « embed » |
| 941240 | Critique - 5 % | PL1 | XSS utilisant l’attribut « import » ou « implementation » |
| 941250 | Critique - 5 % | PL1 | Filtre XSS IE - Attaque détectée |
| 941260 | Critique - 5 % | PL1 | XSS utilisant la balise « meta » |
| 941270 | Critique - 5 % | PL1 | XSS utilisant le href « link » |
| 941280 | Critique - 5 % | PL1 | XSS utilisant la balise « base » |
| 941290 | Critique - 5 % | PL1 | XSS utilisant la balise « applet » |
| 941300 | Critique - 5 % | PL1 | XSS utilisant la balise « object » |
| 941310 | Critique - 5 % | PL1 | Filtre XSS d’encodage mal formé US-ASCII - Attaque détectée |
| 941320 | Critique - 5 % | PL2 | Possible attaque XSS détectée - Gestionnaire de balise HTML |
| 941330 | Critique - 5 % | PL2 | Filtre XSS IE - Attaque détectée |
| 941340 | Critique - 5 % | PL2 | Filtre XSS IE - Attaque détectée |
| 941350 | Critique - 5 % | PL1 | Encodage UTF-7 IE XSS - Attaque détectée |
| 941360 | Critique - 5 % | PL1 | Obfuscation JavaScript détectée |
| 941370 | Critique - 5 % | PL1 | Variable globale JavaScript détectée |
| 941380 | Critique - 5 % | PL2 | Injection de modèle côté client AngularJS détectée |
SQLI - Injection de code SQL
| Identificateur de la règle | Gravité du score d’anomalie | Niveau de paranoïa | Descriptif |
|---|---|---|---|
| 942100 | Critique - 5 % | PL1 | Attaque par injection de code SQL détectée via libinjection |
| 942110 | Avertissement - 3 | PL2 | Attaque par injection de code SQL : test d’injection courant détecté |
| 942120 | Critique - 5 % | PL2 | Attaque par injection SQL : opérateur SQL détecté. |
| 942130 | Critique - 5 % | PL2 | Attaque par injection SQL : Détection de la tautologie SQL |
| 942140 | Critique - 5 % | PL1 | Attaque par injection de code SQL : noms de base de données courants détectés |
| 942150 | Critique - 5 % | PL2 | Attaque par injection de code SQL |
| 942160 | Critique - 5 % | PL1 | Détecte les tests sqli aveugles à l’aide de sleep() ou de benchmark() |
| 942170 | Critique - 5 % | PL1 | Détecte les tentatives d’injection par les méthodes benchmark (test d’évaluation) et sleep (mise en veille), y compris les requêtes conditionnelles |
| 942180 | Critique - 5 % | PL2 | Détecte les tentatives de contournement d’authentification SQL de base 1/3 |
| 942190 | Critique - 5 % | PL1 | Détecte les tentatives de collecte d’informations et de d’exécution de code MSSQL |
| 942200 | Critique - 5 % | PL2 | Détecte les injections MySQL de type comment-/space-obfuscated et d’accent grave |
| 942210 | Critique - 5 % | PL2 | Détecte les tentatives d’injection de code SQL chaîné 1/2 |
| 942220 | Critique - 5 % | PL1 | Pour rechercher les attaques de dépassement sur les entiers, l’extraction se fait à partir de skipfish, à l’exception de 3.0.00738585072007e-308 qui est l’incident « nombre magique ». |
| 942230 | Critique - 5 % | PL1 | Détecte des tentatives d’injection de code SQL conditionnel |
| 942240 | Critique - 5 % | PL1 | Détecte les tentatives de basculement de charset MySQL et d’attaque DoS MSSQL |
| 942250 | Critique - 5 % | PL1 | Détecte les injections de code MATCH AGAINST, MERGE et EXECUTE IMMEDIATE |
| 942260 | Critique - 5 % | PL2 | Détecte les tentatives de contournement d’authentification SQL de base 2/3 |
| 942270 | Critique - 5 % | PL1 | Recherche d’injection de code SQL de base. Chaîne d’attaque courante pour mysql, oracle et autres |
| 942280 | Critique - 5 % | PL1 | Détecte l’injection de Postgres pg_sleep, les attaques par délai d’attente et les tentatives d’arrêt de base de données |
| 942290 | Critique - 5 % | PL1 | Recherche de tentatives d’injection de code SQL MongoDB de base |
| 942300 | Critique - 5 % | PL2 | Détecte les injections de ch(a)r, les conditions et les commentaires MySQL |
| 942310 | Critique - 5 % | PL2 | Détecte des tentatives d’injection de code SQL chaîné 2/2 |
| 942320 | Critique - 5 % | PL1 | Détecte des injections de fonctions/procédures stockées MySQL et PostgresSQL |
| 942330 | Critique - 5 % | PL2 | Détecte les sondes d’injection SQL classiques 1/2 |
| 942340 | Critique - 5 % | PL2 | Détecte les tentatives de contournement d’authentification SQL de base 3/3 |
| 942350 | Critique - 5 % | PL1 | Détecte l’injection de code UDF MySQL et autres tentatives de manipulation de données/structures |
| 942360 | Critique - 5 % | PL1 | Détecte l’injection SQL de base concaténée et les tentatives SQLLFI |
| 942361 | Critique - 5 % | PL2 | Détecte l’injection de code SQL de base par le biais du mot clé alter ou union |
| 942370 | Critique - 5 % | PL2 | Détecte les sondes d’injection SQL classiques 2/2 |
| 942380 | Critique - 5 % | PL2 | Attaque par injection de code SQL |
| 942390 | Critique - 5 % | PL2 | Attaque par injection de code SQL |
| 942400 | Critique - 5 % | PL2 | Attaque par injection de code SQL |
| 942410 | Critique - 5 % | PL2 | Attaque par injection de code SQL |
| 942430 | Avertissement - 3 | PL2 | Détection restreinte d’anomalies de caractères SQL (args) : nombre de caractères spéciaux dépassés (12) |
| 942440 | Critique - 5 % | PL2 | Séquence de commentaire SQL détectée |
| 942450 | Critique - 5 % | PL2 | Encodage hexadécimal SQL identifié |
| 942470 | Critique - 5 % | PL2 | Attaque par injection de code SQL |
| 942480 | Critique - 5 % | PL2 | Attaque par injection de code SQL |
| 942500 | Critique - 5 % | PL1 | Commentaire en ligne MySQL détecté |
| 942510 | Critique - 5 % | PL2 | Tentative de contournement SQLi par apostrophes ou apostrophes inversées détectée. |
SESSION-FIXATION
| Identificateur de la règle | Gravité du score d’anomalie | Niveau de paranoïa | Descriptif |
|---|---|---|---|
| 943100 | Critique - 5 % | PL1 | Attaque possible par fixation de session : définition de valeurs de cookies en HTML |
| 943110 | Critique - 5 % | PL1 | Attaque possible par fixation de session : nom du paramètre SessionID avec référent hors domaine |
| 943120 | Critique - 5 % | PL1 | Attaque possible par fixation de session : nom du paramètre SessionID sans référent |
Attaques par Java
| Identificateur de la règle | Gravité du score d’anomalie | Niveau de paranoïa | Descriptif |
|---|---|---|---|
| 944100 | Critique - 5 % | PL1 | Exécution de commande à distance : Apache Struts, Oracle WebLogic |
| 944110 | Critique - 5 % | PL1 | Détecte l’exécution de charge utile potentielle |
| 944120 | Critique - 5 % | PL1 | Exécution de charge utile et de commande à distance possible |
| 944130 | Critique - 5 % | PL1 | Classes Java suspectes |
| 944200 | Critique - 5 % | PL2 | Exploitation de la désérialisation Java Apache Commons |
| 944210 | Critique - 5 % | PL2 | Utilisation possible de la sérialisation Java |
| 944240 | Critique - 5 % | PL2 | Exécution de commande à distance : sérialisation Java et vulnérabilité Log4j (CVE-2021-44228, CVE-2021-45046) |
| 944250 | Critique - 5 % | PL2 | Exécution de commande à distance : méthode Java suspecte détectée |
MS-ThreatIntel-WebShells
| Identificateur de la règle | Gravité du score d’anomalie | Niveau de paranoïa | Descriptif |
|---|---|---|---|
| 99005002 | Critique - 5 % | PL2 | Tentative d’interaction avec l’interpréteur de commandes web (POST) |
| 99005003 | Critique - 5 % | PL2 | Tentative de chargement de l’interpréteur de commandes web (POST) - CHOPPER PHP |
| 99005004 | Critique - 5 % | PL2 | Tentative de chargement de l’interpréteur de commandes web (POST) - CHOPPER ASPX |
| 99005005 | Critique - 5 % | PL2 | Tentative d’interaction avec l’interpréteur de commandes web |
| 99005006 | Critique - 5 % | PL2 | Tentative d’interaction Spring4Shell |
MS-ThreatIntel-AppSec
| Identificateur de la règle | Gravité du score d’anomalie | Niveau de paranoïa | Descriptif |
|---|---|---|---|
| 99030001 | Critique - 5 % | PL2 | Esquive par traversée de chemin dans les en-têtes (/.././../) |
| 99030002 | Critique - 5 % | PL2 | Esquive par traversée de chemin dans le corps de requête (/.././../) |
MS-ThreatIntel-SQLI
| Identificateur de la règle | Gravité du score d’anomalie | Niveau de paranoïa | Descriptif |
|---|---|---|---|
| 99031001 | Avertissement - 3 | PL2 | Attaque par injection de code SQL : test d’injection courant détecté |
| 99031002 | Critique - 5 % | PL2 | Séquence de commentaire SQL détectée |
| 99031003 | Critique - 5 % | PL2 | Attaque par injection de code SQL |
| 99031004 | Critique - 5 % | PL2 | Détecte les tentatives de contournement d’authentification SQL de base 2/3 |
MS-ThreatIntel-CVEs
| Identificateur de la règle | Gravité du score d’anomalie | Niveau de paranoïa | Descriptif |
|---|---|---|---|
| 99001001 | Critique - 5 % | PL2 | Tentative d’exploitation de l’API REST (CVE-2020-5902) tmui de F5 avec des informations d’identification connues |
| 99001002 | Critique - 5 % | PL2 | Tentative d’attaque par traversée de répertoire Citrix NSC_USER CVE-2019-19781 |
| 99001003 | Critique - 5 % | PL2 | Tentative d’exploitation du connecteur de widget Atlassian Confluence CVE-2019-3396 |
| 99001004 | Critique - 5 % | PL2 | Tentative d’exploitation de modèle personnalisé Pulse Secure CVE-2020-8243 |
| 99001005 | Critique - 5 % | PL2 | Tentative d’exploitation du convertisseur de type SharePoint CVE-2020-0932 |
| 99001006 | Critique - 5 % | PL2 | Tentative d’attaque par traversée de répertoire Pulse Connect CVE-2019-11510 |
| 99001007 | Critique - 5 % | PL2 | Tentative d’inclusion de fichier local Junos OS J-Web CVE-2020-1631 |
| 99001008 | Critique - 5 % | PL2 | Tentative d’attaque par traversée de chemin Fortinet CVE-2018-13379 |
| 99001009 | Critique - 5 % | PL2 | Tentative d’injection Apache struts ognl CVE-2017-5638 |
| 99001010 | Critique - 5 % | PL2 | Tentative d’injection Apache struts ognl CVE-2017-12611 |
| 99001011 | Critique - 5 % | PL2 | Tentative d’attaque par traversée de chemin Oracle WebLogic CVE-2020-14882 |
| 99001012 | Critique - 5 % | PL2 | Tentative d’exploitation de désérialisation non sécurisée de Telerik WebUI CVE-2019-18935 |
| 99001013 | Critique - 5 % | PL2 | Tentative de désérialisation XML non sécurisée de SharePoint CVE-2019-0604 |
| 99001014 | Critique - 5 % | PL2 | Tentative d’injection d’expression de routage Spring Cloud CVE-2022-22963 |
| 99001015 | Critique - 5 % | PL2 | Tentative d’exploitation d’objets de classe non sécurisée Spring Framework CVE-2022-22965 |
| 99001016 | Critique - 5 % | PL2 | Tentative d’injection d’actionneur Spring Cloud Gateway CVE-2022-22947 |
| 99001017* | N/A | N/A | Tentative d’exploitation du chargement de fichier Apache Struts CVE-2023-50164 |
| 99001018 | Critique - 5 % | PL1 | Tentative d'exploitation de l'exécution de code à distance via React2Shell CVE-2025-55182 |
* L’action de cette règle est définie sur journaliser par défaut. Définissez l’action sur Bloquer pour contrer la vulnérabilité d’Apache Struts. Score d’anomalie non pris en charge pour cette règle.
Remarque
En examinant les journaux de votre WAF, il se peut que vous rencontriez l’ID de règle 949110. La description de la règle pourrait indiquer que le score d’anomalies entrantes a été dépassé.
Cette règle indique que le score de total d’anomalies pour la requête a dépassé le score maximal autorisé. Pour plus d’informations, consultez Scoring d’anomalie.
Vous trouverez ci-dessous les versions précédentes de l’ensemble de règles de base. Si vous utilisez CRS 3.2, CRS 3.1, CRS 3.0 ou CRS 2.2.9, il est recommandé d’effectuer une mise à niveau vers la dernière version du jeu de règles drS 2.1. Pour plus d’informations, consultez Mise à niveau ou modification de la version de l’ensemble de règles.
- OWASP 3.2 (hérité)
- OWASP 3.1 (hérité)
- OWASP 3.0 - n’est plus pris en charge
- OWASP 2.2.9 - n’est plus pris en charge
Ensembles de règles 3.2
Général
| Identificateur de la règle | Gravité du score d’anomalie | Niveau de paranoïa | Descriptif |
|---|---|---|---|
| 200002 | Critique - 5 % | PL1 | Échec de l’analyse du corps de la requête. |
| 200003 | Critique - 5 % | PL1 | Validation stricte du corps de la requête en plusieurs parties. |
| 200004 | Critique - 5 % | PL1 | Possible limite multipart sans correspondance. |
KNOWN-CVES
| Identificateur de la règle | Gravité du score d’anomalie | Niveau de paranoïa | Descriptif |
|---|---|---|---|
| 800100 | Critique - 5 % | PL2 | Règle pour détecter et contrer la vulnérabilité log4j CVE-2021-44228, CVE-2021-45046 |
| 800110 | Critique - 5 % | PL2 | Tentative d’interaction Spring4Shell |
| 800111 | Critique - 5 % | PL2 | Tentative d’injection d’expression de routage Spring Cloud CVE-2022-22963 |
| 800112 | Critique - 5 % | PL2 | Tentative d’exploitation d’objets de classe non sécurisée Spring Framework CVE-2022-22965 |
| 800113 | Critique - 5 % | PL2 | Tentative d’injection d’actionneur Spring Cloud Gateway CVE-2022-22947 |
| 800114* | Critique - 5 % | PL2 | Tentative d’exploitation du chargement de fichiers Apache Struts : CVE-2023-50164 |
* L’action de cette règle est définie sur journaliser par défaut. Définissez l’action sur Bloquer pour contrer la vulnérabilité d’Apache Struts. Score d’anomalie non pris en charge pour cette règle.
REQUEST-911-METHOD-ENFORCEMENT
| Identificateur de la règle | Gravité du score d’anomalie | Niveau de paranoïa | Descriptif |
|---|---|---|---|
| 911100 | Critique - 5 % | PL1 | La méthode n’est pas autorisée par la stratégie |
REQUEST-913-SCANNER-DETECTION
| Identificateur de la règle | Gravité du score d’anomalie | Niveau de paranoïa | Descriptif |
|---|---|---|---|
| 913100 | Critique - 5 % | PL1 | Détection d’agent utilisateur associé au scanner de sécurité |
| 913101 | Critique - 5 % | PL2 | Détection d’agent utilisateur associé aux scripts/client HTTP générique |
| 913102 | Critique - 5 % | PL2 | Détection d’agent utilisateur associé à l’analyseur web/robot |
| 913110 | Critique - 5 % | PL1 | Détection d’en-tête de requête associé au scanner de sécurité |
| 913120 | Critique - 5 % | PL1 | Détection de nom de fichier/argument associé au scanner de sécurité |
REQUEST-920-PROTOCOL-ENFORCEMENT
| Identificateur de la règle | Gravité du score d’anomalie | Niveau de paranoïa | Descriptif |
|---|---|---|---|
| 920100 | Avertissement - 3 | PL1 | Ligne de requête HTTP non valide |
| 920120 | Critique - 5 % | PL1 | Tentative de contournement de données en plusieurs parties/de formulaire |
| 920121 | Critique - 5 % | PL2 | Tentative de contournement de données en plusieurs parties/de formulaire |
| 920160 | Critique - 5 % | PL1 | L’en-tête HTTP Content-Length n’est pas numérique |
| 920170 | Critique - 5 % | PL1 | GET ou HEAD Request with Body Content |
| 920171 | Critique - 5 % | PL1 | GET ou HEAD Request with Transfer-Encoding |
| 920180 | Avertissement - 3 | PL1 | En-tête de longueur de contenu manquant de la requête POST |
| 920190 | Avertissement - 3 | PL1 | Plage : Dernière valeur d’octet non valide |
| 920200 | Avertissement - 3 | PL2 | Plage : champs trop nombreux (6 ou plus) |
| 920201 | Avertissement - 3 | PL2 | Plage : champs trop nombreux pour la requête PDF (35 ou plus) |
| 920210 | Avertissement - 3 | PL1 | Données d’en-tête de connexion multiples/conflictuelles trouvées |
| 920220 | Avertissement - 3 | PL1 | Tentative d’attaque abusive d’encodage d’URL |
| 920230 | Avertissement - 3 | PL2 | Détection d’encodage de plusieurs URL |
| 920240 | Avertissement - 3 | PL1 | Tentative d’attaque abusive d’encodage d’URL |
| 920250 | Avertissement - 3 | PL1 | Tentative d’attaque abusive d’encodage UTF8 |
| 920260 | Avertissement - 3 | PL1 | Tentative d’attaque abusive Pleine/Moyenne largeur Unicode |
| 920270 | Critique - 5 % | PL1 | Caractère non valide dans la requête (caractère null) |
| 920271 | Critique - 5 % | PL2 | Caractère non valide dans la requête (caractères non imprimables) |
| 920280 | Avertissement - 3 | PL1 | En-tête d’hôte manquant dans la requête |
| 920290 | Avertissement - 3 | PL1 | En-tête d’hôte vide |
| 920300 | Avis - 2 | PL2 | En-tête Accept manquant dans la requête |
| 920310 | Avis - 2 | PL1 | Requête contenant un en-tête Accept vide |
| 920311 | Avis - 2 | PL1 | Requête contenant un en-tête Accept vide |
| 920320 | Avis - 2 | PL2 | En-tête User-Agent manquant |
| 920330 | Avis - 2 | PL1 | En-tête User-Agent vide |
| 920340 | Avis - 2 | PL1 | Requête contenant du contenu, mais dont l’en-tête Content-Type est manquant |
| 920341 | Critique - 5 % | PL2 | Requête dont le contenu nécessite l’en-tête Content-Type |
| 920350 | Avertissement - 3 | PL1 | L’en-tête d’hôte est une adresse IP numérique |
| 920420 | Critique - 5 % | PL1 | Le type de contenu de la requête n’est pas autorisé par la stratégie |
| 920430 | Critique - 5 % | PL1 | La version du protocole HTTP n’est pas autorisée par la stratégie |
| 920440 | Critique - 5 % | PL1 | Extension de fichier URL limitée par la stratégie |
| 920450 | Critique - 5 % | PL1 | En-tête HTTP limité par la stratégie (%{MATCHED_VAR}) |
| 920470 | Critique - 5 % | PL1 | En-tête Content-type non conforme |
| 920480 | Critique - 5 % | PL1 | Restriction du paramètre charset dans l’en-tête Content-type |
REQUEST-921-PROTOCOL-ATTACK
| Identificateur de la règle | Gravité du score d’anomalie | Niveau de paranoïa | Descriptif |
|---|---|---|---|
| 921110 | Critique - 5 % | PL1 | Attaque par dissimulation de requête HTTP |
| 921120 | Critique - 5 % | PL1 | Attaque par fractionnement de réponse HTTP |
| 921130 | Critique - 5 % | PL1 | Attaque par fractionnement de réponse HTTP |
| 921140 | Critique - 5 % | PL1 | Attaque par injection d’en-tête HTTP via les en-têtes |
| 921150 | Critique - 5 % | PL1 | Attaque par injection d’en-tête HTTP via la charge utile (CR/LF détecté) |
| 921151 | Critique - 5 % | PL2 | Attaque par injection d’en-tête HTTP via la charge utile (CR/LF détecté) |
| 921160 | Critique - 5 % | PL1 | Attaque par injection d’en-tête HTTP via la charge utile (CR/LF et nom d’en-tête détecté) |
REQUEST-930-APPLICATION-ATTACK-LFI
| Identificateur de la règle | Gravité du score d’anomalie | Niveau de paranoïa | Descriptif |
|---|---|---|---|
| 930100 | Critique - 5 % | PL1 | Attaque par traversée de chemin (/../) |
| 930110 | Critique - 5 % | PL1 | Attaque par traversée de chemin (/../) |
| 930120 | Critique - 5 % | PL1 | Tentative d’accès au fichier du système d’exploitation |
| 930130 | Critique - 5 % | PL1 | Tentative d’accès au fichier restreint |
REQUEST-931-APPLICATION-ATTACK-RFI
| Identificateur de la règle | Gravité du score d’anomalie | Niveau de paranoïa | Descriptif |
|---|---|---|---|
| 931100 | Critique - 5 % | PL1 | Attaque possible par inclusion de fichier distant : paramètre d’URL utilisant l’adresse IP |
| 931110 | Critique - 5 % | PL1 | Attaque possible par inclusion de fichier distant (RFI) : nom de paramètre vulnérable RFI commun utilisé avec la charge utile URL |
| 931120 | Critique - 5 % | PL1 | Attaque possible par inclusion de fichier distant : charge utile URL utilisée avec caractère point d’interrogation de fin (?) |
| 931130 | Critique - 5 % | PL2 | Attaque possible par inclusion de fichier distant : Référence/Lien hors domaine |
REQUEST-932-APPLICATION-ATTACK-RCE
| Identificateur de la règle | Gravité du score d’anomalie | Niveau de paranoïa | Descriptif |
|---|---|---|---|
| 932100 | Critique - 5 % | PL1 | Exécution de commande à distance : Injection de commande Unix |
| 932105 | Critique - 5 % | PL1 | Exécution de commande à distance : Injection de commande Unix |
| 932110 | Critique - 5 % | PL1 | Exécution de commande à distance : Injection de commande Windows |
| 932115 | Critique - 5 % | PL1 | Exécution de commande à distance : Injection de commande Windows |
| 932120 | Critique - 5 % | PL1 | Exécution de commande à distance : commande Windows PowerShell détectée |
| 932130 | Critique - 5 % | PL1 | Exécution de commandes distantes : vulnérabilité d’expression ou de confluence du shell Unix (CVE-2022-26134) ou de Text4Shell (CVE-2022-42889) trouvée |
| 932140 | Critique - 5 % | PL1 | Exécution de commande à distance : commande Windows FOR/IF détectée |
| 932150 | Critique - 5 % | PL1 | Exécution de commande à distance : Exécution de commande UNIX directe |
| 932160 | Critique - 5 % | PL1 | Exécution de commande à distance : code de l’interpréteur de commandes Unix détecté |
| 932170 | Critique - 5 % | PL1 | Exécution de commande à distance : Shellshock (CVE-2014-6271) |
| 932171 | Critique - 5 % | PL1 | Exécution de commande à distance : Shellshock (CVE-2014-6271) |
| 932180 | Critique - 5 % | PL1 | Tentative de chargement de fichier limitée |
REQUEST-933-APPLICATION-ATTACK-PHP
| Identificateur de la règle | Gravité du score d’anomalie | Niveau de paranoïa | Descriptif |
|---|---|---|---|
| 933100 | Critique - 5 % | PL1 | Attaque par injection de code PHP : balise d’ouverture/fermeture détectée |
| 933110 | Critique - 5 % | PL1 | Attaque par injection de code PHP : Chargement de fichiers de script PHP détecté |
| 933120 | Critique - 5 % | PL1 | Attaque par injection de code PHP : directive de configuration détectée |
| 933130 | Critique - 5 % | PL1 | Attaque par injection de code PHP : Variables détectées |
| 933140 | Critique - 5 % | PL1 | Attaque par injection de code PHP : Flux d’E/S détecté |
| 933150 | Critique - 5 % | PL1 | Attaque par injection de code PHP : nom de fonction PHP à risque élevé détecté |
| 933151 | Critique - 5 % | PL2 | Attaque par injection de code PHP : Nom de fonction PHP à risque modéré détecté |
| 933160 | Critique - 5 % | PL1 | Attaque par injection de code PHP : appel de fonction PHP à risque élevé détecté |
| 933170 | Critique - 5 % | PL1 | Attaque par injection de code PHP : Injection d’objet sérialisé |
| 933180 | Critique - 5 % | PL1 | Attaque par injection de code PHP : appel de fonction variable détecté |
| 933200 | Critique - 5 % | PL1 | Attaque par injection de code PHP : schéma de wrapper détecté |
| 933210 | Critique - 5 % | PL1 | Attaque par injection de code PHP : appel de fonction variable détecté |
REQUEST-941-APPLICATION-ATTACK-XSS
| Identificateur de la règle | Gravité du score d’anomalie | Niveau de paranoïa | Descriptif |
|---|---|---|---|
| 941100 | Critique - 5 % | PL1 | Attaque XSS détectée via libinjection |
| 941101 | Critique - 5 % | PL2 | Attaque XSS détectée via libinjection Cette règle détecte les demandes avec un en-tête Referer |
| 941110 | Critique - 5 % | PL1 | Filtre XSS - Catégorie 1 : vecteur de balise de script |
| 941120 | Critique - 5 % | PL1 | Filtre XSS - Catégorie 2 : vecteur de gestionnaire d’événements |
| 941130 | Critique - 5 % | PL1 | Filtre XSS - Catégorie 3 : vecteur d’attribut |
| 941140 | Critique - 5 % | PL1 | Filtre XSS - Catégorie 4 : vecteur URI JavaScript |
| 941150 | Critique - 5 % | PL2 | Filtre XSS - Catégorie 5 : attributs HTML non autorisés |
| 941160 | Critique - 5 % | PL1 | NoScript XSS InjectionChecker : Injection HTML. |
| 941170 | Critique - 5 % | PL1 | NoScript XSS InjectionChecker : injection d’attributs. |
| 941180 | Critique - 5 % | PL1 | Mots clés de la liste rouge du validateur de nœuds |
| 941190 | Critique - 5 % | PL1 | XSS utilisant des feuilles de style |
| 941200 | Critique - 5 % | PL1 | XSS utilisant des frames VML |
| 941210 | Critique - 5 % | PL1 | XSS utilisant du JavaScript ou Text4Shell obfusqué (CVE-2022-42889) |
| 941220 | Critique - 5 % | PL1 | XSS utilisant du VB Script obfusqué |
| 941230 | Critique - 5 % | PL1 | XSS utilisant la balise « embed » |
| 941240 | Critique - 5 % | PL1 | XSS utilisant l’attribut « import » ou « implementation » |
| 941250 | Critique - 5 % | PL1 | Filtre XSS IE - Attaque détectée |
| 941260 | Critique - 5 % | PL1 | XSS utilisant la balise « meta » |
| 941270 | Critique - 5 % | PL1 | XSS utilisant le href « link » |
| 941280 | Critique - 5 % | PL1 | XSS utilisant la balise « base » |
| 941290 | Critique - 5 % | PL1 | XSS utilisant la balise « applet » |
| 941300 | Critique - 5 % | PL1 | XSS utilisant la balise « object » |
| 941310 | Critique - 5 % | PL1 | Filtre XSS d’encodage mal formé US-ASCII - Attaque détectée |
| 941320 | Critique - 5 % | PL2 | Possible attaque XSS détectée - Gestionnaire de balise HTML |
| 941330 | Critique - 5 % | PL2 | Filtre XSS IE - Attaque détectée |
| 941340 | Critique - 5 % | PL2 | Filtre XSS IE - Attaque détectée |
| 941350 | Critique - 5 % | PL1 | Encodage UTF-7 IE XSS - Attaque détectée |
| 941360 | Critique - 5 % | PL1 | Obfuscation JavaScript détectée |
REQUEST-942-APPLICATION-ATTACK-SQLI
| Identificateur de la règle | Gravité du score d’anomalie | Niveau de paranoïa | Descriptif |
|---|---|---|---|
| 942100 | Critique - 5 % | PL1 | Attaque par injection de code SQL détectée via libinjection |
| 942110 | Avertissement - 3 | PL2 | Attaque par injection de code SQL : test d’injection courant détecté |
| 942120 | Critique - 5 % | PL2 | Attaque par injection SQL : opérateur SQL détecté. |
| 942130 | Critique - 5 % | PL2 | Attaque par injection SQL : Détection de la tautologie SQL |
| 942140 | Critique - 5 % | PL1 | Attaque par injection de code SQL : noms de base de données courants détectés |
| 942150 | Critique - 5 % | PL2 | Attaque par injection de code SQL |
| 942160 | Critique - 5 % | PL1 | Détecte les tests sqli aveugles à l’aide de sleep() ou de benchmark() |
| 942170 | Critique - 5 % | PL1 | Détecte les tentatives d’injection par les méthodes benchmark (test d’évaluation) et sleep (mise en veille), y compris les requêtes conditionnelles |
| 942180 | Critique - 5 % | PL2 | Détecte les tentatives de contournement d’authentification SQL de base 1/3 |
| 942190 | Critique - 5 % | PL1 | Détecte les tentatives de collecte d’informations et de d’exécution de code MSSQL |
| 942200 | Critique - 5 % | PL2 | Détecte les injections MySQL de type comment-/space-obfuscated et d’accent grave |
| 942210 | Critique - 5 % | PL2 | Détecte les tentatives d’injection de code SQL chaîné 1/2 |
| 942220 | Critique - 5 % | PL1 | Pour rechercher les attaques de dépassement sur les entiers, l’extraction se fait à partir de skipfish, à l’exception de 3.0.00738585072007e-308 qui est l’incident « nombre magique ». |
| 942230 | Critique - 5 % | PL1 | Détecte des tentatives d’injection de code SQL conditionnel |
| 942240 | Critique - 5 % | PL1 | Détecte les tentatives de basculement de charset MySQL et d’attaque DoS MSSQL |
| 942250 | Critique - 5 % | PL1 | Détecte les injections de code MATCH AGAINST, MERGE et EXECUTE IMMEDIATE |
| 942260 | Critique - 5 % | PL2 | Détecte les tentatives de contournement d’authentification SQL de base 2/3 |
| 942270 | Critique - 5 % | PL1 | Recherche d’injection de code SQL de base. Chaîne d’attaque courante pour mysql, oracle et autres |
| 942280 | Critique - 5 % | PL1 | Détecte l’injection de Postgres pg_sleep, les attaques par délai d’attente et les tentatives d’arrêt de base de données |
| 942290 | Critique - 5 % | PL1 | Recherche de tentatives d’injection de code SQL MongoDB de base |
| 942300 | Critique - 5 % | PL2 | Détecte les injections de ch(a)r, les conditions et les commentaires MySQL |
| 942310 | Critique - 5 % | PL2 | Détecte des tentatives d’injection de code SQL chaîné 2/2 |
| 942320 | Critique - 5 % | PL1 | Détecte des injections de fonctions/procédures stockées MySQL et PostgresSQL |
| 942330 | Critique - 5 % | PL2 | Détecte les sondes d’injection SQL classiques 1/2 |
| 942340 | Critique - 5 % | PL2 | Détecte les tentatives de contournement d’authentification SQL de base 3/3 |
| 942350 | Critique - 5 % | PL1 | Détecte l’injection de code UDF MySQL et autres tentatives de manipulation de données/structures |
| 942360 | Critique - 5 % | PL1 | Détecte l’injection SQL de base concaténée et les tentatives SQLLFI |
| 942361 | Critique - 5 % | PL2 | Détecte l’injection de code SQL de base par le biais du mot clé alter ou union |
| 942370 | Critique - 5 % | PL2 | Détecte les sondes d’injection SQL classiques 2/2 |
| 942380 | Critique - 5 % | PL2 | Attaque par injection de code SQL |
| 942390 | Critique - 5 % | PL2 | Attaque par injection de code SQL |
| 942400 | Critique - 5 % | PL2 | Attaque par injection de code SQL |
| 942410 | Critique - 5 % | PL2 | Attaque par injection de code SQL |
| 942430 | Avertissement - 3 | PL2 | Détection restreinte d’anomalies de caractères SQL (args) : nombre de caractères spéciaux dépassés (12) |
| 942440 | Critique - 5 % | PL2 | Séquence de commentaire SQL détectée |
| 942450 | Critique - 5 % | PL2 | Encodage hexadécimal SQL identifié |
| 942470 | Critique - 5 % | PL2 | Attaque par injection de code SQL |
| 942480 | Critique - 5 % | PL2 | Attaque par injection de code SQL |
| 942500 | Critique - 5 % | PL1 | Commentaire en ligne MySQL détecté |
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION
| Identificateur de la règle | Gravité du score d’anomalie | Niveau de paranoïa | Descriptif |
|---|---|---|---|
| 943100 | Critique - 5 % | PL1 | Attaque possible par fixation de session : définition de valeurs de cookies en HTML |
| 943110 | Critique - 5 % | PL1 | Attaque possible par fixation de session : nom du paramètre SessionID avec référent hors domaine |
| 943120 | Critique - 5 % | PL1 | Attaque possible par fixation de session : nom du paramètre SessionID sans référent |
REQUEST-944-APPLICATION-ATTACK-JAVA
| Identificateur de la règle | Gravité du score d’anomalie | Niveau de paranoïa | Descriptif |
|---|---|---|---|
| 944100 | Critique - 5 % | PL1 | Exécution de commande à distance : Apache Struts, Oracle WebLogic |
| 944110 | Critique - 5 % | PL1 | Détecte l’exécution de charge utile potentielle |
| 944120 | Critique - 5 % | PL1 | Exécution de charge utile et de commande à distance possible |
| 944130 | Critique - 5 % | PL1 | Classes Java suspectes |
| 944200 | Critique - 5 % | PL2 | Exploitation de la désérialisation Java Apache Commons |
| 944210 | Critique - 5 % | PL2 | Utilisation possible de la sérialisation Java |
| 944240 | Critique - 5 % | PL1 | Exécution de commande à distance : sérialisation Java |
| 944250 | Critique - 5 % | PL1 | Exécution de commande à distance : méthode Java suspecte détectée |
Règles inactives
| Identificateur de la règle | Gravité du score d’anomalie | Niveau de paranoïa | Descriptif |
|---|---|---|---|
| 920202 | Avertissement - 3 | PL4 | (Règle inactive, doit être ignorée) Portée : trop de champs pour la demande PDF (6 ou plus) |
| 920272 | Critique - 5 % | PL3 | (Règle inactive, doit être ignorée) Caractère non valide dans la demande (en dehors des caractères imprimables sous ascii 127) |
| 920273 | Critique - 5 % | PL4 | (Règle inactive, doit être ignorée) Caractère non valide dans la requête (en dehors d'un ensemble très strict) |
| 920274 | Critique - 5 % | PL4 | (Règle inactive, à ignorer) Caractère non valide dans les en-têtes de requête (hors d’un ensemble très strict) |
| 920460 | Critique - 5 % | PL4 | (Règle inactive, doit être ignorée) Caractères d’échappement anormaux |
| 921170 | N/A | PL3 | (Règle inactive, doit être ignorée) Pollution des paramètres HTTP |
| 921180 | Critique - 5 % | PL3 | (Règle inactive, doit être ignorée) Pollution des paramètres HTTP (%{TX.1}) |
| 932106 | Critique - 5 % | PL3 | (Règle inactive, doit être ignorée) Exécution de commandes distantes : injection de commandes Unix |
| 932190 | Critique - 5 % | PL3 | (Règle inactive, doit être ignorée) Exécution de commandes distantes : tentative de technique de contournement de caractères génériques |
| 933111 | Critique - 5 % | PL3 | (Règle inactive, doit être ignorée) Attaque par injection PHP : chargement de fichier de script PHP trouvé |
| 933131 | Critique - 5 % | PL3 | (Règle inactive, doit être ignorée) Attaque par injection PHP : variables trouvées |
| 933161 | Critique - 5 % | PL3 | (Règle inactive, doit être ignorée) Attaque par injection PHP : Low-Value appel de fonction PHP trouvé |
| 933190 | Critique - 5 % | PL3 | (Règle inactive, doit être ignorée) Attaque par injection PHP : balise de fermeture PHP trouvée |
| 942251 | Critique - 5 % | PL3 | (Règle inactive, doit être ignorée) Détecte les injections HAVING |
| 942420 | Avertissement - 3 | PL3 | (Règle inactive, doit être ignorée) Détection restreinte des anomalies de caractères SQL (cookies) : nombre de caractères spéciaux dépassés (8) |
| 942421 | Avertissement - 3 | PL4 | (Règle inactive, doit être ignorée) Détection restreinte des anomalies de caractères SQL (cookies) : nombre de caractères spéciaux dépassés (3) |
| 942431 | Avertissement - 3 | PL3 | (Règle inactive, doit être ignorée) Détection restreinte des anomalies de caractères SQL (arguments) : nombre de caractères spéciaux dépassés (6) |
| 942432 | Avertissement - 3 | PL4 | (Règle inactive, doit être ignorée) Détection restreinte des anomalies de caractères SQL (arguments) : nombre de caractères spéciaux dépassés (2) |
| 942460 | Avertissement - 3 | PL3 | (Règle inactive, doit être ignorée) Alerte de détection d’anomalie de méta-caractère - Caractères non-word répétitifs |
| 942490 | Critique - 5 % | PL3 | (Règle inactive, doit être ignorée) Détecte les détections classiques d’injection SQL 3/3 |