OWASP规则集
OWASP WAF核心规则集包含通用攻击检测规则。 OWASP 规则可防止许多常见的攻击类别,包括 SQL 注入,跨站点脚本编制和本地文件包含。CIS 提供,但不组织这些规则。
OWASP 是一种业界标准,可提供优秀安全性基线。 要获取更多信息,请参阅:
管理 OWASP
根据 CIS中的 WAF 处理,您可能在其他版本的 OWASP 上。 OWASP v2.x 使用灵敏度阈值,而 OWASP v3.x 使用偏执级别。 在 8 2024 年 5 月或之后创建的区域将使用 OWASP v3.x。 在该日期之前创建的区域将使用 OWASP v2.x,并且将在 2025 年 2 月 14 日之前迁移,除非您之前手动迁移。
了解 OWASP 软件包
OWASP ModSecurity 核心规则集根据触发的OWASP规则数量为每个请求分配一个分数。 CIS 中的规则集基于 OWASP 版本 3.3。
偏执程度
偏执狂等级设置是核心规则集的一部分。 偏执程度(PL)有助于确定核心规则集的激进程度。
| 偏执程度 | 描述 |
|---|---|
| PL 1 | 提供一组很少触发错误警报的规则,尽管根据本地设置可能会发生错误警报。 |
| PL 2 | 提供额外规则,可检测更多攻击,但额外规则也可能对合法的 HTTP 请求触发新的误报。 |
| PL 3 | 为某些专门攻击提供更多规则。 假警报的风险增加。 |
| PL 4 | 提供几乎所有可能的攻击都能检测到的具有侵略性的规则。 这种偏执级别会将大量合法流量标记为恶意流量。 |
灵敏度阈值
一个请求可以触发一组 OWASP 规则,这些规则的严重性得分从高到低。 根据触发的所有规则计算最终分数。 计算出最终得分后,CIS 将其与开始时选择的敏感度阈值进行比较,然后根据所选选项阻止、挑战或记录请求。
建议您最初将 OWASP 敏感度设置为 low,然后在增加敏感度之前复查是否存在误报。 如果您将其设置为 high,请检查 CIS 上的日志,并微调 OWASP 规则集,使其适合您的应用程序。
请记住,您只能打开或关闭OWASP规则,而 CIS 规则集中的规则可以设置为禁用 、模拟、挑战或阻止。
触发特定敏感度的 WAF 所需的敏感度分数如下:
| 敏感度分数 | 触发器阈值 |
|---|---|
| 低 | 60 和更高 |
| 中 | 40 和更高 |
| 高 | 25 和更高 |
通过高灵敏度,大文件上载会触发 WAF。(仅限2.x )
对于 Ajax 请求,将改为应用以下分数:
| 敏感度分数 | 触发器阈值 |
|---|---|
| 低 | 120 及以上 |
| 中 | 80 及以上 |
| 高 | 65 岁及以上 |
查看 (安全性) 事件日志以查看最终分数以及个人触发的规则。
管理 OWASP 软件包
OWASP ModSecurity 核心规则集包含来自 OWASP 项目的若干规则。CIS 不会编写或编辑 OWASP 规则。 点击 “组” 下的规则集名称,即可显示规则描述。 与 CIS 管理的规则集不同,特定的OWASP规则可以启用或禁用。
要管理OWASP阈值,请在 “软件包:OWASP ModSecurity 核心规则集”部分设置偏执程度。 将偏执级别设置为 P1 将禁用整个 OWASP 包,包括其所有规则。 确定适当的偏执狂级别取决于您的业务行业和运营。 例如,P1 设置适用于大型文件上载。
当请求被 OWASP 阻止时,会显示规则 ID 981176。 此外,活动日志中列出的某些OWASP规则并未出现在Package: OWASP ModSecurity Core Ruleset的规则列表中,因为不建议禁用这些规则。
在采样日志和安全事件中,与 Cloudflare OWASP 核心规则集所缓解的请求相关的规则是该托管规则集的最后一条规则:949110: Inbound Anomaly Score Exceeded。 在 CIS 控制面板中,用户可以通过扩展 OWASP 分数贡献分节,查看对最终请求威胁分数有贡献的各个规则的分数。 同样,在 GraphQL API 响应的 score_rules 字段中也可以看到规则
ID 列表。