Customização do WAF
Ruleset gocache-v1
As diretrizes do WAF contidas no ruleset gocache-v1 são:
ACCEPT: funciona como whitelist. Se der match, interrompe o WAF e libera a requisição.
SCORE: soma o valor configurado para a regra em uma variável, que pode ser usada futuramente, sem interromper o WAF. No caso do ruleset gocache-v1, o valor da variável será usado em uma regra oculta, que toma a ação especificada pelo modo de segurança do WAF se seu valor for superior ao limite, especificado de acordo com a configuração do nível de segurança do WAF. O nível de segurança do WAF alto determina esse limite no valor de 3, o médio, no valor de 5, e o baixo, no valor de 10.
DENY: Interrompe o WAF e toma a ação padrão para o ruleset, que no caso do gocache-v1, é determinada pelo modo de segurança do WAF.
As ações que redefinem o comportamento de uma regra surtem o seguinte efeito, nas diretrizes:
Desabilitar: muda a diretriz para DISABLE, cuja função é não tomar ações para a regra sem interromper o WAF, e não gera eventos de segurança.
Padrão: mantém a diretriz padrão, caso alguma regra menos prioritária a mude.
Simular: muda a diretriz para DISABLE e gera um evento de segurança caso dê match na regra.
Desafiar: muda a diretriz para DENY, e muda a ação do DENY para desafiar, caso a regra seja disparada, independente do valor da ação padrão.
Bloquear: muda a diretriz para DENY, e muda a ação do DENY para bloquear, caso a regra seja disparada, independente do valor da ação padrão.
Grupo Whitelist - gocache-v1/11*
| ID | Mensagem | Ação | Ativa |
|---|---|---|---|
| 11002 | Ignora requisições passivas sem argumentos | ACCEPT | True |
| 11004 | Extensões em whitelist - imagens | ACCEPT | True |
| 11005 | Extensões em whitelist - documentos | ACCEPT | True |
| 11006 | Extensões em whitelist - HTML | ACCEPT | True |
| 11007 | Extensões em whitelist - mídia | ACCEPT | True |
Http Violation - gocache-v1/20*
| ID | Mensagem | Ação | Ativa |
|---|---|---|---|
| 20002 | Requisição GET/HEAD com um corpo | SCORE +2 | True |
| 20004 | Requisição POST não tem o cabeçalho Content-Length | SCORE +2 | True |
| 20005 | Identidade não deve ser usada em Content-Encoding, apenas em Accept-Encoding | SCORE +2 | True |
| 20007 | Cabeçalho Expect em requisição não-HTTP/1.1 | SCORE +2 | True |
| 20011 | Requisição HTTP/1.1 enviada com cabeçalho Pragma:no-cache, mas sem o cabeçalho Cache-Control | SCORE +2 | True |
| 20012 | Requisição enviada com cabeçalho Range anormal | SCORE +2 | True |
| 20013 | Número excessivo de campos de range de bytes em uma requisição | SCORE +2 | True |
| 20014 | Número excessivo de campos de range de bytes em uma requisição | SCORE +2 | True |
| 20015 | Cabeçalho Connection Duplicado/Quebrado | SCORE +2 | True |
Http Anomaly - gocache-v1/21*
| ID | Mensagem | Ação | Ativa |
|---|---|---|---|
| 21001 | Cabeçalho Host inválido | SCORE +2 | True |
| 21003 | Cabeçalho Accept inválido | SCORE +2 | True |
| 21005 | Cabeçalho Accept sem valor | SCORE +2 | True |
| 21006 | Cabeçalho User-Agent inválido | SCORE +2 | True |
| 21007 | Cabeçalho User-Agent sem valor | SCORE +2 | True |
| 21009 | Requisição com conteúdo, mas sem cabeçalho Content-Type | SCORE +2 | True |
| 21010 | Endereço de IP no cabeçalho Host | SCORE +2 | True |
User Agent - gocache-v1/35*
| ID | Mensagem | Ação | Ativa |
|---|---|---|---|
| 35001 | User agent indica um escaneamento automático do site | SCORE +3 | True |
| 35003 | Rogue website crawler | SCORE +3 | True |
Generic Attack - gocache-v1/40*
| ID | Mensagem | Ação | Ativa |
|---|---|---|---|
| 40001 | Injeção de comandos de sistemas operacionais detectada | SCORE +4 | True |
| 40002 | Anomalia de caracteres não alfanuméricos detectada | SCORE +4 | False |
| 40003 | Injeção Coldfusion detectada | SCORE +4 | True |
| 40004 | Injeção LDAP detectada | SCORE +4 | True |
| 40005 | Injeção SSI detectada | SCORE +4 | True |
| 40006 | UPDF XSS | SCORE +4 | True |
| 40007 | Injeção de E-mail | SCORE +4 | True |
| 40008 | Roubo de requisição HTTP | SCORE +4 | True |
| 40009 | Roubo de requisição HTTP | SCORE +4 | True |
| 40010 | Divisão de resposta HTTP | SCORE +4 | True |
| 40011 | Divisão de resposta HTTP | SCORE +4 | True |
| 40012 | Inclusão de arquivo remoto - URL no argumento de requisição | SCORE +4 | True |
| 40013 | Inclusão de arquivo remoto - Função PHP include() | SCORE +4 | True |
| 40014 | Inclusão de arquivo remoto - Dados RFI termina com um ponto de interrogação | SCORE +4 | True |
| 40015 | Ataque de fixação de sessão detectado | SCORE +4 | True |
| 40016 | Tentativa de acesso a um arquivo do sistema | SCORE +4 | True |
| 40017 | Tentativa de acesso a um comando do sistema | SCORE +4 | True |
| 40018 | Tentativa de injeção de um comando no sistema | SCORE +4 | True |
| 40019 | Injeção PHP | SCORE +4 | True |
| 40020 | Injeção PHP | SCORE +4 | True |
| 40021 | Injeção PHP | SCORE +4 | True |
| 40022 | Travessia de diretórios (combinação volátil) | SCORE +4 | True |
| 40023 | Byte nulo no final do URI | SCORE +4 | True |
SQL Injection - gocache-v1/41*
| ID | Mensagem | Ação | Ativa |
|---|---|---|---|
| 41001 | Sequência de comentários SQL | SCORE +4 | False |
| 41002 | SQL codificado em Hex | SCORE +4 | False |
| 41003 | Terminação de string SQL | SCORE +4 | False |
| 41004 | Operadores SQL | SCORE +4 | False |
| 41005 | Tautologias SQL | SCORE +4 | False |
| 41006 | Nome comum de banco de dados | SCORE +4 | False |
| 41007 | Tentativa de injeção SQL cega | SCORE +4 | True |
| 41008 | Tentativa de injeção SQL | SCORE +4 | True |
| 41009 | Tentativa de injeção SQL | SCORE +4 | True |
| 41010 | Tentativa de injeção SQL | SCORE +4 | True |
| 41011 | Tentativa de injeção SQL | SCORE +4 | True |
| 41012 | Tentativa de injeção SQL | SCORE +4 | True |
| 41013 | Tentativa de injeção SQL | SCORE +4 | True |
| 41014 | Injeção de SQL por anomalia de caractere - COOKIES | SCORE +4 | False |
| 41015 | Injeção de SQL por anomalia de caractere - ARGS | SCORE +4 | False |
| 41016 | Payload de injeção SQL | SCORE +4 | True |
| 41017 | Injeção de código MSSQL | SCORE +4 | True |
| 41018 | Injeção MySQL de comentário, espaço obfuscado e terminação por backtick | SCORE +4 | False |
| 41019 | Injeção SQL Encadeada | SCORE +4 | True |
| 41020 | Overflow de inteiros SQL | SCORE +4 | True |
| 41021 | Queries SQL de sleep e benchmark | SCORE +4 | True |
| 41022 | Injeção SQL condicional | SCORE +4 | True |
| 41023 | Tentativa de alteração de charset MySQL | SCORE +4 | True |
| 41024 | Injeção SQL de MERGE, EXECUTE, IMMEDIATE, HAVING | SCORE +4 | True |
| 41025 | Injeção SQL (ignoração de autenticação) | SCORE +4 | False |
| 41026 | Injeção comum de MySQL e Oracle SQL | SCORE +4 | True |
| 41027 | Injeção pg_sleep Postgres | SCORE +4 | True |
| 41028 | Injeção MongoDB SQL | SCORE +4 | True |
| 41029 | Injeção de comentário e caractere MySQL | SCORE +4 | False |
| 41030 | Tentativa de injeção SQL encadeada | SCORE +4 | True |
| 41031 | Injeção de função de stored procedure MySQL | SCORE +4 | True |
| 41032 | Tentativa de sondagem SQL | SCORE +4 | False |
| 41033 | Injeção SQL (ignoração de autenticação) | SCORE +4 | False |
| 41034 | Injeção/Manipulação de estrutura de dados MySQL UDF | SCORE +4 | True |
| 41035 | Injeção SQL / LFI SQL Concatenada | SCORE +4 | True |
| 41036 | Tentativa de sondagem SQL | SCORE +4 | False |
Cross site scripting - gocache-v1/42*
| ID | Mensagem | Ação | Ativa |
|---|---|---|---|
| 42002 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42003 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42004 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42005 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42006 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42007 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42008 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42009 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42010 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42011 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42012 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42013 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42014 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42015 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42016 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42017 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42018 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42019 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42020 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42021 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42022 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42023 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42024 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42025 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42026 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42027 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42028 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42029 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42030 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42031 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42032 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42033 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42034 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42035 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42036 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42037 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42038 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42039 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42040 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42041 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42042 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42043 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42044 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42045 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42046 | XSS (Cross-Site Scripting) | SCORE +4 | False |
| 42047 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42048 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42049 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42050 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42051 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42052 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42053 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42054 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42055 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42056 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42057 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42058 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42059 | XSS (Cross-Site Scripting) | SCORE +4 | False |
| 42060 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42061 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42062 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42063 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42064 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42065 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42066 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42067 | XSS (Cross-Site Scripting) | SCORE +4 | False |
| 42068 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42069 | XSS (Cross-Site Scripting) - Manipulação de tags HTML | SCORE +4 | False |
| 42070 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42071 | XSS (Cross-Site Scripting) | SCORE +4 | False |
| 42072 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42073 | XSS (Cross-Site Scripting) | SCORE +4 | False |
| 42074 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42075 | XSS (Cross-Site Scripting) - Manipulação de tags Style | SCORE +4 | False |
| 42076 | XSS (Cross-Site Scripting) - Fragmentos JavaScript | SCORE +4 | True |
| 42077 | XSS (Cross-Site Scripting) - Fragmentos CSS | SCORE +4 | True |
| 42078 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42079 | XSS (Cross-Site Scripting) - Alerta de teste XSS | SCORE +4 | True |
| 42080 | XSS (Cross-Site Scripting) - Alerta ASCII | SCORE +4 | True |
| 42081 | XSS (Cross-Site Scripting) - Alerta de teste XSS | SCORE +4 | True |
| 42082 | XSS (Cross-Site Scripting) | SCORE +4 | True |
| 42083 | XSS (Cross-Site Scripting) - Filtro IE | SCORE +4 | False |
| 42084 | XSS (Cross-Site Scripting) - Filtro IE | SCORE +4 | True |
| 42085 | XSS (Cross-Site Scripting) - Filtro IE | SCORE +4 | False |
| 42086 | XSS (Cross-Site Scripting) - Filtro IE | SCORE +4 | True |
| 42087 | XSS (Cross-Site Scripting) - Filtro IE | SCORE +4 | True |
| 42088 | XSS (Cross-Site Scripting) - Filtro IE | SCORE +4 | True |
| 42089 | XSS (Cross-Site Scripting) - Filtro IE | SCORE +4 | True |
| 42090 | XSS (Cross-Site Scripting) - Filtro IE | SCORE +4 | True |
| 42091 | XSS (Cross-Site Scripting) - Filtro IE | SCORE +4 | True |
| 42092 | XSS (Cross-Site Scripting) - Filtro IE | SCORE +4 | True |
| 42093 | XSS (Cross-Site Scripting) - Filtro IE | SCORE +4 | True |
| 42094 | XSS (Cross-Site Scripting) - Filtro IE | SCORE +4 | True |
| 42095 | XSS (Cross-Site Scripting) - Filtro IE | SCORE +4 | True |
| 42096 | XSS (Cross-Site Scripting) - Filtro IE | SCORE +4 | True |
| 42097 | XSS (Cross-Site Scripting) - Filtro IE | SCORE +4 | True |
Miscellaneous - gocache-v1/90*
| ID | Mensagem | Ação | Ativa |
|---|---|---|---|
| 90002 | Escaneamento de chave SSH (https://isc.sans.edu/forums/diary/Gimme+your+keys+/18231) | DENY | True |
| 90004 | Assinatura de escaneamento de chave SSH (https://isc.sans.edu/forums/diary/Gimme+your+keys+/18231) | DENY | True |
| 90007 | Timthumb zero-day (http://seclists.org/fulldisclosure/2014/Jun/117) | DENY | True |
| 90009 | Força bruta de uma botnet afetando domínios Wordpress | DENY | True |
| 90010 | Worm conhecida mineradora de moedas (https://isc.sans.edu/forums/diary/Multi+Platform+Coin+Miner+Attacking+Routers+on+Port+32764/18353) | DENY | True |
| 90012 | Tentatira de cadastrar usuário Wordpress, porém o cadastro está desativado. | SCORE +5 | True |
| 90015 | Tentativa de login Wordpress sem cabeçalho Referer | DENY | True |
| 90018 | Vulnerabilidade LFI do plugin Slider Revolution do WordPress | DENY | True |
| 90019 | Injeção de variável de ambiente no bash (CVE-2014-6271) | DENY | True |
| 90020 | Injeção de variável de ambiente no bash (CVE-2014-6271) | DENY | True |
| 90023 | Força bruta no wp-login por falso Googlebot | DENY | True |
| 90028 | Vulnerabilidade de controle de acesso no FancyBox for Wordpress (https://www.cryptobells.com/fancybox-for-wordpress-zero-day-and-broken-patch/) | DENY | True |
| 90029 | Potencial execução de comando remoto: Log4j CVE-2021-44228 | SCORE +8 | True |
| 90030 | Execução de comando remoto: Log4j CVE-2021-44228 | DENY | True |
| 90031 | Execução de comando remoto: Log4j CVE-2021-44228 | SCORE +8 | True |
| 90032 | Potencial execução de comando remoto: Log4j CVE-2021-44228 | SCORE +8 | True |
| 90033 | Execução de comando remoto nos cabeçalhos: Log4j CVE-2021-44228 | DENY | True |
| 90034 | Execução de comando remoto nos cabeçalhos: Log4j CVE-2021-44228 | SCORE +8 | True |
| 90035 | URI formatada incorretamente | SCORE +4 | True |