Web Application Firewall ポリシー (WAF) におけるマネージド ルール セット (OWASP CRS 3.2) に設定されている重要度 (異常スコア) について

ブログ エントリ内にアフィリエイト広告が含まれています

Web Application Firewall ポリシー (WAF) には、一般的な脆弱性や悪用から Web アプリケーションを保護するためのマネージド ルール セット (Default Rule Set (DRS)/Core Rule Set (CRS)) が用意されています。

なお、DRS 2.1 以降/CRS を使用する場合、既定で「異常スコアリング」モードが構成されます。

この「異常スコアリング」モードは、Web 要求でルールに合致、検出された場合、WAF の動作モードが「防止」あっても直ぐにブロックせず、異常スコアの合計がしきい値 (5 以上) を超えるとブロックされるものとなります。

異常スコアの値は、重要度によって以下のとおり決められており、各ルールごとに重要度が設定されていますが、ルールに対する重要度が何であるのかについて、Microsoft から公開されていないようです。

ルールの重要度 異常スコア値
CRITICAL (Critical) 5
ERROR (エラー) 4
WARNING (警告) 3
NOTICE (注意事項) 2

Azure Monitor ログ (ApplicationGatewayFirewallLog) から確認しても、ルールに重要度に関する情報が存在していなかったため、下記 Github リポジトリの情報をもとにマネージド ルール セット (OWASP CRS 3.2) の各ルールに対する重要度を確認、表として纏めました。

スポンサーリンク

マネージド ルール セット (OWASP CRS 3.2) に対する重要度一覧

General

ルール ID 説明 重要度
200002 要求本文を解析できませんでした。 不明
200003 マルチパートの要求本文が厳密な検証に失敗しました。 不明
200004 可能性のあるマルチパートによる不一致の境界。 不明

REQUEST-911-METHOD-ENFORCEMENT

ルール ID 説明 重要度
911100 メソッドがポリシーによって許可されていません。 CRITICAL

REQUEST-913-SCANNER-DETECTION

ルール ID 説明 重要度
913100 セキュリティ スキャナーに関連付けられている User-Agent が検出されました。 CRITICAL
913101 スクリプティング/汎用 HTTP クライアントに関連付けられている User-Agent が検出されました。 CRITICAL
913102 Web クローラー/ボットに関連付けられている User-Agent が検出されました。 CRITICAL
913110 セキュリティ スキャナーに関連付けられている要求ヘッダーが検出されました。 CRITICAL
913120 セキュリティ スキャナーに関連付けられている要求ファイル名/引数が検出されました。 CRITICAL

REQUEST-920-PROTOCOL-ENFORCEMENT

ルール ID 説明 重要度
920100 無効な HTTP 要求行です。 WARNING
920120 マルチパート/フォームデータのバイパスを試行しました。 CRITICAL
920121 マルチパート/フォームデータのバイパスを試行しました。 CRITICAL
920160 Content-Length HTTP ヘッダーが数値ではありません。 CRITICAL
920170 本文コンテンツがある GET または HEAD 要求です。 CRITICAL
920171 転送エンコードがある GET または HEAD 要求です。 CRITICAL
920180 POST 要求に Content-Length ヘッダーがありません。 WARNING
920190 範囲 : 無効な最終バイト値です。 WARNING
920200 範囲 : フィールドが多すぎます (6 以上)。 WARNING
920201 範囲 : pdf 要求のフィールドが多すぎます (35 以上)。 WARNING
920202 範囲 : pdf 要求のフィールドが多すぎます (6 以上)。 WARNING
920210 複数の/競合している接続ヘッダー データが見つかりました。 WARNING
920220 URL エンコード悪用攻撃が試行されました。 WARNING
920230 複数の URL エンコードが検出されました。 WARNING
920240 URL エンコード悪用攻撃が試行されました。 WARNING
920250 UTF8 エンコード悪用攻撃が試行されました。 WARNING
920260 Unicode 全/半角悪用攻撃が試行されました。 WARNING
920270 要求に無効な文字が含まれています (null 文字)。 CRITICAL
920271 要求に無効な文字が含まれています (印字できない文字)。 CRITICAL
920272 要求に無効な文字が含まれています (ascii 127 より下の印字できる文字以外)。 CRITICAL
920273 要求に無効な文字が含まれています (非常に厳格なセット以外)。 CRITICAL
920274 要求ヘッダーに無効な文字が含まれています (非常に厳格なセット以外)。 CRITICAL
920280 要求にホスト ヘッダーがありません。 WARNING
920290 ホスト ヘッダーが空です。 WARNING
920300 要求に Accept ヘッダーがありません。 NOTICE
920310 要求に空の Accept ヘッダーがあります。 NOTICE
920311 要求に空の Accept ヘッダーがあります。 NOTICE
920320 User Agent ヘッダーがありません。 NOTICE
920330 User Agent ヘッダーが空です。 NOTICE
920340 要求にコンテンツは含まれていますが、Content-Type ヘッダーがありません。 NOTICE
920341 コンテンツを含む要求には、Content-Type ヘッダーが必要です。 CRITICAL
920350 ホスト ヘッダーが数値 IP アドレスです。 WARNING
920420 要求のコンテンツの種類がポリシーによって許可されていません。 CRITICAL
920430 HTTP プロトコルのバージョンがポリシーによって許可されていません。 CRITICAL
920440 URL ファイル拡張子がポリシーによって制限されています。 CRITICAL
920450 HTTP ヘッダーがポリシーによって制限されています (%{MATCHED_VAR})。 CRITICAL
920460 異常なエスケープ文字です。 CRITICAL
920470 無効な Content-Type ヘッダーです。 CRITICAL
920480 Content-Type ヘッダー内の文字セット パラメーターを制限します。 CRITICAL

REQUEST-921-PROTOCOL-ATTACK

ルール ID 説明 重要度
921110 HTTP 要求スマグリング攻撃です。 CRITICAL
921120 HTTP 応答分割攻撃です。 CRITICAL
921130 HTTP 応答分割攻撃です。 CRITICAL
921140 ヘッダーによる HTTP ヘッダー インジェクション攻撃です。 CRITICAL
921150 ペイロードによる HTTP ヘッダー インジェクション攻撃です (CR/LF を検出)。 CRITICAL
921151 ペイロードによる HTTP ヘッダー インジェクション攻撃です (CR/LF うぃ検出)。 CRITICAL
921160 ペイロードによる HTTP ヘッダー インジェクション攻撃です (CR/LF および header-name を検出)。 CRITICAL
921170 HTTP パラメーター汚染です。 不明
921180 HTTP パラメーター汚染です (%{TX.1})。 CRITICAL

REQUEST-930-APPLICATION-ATTACK-LFI

ルール ID 説明 重要度
930100 パス トラバーサル攻撃です (/../)。 CRITICAL
930110 パス トラバーサル攻撃です (/../)。 CRITICAL
930120 OS ファイル アクセスが試行されました。 CRITICAL
930130 制限付きファイル アクセスが試行されました。 CRITICAL

REQUEST-931-APPLICATION-ATTACK-RFI

ルール ID 説明 重要度
931100 リモート ファイル インクルード (RFI) 攻撃の可能性あり : IP アドレスを使用している URL パラメーター CRITICAL
931110 リモート ファイル インクルード (RFI) 攻撃の可能性あり : URL ペイロードと共に使用される一般的な RFI 脆弱性パラメーター名 CRITICAL
931120 リモート ファイル インクルード (RFI) 攻撃の可能性あり : 末尾の疑問符 (?) と共に使用される URL ペイロード CRITICAL
931130 可能性のあるリモート ファイル インクルード (RFI) 攻撃 : ドメイン外参照/リンク CRITICAL

REQUEST-932-APPLICATION-ATTACK-RCE

ルール ID 説明 重要度
932100 リモート コマンド実行 : UNIX コマンド インジェクション CRITICAL
932105 リモート コマンド実行 : UNIX コマンド インジェクション CRITICAL
932106 リモート コマンド実行 : UNIX コマンド インジェクション CRITICAL
932110 リモート コマンド実行 : Windows コマンド インジェクション CRITICAL
932115 リモート コマンド実行 : Windows コマンド インジェクション CRITICAL
932120 リモート コマンド実行 : Windows PowerShell コマンドが見つかりました。 CRITICAL
932130 リモート コマンド実行 : Unix シェル式または Confluence の脆弱性 (CVE-2022-26134) または Text4Shell (CVE-2022-42889) が見つかりました。 CRITICAL
932140 リモート コマンド実行 : Windows FOR/IF コマンドが見つかりました。 CRITICAL
932150 リモート コマンド実行 : Unix コマンドの直接実行が試行されました。 CRITICAL
932160 リモート コマンド実行 : Unix シェル コードが見つかりました。 CRITICAL
932170 リモート コマンド実行 : Shellshock (CVE-2014-6271) CRITICAL
932171 リモート コマンド実行 : Shellshock (CVE-2014-6271) CRITICAL
932180 制限付きファイル アップロードが試行されました。 CRITICAL
932190 リモート コマンド実行: ワイルドカードのバイパス方法が試行されました。 CRITICAL

REQUEST-933-APPLICATION-ATTACK-PHP

ルール ID 説明 重要度
933100 PHP インジェクション攻撃 : 開始または終了タグが見つかりました。 CRITICAL
933110 PHP インジェクション攻撃 : PHP スクリプト ファイルのアップロードが見つかりました。 CRITICAL
933111 PHP インジェクション攻撃 : PHP スクリプト ファイルのアップロードが見つかりました。 CRITICAL
933120 PHP インジェクション攻撃 : 構成ディレクティブが見つかりました。 CRITICAL
933130 PHP インジェクション攻撃 : 変数が見つかりました。 CRITICAL
933131 PHP インジェクション攻撃 : 変数が見つかりました。 CRITICAL
933140 PHP インジェクション攻撃 : I/O ストリームが見つかりました。 CRITICAL
933150 PHP インジェクション攻撃 : 危険度の高い PHP 関数名が見つかりました。 CRITICAL
933151 PHP インジェクション攻撃 : 危険度が中程度の PHP 関数名が見つかりました。 CRITICAL
933160 PHP インジェクション攻撃 : 危険度の高い PHP 関数呼び出しが見つかりました。 CRITICAL
933161 PHP インジェクション攻撃 : 低い値の PHP 関数呼び出しが見つかりました。 CRITICAL
933170 PHP インジェクション攻撃 : シリアル化されたオブジェクトが挿入されています。 CRITICAL
933180 PHP インジェクション攻撃 : 関数呼び出しが見つかりました。 CRITICAL
933190 PHP インジェクション攻撃 : PHP の終了タグが見つかりました。 CRITICAL
933200 PHP インジェクション攻撃 : ラッパー スキームが検出されました。 CRITICAL
933210 PHP インジェクション攻撃 : 関数呼び出しが見つかりました。 CRITICAL

REQUEST-941-APPLICATION-ATTACK-XSS

ルール ID 説明 重要度
941100 libinjection を経由した XSS 攻撃が検出されました。 CRITICAL
941101 libinjection を経由した XSS 攻撃が検出されました。
このルールでは、Referer ヘッダーを持つ要求が検出されます。
CRITICAL
941110 XSS フィルター – カテゴリ 1 : スクリプト タグ ベクター CRITICAL
941120 XSS フィルター – カテゴリ 2 : イベント ハンドラー ベクター CRITICAL
941130 XSS フィルター – カテゴリ 3 : 属性ベクター CRITICAL
941140 XSS フィルター – カテゴリ 4 : JavaScript URI ベクター CRITICAL
941150 XSS フィルター – カテゴリ 5 : 許可されていない HTML 属性 CRITICAL
941160 NoScript XSS InjectionChecker : HTML インジェクション CRITICAL
941170 NoScript XSS InjectionChecker : 属性インジェクション CRITICAL
941180 ノード検証コントロールのブラックリスト キーワード CRITICAL
941190 スタイル シートを使用する XSS – 攻撃が検出されました。 CRITICAL
941200 VML フレームを使用する XSS – 攻撃が検出されました。 CRITICAL
941210 難読化された JavaScript または Text4Shell を使用した XSS (CVE-2022-42889) – 攻撃が検出されました。 CRITICAL
941220 難読化 VB Script を使用する XSS – 攻撃が検出されました。 CRITICAL
941230 ‘embed’ タグを使用する XSS – 攻撃が検出されました。 CRITICAL
941240 ‘import’ もしくは ‘implementation’ 属性を使用する XSS – 攻撃が検出されました。 CRITICAL
941250 IE XSS フィルター – 攻撃が検出されました。 CRITICAL
941260 ‘meta’ タグを使用する XSS – 攻撃が検出されました。 CRITICAL
941270 ‘link’ href を使用する XSS – 攻撃が検出されました。 CRITICAL
941280 ‘base’ タグを使用する XSS – 攻撃が検出されました。 CRITICAL
941290 ‘applet’ タグを使用する XSS – 攻撃が検出されました。 CRITICAL
941300 ‘object’ タグを使用する XSS – 攻撃が検出されました。 CRITICAL
941310 US-ASCII 非整形式エンコード XSS フィルター – 攻撃が検出されました。 CRITICAL
941320 可能性のある XSS 攻撃が検出されました – HTML タグ ハンドラー CRITICAL
941330 IE XSS フィルター – 攻撃が検出されました。 CRITICAL
941340 IE XSS フィルター – 攻撃が検出されました。 CRITICAL
941350 UTF-7 エンコード IE XSS – 攻撃が検出されました。 CRITICAL
941360 JavaScript の難読化が検出されました。 CRITICAL

REQUEST-942-APPLICATION-ATTACK-SQLI

ルール ID 説明 重要度
942100 libinjection を経由した SQL インジェクション攻撃が検出されました。 CRITICAL
942110 SQL インジェクション攻撃 : 一般的なインジェクション テストが検出されました WARNING
942120 SQL インジェクション攻撃 : SQL 演算子が検出されました CRITICAL
942130 SQL インジェクション攻撃 : SQL トートロジーが検出されました。 CRITICAL
942140 SQL インジェクション攻撃 : 共通 DB 名が検出されました CRITICAL
942150 SQL インジェクション攻撃 CRITICAL
942160 sleep() または benchmark() を用いた、ブラインド sqli テストを検出しました。 CRITICAL
942170 条件付きクエリも含めた、SQL ベンチマークとスリープ インジェクション試行を検出しました CRITICAL
942180 基本的な SQL 認証のバイパスの試行 1/3 を検出しました。 CRITICAL
942190 MSSQL コード実行と情報収集の試行を検出しました。 CRITICAL
942200 MySQL コメント/スペース難読化インジェクションとバッククォートの終了を検出しました。 CRITICAL
942210 チェーンされた SQL インジェクション試行 1/2 を検出しました。 CRITICAL
942220 整数オーバーフロー攻撃を検出しました。これらは、skipfish から取得されます。ただし、3.0.00738585072007e-308 は “マジック番号” クラッシュであるため除きます。 CRITICAL
942230 条件付き SQL インジェクション試行を検出しました。 CRITICAL
942240 MySQL 文字セット スイッチと MSSQL DoS 試行を検出しました。 CRITICAL
942250 MATCH AGAINST、MERGE、EXECUTE IMMEDIATE インジェクションを検出しました。 CRITICAL
942251 HAVING インジェクションを検出しました。 CRITICAL
942260 基本的な SQL 認証のバイパスの試行 2/3 を検出しました。 CRITICAL
942270 基本的な sql インジェクション (mysql oracle などの共通攻撃文字列) を検出しました。 CRITICAL
942280 Postgres pg_sleep インジェクション、waitfor delay 攻撃、データベース シャットダウン試行を検出しました。 CRITICAL
942290 基本的な MongoDB SQL インジェクション試行を検出しました。 CRITICAL
942300 MySQL コメント、条件、および ch(a)r インジェクションを検出しました。 CRITICAL
942310 チェーンされた SQL インジェクション試行 2/2 を検出しました。 CRITICAL
942320 MySQL および PostgreSQL ストアド プロシージャ/関数インジェクションを検出しました。 CRITICAL
942330 従来の SQL インジェクション プローブ 1/2 を検出しました。 CRITICAL
942340 基本的な SQL 認証のバイパスの試行 3/3 を検出しました。 CRITICAL
942350 MySQL UDF インジェクションと、その他のデータ/構造操作試行を検出しました。 CRITICAL
942360 連結された基本的な SQL インジェクションと SQLLFI 試行を検出しました。 CRITICAL
942361 キーワード alter または union に基づいて基本的な SQL インジェクションを検出しました。 CRITICAL
942370 従来の SQL インジェクション プローブ 2/2 を検出しました。 CRITICAL
942380 SQL インジェクション攻撃です。 CRITICAL
942390 SQL インジェクション攻撃です。 CRITICAL
942400 SQL インジェクション攻撃です。 CRITICAL
942410 SQL インジェクション攻撃です。 CRITICAL
942420 制限された SQL 文字の異常検出 (Cookie) : 特殊文字数を超過しました (8)。 WARNING
942421 制限された SQL 文字の異常検出 (Cookie) : 特殊文字数を超過しました (3)。 WARNING
942430 制限された SQL 文字の異常検出 (引数) : 特殊文字数が超過しました (12)。 WARNING
942431 制限された SQL 文字の異常検出 (引数) : 特殊文字数を超過しました (6)。 WARNING
942432 制限された SQL 文字の異常検出 (引数) : 特殊文字数を超過しました (2)。 WARNING
942440 SQL コメント シーケンスが検出されました。 CRITICAL
942450 SQL 16 進数エンコードが識別されました。 CRITICAL
942460 メタ文字の異常検出アラート – 反復する非単語文字 WARNING
942470 SQL インジェクション攻撃です。 CRITICAL
942480 SQL インジェクション攻撃です。 CRITICAL
942490 従来の SQL インジェクション プローブ 3/3 を検出しました。 CRITICAL
942500 MySQL のインライン コメントを検出しました。 CRITICAL

REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION

ルール ID 説明 重要度
943100 可能性のあるセッション固定攻撃 : HTML への Cookie 値の設定 CRITICAL
943110 可能性のあるセッション固定攻撃 : SessionID パラメーター名とドメイン外参照元 CRITICAL
943120 可能性のあるセッション固定攻撃 : 参照元のない SessionID パラメーター名 CRITICAL

REQUEST-944-APPLICATION-ATTACK-JAVA

ルール ID 説明 重要度
944100 リモート コマンドの実行 : Apache Struts、Oracle WebLogic CRITICAL
944110 リモート コマンドの実行 : ペイロード実行の可能性を検出します (CVE-2017-9805) CRITICAL
944120 リモート コマンドの実行 : 可能性のあるペイロード実行とリモート コマンド実行 (CVE-2015-5842) CRITICAL
944130 不審な Java クラスが検出されました。 CRITICAL
944200 Java 逆シリアル化 Apache Commons の悪用 – マジック パイトが検出されました。 CRITICAL
944210 Java シリアル化の使用の可能性 – マジック パイトが検出されました。 CRITICAL
944240 リモート コマンドの実行 : Java シリアル化 (CVE-2021-44228CVE-2021-45046) CRITICAL
944250 リモート コマンドの実行 : 疑わしい Java メソッドが検出されました。 CRITICAL

Known-CVEs

ルール ID 説明 重要度
800100 Log4j の脆弱性 (CVE-2021-44228CVE-2021-45046) を検出、軽減するためのルール。 不明
800110 Spring4Shell 相互作用の試行。 不明
800111 Spring Cloud ルーティング式インジェクション – CVE-2022-22963 が施行されました。 不明
800112 Spring Framework の安全でないクラス オブジェクトの悪用 – CVE-2022-22965 が施行されました。 不明
800113 Spring Cloud Gateway Actuator インジェクション – CVE-2022-22947 が施行されました。 不明

参考・関連リンク

タイトルとURLをコピーしました