Ir para o conteúdo

Customização do WAF - Regras

Ruleset gocache-v1

As diretrizes do WAF contidas no ruleset gocache-v1 são:

  • ACCEPT: Se o padrão de acesso ativar esta regra, a mesma interrompe o WAF e libera a requisição (como whitelist).
  • SCORE: Soma o valor configurado para a regra na pontuação daquele acesso, que pode ser usado futuramente. Se após a execução das regras a pontuação for maior que um valor específico, a ação padrão do WAF, configurada no modo de segurança do WAF, será executada. O nível de segurança do WAF alto determina esse limite de pontuação com valor 3, o médio, com valor 5, e o baixo, com valor 10.
  • DENY: Interrompe o WAF e executa a ação padrão para o ruleset. Para o ruleset gocache-v1, a ação corresponde ao modo de segurança do WAF.

Redefinição do comportamento de regra(s)

As ações que redefinem o comportamento de regra(s) possuem o seguinte efeito:

  • Ação Desabilitar: Desativa a(s) regra(s), sem interromper o WAF, e não gera eventos de segurança para as mesmas.
  • Ação Padrão: Mantém o comportamento padrão da regra (as ações padrão para cada regra estão descritas nas próximas seções desta documentação).
  • Ação Simular: Gera um evento de segurança caso o padrão de acesso ative esta regra.
  • Ação Desafiar: Mostrará uma página de captcha imediatamente, caso o padrão de acesso ative esta regra.
  • Ação Bloquear: Mostrará uma página de bloqueio imediatamente, caso o padrão de acesso ative esta regra.

Grupos de regras e ações padrão

Grupo Whitelist (gocache-v1/11*)

ID Mensagem Ação Ativa
11002 Ignora requisições passivas sem argumentos ACCEPT True
11004 Extensões em whitelist - imagens ACCEPT True
11005 Extensões em whitelist - documentos ACCEPT True
11006 Extensões em whitelist - HTML ACCEPT True
11007 Extensões em whitelist - mídia ACCEPT True

Grupo HTTP Violation (gocache-v1/20*)

ID Mensagem Ação Ativa
20002 Requisição GET/HEAD com um corpo SCORE +2 True
20004 Requisição POST não tem o cabeçalho Content-Length SCORE +2 True
20005 Identidade não deve ser usada em Content-Encoding, apenas em Accept-Encoding SCORE +2 True
20007 Cabeçalho Expect em requisição não-HTTP/1.1 SCORE +2 True
20011 Requisição HTTP/1.1 enviada com cabeçalho Pragma:no-cache, mas sem o cabeçalho Cache-Control SCORE +2 True
20012 Requisição enviada com cabeçalho Range anormal SCORE +2 True
20013 Número excessivo de campos de range de bytes em uma requisição SCORE +2 True
20014 Número excessivo de campos de range de bytes em uma requisição SCORE +2 True
20015 Cabeçalho Connection Duplicado/Quebrado SCORE +2 True

Grupo HTTP Anomaly (gocache-v1/21*)

ID Mensagem Ação Ativa
21001 Cabeçalho Host inválido SCORE +2 True
21003 Cabeçalho Accept inválido SCORE +2 True
21005 Cabeçalho Accept sem valor SCORE +2 True
21006 Cabeçalho User-Agent inválido SCORE +2 True
21007 Cabeçalho User-Agent sem valor SCORE +2 True
21009 Requisição com conteúdo, mas sem cabeçalho Content-Type SCORE +2 True
21010 Endereço de IP no cabeçalho Host SCORE +2 True

Grupo User Agent (gocache-v1/35*)

ID Mensagem Ação Ativa
35001 User agent indica um escaneamento automático do site SCORE +3 True
35003 Rogue website crawler SCORE +3 True

Grupo Generic Attack (gocache-v1/40*)

ID Mensagem Ação Ativa
40001 Injeção de comandos de sistemas operacionais detectada SCORE +4 True
40002 Anomalia de caracteres não alfanuméricos detectada SCORE +4 False
40003 Injeção Coldfusion detectada SCORE +4 True
40004 Injeção LDAP detectada SCORE +4 True
40005 Injeção SSI detectada SCORE +4 True
40006 UPDF XSS SCORE +4 True
40007 Injeção de E-mail SCORE +4 True
40008 Roubo de requisição HTTP SCORE +4 True
40009 Roubo de requisição HTTP SCORE +4 True
40010 Divisão de resposta HTTP SCORE +4 True
40011 Divisão de resposta HTTP SCORE +4 True
40012 Inclusão de arquivo remoto - URL no argumento de requisição SCORE +4 True
40013 Inclusão de arquivo remoto - Função PHP include() SCORE +4 True
40014 Inclusão de arquivo remoto - Dados RFI termina com um ponto de interrogação SCORE +4 True
40015 Ataque de fixação de sessão detectado SCORE +4 True
40016 Tentativa de acesso a um arquivo do sistema SCORE +4 True
40017 Tentativa de acesso a um comando do sistema SCORE +4 True
40018 Tentativa de injeção de um comando no sistema SCORE +4 True
40019 Injeção PHP SCORE +4 True
40020 Injeção PHP SCORE +4 True
40021 Injeção PHP SCORE +4 True
40022 Travessia de diretórios (combinação volátil) SCORE +4 True
40023 Byte nulo no final do URI SCORE +4 True

Grupo SQL Injection (gocache-v1/41*)

ID Mensagem Ação Ativa
41001 Sequência de comentários SQL SCORE +4 False
41002 SQL codificado em Hex SCORE +4 False
41003 Terminação de string SQL SCORE +4 False
41004 Operadores SQL SCORE +4 False
41005 Tautologias SQL SCORE +4 False
41006 Nome comum de banco de dados SCORE +4 False
41007 Tentativa de injeção SQL cega SCORE +4 True
41008 Tentativa de injeção SQL SCORE +4 True
41009 Tentativa de injeção SQL SCORE +4 True
41010 Tentativa de injeção SQL SCORE +4 True
41011 Tentativa de injeção SQL SCORE +4 True
41012 Tentativa de injeção SQL SCORE +4 True
41013 Tentativa de injeção SQL SCORE +4 True
41014 Injeção de SQL por anomalia de caractere - COOKIES SCORE +4 False
41015 Injeção de SQL por anomalia de caractere - ARGS SCORE +4 False
41016 Payload de injeção SQL SCORE +4 True
41017 Injeção de código MSSQL SCORE +4 True
41018 Injeção MySQL de comentário, espaço obfuscado e terminação por backtick SCORE +4 False
41019 Injeção SQL Encadeada SCORE +4 True
41020 Overflow de inteiros SQL SCORE +4 True
41021 Queries SQL de sleep e benchmark SCORE +4 True
41022 Injeção SQL condicional SCORE +4 True
41023 Tentativa de alteração de charset MySQL SCORE +4 True
41024 Injeção SQL de MERGE, EXECUTE, IMMEDIATE, HAVING SCORE +4 True
41025 Injeção SQL (ignoração de autenticação) SCORE +4 False
41026 Injeção comum de MySQL e Oracle SQL SCORE +4 True
41027 Injeção pg_sleep Postgres SCORE +4 True
41028 Injeção MongoDB SQL SCORE +4 True
41029 Injeção de comentário e caractere MySQL SCORE +4 False
41030 Tentativa de injeção SQL encadeada SCORE +4 True
41031 Injeção de função de stored procedure MySQL SCORE +4 True
41032 Tentativa de sondagem SQL SCORE +4 False
41033 Injeção SQL (ignoração de autenticação) SCORE +4 False
41034 Injeção/Manipulação de estrutura de dados MySQL UDF SCORE +4 True
41035 Injeção SQL / LFI SQL Concatenada SCORE +4 True
41036 Tentativa de sondagem SQL SCORE +4 False

Grupo Cross site scripting (gocache-v1/42*)

ID Mensagem Ação Ativa
42002 XSS (Cross-Site Scripting) SCORE +4 True
42003 XSS (Cross-Site Scripting) SCORE +4 True
42004 XSS (Cross-Site Scripting) SCORE +4 True
42005 XSS (Cross-Site Scripting) SCORE +4 True
42006 XSS (Cross-Site Scripting) SCORE +4 True
42007 XSS (Cross-Site Scripting) SCORE +4 True
42008 XSS (Cross-Site Scripting) SCORE +4 True
42009 XSS (Cross-Site Scripting) SCORE +4 True
42010 XSS (Cross-Site Scripting) SCORE +4 True
42011 XSS (Cross-Site Scripting) SCORE +4 True
42012 XSS (Cross-Site Scripting) SCORE +4 True
42013 XSS (Cross-Site Scripting) SCORE +4 True
42014 XSS (Cross-Site Scripting) SCORE +4 True
42015 XSS (Cross-Site Scripting) SCORE +4 True
42016 XSS (Cross-Site Scripting) SCORE +4 True
42017 XSS (Cross-Site Scripting) SCORE +4 True
42018 XSS (Cross-Site Scripting) SCORE +4 True
42019 XSS (Cross-Site Scripting) SCORE +4 True
42020 XSS (Cross-Site Scripting) SCORE +4 True
42021 XSS (Cross-Site Scripting) SCORE +4 True
42022 XSS (Cross-Site Scripting) SCORE +4 True
42023 XSS (Cross-Site Scripting) SCORE +4 True
42024 XSS (Cross-Site Scripting) SCORE +4 True
42025 XSS (Cross-Site Scripting) SCORE +4 True
42026 XSS (Cross-Site Scripting) SCORE +4 True
42027 XSS (Cross-Site Scripting) SCORE +4 True
42028 XSS (Cross-Site Scripting) SCORE +4 True
42029 XSS (Cross-Site Scripting) SCORE +4 True
42030 XSS (Cross-Site Scripting) SCORE +4 True
42031 XSS (Cross-Site Scripting) SCORE +4 True
42032 XSS (Cross-Site Scripting) SCORE +4 True
42033 XSS (Cross-Site Scripting) SCORE +4 True
42034 XSS (Cross-Site Scripting) SCORE +4 True
42035 XSS (Cross-Site Scripting) SCORE +4 True
42036 XSS (Cross-Site Scripting) SCORE +4 True
42037 XSS (Cross-Site Scripting) SCORE +4 True
42038 XSS (Cross-Site Scripting) SCORE +4 True
42039 XSS (Cross-Site Scripting) SCORE +4 True
42040 XSS (Cross-Site Scripting) SCORE +4 True
42041 XSS (Cross-Site Scripting) SCORE +4 True
42042 XSS (Cross-Site Scripting) SCORE +4 True
42043 XSS (Cross-Site Scripting) SCORE +4 True
42044 XSS (Cross-Site Scripting) SCORE +4 True
42045 XSS (Cross-Site Scripting) SCORE +4 True
42046 XSS (Cross-Site Scripting) SCORE +4 False
42047 XSS (Cross-Site Scripting) SCORE +4 True
42048 XSS (Cross-Site Scripting) SCORE +4 True
42049 XSS (Cross-Site Scripting) SCORE +4 True
42050 XSS (Cross-Site Scripting) SCORE +4 True
42051 XSS (Cross-Site Scripting) SCORE +4 True
42052 XSS (Cross-Site Scripting) SCORE +4 True
42053 XSS (Cross-Site Scripting) SCORE +4 True
42054 XSS (Cross-Site Scripting) SCORE +4 True
42055 XSS (Cross-Site Scripting) SCORE +4 True
42056 XSS (Cross-Site Scripting) SCORE +4 True
42057 XSS (Cross-Site Scripting) SCORE +4 True
42058 XSS (Cross-Site Scripting) SCORE +4 True
42059 XSS (Cross-Site Scripting) SCORE +4 False
42060 XSS (Cross-Site Scripting) SCORE +4 True
42061 XSS (Cross-Site Scripting) SCORE +4 True
42062 XSS (Cross-Site Scripting) SCORE +4 True
42063 XSS (Cross-Site Scripting) SCORE +4 True
42064 XSS (Cross-Site Scripting) SCORE +4 True
42065 XSS (Cross-Site Scripting) SCORE +4 True
42066 XSS (Cross-Site Scripting) SCORE +4 True
42067 XSS (Cross-Site Scripting) SCORE +4 False
42068 XSS (Cross-Site Scripting) SCORE +4 True
42069 XSS (Cross-Site Scripting) - Manipulação de tags HTML SCORE +4 False
42070 XSS (Cross-Site Scripting) SCORE +4 True
42071 XSS (Cross-Site Scripting) SCORE +4 False
42072 XSS (Cross-Site Scripting) SCORE +4 True
42073 XSS (Cross-Site Scripting) SCORE +4 False
42074 XSS (Cross-Site Scripting) SCORE +4 True
42075 XSS (Cross-Site Scripting) - Manipulação de tags Style SCORE +4 False
42076 XSS (Cross-Site Scripting) - Fragmentos JavaScript SCORE +4 True
42077 XSS (Cross-Site Scripting) - Fragmentos CSS SCORE +4 True
42078 XSS (Cross-Site Scripting) SCORE +4 True
42079 XSS (Cross-Site Scripting) - Alerta de teste XSS SCORE +4 True
42080 XSS (Cross-Site Scripting) - Alerta ASCII SCORE +4 True
42081 XSS (Cross-Site Scripting) - Alerta de teste XSS SCORE +4 True
42082 XSS (Cross-Site Scripting) SCORE +4 True
42083 XSS (Cross-Site Scripting) - Filtro IE SCORE +4 False
42084 XSS (Cross-Site Scripting) - Filtro IE SCORE +4 True
42085 XSS (Cross-Site Scripting) - Filtro IE SCORE +4 False
42086 XSS (Cross-Site Scripting) - Filtro IE SCORE +4 True
42087 XSS (Cross-Site Scripting) - Filtro IE SCORE +4 True
42088 XSS (Cross-Site Scripting) - Filtro IE SCORE +4 True
42089 XSS (Cross-Site Scripting) - Filtro IE SCORE +4 True
42090 XSS (Cross-Site Scripting) - Filtro IE SCORE +4 True
42091 XSS (Cross-Site Scripting) - Filtro IE SCORE +4 True
42092 XSS (Cross-Site Scripting) - Filtro IE SCORE +4 True
42093 XSS (Cross-Site Scripting) - Filtro IE SCORE +4 True
42094 XSS (Cross-Site Scripting) - Filtro IE SCORE +4 True
42095 XSS (Cross-Site Scripting) - Filtro IE SCORE +4 True
42096 XSS (Cross-Site Scripting) - Filtro IE SCORE +4 True
42097 XSS (Cross-Site Scripting) - Filtro IE SCORE +4 True

Grupo Wordpress (gocache-v1/90*)

ID Mensagem Ação Ativa
90001 Assinatura fictícia lua-resty-waf SCORE +3 True
90002 Escaneamento de chave SSH (https://isc.sans.edu/forums/diary/Gimme+your+keys+/18231) DENY True
90004 Assinatura de escaneamento de chave SSH (https://isc.sans.edu/forums/diary/Gimme+your+keys+/18231) DENY True
90007 Timthumb zero-day (http://seclists.org/fulldisclosure/2014/Jun/117) DENY True
90009 Força bruta de uma botnet afetando domínios Wordpress DENY True
90010 Worm conhecida mineradora de moedas (https://isc.sans.edu/forums/diary/Multi+Platform+Coin+Miner+Attacking+Routers+on+Port+32764/18353) DENY True
90012 Tentatira de cadastrar usuário Wordpress, porém o cadastro está desativado. SCORE +5 True
90015 Tentativa de login Wordpress sem cabeçalho Referer DENY True
90018 Vulnerabilidade LFI do plugin Slider Revolution do WordPress DENY True
90019 Injeção de variável de ambiente no bash (CVE-2014-6271) DENY True
90020 Injeção de variável de ambiente no bash (CVE-2014-6271) DENY True
90023 Força bruta no wp-login por falso Googlebot DENY True
90028 Vulnerabilidade de controle de acesso no FancyBox for Wordpress (https://www.cryptobells.com/fancybox-for-wordpress-zero-day-and-broken-patch/) DENY True