WAF 検出タイプ
概要
以下の情報は、さまざまなWAFタグに関する詳細を提供します:
Name
: 声で参照または説明するために使用できるシグナルの名前。Tags
: 一致したリクエストに適用され、Kuroco Edgeログ内で検索に使用できるシグナルのタグ。Description
: シグナルの意味または指示する内容の概要。
検出タイプのリスト
攻撃
名前 | タグ | 説明 |
---|---|---|
Attack Tooling | USERAGENT | 攻撃ツールは、自動化されたソフトウェアを使用して、セキュリティの脆弱性を特定したり、発見された脆弱性を試みて攻撃することです。 |
AWS SSRF | AWS-SSRF | サーバーサイドリクエストフォージェリ(SSRF)は、Webアプリケーションによって作成されたリクエストを内部システムのターゲットに送信しようとするものです。 AWS SSRF攻撃は、SSRFを使用してAmazon Web Services(AWS)キーを取得し、S3バケットとそのデータにアクセスします。 |
Backdoor | BACKDOOR | Backdoorシグナルは、システム上に一般的なバックドアファイルが存在するかどうかを判断しようとするリクエストです。 |
Command Execution | CMDEXE | コマンド実行は、ユーザー入力によって任意のシステムコマンドを実行することによって、対象システムを制御または破損しようとするものです。 |
Cross Site Scripting | XSS | クロスサイトスクリプティングは、悪意のあるJavaScriptコードを介してユーザーアカウントまたはWebブラウジングセッションを乗っ取ろうとするものです。 |
Directory Traversal | TRAVERSAL | ディレクトリトラバーサルは、システム全体で特権付与フォルダをナビゲートし、機密情報を取得することを試みるものです。 |
Log4J JNDI | LOG4J-JNDI | Log4J JNDI攻撃は、Log4J 2.16.0より前のバージョンに存在するLog4Shell脆弱性を悪用しようとするものです。 |
SQL Injection | SQLI | SQLインジェクションは、任意のデータベースクエリを実行することによってアプリケーションにアクセスしたり、特権情報を取得したりすることを試みるものです。 |
異常値
名前 | タグ | 説明 |
---|---|---|
AnomaliesLong name | Short name | 説明 |
Abnormal Path | ABNORMALPATH | 「異常なパス」は、元のパスが正規化されたパス(例:/foo/./barは、/foo/barに正規化されます)と異なることを示します。 |
Bad Hop Headers | BHH | 「Bad Hop Headers」は、不正なTransfer-Encoding(TE)またはContent-Length(CL)ヘッダー、または正常なTEおよびCLヘッダーを介したHTTPスマグリング試行を示します。 |
Blocked Requests | BLOCKED | Signal Sciencesによってブロックされたリクエスト。 |
Code Injection PHP | CODEINJECTION | コードインジェクションは、ユーザー入力によって任意のアプリケーションコードコマンドを実行することによって、対象システムを制御または破損しようとするものです。 注:このシグナルはPHPコードのみをカバーし、現在は実験的な段階にあります。このシグナルに関する問題が発生した場合は、サポートにお問い合わせください。 |
Compression Detected | COMPRESSED | POSTリクエストボディが圧縮されており、検査できません。たとえば、リクエストヘッダー「Content-Encoding:gzip」が指定され、POSTボディがプレーンテキストでない場合。 |
Datacenter Traffic | DATACENTER | 「Datacenter Traffic」は、特定のホスティングプロバイダーから発信される有機的ではないトラフィックを示します。このタイプのトラフィックは、実際のエンドユーザーには一般的に関連していません。 |
Double Encoding | DOUBLEENCODING | 「Double Encoding」は、HTML文字のダブルエンコーディングの回避技術をチェックします。 |
Duplicate Header Names | DUPLICATE-HEADERS | 重複するヘッダーフィールド名があるリクエスト。これは、プログラミングエラーまたは自動化されたまたは悪意のあるリクエストを表す場合があります。現在検出されているヘッダーは:_Authorization、_Content-Length、_Content-Type、_Host、および_Transfer-Encodingです。 |
Forceful Browsing | FORCEFULBROWSING | 「Forceful Browsing」は、管理ページにアクセスしようとする試みで失敗したものです。 |
GraphQL API | GRAPHQL-API | GraphQL APIリクエストを示します。 |
GraphQL Duplicate Variables | GRAPHQL-DUPLICATE-VARIABLES | 重複した変数を含むGraphQLリクエストを示します。 |
GraphQL IDE | GRAPHQL-IDE | GraphQL Interactive Development Environment(IDE)からのリクエストを示します。 |
GraphQL Introspection | GRAPHQL-INTROSPECTION | GraphQL APIのスキーマを取得しようとする試みを示します。スキーマは、利用可能なリソースを識別し、後続の攻撃に通知するために使用できます。 |
GraphQL Max Depth | GRAPHQL-DEPTH | サーバーで許可されている最大深度に到達したまたは超過したGraphQL APIクエリを示します。 |
GraphQL Missing Required Operation Name | GRAPHQL-MISSING-REQUIRED-OPERATION-NAME | 複数のGraphQL操作を含むリクエストですが、実行する操作を定義していないことを示します。 |
GraphQL Syntax | GRAPHQL-SYNTAX | 無効なGraphQL構文を含むリクエストを示します。これはプログラミングエラーまたは悪意のあるリクエストに関連している場合があります。 |
GraphQL Undefined Variable | GRAPHQL-UNDEFINED-VARIABLES | 関数によって期待されるよりも多くの変数を含むGraphQL APIへのリクエストを示します。これは、悪意のあるリクエストを曖昧にするために使用できます。 |
HTTP 403 Errors | HTTP403 | 禁止されました。これは、URLのリクエストがサーバーの構成で保護されたときに一般的に見られます。 |
HTTP 404 Errors | HTTP404 | 見つかりませんでした。これは、ページまたはアセットのリクエストが存在しないか、サーバーによって検出されなかった場合に一般的に見られます。 |
HTTP 429 Errors | HTTP429 | リクエストが多すぎます。これは、レート制限が使用されて、アクティブな接続の数を制限する場合によく見られます。 |
HTTP 4XX Errors | HTTP4XX | 4xx ステータスコードは、クライアントのリクエストエラーを示します。 |
HTTP 500 エラー | HTTP500 | 内部サーバーエラー。これは、リクエストが処理されていないアプリケーションエラーを生成した場合によく見られます。 |
HTTP 503 エラー | HTTP503 | サービス利用不可。これは、Webサービスが過負荷になった場合や、メンテナンスのために一時的に停止した場合によく見られます。 |
HTTP 5XX エラー | HTTP5XX | 5xxステータスコードは、サーバー関連の問題を示すことがよくあります。 |
HTTPレスポンス分割 | RESPONSESPLIT | CRLF文字がHTTP応答にヘッダを挿入するためにアプリケーションに入力されたときに特定されます。 |
無効なエンコーディング | NOTUTF8 | 無効なエンコーディングは、要求から有害な文字をレスポンスに翻訳するためにサーバーが原因である可能性があり、拒否サービスまたはXSSを引き起こすことがあります。 |
JSONエンコーディングエラー | JSON-ERROR | JSONを含むと指定されたPOST、PUT、またはPATCHリクエストの本体で、「Content-Type」リクエストヘッダー内にJSONが含まれているが、JSONの解析エラーが含まれている。これは、プログラミングエラーまたは自動化されたまたは悪意のあるリクエストに関連することがよくあります。 |
リクエストボディの形式が正しくない | MALFORMED-DATA | 「Content-Type」リクエストヘッダーに従って形式が正しくないPOST、PUT、またはPATCHリクエストボディ。たとえば、「Content-Type:application/x-www-form-urlencoded」リクエストヘッダーが指定され、POSTボディにjsonが含まれている場合。これは、プログラミングエラー、自動化されたまたは悪意のあるリクエストであることがよくあります。エージェント3.2以上が必要です。 |
悪意のあるIPトラフィック | SANS | Signal Sciencesは、定期的に悪意のある活動に関与したと報告されたIPアドレスのSANSインターネットストームセンターリストをインポートしています。 |
ネットワーク効果 | SIGSCI-IP | 決定エンジンによる悪意のあるシグナルによりIPがフラグ付けされた場合、そのIPはすべての顧客に伝播されます。その後、フラグの期間中に追加のシグナルを含むこれらのIPアドレスからの後続のリクエストをログに記録します。 |
ユーザーエージェントがありません | NOUA | 多くの自動化および悪意のある要求では、偽のまたは欠落したユーザーエージェントを使用して、要求を行っているデバイスのタイプを特定することが困難になることがあります。 |
ヌルバイト | NULLBYTE | ヌルバイトは通常、リクエストに現れないため、リクエストが形式が正しくなく、潜在的に悪意のあることを示します。 |
プライベートファイル | PRIVATEFILE | プライベートファイルには、通常、Apache.htaccessファイルや構成ファイルなどの機密性が高いものが含まれます。 |
スキャナー | SCANNER | 一般的なスキャンサービスやツールを識別します。 |
SearchBot Impostor | IMPOSTOR | Search bot impostorは、GoogleやBingの検索ボットを装っているが、正当ではない人物です。 |
サイトフラッグIP | SITE-FLAGGED-IP | 特定のサイトの攻撃のしきい値を超えたIPからリクエストが受信されたことを示します。このシグナルは、Premierプラットフォームでのみ含まれます。 |
Torトラフィック | TORNODE | Torは、ユーザーのアイデンティティを隠すソフトウェアです。 Torトラフィックの急増は、攻撃者が自分の場所をマスクしようとしていることを示す場合があります。 |
弱いTLS | WEAKTLS | 弱いTLS。Webサーバーの構成により、古い暗号スイートまたはプロトコルバージョンでSSL / TLS接続を確立できるようになっています。このシグナルは、一部のリクエストを検査することによって基づいています。また、一部のアーキテクチャやSignal Sciencesの言語SDKモジュールは、このシグナルをサポートしていません。 |
XMLエンコーディングエラー | XML-ERROR | 「Content-Type」リクエストヘッダー内にXMLを含むと指定されたPOST、PUT、またはPATCHリクエストの本体で、XMLの解析エラーが含まれている場合があります。これは、プログラミングエラーまたは自動化されたまたは悪意のあるリクエストに関連することがよくあります。 |
More Information - Signal Sciences
サポート
お探しのページは見つかりましたか?解決しない場合は、問い合わせフォームからお問い合わせいただくか、Slackコミュニティにご参加ください。