MSの公開文章には、Azure WAF ルールID 932100 と932105の記載がありますが、同じ内容となっています。
では、両者の違いはどこでしょう。OWASPで調査してみました。
まずはOWASPのgithub上で両者ルールIDの情報を取得します。Branchはv3.2/materにします。
https://github.com/SpiderLabs/owasp-modsecurity-crs/tree/v3.2/master
次、ruleフォルダに行きます。932100と932105を検索して、932100.txtと932105.txtをクリックします。
次、以下の内容が見れます。
932100.txt
https://github.com/SpiderLabs/owasp-modsecurity-crs/blob/v3.2/master/util/regexp-assemble/regexp-932100.txt
上記の詳細を確認するところ、両者はUnixコマンドインジェクションによるリモートコード実行(RCE)攻撃を検出するために設計されています。
主な違い点は
Rule 932100は、一般的なファイル操作や軽量なネットワーク/スクリプトコマンドを対象にしています。
Rule 932105は、システム管理、データベース、ネットワークスキャン、スクリプト言語など、より特化されたコマンドを対象としています。