メインコンテンツまでスキップ

WAF 検出タイプ

概要

以下の情報は、さまざまなWAFタグに関する詳細を提供します:

  • Name: 声で参照または説明するために使用できるシグナルの名前。
  • Tags: 一致したリクエストに適用され、Kuroco Edgeログ内で検索に使用できるシグナルのタグ。
  • Description: シグナルの意味または指示する内容の概要。

検出タイプのリスト

攻撃

名前タグ説明
Attack ToolingUSERAGENT攻撃ツールは、自動化されたソフトウェアを使用して、セキュリティの脆弱性を特定したり、発見された脆弱性を試みて攻撃することです。
AWS SSRFAWS-SSRFサーバーサイドリクエストフォージェリ(SSRF)は、Webアプリケーションによって作成されたリクエストを内部システムのターゲットに送信しようとするものです。 AWS SSRF攻撃は、SSRFを使用してAmazon Web Services(AWS)キーを取得し、S3バケットとそのデータにアクセスします。
BackdoorBACKDOORBackdoorシグナルは、システム上に一般的なバックドアファイルが存在するかどうかを判断しようとするリクエストです。
Command ExecutionCMDEXEコマンド実行は、ユーザー入力によって任意のシステムコマンドを実行することによって、対象システムを制御または破損しようとするものです。
Cross Site ScriptingXSSクロスサイトスクリプティングは、悪意のあるJavaScriptコードを介してユーザーアカウントまたはWebブラウジングセッションを乗っ取ろうとするものです。
Directory TraversalTRAVERSALディレクトリトラバーサルは、システム全体で特権付与フォルダをナビゲートし、機密情報を取得することを試みるものです。
Log4J JNDILOG4J-JNDILog4J JNDI攻撃は、Log4J 2.16.0より前のバージョンに存在するLog4Shell脆弱性を悪用しようとするものです。
SQL InjectionSQLISQLインジェクションは、任意のデータベースクエリを実行することによってアプリケーションにアクセスしたり、特権情報を取得したりすることを試みるものです。

異常値

名前タグ説明
AnomaliesLong nameShort name説明
Abnormal PathABNORMALPATH「異常なパス」は、元のパスが正規化されたパス(例:/foo/./barは、/foo/barに正規化されます)と異なることを示します。
Bad Hop HeadersBHH「Bad Hop Headers」は、不正なTransfer-Encoding(TE)またはContent-Length(CL)ヘッダー、または正常なTEおよびCLヘッダーを介したHTTPスマグリング試行を示します。
Blocked RequestsBLOCKEDSignal Sciencesによってブロックされたリクエスト。
Code Injection PHPCODEINJECTIONコードインジェクションは、ユーザー入力によって任意のアプリケーションコードコマンドを実行することによって、対象システムを制御または破損しようとするものです。 注:このシグナルはPHPコードのみをカバーし、現在は実験的な段階にあります。このシグナルに関する問題が発生した場合は、サポートにお問い合わせください。
Compression DetectedCOMPRESSEDPOSTリクエストボディが圧縮されており、検査できません。たとえば、リクエストヘッダー「Content-Encoding:gzip」が指定され、POSTボディがプレーンテキストでない場合。
Datacenter TrafficDATACENTER「Datacenter Traffic」は、特定のホスティングプロバイダーから発信される有機的ではないトラフィックを示します。このタイプのトラフィックは、実際のエンドユーザーには一般的に関連していません。
Double EncodingDOUBLEENCODING「Double Encoding」は、HTML文字のダブルエンコーディングの回避技術をチェックします。
Duplicate Header NamesDUPLICATE-HEADERS重複するヘッダーフィールド名があるリクエスト。これは、プログラミングエラーまたは自動化されたまたは悪意のあるリクエストを表す場合があります。現在検出されているヘッダーは:_Authorization、_Content-Length、_Content-Type、_Host、および_Transfer-Encodingです。
Forceful BrowsingFORCEFULBROWSING「Forceful Browsing」は、管理ページにアクセスしようとする試みで失敗したものです。
GraphQL APIGRAPHQL-APIGraphQL APIリクエストを示します。
GraphQL Duplicate VariablesGRAPHQL-DUPLICATE-VARIABLES重複した変数を含むGraphQLリクエストを示します。
GraphQL IDEGRAPHQL-IDEGraphQL Interactive Development Environment(IDE)からのリクエストを示します。
GraphQL IntrospectionGRAPHQL-INTROSPECTIONGraphQL APIのスキーマを取得しようとする試みを示します。スキーマは、利用可能なリソースを識別し、後続の攻撃に通知するために使用できます。
GraphQL Max DepthGRAPHQL-DEPTHサーバーで許可されている最大深度に到達したまたは超過したGraphQL APIクエリを示します。
GraphQL Missing Required Operation NameGRAPHQL-MISSING-REQUIRED-OPERATION-NAME複数のGraphQL操作を含むリクエストですが、実行する操作を定義していないことを示します。
GraphQL SyntaxGRAPHQL-SYNTAX無効なGraphQL構文を含むリクエストを示します。これはプログラミングエラーまたは悪意のあるリクエストに関連している場合があります。
GraphQL Undefined VariableGRAPHQL-UNDEFINED-VARIABLES関数によって期待されるよりも多くの変数を含むGraphQL APIへのリクエストを示します。これは、悪意のあるリクエストを曖昧にするために使用できます。
HTTP 403 ErrorsHTTP403禁止されました。これは、URLのリクエストがサーバーの構成で保護されたときに一般的に見られます。
HTTP 404 ErrorsHTTP404見つかりませんでした。これは、ページまたはアセットのリクエストが存在しないか、サーバーによって検出されなかった場合に一般的に見られます。
HTTP 429 ErrorsHTTP429リクエストが多すぎます。これは、レート制限が使用されて、アクティブな接続の数を制限する場合によく見られます。
HTTP 4XX ErrorsHTTP4XX4xx ステータスコードは、クライアントのリクエストエラーを示します。
HTTP 500 エラーHTTP500内部サーバーエラー。これは、リクエストが処理されていないアプリケーションエラーを生成した場合によく見られます。
HTTP 503 エラーHTTP503サービス利用不可。これは、Webサービスが過負荷になった場合や、メンテナンスのために一時的に停止した場合によく見られます。
HTTP 5XX エラーHTTP5XX5xxステータスコードは、サーバー関連の問題を示すことがよくあります。
HTTPレスポンス分割RESPONSESPLITCRLF文字がHTTP応答にヘッダを挿入するためにアプリケーションに入力されたときに特定されます。
無効なエンコーディングNOTUTF8無効なエンコーディングは、要求から有害な文字をレスポンスに翻訳するためにサーバーが原因である可能性があり、拒否サービスまたはXSSを引き起こすことがあります。
JSONエンコーディングエラーJSON-ERRORJSONを含むと指定されたPOST、PUT、またはPATCHリクエストの本体で、「Content-Type」リクエストヘッダー内にJSONが含まれているが、JSONの解析エラーが含まれている。これは、プログラミングエラーまたは自動化されたまたは悪意のあるリクエストに関連することがよくあります。
リクエストボディの形式が正しくないMALFORMED-DATA「Content-Type」リクエストヘッダーに従って形式が正しくないPOST、PUT、またはPATCHリクエストボディ。たとえば、「Content-Type:application/x-www-form-urlencoded」リクエストヘッダーが指定され、POSTボディにjsonが含まれている場合。これは、プログラミングエラー、自動化されたまたは悪意のあるリクエストであることがよくあります。エージェント3.2以上が必要です。
悪意のあるIPトラフィックSANSSignal Sciencesは、定期的に悪意のある活動に関与したと報告されたIPアドレスのSANSインターネットストームセンターリストをインポートしています。
ネットワーク効果SIGSCI-IP決定エンジンによる悪意のあるシグナルによりIPがフラグ付けされた場合、そのIPはすべての顧客に伝播されます。その後、フラグの期間中に追加のシグナルを含むこれらのIPアドレスからの後続のリクエストをログに記録します。
ユーザーエージェントがありませんNOUA多くの自動化および悪意のある要求では、偽のまたは欠落したユーザーエージェントを使用して、要求を行っているデバイスのタイプを特定することが困難になることがあります。
ヌルバイトNULLBYTEヌルバイトは通常、リクエストに現れないため、リクエストが形式が正しくなく、潜在的に悪意のあることを示します。
プライベートファイルPRIVATEFILEプライベートファイルには、通常、Apache.htaccessファイルや構成ファイルなどの機密性が高いものが含まれます。
スキャナーSCANNER一般的なスキャンサービスやツールを識別します。
SearchBot ImpostorIMPOSTORSearch bot impostorは、GoogleやBingの検索ボットを装っているが、正当ではない人物です。
サイトフラッグIPSITE-FLAGGED-IP特定のサイトの攻撃のしきい値を超えたIPからリクエストが受信されたことを示します。このシグナルは、Premierプラットフォームでのみ含まれます。
TorトラフィックTORNODETorは、ユーザーのアイデンティティを隠すソフトウェアです。 Torトラフィックの急増は、攻撃者が自分の場所をマスクしようとしていることを示す場合があります。
弱いTLSWEAKTLS弱いTLS。Webサーバーの構成により、古い暗号スイートまたはプロトコルバージョンでSSL / TLS接続を確立できるようになっています。このシグナルは、一部のリクエストを検査することによって基づいています。また、一部のアーキテクチャやSignal Sciencesの言語SDKモジュールは、このシグナルをサポートしていません。
XMLエンコーディングエラーXML-ERROR「Content-Type」リクエストヘッダー内にXMLを含むと指定されたPOST、PUT、またはPATCHリクエストの本体で、XMLの解析エラーが含まれている場合があります。これは、プログラミングエラーまたは自動化されたまたは悪意のあるリクエストに関連することがよくあります。

More Information - Signal Sciences


サポート

お探しのページは見つかりましたか?解決しない場合は、問い合わせフォームからお問い合わせいただくか、Slackコミュニティにご参加ください。