WAF Custom Allowed Rules

Web Application Firewall (WAF) Custom Allowed Rules é um recurso que permite instanciar regras de WAF especificamente para a necessidade de suas edge applications, considerando o tráfego, requisições e dados reais de suas aplicações. Use WAF Custom Allowed Rules para ampliar os níveis de segurança de seu aplicativo e também para impedir falsos positivos.

Para instanciar Custom Allowed Rules em um WAF Rule Set, você deve ter uma configuração de Edge Firewall com o módulo Web Application Firewall ativado.

Sua WAF Custom Allowed Rule pode ser baseada em solicitações reais, marcadas pelo WAF como possíveis ameaças. Você também pode criar uma custom allowed rule em casos de testes e falsos positivos.

Ao criar Custom Allowed Rule para uma configuração de WAF, é necessário escolher, entre as disponíveis, uma regra interna para sua composição.

Veja, abaixo, a lista de todas as regras internas disponíveis:

ID da RegraDescrição
1Solicitação estranha, incapaz de analisar
2Requisição maior que 128 kilobytes, armazenada no disco e não parseada
10Codificação HEX inválida (bytes nulos)
11Cabeçalho Content-Type ausente ou desconhecido em um POST. Esta regra se aplica apenas à zona de correspondência Request Body
12Formatação de URL inválida
13Formato POST inválido
14Limite de POST inválido
15Formato JSON inválido
16POST sem corpo
17Possível ataque de SQL Injection: validação com libinjection_sql
18Possível ataque de XSS: validação com libinjection_xss
1000Possível ataque de SQL Injection: palavras-chave SQL encontradas no Body, Path, Query String ou Cookies
1001Possível ataque de SQL Injection: aspas duplas " encontradas no Body, Path, Query String ou Cookies
1002Possível ataque de SQL Injection: possível codificação HEX 0x encontrada no Body, Path, Query String ou Cookies
1003Possível ataque de SQL Injection: comentário MySQL /* encontrado no Body, Path, Query String ou Cookies
1004Possível ataque de SQL Injection: comentário MySQL */ encontrado no Body, Path, Query String ou Cookies
1005Possível ataque de SQL Injection: palavra-chave MySQL | encontrada no Body, Path, Query String ou Cookies
1006Possível ataque de SQL Injection: palavra-chave MySQL && encontrada no Body, Path, Query String ou Cookies
1007Possível ataque de SQL Injection: comentário MySQL -- encontrado no Body, Path, Query String ou Cookies
1008Possível ataque de SQL Injection ou XSS: ponto e vírgula ; encontrado no Body, Path ou Query String
1009Possível ataque de SQL Injection: sinal de igual = encontrado no Body ou Query String
1010Possível ataque de SQL Injection ou XSS: parêntese aberto ( encontrado no Body, Path, Query String ou Cookies
1011Possível ataque de SQL Injection ou XSS: parênteses fechado ) encontrado no Body, Path, Query String ou Cookies
1013Possível ataque de SQL Injection ou XSS: apóstrofe ' encontrado no Body, Path, Query String ou Cookies
1015Possível ataque de SQL Injection: vírgula , encontrada no Body, Path, Query String ou Cookies
1016Possível ataque de SQL Injection: comentário MySQL # encontrado no Body, Path, Query String ou Cookies
1017Possível ataque de SQL Injection: sinal de arroba duplo @@ encontrado no Body, Path, Query String ou Cookies
1100Possível ataque de RFI: esquema http:// encontrado no Body, Query String ou Cookies
1101Possível ataque de RFI: esquema https:// encontrado no Body, Query String ou Cookies
1102Possível ataque de RFI: esquema ftp:// encontrado no Body, Query String ou Cookies
1103Possível ataque de RFI: esquema php:// encontrado no Body, Query String ou Cookies
1104Possível ataque de RFI: esquema sftp:// encontrado no Body, Query String ou Cookies
1105Possível ataque de RFI: esquema zlib:// encontrado no Body, Query String ou Cookies
1106Possível ataque de RFI: esquema data:// encontrado no Body, Query String ou Cookies
1107Possível ataque de RFI: esquema glob:// encontrado no Body, Query String ou Cookies
1108Possível ataque de RFI: esquema phar:// encontrado no Body, Query String ou Cookies
1109Possível ataque de RFI: esquema file:// encontrado no Body, Query String ou Cookies
1110Possível ataque de RFI: esquema gopher:// encontrado no Body, Query String ou Cookies
1198Possível ataque de RCE: validação com log4j (Log4Shell) no HEADERS_var
1199Possível ataque de RCE: validação com log4j (Log4Shell) no Body, Path, Query String ou Cookies
1200Possível ataque de Directory Traversal: ponto duplo .. encontrado no Body, Path, Query String ou Cookies
1202Possível ataque de Directory Traversal: tentativa evidente de travessia de diretório /etc/passwd encontrada no Body, Path, Query String ou Cookies
1203Possível ataque de Directory Traversal: tentativa evidente de travessia de diretório com caminho c:\\ encontrado no Body, Path, Query String ou Cookies
1204Possível ataque de Directory Traversal: tentativa evidente de travessia de diretório cmd.exe encontrado no Body, Path, Query String ou Cookies
1205Possível ataque de Directory Traversal: backslash \ encontrado no Body, Path, Query String ou Cookies
1206Possível ataque de Directory Traversal: slash / encontrado no Body, Path, Query String ou Cookies
1207Possível ataque de Directory Traversal: tentativa evidente de travessia de diretório /..;/) encontrado no Body, Path, Query String ou Cookies
1208Possível ataque de Directory Traversal: tentativa evidente de travessia de diretório /.;/) encontrado no Body, Path, Query String ou Cookies
1209Possível ataque de Directory Traversal: tentativa evidente de travessia de diretório /./) encontrado no Body, Path, Query String ou Cookies
1302Possível ataque de XSS: tag aberta HTML < encontrada no Body, Path, Query String ou Cookies
1303Possível ataque de XSS: tag fechada HTML > encontrada no Body, Path, Query String ou Cookies
1310Possível ataque de XSS: colchete aberto [ encontrado no Body, Path, Query String ou Cookies
1311Possível ataque de XSS: colchete fechado ] encontrado no Body, Path, Query String ou Cookies
1312Possível ataque de XSS: caractere til ~ encontrado no Body, Path, Query String ou Cookies
1314Possível ataque de XSS: caractere ` (backtick) encontrado no Body, Path, Query String ou Cookies
1315Possível ataque de XSS: codificação dupla %2|3 encontrada no Body, Path, Query String ou Cookies
1400Possível truque para evitar a proteção: codificação UTF7/8 &# encontrado no Body, Path, Query String ou Cookies
1401Possível truque para evitar a proteção: codificação MS %U encontrada no Body, Path, Query String ou Cookies
1402Possível truque para evitar a proteção: caracteres codificados %20-%3F encontrados no Body, Path, Query String ou Cookies
1500Possible File Upload attempt: asp/php ou .ph, .asp, .ht encontrados no nome de um arquivo em um POST de múltiplas partes contendo um arquivo

Contribuidores