本页面上的部分或全部信息可能不适用于 Trusted Cloud by S3NS。
Google Cloud Armor 预配置的 WAF 规则是具有数十个签名
您可以调整 Google Cloud Armor 预配置的 WAF 规则以尽量满足您的需求。如需详细了解如何调整规则,请参阅调整 Google Cloud Armor 预配置的 WAF 规则 。
下表包含可在 Cloud Armor 安全政策中使用的预配置 WAF 规则的完整列表。规则来源为 OWASP 核心规则集 (CRS) 3.3.2 。我们建议您使用 3.3 版来提高敏感度,并增加受保护的攻击类型的范围。我们继续为 CRS 3.0 提供支持。
CRS 3.3
Cloud Armor 规则名称
OWASP 规则名称
当前状态
SQL 注入
sqli-v33-stable与 sqli-v33-canary 同步
sqli-v33-canary最新
跨站点脚本攻击
xss-v33-stable与 xss-v33-canary 同步
xss-v33-canary最新
本地文件包含
lfi-v33-stable与 lfi-v33-canary 同步
lfi-v33-canary最新
远程文件包含
rfi-v33-stable与 rfi-v33-canary 同步
rfi-v33-canary最新
远程代码执行
rce-v33-stable与 rce-v33-canary 同步
rce-v33-canary最新
方法强制执行
methodenforcement-v33-stable与 methodenforcement-v33-canary 同步
methodenforcement-v33-canary最新
扫描程序检测
scannerdetection-v33-stable与 scannerdetection-v33-canary 同步
scannerdetection-v33-canary最新
协议攻击
protocolattack-v33-stable与 protocolattack-v33-canary 同步
protocolattack-v33-canary最新
PHP 注入攻击
php-v33-stable与 php-v33-canary 同步
php-v33-canary最新
会话固定攻击
sessionfixation-v33-stable与 sessionfixation-v33-canary 同步
sessionfixation-v33-canary最新
Java 攻击
java-v33-stable与 java-v33-canary 同步
java-v33-canary最新
NodeJS 攻击
nodejs-v33-stable与 nodejs-v33-canary 同步
nodejs-v33-canary最新
CRS 3.0
Cloud Armor 规则名称
OWASP 规则名称
当前状态
SQL 注入
sqli-stable与 sqli-canary 同步
sqli-canary最新
跨站点脚本攻击
xss-stable与 xss-canary 同步
xss-canary最新
本地文件包含
lfi-stable与 lfi-canary 同步
lfi-canary最新
远程文件包含
rfi-stable与 rfi-canary 同步
rfi-canary最新
远程代码执行
rce-stable与 rce-canary 同步
rce-canary最新
方法强制执行
methodenforcement-stable与 methodenforcement-canary 同步
methodenforcement-canary最新
扫描程序检测
scannerdetection-stable与 scannerdetection-canary 同步
scannerdetection-canary最新
协议攻击
protocolattack-stable与 protocolattack-canary 同步
protocolattack-canary最新
PHP 注入攻击
php-stable与 php-canary 同步
php-canary最新
会话固定攻击
sessionfixation-stable与 sessionfixation-canary 同步
sessionfixation-canary最新
Java 攻击
Not included
NodeJS 攻击
Not included
此外,以下 cve-canary 规则适用于所有 Cloud Armor 客户,以帮助检测并选择性地阻止以下漏洞:
CVE-2021-44228 和 CVE-2021-45046 Log4j RCE 漏洞942550-sqli JSON 格式的内容漏洞
Cloud Armor 规则名称
涵盖的漏洞类型
cve-canaryLog4j 漏洞
json-sqli-canary基于 JSON 的 SQL 注入绕过漏洞
每个预配置的 WAF 规则的敏感度级别都对应于一个 OWASP CRS 偏执级别 。较低的敏感度级别表示较高的置信度签名,生成误报的可能性较小。较高的敏感度级别会提高安全性,但也会增加生成假正例的风险。
SQL 注入 (SQLi)
下表提供了 SQLi 预配置的 WAF 规则中每个支持的签名的 ID、敏感度级别和说明。
CRS 3.3
签名 ID(规则 ID)
敏感程度
说明
owasp-crs-v030301-id942100-sqli1
通过 libinjection 检测 SQL 注入攻击
owasp-crs-v030301-id942140-sqli1
SQL 注入攻击:检测到通用 DB 名称
owasp-crs-v030301-id942160-sqli1
使用 sleep() 或 benchmark() 检测 blind SQLi 测试。
owasp-crs-v030301-id942170-sqli1
检测 SQL 基准测试和睡眠注入尝试,包括条件查询
owasp-crs-v030301-id942190-sqli1
检测 MSSQL 代码执行和信息收集尝试
owasp-crs-v030301-id942220-sqli1
查找整数溢出攻击
owasp-crs-v030301-id942230-sqli1
检测条件 SQL 注入尝试
owasp-crs-v030301-id942240-sqli1
检测 MySQL 字符集切换和 MSSQL DoS 尝试
owasp-crs-v030301-id942250-sqli1
检测 MATCH AGAINST
owasp-crs-v030301-id942270-sqli1
查找基本的 SQL 注入;MySql 的通用攻击字符串
owasp-crs-v030301-id942280-sqli1
检测 Postgres pg_sleep 注入
owasp-crs-v030301-id942290-sqli1
查找基本 MongoDB SQL 注入尝试
owasp-crs-v030301-id942320-sqli1
检测 MySQL 和 PostgreSQL 已存储过程/函数注入
owasp-crs-v030301-id942350-sqli1
检测 MySQL UDF 注入和其他数据/结构操纵尝试
owasp-crs-v030301-id942360-sqli1
检测串联的基本 SQL 注入和 SQLLFI 尝试
owasp-crs-v030301-id942500-sqli1
检测到 MySQL 内嵌注释
owasp-crs-v030301-id942110-sqli2
SQL 注入攻击:检测到常见注入测试
owasp-crs-v030301-id942120-sqli2
SQL 注入攻击:检测到 SQL 运算符
owasp-crs-v030301-id942130-sqli2
SQL 注入攻击:检测到 SQL 同义反复
owasp-crs-v030301-id942150-sqli2
SQL 注入攻击
owasp-crs-v030301-id942180-sqli2
检测基本 SQL 身份验证绕过尝试 1/3
owasp-crs-v030301-id942200-sqli2
检测 MySQL 备注/空间混淆注入和英文反引号终止
owasp-crs-v030301-id942210-sqli2
检测链式 SQL 注入尝试 1/2
owasp-crs-v030301-id942260-sqli2
检测基本 SQL 身份验证绕过尝试 2/3
owasp-crs-v030301-id942300-sqli2
检测 MySQL 备注
owasp-crs-v030301-id942310-sqli2
检测链式 SQL 注入尝试 2/2
owasp-crs-v030301-id942330-sqli2
检测传统 SQL 注入探测 1/2
owasp-crs-v030301-id942340-sqli2
检测基本 SQL 身份验证绕过尝试 3/3
owasp-crs-v030301-id942361-sqli2
根据关键字更改或联合检测基本 SQL 注入
owasp-crs-v030301-id942370-sqli2
检测传统 SQL 注入探测 2/3
owasp-crs-v030301-id942380-sqli2
SQL 注入攻击
owasp-crs-v030301-id942390-sqli2
SQL 注入攻击
owasp-crs-v030301-id942400-sqli2
SQL 注入攻击
owasp-crs-v030301-id942410-sqli2
SQL 注入攻击
owasp-crs-v030301-id942470-sqli2
SQL 注入攻击
owasp-crs-v030301-id942480-sqli2
SQL 注入攻击
owasp-crs-v030301-id942430-sqli2
限制的 SQL 字符异常值检测(参数):超过特殊字符数 (12)
owasp-crs-v030301-id942440-sqli2
检测到 SQL 备注序列
owasp-crs-v030301-id942450-sqli2
已识别的 SQL 十六进制编码
owasp-crs-v030301-id942510-sqli2
检测到通过引号或反引号发出的 SQLi 绕过尝试
owasp-crs-v030301-id942251-sqli3
检测 HAVING 注入
owasp-crs-v030301-id942490-sqli3
检测传统 SQL 注入探测 3/3
owasp-crs-v030301-id942420-sqli3
限制的 SQL 字符异常值检测 (Cookie):超过特殊字符数 (8)
owasp-crs-v030301-id942431-sqli3
限制的 SQL 字符异常值检测(参数):超过特殊字符数 (6)
owasp-crs-v030301-id942460-sqli3
元字符异常值检测警报 - 重复的非单词字符
owasp-crs-v030301-id942101-sqli3
通过 libinjection 检测 SQL 注入攻击
owasp-crs-v030301-id942511-sqli3
检测到通过引号发出的 SQLi 绕过尝试
owasp-crs-v030301-id942421-sqli4
限制的 SQL 字符异常值检测 (Cookie):超过特殊字符数 (3)
owasp-crs-v030301-id942432-sqli4
限制的 SQL 字符异常值检测(参数):超过特殊字符数 (2)
CRS 3.0
签名 ID(规则 ID)
敏感程度
说明
Not included1
通过 libinjection 检测 SQL 注入攻击
owasp-crs-v030001-id942140-sqli1
SQL 注入攻击:检测到通用 DB 名称
owasp-crs-v030001-id942160-sqli1
使用 sleep() 或 benchmark() 检测 blind SQLi 测试。
owasp-crs-v030001-id942170-sqli1
检测 SQL 基准测试和睡眠注入尝试,包括条件查询
owasp-crs-v030001-id942190-sqli1
检测 MSSQL 代码执行和信息收集尝试
owasp-crs-v030001-id942220-sqli1
查找整数溢出攻击
owasp-crs-v030001-id942230-sqli1
检测条件 SQL 注入尝试
owasp-crs-v030001-id942240-sqli1
检测 MySQL 字符集切换和 MSSQL DoS 尝试
owasp-crs-v030001-id942250-sqli1
检测 MATCH AGAINST
owasp-crs-v030001-id942270-sqli1
查找基本的 SQL 注入;MySql 的通用攻击字符串
owasp-crs-v030001-id942280-sqli1
检测 Postgres pg_sleep 注入
owasp-crs-v030001-id942290-sqli1
查找基本 MongoDB SQL 注入尝试
owasp-crs-v030001-id942320-sqli1
检测 MySQL 和 PostgreSQL 已存储过程/函数注入
owasp-crs-v030001-id942350-sqli1
检测 MySQL UDF 注入和其他数据/结构操纵尝试
owasp-crs-v030001-id942360-sqli1
检测串联的基本 SQL 注入和 SQLLFI 尝试
Not included1
检测到 MySQL 内嵌注释
owasp-crs-v030001-id942110-sqli2
SQL 注入攻击:检测到常见注入测试
owasp-crs-v030001-id942120-sqli2
SQL 注入攻击:检测到 SQL 运算符
Not included2
SQL 注入攻击:检测到 SQL 同义反复
owasp-crs-v030001-id942150-sqli2
SQL 注入攻击
owasp-crs-v030001-id942180-sqli2
检测基本 SQL 身份验证绕过尝试 1/3
owasp-crs-v030001-id942200-sqli2
检测 MySQL 备注/空间混淆注入和英文反引号终止
owasp-crs-v030001-id942210-sqli2
检测链式 SQL 注入尝试 1/2
owasp-crs-v030001-id942260-sqli2
检测基本 SQL 身份验证绕过尝试 2/3
owasp-crs-v030001-id942300-sqli2
检测 MySQL 备注
owasp-crs-v030001-id942310-sqli2
检测链式 SQL 注入尝试 2/2
owasp-crs-v030001-id942330-sqli2
检测传统 SQL 注入探测 1/2
owasp-crs-v030001-id942340-sqli2
检测基本 SQL 身份验证绕过尝试 3/3
Not included2
根据关键字更改或联合检测基本 SQL 注入
Not included2
检测传统 SQL 注入探测 2/3
owasp-crs-v030001-id942380-sqli2
SQL 注入攻击
owasp-crs-v030001-id942390-sqli2
SQL 注入攻击
owasp-crs-v030001-id942400-sqli2
SQL 注入攻击
owasp-crs-v030001-id942410-sqli2
SQL 注入攻击
Not included2
SQL 注入攻击
Not included2
SQL 注入攻击
owasp-crs-v030001-id942430-sqli2
限制的 SQL 字符异常值检测(参数):超过特殊字符数 (12)
owasp-crs-v030001-id942440-sqli2
检测到 SQL 备注序列
owasp-crs-v030001-id942450-sqli2
已识别的 SQL 十六进制编码
Not included2
检测到通过引号或反引号发出的 SQLi 绕过尝试
owasp-crs-v030001-id942251-sqli3
检测 HAVING 注入
Not included2
检测传统 SQL 注入探测 3/3
owasp-crs-v030001-id942420-sqli3
限制的 SQL 字符异常值检测 (Cookie):超过特殊字符数 (8)
owasp-crs-v030001-id942431-sqli3
限制的 SQL 字符异常值检测(参数):超过特殊字符数 (6)
owasp-crs-v030001-id942460-sqli3
元字符异常值检测警报 - 重复的非单词字符
Not included3
通过 libinjection 检测 SQL 注入攻击
Not included3
检测到通过引号发出的 SQLi 绕过尝试
owasp-crs-v030001-id942421-sqli4
限制的 SQL 字符异常值检测 (Cookie):超过特殊字符数 (3)
owasp-crs-v030001-id942432-sqli4
限制的 SQL 字符异常值检测(参数):超过特殊字符数 (2)
您可以通过将 evaluatePreconfiguredWaf() 与预设敏感度参数结合使用,在特定敏感度级层配置规则。默认情况下,如果不配置规则集的敏感度,Cloud Armor 会评估所有特征签名。
CRS 3.3
敏感程度
表达式
1
evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 1})
2
evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 2})
3
evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 3})
4
evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 4})
CRS 3.0
敏感程度
表达式
1
evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 1})
2
evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 2})
3
evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 3})
4
evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 4})
跨站脚本攻击 (XSS)
下表提供了 XSS 预配置的 WAF 规则中每个支持的签名的 ID、敏感度级别和说明。
CRS 3.3
签名 ID(规则 ID)
敏感程度
说明
owasp-crs-v030301-id941100-xss1
通过 libinjection 检测 XSS 攻击
owasp-crs-v030301-id941110-xss1
XSS 过滤器 - 类别 1:脚本标记向量
owasp-crs-v030301-id941120-xss1
XSS 过滤器 - 类别 2:事件处理脚本向量
owasp-crs-v030301-id941130-xss1
XSS 过滤器 - 类别 3:属性向量
owasp-crs-v030301-id941140-xss1
XSS 过滤器 - 类别 4:JavaScript URI 向量
owasp-crs-v030301-id941160-xss1
NoScript XSS InjectionChecker:HTML 注入
owasp-crs-v030301-id941170-xss1
NoScript XSS InjectionChecker:属性注入
owasp-crs-v030301-id941180-xss1
节点验证器屏蔽名单关键字
owasp-crs-v030301-id941190-xss1
IE XSS 过滤器 - 检测到攻击
owasp-crs-v030301-id941200-xss1
IE XSS 过滤器 - 检测到攻击
owasp-crs-v030301-id941210-xss1
IE XSS 过滤器 - 检测到攻击
owasp-crs-v030301-id941220-xss1
IE XSS 过滤器 - 检测到攻击
owasp-crs-v030301-id941230-xss1
IE XSS 过滤器 - 检测到攻击
owasp-crs-v030301-id941240-xss1
IE XSS 过滤器 - 检测到攻击
owasp-crs-v030301-id941250-xss1
IE XSS 过滤器 - 检测到攻击
owasp-crs-v030301-id941260-xss1
IE XSS 过滤器 - 检测到攻击
owasp-crs-v030301-id941270-xss1
IE XSS 过滤器 - 检测到攻击
owasp-crs-v030301-id941280-xss1
IE XSS 过滤器 - 检测到攻击
owasp-crs-v030301-id941290-xss1
IE XSS 过滤器 - 检测到攻击
owasp-crs-v030301-id941300-xss1
IE XSS 过滤器 - 检测到攻击
owasp-crs-v030301-id941310-xss1
US-ASCII 格式错误的编码 XSS 过滤器 - 检测到攻击
owasp-crs-v030301-id941350-xss1
UTF-7 编码 IE XSS - 检测到攻击
owasp-crs-v030301-id941360-xss1
检测到层次结构混淆
owasp-crs-v030301-id941370-xss1
找到 JavaScript 全局变量
owasp-crs-v030301-id941101-xss2
通过 libinjection 检测 XSS 攻击
owasp-crs-v030301-id941150-xss2
XSS 过滤器 - 类别 5:不允许的 HTML 属性
owasp-crs-v030301-id941320-xss2
检测到可能的 XSS 攻击 - HTML 标记处理程序
owasp-crs-v030301-id941330-xss2
IE XSS 过滤器 - 检测到攻击
owasp-crs-v030301-id941340-xss2
IE XSS 过滤器 - 检测到攻击
owasp-crs-v030301-id941380-xss2
检测到 AngularJS 客户端模板注入
CRS 3.0
签名 ID(规则 ID)
敏感程度
说明
Not included1
通过 libinjection 检测 XSS 攻击
owasp-crs-v030001-id941110-xss1
XSS 过滤器 - 类别 1:脚本标记向量
owasp-crs-v030001-id941120-xss1
XSS 过滤器 - 类别 2:事件处理脚本向量
owasp-crs-v030001-id941130-xss1
XSS 过滤器 - 类别 3:属性向量
owasp-crs-v030001-id941140-xss1
XSS 过滤器 - 类别 4:JavaScript URI 向量
owasp-crs-v030001-id941160-xss1
NoScript XSS InjectionChecker:HTML 注入
owasp-crs-v030001-id941170-xss1
NoScript XSS InjectionChecker:属性注入
owasp-crs-v030001-id941180-xss1
节点验证器屏蔽名单关键字
owasp-crs-v030001-id941190-xss1
IE XSS 过滤器 - 检测到攻击
owasp-crs-v030001-id941200-xss1
IE XSS 过滤器 - 检测到攻击
owasp-crs-v030001-id941210-xss1
IE XSS 过滤器 - 检测到攻击
owasp-crs-v030001-id941220-xss1
IE XSS 过滤器 - 检测到攻击
owasp-crs-v030001-id941230-xss1
IE XSS 过滤器 - 检测到攻击
owasp-crs-v030001-id941240-xss1
IE XSS 过滤器 - 检测到攻击
owasp-crs-v030001-id941250-xss1
IE XSS 过滤器 - 检测到攻击
owasp-crs-v030001-id941260-xss1
IE XSS 过滤器 - 检测到攻击
owasp-crs-v030001-id941270-xss1
IE XSS 过滤器 - 检测到攻击
owasp-crs-v030001-id941280-xss1
IE XSS 过滤器 - 检测到攻击
owasp-crs-v030001-id941290-xss1
IE XSS 过滤器 - 检测到攻击
owasp-crs-v030001-id941300-xss1
IE XSS 过滤器 - 检测到攻击
owasp-crs-v030001-id941310-xss1
US-ASCII 格式错误的编码 XSS 过滤器 - 检测到攻击
owasp-crs-v030001-id941350-xss1
UTF-7 编码 IE XSS - 检测到攻击
Not included1
检测到 JSFuck / 层次结构混淆
Not included1
找到 JavaScript 全局变量
Not included2
通过 libinjection 检测 XSS 攻击
owasp-crs-v030001-id941150-xss2
XSS 过滤器 - 类别 5:不允许的 HTML 属性
owasp-crs-v030001-id941320-xss2
检测到可能的 XSS 攻击 - HTML 标记处理程序
owasp-crs-v030001-id941330-xss2
IE XSS 过滤器 - 检测到攻击
owasp-crs-v030001-id941340-xss2
IE XSS 过滤器 - 检测到攻击
Not included2
检测到 AngularJS 客户端模板注入
您可以通过将 evaluatePreconfiguredWaf() 与预设敏感度参数结合使用,在特定敏感度级层配置规则。默认情况下,如果不配置规则集的敏感度,Cloud Armor 会评估所有特征签名。
CRS 3.3
敏感程度
表达式
1
evaluatePreconfiguredWaf('xss-v33-stable', {'sensitivity': 1})
2
evaluatePreconfiguredWaf('xss-v33-stable', {'sensitivity': 2})
CRS 3.0
敏感程度
表达式
1
evaluatePreconfiguredWaf('xss-stable', {'sensitivity': 1})
本地文件包含 (LFI)
下表提供了 LFI 预配置的 WAF 规则中每个支持的签名的 ID、敏感度级层和说明。
CRS 3.3
签名 ID(规则 ID)
敏感程度
说明
owasp-crs-v030301-id930100-lfi1
路径遍历攻击 (/../)
owasp-crs-v030301-id930110-lfi1
路径遍历攻击 (/../)
owasp-crs-v030301-id930120-lfi1
尝试访问操作系统文件
owasp-crs-v030301-id930130-lfi1
尝试访问受限文件
CRS 3.0
签名 ID(规则 ID)
敏感程度
说明
owasp-crs-v030001-id930100-lfi1
路径遍历攻击 (/../)
owasp-crs-v030001-id930110-lfi1
路径遍历攻击 (/../)
owasp-crs-v030001-id930120-lfi1
尝试访问操作系统文件
owasp-crs-v030001-id930130-lfi1
尝试访问受限文件
您可以通过将 evaluatePreconfiguredWaf() 与预设敏感度参数结合使用,在特定敏感度级层配置规则。LFI 的所有签名均位于敏感度级层 1。以下配置适用于所有敏感度级层:
CRS 3.3
敏感程度
表达式
1
evaluatePreconfiguredWaf('lfi-v33-stable', {'sensitivity': 1})
CRS 3.0
敏感程度
表达式
1
evaluatePreconfiguredWaf('lfi-stable', {'sensitivity': 1})
远程代码执行 (RCE)
下表提供了 RCE 预配置的 WAF 规则中每个支持的签名的 ID、敏感度级层和说明。
CRS 3.3
签名 ID(规则 ID)
敏感程度
说明
owasp-crs-v030301-id932100-rce1
UNIX 命令注入
owasp-crs-v030301-id932105-rce1
UNIX 命令注入
owasp-crs-v030301-id932110-rce1
Windows 命令注入
owasp-crs-v030301-id932115-rce1
Windows 命令注入
owasp-crs-v030301-id932120-rce1
找到 Windows PowerShell 命令
owasp-crs-v030301-id932130-rce1
找到 Unix Shell 表达式
owasp-crs-v030301-id932140-rce1
找到 Windows FOR/IF 命令
owasp-crs-v030301-id932150-rce1
直接执行 Unix 命令
owasp-crs-v030301-id932160-rce1
找到 UNIX Shell 代码
owasp-crs-v030301-id932170-rce1
Shellshock (CVE-2014-6271)
owasp-crs-v030301-id932171-rce1
Shellshock (CVE-2014-6271)
owasp-crs-v030301-id932180-rce1
尝试上传受限文件
owasp-crs-v030301-id932200-rce2
RCE 绕过技术
owasp-crs-v030301-id932106-rce3
远程命令执行:Unix 命令注入
owasp-crs-v030301-id932190-rce3
远程命令执行:通配符绕过技术尝试
CRS 3.0
签名 ID(规则 ID)
敏感程度
说明
owasp-crs-v030001-id932100-rce1
UNIX 命令注入
owasp-crs-v030001-id932105-rce1
UNIX 命令注入
owasp-crs-v030001-id932110-rce1
Windows 命令注入
owasp-crs-v030001-id932115-rce1
Windows 命令注入
owasp-crs-v030001-id932120-rce1
找到 Windows PowerShell 命令
owasp-crs-v030001-id932130-rce1
找到 Unix Shell 表达式
owasp-crs-v030001-id932140-rce1
找到 Windows FOR/IF 命令
owasp-crs-v030001-id932150-rce1
直接执行 Unix 命令
owasp-crs-v030001-id932160-rce1
找到 UNIX Shell 代码
owasp-crs-v030001-id932170-rce1
Shellshock (CVE-2014-6271)
owasp-crs-v030001-id932171-rce1
Shellshock (CVE-2014-6271)
Not included1
尝试上传受限文件
Not included2
RCE 绕过技术
Not included3
远程命令执行:Unix 命令注入
Not included3
远程命令执行:通配符绕过技术尝试
您可以通过将 evaluatePreconfiguredWaf() 与预设敏感度参数结合使用,在特定敏感度级层配置规则。RCE 的所有签名均位于敏感度级层 1。以下配置适用于所有敏感度级层:
CRS 3.3
敏感程度
表达式
1
evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 1})
2
evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 2})
3
evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 3})
CRS 3.0
敏感程度
表达式
1
evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 1})
2
evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 2})
3
evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 3})
远程文件包含 (RFI)
下表提供了 RFI 预配置的 WAF 规则中每个支持的签名的 ID、敏感度级层和说明。
CRS 3.3
签名 ID(规则 ID)
敏感程度
说明
owasp-crs-v030301-id931100-rfi1
使用 IP 地址的网址参数
owasp-crs-v030301-id931110-rfi1
常用 RFI 易受攻击的参数名称与网址载荷一起使用
owasp-crs-v030301-id931120-rfi1
网址载荷与尾随英文问号字符 (?) 一起使用
owasp-crs-v030301-id931130-rfi2
网域外引用/链接
CRS 3.0
签名 ID(规则 ID)
敏感程度
说明
owasp-crs-v030001-id931100-rfi1
使用 IP 地址的网址参数
owasp-crs-v030001-id931110-rfi1
常用 RFI 易受攻击的参数名称与网址载荷一起使用
owasp-crs-v030001-id931120-rfi1
网址载荷与尾随英文问号字符 (?) 一起使用
owasp-crs-v030001-id931130-rfi2
网域外引用/链接
您可以通过将 evaluatePreconfiguredWaf() 与预设敏感度参数结合使用,在特定敏感度级层配置规则。默认情况下,如果不配置规则集的敏感度,Cloud Armor 会评估所有特征签名。
CRS 3.3
敏感程度
表达式
1
evaluatePreconfiguredWaf('rfi-v33-stable', {'sensitivity': 1})
2
evaluatePreconfiguredWaf('rfi-v33-stable', {'sensitivity': 2})
CRS 3.0
敏感程度
表达式
1
evaluatePreconfiguredWaf('rfi-stable', {'sensitivity': 1})
2
evaluatePreconfiguredWaf('rfi-stable', {'sensitivity': 2})
方法强制执行
注意: CRS 3.3 仅允许 GET、HEAD、POST 和 OPTIONS HTTP 方法。 下表提供了方法强制执行预配置规则中每个支持的签名的签名 ID、敏感度级层和说明。
CRS 3.3
签名 ID(规则 ID)
敏感程度
说明
owasp-crs-v030301-id911100-methodenforcement1
政策不允许使用方法
CRS 3.0
签名 ID(规则 ID)
敏感程度
说明
owasp-crs-v030001-id911100-methodenforcement1
政策不允许使用方法
您可以通过将 evaluatePreconfiguredWaf() 与预设敏感度参数结合使用,在特定敏感度级层配置规则。默认情况下,如果不配置规则集的敏感度,Cloud Armor 会评估所有特征签名。
CRS 3.3
敏感程度
表达式
1
evaluatePreconfiguredWaf('methodenforcement-v33-stable', {'sensitivity': 1})
CRS 3.0
敏感程度
表达式
1
evaluatePreconfiguredWaf('methodenforcement-stable', {'sensitivity': 1})
扫描程序检测
下表提供了扫描程序检测预配置规则中每个支持的签名的签名 ID、敏感度级层和说明。
CRS 3.3
签名 ID(规则 ID)
敏感程度
说明
owasp-crs-v030301-id913100-scannerdetection1
找到与安全扫描程序关联的用户代理
owasp-crs-v030301-id913110-scannerdetection1
找到与安全扫描程序关联的请求标头
owasp-crs-v030301-id913120-scannerdetection1
找到与安全扫描程序关联的请求文件名/参数
owasp-crs-v030301-id913101-scannerdetection2
找到与脚本/通用 HTTP 客户端关联的用户代理
owasp-crs-v030301-id913102-scannerdetection2
找到与网页抓取工具/聊天机器人关联的用户代理
CRS 3.0
签名 ID(规则 ID)
敏感程度
说明
owasp-crs-v030001-id913100-scannerdetection1
找到与安全扫描程序关联的用户代理
owasp-crs-v030001-id913110-scannerdetection1
找到与安全扫描程序关联的请求标头
owasp-crs-v030001-id913120-scannerdetection1
找到与安全扫描程序关联的请求文件名/参数
owasp-crs-v030001-id913101-scannerdetection2
找到与脚本/通用 HTTP 客户端关联的用户代理
owasp-crs-v030001-id913102-scannerdetection2
找到与网页抓取工具/聊天机器人关联的用户代理
您可以通过将 evaluatePreconfiguredWaf() 与预设敏感度参数结合使用,在特定敏感度级层配置规则。默认情况下,如果不配置规则集的敏感度,Cloud Armor 会评估所有特征签名。
CRS 3.3
敏感程度
表达式
1
evaluatePreconfiguredWaf('scannerdetection-v33-stable', {'sensitivity': 1})
2
evaluatePreconfiguredWaf('scannerdetection-v33-stable', {'sensitivity': 2})
CRS 3.0
敏感程度
表达式
1
evaluatePreconfiguredWaf('scannerdetection-stable', {'sensitivity': 1})
2
evaluatePreconfiguredWaf('scannerdetection-stable', {'sensitivity': 2})
协议攻击
下表提供了协议攻击预配置规则中每个支持的签名的签名 ID、敏感度级层和说明。
CRS 3.3
签名 ID(规则 ID)
敏感程度
说明
Not included1
HTTP 请求走私攻击
owasp-crs-v030301-id921110-protocolattack1
HTTP 请求走私攻击
owasp-crs-v030301-id921120-protocolattack1
HTTP 响应拆分攻击
owasp-crs-v030301-id921130-protocolattack1
HTTP 响应拆分攻击
owasp-crs-v030301-id921140-protocolattack1
通过标头进行的 HTTP 标头注入攻击
owasp-crs-v030301-id921150-protocolattack1
通过载荷进行的 HTTP 标头注入攻击(检测到 CR/LF)
owasp-crs-v030301-id921160-protocolattack1
通过载荷进行的 HTTP 标头注入攻击(检测到 CR/LF 和标头名称)
owasp-crs-v030301-id921190-protocolattack1
HTTP 拆分(在请求文件名中检测到 CR/LF)
owasp-crs-v030301-id921200-protocolattack1
LDAP 注入攻击
owasp-crs-v030301-id921151-protocolattack2
通过载荷进行的 HTTP 标头注入攻击(检测到 CR/LF)
owasp-crs-v030301-id921170-protocolattack3
HTTP 参数污染
CRS 3.0
签名 ID(规则 ID)
敏感程度
说明
owasp-crs-v030001-id921100-protocolattack1
HTTP 请求走私攻击
owasp-crs-v030001-id921110-protocolattack1
HTTP 请求走私攻击
owasp-crs-v030001-id921120-protocolattack1
HTTP 响应拆分攻击
owasp-crs-v030001-id921130-protocolattack1
HTTP 响应拆分攻击
owasp-crs-v030001-id921140-protocolattack1
通过标头进行的 HTTP 标头注入攻击
owasp-crs-v030001-id921150-protocolattack1
通过载荷进行的 HTTP 标头注入攻击(检测到 CR/LF)
owasp-crs-v030001-id921160-protocolattack1
通过载荷进行的 HTTP 标头注入攻击(检测到 CR/LF 和标头名称)
Not included1
HTTP 拆分(在请求文件名中检测到 CR/LF)
Not included1
LDAP 注入攻击
owasp-crs-v030001-id921151-protocolattack2
通过载荷进行的 HTTP 标头注入攻击(检测到 CR/LF)
owasp-crs-v030001-id921170-protocolattack3
HTTP 参数污染
您可以通过将 evaluatePreconfiguredWaf() 与预设敏感度参数结合使用,在特定敏感度级层配置规则。默认情况下,如果不配置规则集的敏感度,Cloud Armor 会评估所有特征签名。
CRS 3.3
敏感程度
表达式
1
evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 1})
2
evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 2})
3
evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 3})
CRS 3.0
敏感程度
表达式
1
evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 1})
2
evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 2})
3
evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 3})
PHP
下表提供了 PHP 预配置的 WAF 规则中每个支持的签名的 ID、敏感度级层和说明。
CRS 3.3
签名 ID(规则 ID)
敏感程度
说明
owasp-crs-v030301-id933100-php1
PHP 注入攻击:找到 PHP 打开标记
owasp-crs-v030301-id933110-php1
PHP 注入攻击:找到 PHP 脚本文件上传
owasp-crs-v030301-id933120-php1
PHP 注入攻击:找到配置指令
owasp-crs-v030301-id933130-php1
PHP 注入攻击:找到变量
owasp-crs-v030301-id933140-php1
PHP 注入攻击:找到 I/O 流
owasp-crs-v030301-id933200-php1
PHP 注入攻击:检测到封装容器方案
owasp-crs-v030301-id933150-php1
PHP 注入攻击:找到高风险的 PHP 函数名称
owasp-crs-v030301-id933160-php1
PHP 注入攻击:找到高风险的 PHP 函数调用
owasp-crs-v030301-id933170-php1
PHP 注入攻击:序列化对象注入
owasp-crs-v030301-id933180-php1
PHP 注入攻击:找到变量函数调用
owasp-crs-v030301-id933210-php1
PHP 注入攻击:找到变量函数调用
owasp-crs-v030301-id933151-php2
PHP 注入攻击:找到中等风险的 PHP 函数名称
owasp-crs-v030301-id933131-php3
PHP 注入攻击:找到变量
owasp-crs-v030301-id933161-php3
PHP 注入攻击:找到低价值的 PHP 函数调用
owasp-crs-v030301-id933111-php3
PHP 注入攻击:找到 PHP 脚本文件上传
owasp-crs-v030301-id933190-php3
PHP 注入攻击:找到 PHP 关闭标记
CRS 3.0
签名 ID(规则 ID)
敏感程度
说明
owasp-crs-v030001-id933100-php1
PHP 注入攻击:找到 PHP 打开标记
owasp-crs-v030001-id933110-php1
PHP 注入攻击:找到 PHP 脚本文件上传
owasp-crs-v030001-id933120-php1
PHP 注入攻击:找到配置指令
owasp-crs-v030001-id933130-php1
PHP 注入攻击:找到变量
owasp-crs-v030001-id933140-php1
PHP 注入攻击:找到 I/O 流
Not included1
PHP 注入攻击:检测到封装容器方案
owasp-crs-v030001-id933150-php1
PHP 注入攻击:找到高风险的 PHP 函数名称
owasp-crs-v030001-id933160-php1
PHP 注入攻击:找到高风险的 PHP 函数调用
owasp-crs-v030001-id933170-php1
PHP 注入攻击:序列化对象注入
owasp-crs-v030001-id933180-php1
PHP 注入攻击:找到变量函数调用
Not included1
PHP 注入攻击:找到变量函数调用
owasp-crs-v030001-id933151-php2
PHP 注入攻击:找到中等风险的 PHP 函数名称
owasp-crs-v030001-id933131-php3
PHP 注入攻击:找到变量
owasp-crs-v030001-id933161-php3
PHP 注入攻击:找到低价值的 PHP 函数调用
owasp-crs-v030001-id933111-php3
PHP 注入攻击:找到 PHP 脚本文件上传
Not included3
PHP 注入攻击:找到 PHP 关闭标记
您可以通过将 evaluatePreconfiguredWaf() 与预设敏感度参数结合使用,在特定敏感度级层配置规则。默认情况下,如果不配置规则集的敏感度,Cloud Armor 会评估所有特征签名。
CRS 3.3
敏感程度
表达式
1
evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 1})
2
evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 2})
3
evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 3})
CRS 3.0
敏感程度
表达式
1
evaluatePreconfiguredWaf('php-stable', {'sensitivity': 1})
2
evaluatePreconfiguredWaf('php-stable', {'sensitivity': 2})
3
evaluatePreconfiguredWaf('php-stable', {'sensitivity': 3})
会话固定
下表提供了会话固定预配置规则中每个支持的签名的签名 ID、敏感度级层和说明。
CRS 3.3
签名 ID(规则 ID)
敏感程度
说明
owasp-crs-v030301-id943100-sessionfixation1
可能的会话固定攻击:在 HTML 中设置 Cookie 值
owasp-crs-v030301-id943110-sessionfixation1
可能的会话固定攻击:带有网域间引用器的会话 ID 参数名称
owasp-crs-v030301-id943120-sessionfixation1
可能的会话固定攻击:不含引用器的会话 ID 参数名称
CRS 3.0
签名 ID(规则 ID)
敏感程度
说明
owasp-crs-v030001-id943100-sessionfixation1
可能的会话固定攻击:在 HTML 中设置 Cookie 值
owasp-crs-v030001-id943110-sessionfixation1
可能的会话固定攻击:带有网域间引用器的会话 ID 参数名称
owasp-crs-v030001-id943120-sessionfixation1
可能的会话固定攻击:不含引用器的会话 ID 参数名称
您可以通过将 evaluatePreconfiguredWaf() 与预设敏感度参数结合使用,在特定敏感度级层配置规则。会话固定的所有签名均位于敏感度级层 1。以下配置适用于所有敏感度级层:
CRS 3.3
敏感程度
表达式
1
evaluatePreconfiguredWaf('sessionfixation-v33-stable', {'sensitivity': 1})
CRS 3.0
敏感程度
表达式
1
evaluatePreconfiguredWaf('sessionfixation-stable', {'sensitivity': 1})
Java 攻击
下表提供了 Java 攻击预配置规则中每个支持的签名的 ID、敏感度级别和说明。
CRS 3.3
签名 ID(规则 ID)
敏感程度
说明
owasp-crs-v030301-id944100-java1
远程命令执行:检测到可疑的 Java 类
owasp-crs-v030301-id944110-java1
远程命令执行:生成了 Java 进程 (CVE-2017-9805)
owasp-crs-v030301-id944120-java1
远程命令执行:Java 序列化 (CVE-2015-4852)
owasp-crs-v030301-id944130-java1
检测到可疑的 Java 类
owasp-crs-v030301-id944200-java2
检测到魔法字节,可能使用了 Java 序列化
owasp-crs-v030301-id944210-java2
检测到采用 Base64 编码的魔法字节,可能使用了 Java 序列化
owasp-crs-v030301-id944240-java2
远程命令执行:Java 序列化 (CVE-2015-4852)
owasp-crs-v030301-id944250-java2
远程命令执行:检测到可疑的 Java 方法
owasp-crs-v030301-id944300-java3
Base64 编码的字符串与可疑关键字匹配
CRS 3.0
签名 ID(规则 ID)
敏感程度
说明
Not included1
远程命令执行:检测到可疑的 Java 类
Not included1
远程命令执行:生成了 Java 进程 (CVE-2017-9805)
Not included1
远程命令执行:Java 序列化 (CVE-2015-4852)
Not included1
检测到可疑的 Java 类
Not included2
检测到魔法字节,可能使用了 Java 序列化
Not included2
检测到采用 Base64 编码的魔法字节,可能使用了 Java 序列化
Not included2
远程命令执行:Java 序列化 (CVE-2015-4852)
Not included2
远程命令执行:检测到可疑的 Java 方法
Not included3
Base64 编码的字符串与可疑关键字匹配
您可以通过将 evaluatePreconfiguredWaf() 与预设敏感度参数结合使用,在特定敏感度级层配置规则。默认情况下,如果不配置规则集的敏感度,Cloud Armor 会评估所有特征签名。
敏感程度
表达式
1
evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 1})
2
evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 2})
3
evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 3})
NodeJS 攻击
下表提供了 NodeJS 攻击预配置规则中每个支持的签名的 ID、敏感度级别和说明。
以下预配置 WAF 规则的签名仅在 CRS 3.3 中提供。
CRS 3.3
签名 ID(规则 ID)
敏感程度
说明
owasp-crs-v030301-id934100-nodejs1
Node.js 注入攻击
CRS 3.0
签名 ID(规则 ID)
敏感程度
说明
Not included1
Node.js 注入攻击
您可以通过将 evaluatePreconfiguredWaf() 与预设敏感度参数结合使用,在特定敏感度级层配置规则。NodeJS 攻击的所有签名均位于敏感度级层 1。以下配置适用于其他敏感度级层:
敏感程度
表达式
1
evaluatePreconfiguredWaf('nodejs-v33-stable', {'sensitivity': 1})
CVE 和其他漏洞
下表提供了 CVE Log4j RCE 漏洞预配置规则中每个支持的签名的签名 ID、敏感度级别和说明。
签名 ID(规则 ID)
敏感程度
说明
owasp-crs-v030001-id044228-cve1
此基本规则有助于检测尝试利用 CVE-2021-44228 和 CVE-2021-45046 漏洞的攻击
owasp-crs-v030001-id144228-cve1
Google 提供的增强功能,涵盖更多尝试发动绕过和混淆的攻击
owasp-crs-v030001-id244228-cve3
提高检测敏感度,以定位更多尝试发动绕过和混淆的攻击,同时增加假正例检测的风险
owasp-crs-v030001-id344228-cve3
提高检测敏感度,以使用 base64 编码定位更多尝试发动绕过和混淆的攻击,同时增加假正例检测的风险
您可以通过将 evaluatePreconfiguredWaf() 与预设敏感度参数结合使用,在特定敏感度级层配置规则。默认情况下,如果不配置规则集的敏感度,Cloud Armor 会评估所有特征签名。
敏感程度
表达式
1
evaluatePreconfiguredWaf('cve-canary', {'sensitivity': 1})
2
evaluatePreconfiguredWaf('cve-canary', {'sensitivity': 2})
3
evaluatePreconfiguredWaf('cve-canary', {'sensitivity': 3})
JSON 格式的内容 SQLi 漏洞
下表提供了受支持签名 942550-sqli
签名 ID(规则 ID)
敏感程度
说明
owasp-crs-id942550-sqli2
检测所有基于 JSON 的 SQLi 矢量,包括网址中发现的 SQLi 签名
使用以下表达式部署签名:
evaluatePreconfiguredWaf('json-sqli-canary', {'sensitivity':0, 'opt_in_rule_ids': ['owasp-crs-id942550-sqli']})
我们建议您在敏感度级层 2 启用 sqli-v33-stable,以完全解决基于 JSON 的 SQL 注入绕过问题。
限制
Cloud Armor 预配置的 WAF 规则具有以下限制:
WAF 规则更改通常需要几分钟来进行传播。
在带有请求正文的 HTTP 请求类型中,Cloud Armor 仅处理 POST 请求。Cloud Armor 会根据 POST 正文的前 8 KB 内容评估预配置规则。如需了解详情,请参阅 POST 正文检查限制
当通过匹配的 Content-Type 标头值启用 JSON 解析时,Cloud Armor 可对 JSON 格式的内容(包括格式正确的 GraphQL over HTTP 请求)进行解析并应用预配置的 WAF 规则。如需了解详情,请参阅 JSON 解析 。
如果您已将请求字段排除项附加到预配置的 WAF 规则,则无法使用 allow 操作。系统会自动允许与该例外情况相匹配的请求。
后续步骤
