Les règles préconfigurées Google Cloud Armor sont des règles complexes de pare-feu d'application Web (WAF, web application firewall) composées de dizaines de signatures, qui sont compilées à partir des normes Open Source. Google propose ces règles en l'état. Elles permettent à Google Cloud Armor d'évaluer des dizaines de signatures de trafic distinctes en se référant à des règles bien nommées, plutôt que de vous obliger à définir chaque signature manuellement.
Le tableau suivant contient une liste complète des règles WAF préconfigurées pouvant être utilisées dans une stratégie de sécurité Google Cloud Armor. La source des règles est l'ensemble de règles de base ModSecurity (CRS) 3.0 et CRS 3.3.
Nous vous recommandons d'utiliser la version 3.3 pour renforcer la sensibilité et pour une plus grande étendue des types d'attaque protégés.
CRS 3.3
Nom de la règle Google Cloud Armor
Nom de la règle ModSecurity
État actuel
Injection SQL (aperçu public)
sqli-v33-stable
Synchronisée avec sqli-v33-canary
sqli-v33-canary
Le plus récent
Script intersites (aperçu public)
xss-v33-stable
Synchronisée avec xss-v33-canary
xss-v33-canary
Le plus récent
Inclusion de fichiers locaux (aperçu public)
lfi-v33-stable
Synchronisée avec lfi-v33-canary
lfi-v33-canary
Le plus récent
Inclusion de fichiers distants (aperçu public)
rfi-v33-stable
Synchronisée avec rfi-v33-canary
rfi-v33-canary
Le plus récent
Exécution de code à distance (aperçu public)
rce-v33-stable
Synchronisée avec rce-v33-canary
rce-v33-canary
Le plus récent
Application de la méthode (aperçu public)
methodenforcement-v33-stable
Synchronisée avec methodenforcement-v33-canary
methodenforcement-v33-canary
Le plus récent
Détection de l'outil d'analyse (aperçu public)
scannerdetection-v33-stable
Synchronisée avec scannerdetection-v33-canary
scannerdetection-v33-canary
Le plus récent
Attaque de protocole (aperçu public)
protocolattack-v33-stable
Synchronisée avec protocolattack-v33-canary
protocolattack-v33-canary
Le plus récent
Attaque par injection PHP (aperçu public)
php-v33-stable
Synchronisée avec php-v33-canary
php-v33-canary
Le plus récent
Attaque réparation de session (aperçu public)
sessionfixation-v33-stable
Synchronisée avec sessionfixation-v33-canary
sessionfixation-v33-canary
Le plus récent
CRS 3.0
Nom de la règle Google Cloud Armor
Nom de la règle ModSecurity
État actuel
Injection SQL
sqli-stable
Synchronisée avec sqli-canary
sqli-canary
Le plus récent
Script intersites
xss-stable
Synchronisée avec xss-canary
xss-canary
Le plus récent
Inclusion de fichiers locaux
lfi-stable
Synchronisée avec lfi-canary
lfi-canary
Le plus récent
Inclusion de fichiers distants
rfi-stable
Synchronisée avec rfi-canary
rfi-canary
Le plus récent
Exécution de code à distance
rce-stable
Synchronisée avec rce-canary
rce-canary
Le plus récent
Application de la méthode (aperçu public)
methodenforcement-stable
Synchronisée avec methodenforcement-canary
methodenforcement-canary
Le plus récent
Détection du scanner
scannerdetection-stable
Synchronisée avec scannerdetection-canary
scannerdetection-canary
Le plus récent
Attaque de protocole
protocolattack-stable
Synchronisée avec protocolattack-canary
protocolattack-canary
Le plus récent
Attaque par injection PHP
php-stable
Synchronisée avec php-canary
php-canary
Le plus récent
Attaque de réparation de session
sessionfixation-stable
Synchronisée avec sessionfixation-canary
sessionfixation-canary
Le plus récent
En outre, la règle cve-canary suivante est disponible pour tous les clients Google Cloud Armor afin d'aider la détection et éventuellement bloquer les tentatives d'exploitation des failles CVE-2021-44228 et CVE-2021-45046.
Nom de la règle Google Cloud Armor
Contenu de la règle
Types de failles couverts
cve-canary
Failles récemment détectées
Faille Log4j
Chaque règle préconfigurée se compose de plusieurs signatures. Les requêtes entrantes sont évaluées par rapport aux règles préconfigurées. Une requête correspond à une règle préconfigurée si elle correspond à l'une des signatures associées à la règle préconfigurée. Une correspondance est établie lorsque la commande evaluatePreconfiguredExpr() renvoie la valeur true.
Si vous décidez qu'une règle préconfigurée correspond à plus de trafic que nécessaire ou si la règle bloque le trafic qui doit être autorisé, la règle peut être ajustée afin de désactiver les signatures bruyantes ou autrement inutiles. Pour désactiver des signatures dans une règle préconfigurée particulière, fournissez une liste d'ID des signatures indésirables à la commande evaluatePreconfiguredExpr().
L'exemple suivant exclut deux ID de règle CRS de la règle WAF xss-v33-stable (CRS 3.3) préconfigurée:
Lorsque vous excluez des ID de signature d'ensembles de règles CRS préconfigurées, vous devez faire correspondre la version de l'ID de signature à la version de l'ensemble de règles (CRS 3.0 ou 3.3) pour éviter les erreurs de configuration.
Chaque règle préconfigurée a un niveau de sensibilité qui correspond à un niveau de paranoïa ModSecurity.
Un niveau de sensibilité inférieur indique une signature à confiance élevée, qui est moins susceptible de générer un faux positif. Un niveau de sensibilité plus élevé augmente la sécurité, mais augmente également le risque de générer un faux positif.
Injection SQL (SQLi)
Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle préconfigurée SQLi.
CRS 3.3
ID de signature (ID de règle)
Niveau de sensibilité
Description
owasp-crs-v030301-id942140-sqli
1
Attaque par injection SQL : noms de base de données courants détectés
owasp-crs-v030301-id942160-sqli
1
Détecte les tests SQLi à l'aveugle à l'aide de la méthode sleep() ou benchmark()
owasp-crs-v030301-id942170-sqli
1
Détecte les tentatives d'injection SQL par les méthodes benchmark et sleep, y compris les requêtes conditionnelles
owasp-crs-v030301-id942190-sqli
1
Détecte les tentatives de collecte d'informations et d'exécution de code MSSQL
owasp-crs-v030301-id942220-sqli
1
Recherche les attaques par dépassement de capacité d'entiers
owasp-crs-v030301-id942230-sqli
1
Détecte les tentatives d'injection de code SQL conditionnel
owasp-crs-v030301-id942240-sqli
1
Détecte les tentatives de basculement de charset MySQL et d'attaque DoS MSSQL
owasp-crs-v030301-id942250-sqli
1
Détecte les injections de code MATCH AGAINST
owasp-crs-v030301-id942270-sqli
1
Recherche l'injection SQL de base, chaîne d'attaque courante pour MySql
owasp-crs-v030301-id942280-sqli
1
Détecte l'injection de Postgres pg_sleep
owasp-crs-v030301-id942290-sqli
1
Recherche les tentatives d'injection SQL MongoDB de base
owasp-crs-v030301-id942320-sqli
1
Détecte les injections de fonctions/procédures stockées MySQL et PostgreSQL
owasp-crs-v030301-id942350-sqli
1
Détecte l'injection de code UDF MySQL et d'autres tentatives de manipulation de données/structures
owasp-crs-v030301-id942360-sqli
1
Détecte l'injection SQL de base concaténée et les tentatives SQLLFI
owasp-crs-v030301-id942500-sqli
1
Commentaire intégré MySQL détecté
owasp-crs-v030301-id942110-sqli
2
Attaque par injection SQL : test d'injection commune détecté
owasp-crs-v030301-id942120-sqli
2
Attaque par injection SQL : opérateur SQL détecté
owasp-crs-v030301-id942130-sqli
2
Attaque par injection SQL: SQL Tautology détecté
owasp-crs-v030301-id942150-sqli
2
Attaque par injection SQL
owasp-crs-v030301-id942180-sqli
2
Détecte les tentatives de contournement de l'authentification SQL de base 1/3
owasp-crs-v030301-id942200-sqli
2
Détecte les injections MySQL de type comment-/space-obfuscated et d'accent grave
owasp-crs-v030301-id942210-sqli
2
Détecte les tentatives d'injection de code SQL en chaîne 1/2
owasp-crs-v030301-id942260-sqli
2
Détecte les tentatives de contournement de l'authentification SQL de base 2/3
owasp-crs-v030301-id942300-sqli
2
Détecte les commentaires MySQL
owasp-crs-v030301-id942310-sqli
2
Détecte les tentatives d'injection de code SQL en chaîne 2/2
owasp-crs-v030301-id942330-sqli
2
Détecte les sondes d'injection SQL classiques 1/2
owasp-crs-v030301-id942340-sqli
2
Détecte les tentatives de contournement de l'authentification SQL de base 3/3
owasp-crs-v030301-id942361-sqli
2
Détecte l'injection SQL de base en fonction d'une modification ou d'une union de mots clés
owasp-crs-v030301-id942370-sqli
2
Détecte les sondes d'injection SQL classiques 2/3
owasp-crs-v030301-id942380-sqli
2
Attaque par injection SQL
owasp-crs-v030301-id942390-sqli
2
Attaque par injection SQL
owasp-crs-v030301-id942400-sqli
2
Attaque par injection SQL
owasp-crs-v030301-id942410-sqli
2
Attaque par injection SQL
owasp-crs-v030301-id942470-sqli
2
Attaque par injection SQL
owasp-crs-v030301-id942480-sqli
2
Attaque par injection SQL
owasp-crs-v030301-id942430-sqli
2
Détection d'anomalies liées à la limite de caractères SQL (args) : nombre de caractères spéciaux dépassé (12)
owasp-crs-v030301-id942440-sqli
2
Séquence de commentaire SQL détectée
owasp-crs-v030301-id942450-sqli
2
Encodage hexadécimal SQL identifié
owasp-crs-v030301-id942510-sqli
2
Tentative de contournement de SQLi par des graduations ou des accents graves détectés
owasp-crs-v030301-id942251-sqli
3
Détecte les injections de code HAVING
owasp-crs-v030301-id942490-sqli
3
Détecte les sondes d'injection SQL classiques 3/3
owasp-crs-v030301-id942420-sqli
3
Détection d'anomalies liées à la limite de caractères SQL (cookies) : nombre de caractères spéciaux dépassé (8)
owasp-crs-v030301-id942431-sqli
3
Détection d'anomalies liées à la limite de caractères SQL (args) : nombre de caractères spéciaux dépassé (6)
owasp-crs-v030301-id942460-sqli
3
Alerte de détection d'anomalies liées aux métacaractères – Caractères non textuels répétitifs
owasp-crs-v030301-id942511-sqli
3
Tentative de contournement SQLi par des graduations détectée
owasp-crs-v030301-id942421-sqli
4
Détection d'anomalies liées à la limite de caractères SQL (cookies) : nombre de caractères spéciaux dépassé (3)
owasp-crs-v030301-id942432-sqli
4
Détection d'anomalies liées à la limite de caractères SQL (args) : nombre de caractères spéciaux dépassé (2)
CRS 3.0
ID de signature (ID de règle)
Niveau de sensibilité
Description
owasp-crs-v030001-id942140-sqli
1
Attaque par injection SQL : noms de base de données courants détectés
owasp-crs-v030001-id942160-sqli
1
Détecte les tests SQLi à l'aveugle à l'aide de la méthode sleep() ou benchmark()
owasp-crs-v030001-id942170-sqli
1
Détecte les tentatives d'injection SQL par les méthodes benchmark et sleep, y compris les requêtes conditionnelles
owasp-crs-v030001-id942190-sqli
1
Détecte les tentatives de collecte d'informations et d'exécution de code MSSQL
owasp-crs-v030001-id942220-sqli
1
Recherche les attaques par dépassement de capacité d'entiers
owasp-crs-v030001-id942230-sqli
1
Détecte les tentatives d'injection de code SQL conditionnel
owasp-crs-v030001-id942240-sqli
1
Détecte les tentatives de basculement de charset MySQL et d'attaque DoS MSSQL
owasp-crs-v030001-id942250-sqli
1
Détecte les injections de code MATCH AGAINST
owasp-crs-v030001-id942270-sqli
1
Recherche l'injection SQL de base, chaîne d'attaque courante pour MySql
owasp-crs-v030001-id942280-sqli
1
Détecte l'injection de Postgres pg_sleep
owasp-crs-v030001-id942290-sqli
1
Recherche les tentatives d'injection SQL MongoDB de base
owasp-crs-v030001-id942320-sqli
1
Détecte les injections de fonctions/procédures stockées MySQL et PostgreSQL
owasp-crs-v030001-id942350-sqli
1
Détecte l'injection de code UDF MySQL et d'autres tentatives de manipulation de données/structures
owasp-crs-v030001-id942360-sqli
1
Détecte l'injection SQL de base concaténée et les tentatives SQLLFI
Not included
1
Commentaire intégré MySQL détecté
owasp-crs-v030001-id942110-sqli
2
Attaque par injection SQL : test d'injection commune détecté
owasp-crs-v030001-id942120-sqli
2
Attaque par injection SQL : opérateur SQL détecté
Not included
2
Attaque par injection SQL: SQL Tautology détecté
owasp-crs-v030001-id942150-sqli
2
Attaque par injection SQL
owasp-crs-v030001-id942180-sqli
2
Détecte les tentatives de contournement de l'authentification SQL de base 1/3
owasp-crs-v030001-id942200-sqli
2
Détecte les injections MySQL de type comment-/space-obfuscated et d'accent grave
owasp-crs-v030001-id942210-sqli
2
Détecte les tentatives d'injection de code SQL en chaîne 1/2
owasp-crs-v030001-id942260-sqli
2
Détecte les tentatives de contournement de l'authentification SQL de base 2/3
owasp-crs-v030001-id942300-sqli
2
Détecte les commentaires MySQL
owasp-crs-v030001-id942310-sqli
2
Détecte les tentatives d'injection de code SQL en chaîne 2/2
owasp-crs-v030001-id942330-sqli
2
Détecte les sondes d'injection SQL classiques 1/2
owasp-crs-v030001-id942340-sqli
2
Détecte les tentatives de contournement de l'authentification SQL de base 3/3
Not included
2
Détecte l'injection SQL de base en fonction d'une modification ou d'une union de mots clés
Not included
2
Détecte les sondes d'injection SQL classiques 2/3
owasp-crs-v030001-id942380-sqli
2
Attaque par injection SQL
owasp-crs-v030001-id942390-sqli
2
Attaque par injection SQL
owasp-crs-v030001-id942400-sqli
2
Attaque par injection SQL
owasp-crs-v030001-id942410-sqli
2
Attaque par injection SQL
Not included
2
Attaque par injection SQL
Not included
2
Attaque par injection SQL
owasp-crs-v030001-id942430-sqli
2
Détection d'anomalies liées à la limite de caractères SQL (args) : nombre de caractères spéciaux dépassé (12)
owasp-crs-v030001-id942440-sqli
2
Séquence de commentaire SQL détectée
owasp-crs-v030001-id942450-sqli
2
Encodage hexadécimal SQL identifié
Not included
2
Tentative de contournement de SQLi par des graduations ou des accents graves détectés
owasp-crs-v030001-id942251-sqli
3
Détecte les injections de code HAVING
Not included
2
Détecte les sondes d'injection SQL classiques 3/3
owasp-crs-v030001-id942420-sqli
3
Détection d'anomalies liées à la limite de caractères SQL (cookies) : nombre de caractères spéciaux dépassé (8)
owasp-crs-v030001-id942431-sqli
3
Détection d'anomalies liées à la limite de caractères SQL (args) : nombre de caractères spéciaux dépassé (6)
owasp-crs-v030001-id942460-sqli
3
Alerte de détection d'anomalies liées aux métacaractères – Caractères non textuels répétitifs
Not included
3
Tentative de contournement SQLi par des graduations détectée
owasp-crs-v030001-id942421-sqli
4
Détection d'anomalies liées à la limite de caractères SQL (cookies) : nombre de caractères spéciaux dépassé (3)
owasp-crs-v030001-id942432-sqli
4
Détection d'anomalies liées à la limite de caractères SQL (args) : nombre de caractères spéciaux dépassé (2)
Pour configurer une règle à un niveau de sensibilité particulier, désactivez les signatures à des niveaux de sensibilité supérieurs.
Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle préconfigurée XSS.
CRS 3.3
ID de signature (ID de règle)
Niveau de sensibilité
Description
owasp-crs-v030301-id941110-xss
1
Filtre XSS – Catégorie 1 : vecteur de balise de script
owasp-crs-v030301-id941120-xss
1
Filtre XSS – Catégorie 2 : vecteur de gestionnaire d'événements
Toutes les signatures pour XSS sont inférieures au niveau de sensibilité 2. La configuration suivante fonctionne pour d'autres niveaux de sensibilité :
Niveau de sensibilité XSS 2
evaluatePreconfiguredExpr('xss-v33-stable')
Inclusion de fichiers locaux (LFI)
Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle préconfigurée LFI.
CRS 3.3
ID de signature (ID de règle)
Niveau de sensibilité
Description
owasp-crs-v030301-id930100-lfi
1
Attaque par balayage de chemin (/../)
owasp-crs-v030301-id930110-lfi
1
Attaque par balayage de chemin (/../)
owasp-crs-v030301-id930120-lfi
1
Tentative d'accès à un fichier du système d'exploitation
owasp-crs-v030301-id930130-lfi
1
Tentative d'accès à un fichier non autorisé
CRS 3.0
ID de signature (ID de règle)
Niveau de sensibilité
Description
owasp-crs-v030001-id930100-lfi
1
Attaque par balayage de chemin (/../)
owasp-crs-v030001-id930110-lfi
1
Attaque par balayage de chemin (/../)
owasp-crs-v030001-id930120-lfi
1
Tentative d'accès à un fichier du système d'exploitation
owasp-crs-v030001-id930130-lfi
1
Tentative d'accès à un fichier non autorisé
Toutes les signatures pour LFI sont au niveau de sensibilité 1. La configuration suivante fonctionne pour tous les niveaux de sensibilité :
Niveau de sensibilité LFI 1
evaluatePreconfiguredExpr('lfi-v33-canary')
Exécution de code à distance (RCE)
Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle préconfigurée RCE.
CRS 3.3
ID de signature (ID de règle)
Niveau de sensibilité
Description
owasp-crs-v030301-id932100-rce
1
Injection de commande UNIX
owasp-crs-v030301-id932105-rce
1
Injection de commande UNIX
owasp-crs-v030301-id932110-rce
1
Injection de commande Windows
owasp-crs-v030301-id932115-rce
1
Injection de commande Windows
owasp-crs-v030301-id932120-rce
1
Commande Windows PowerShell trouvée
owasp-crs-v030301-id932130-rce
1
Expression d'interface système Unix trouvée
owasp-crs-v030301-id932140-rce
1
Commande Windows FOR/IF trouvée
owasp-crs-v030301-id932150-rce
1
Exécution directe de commande UNIX
owasp-crs-v030301-id932160-rce
1
Code d'interface système UNIX trouvé
owasp-crs-v030301-id932170-rce
1
Shellshock (CVE-2014-6271)
owasp-crs-v030301-id932171-rce
1
Shellshock (CVE-2014-6271)
owasp-crs-v030301-id932180-rce
1
Tentative d'importation de fichier restreinte
owasp-crs-v030301-id932200-rce
2
Technique de contournement RCE
owasp-crs-v030301-id932106-rce
3
Exécution de commande à distance: injection de commande Unix
owasp-crs-v030301-id932190-rce
3
Exécution de commande à distance: tentative de technique de contournement des caractères génériques
CRS 3.0
ID de signature (ID de règle)
Niveau de sensibilité
Description
owasp-crs-v030001-id932100-rce
1
Injection de commande UNIX
owasp-crs-v030001-id932105-rce
1
Injection de commande UNIX
owasp-crs-v030001-id932110-rce
1
Injection de commande Windows
owasp-crs-v030001-id932115-rce
1
Injection de commande Windows
owasp-crs-v030001-id932120-rce
1
Commande Windows PowerShell trouvée
owasp-crs-v030001-id932130-rce
1
Expression d'interface système Unix trouvée
owasp-crs-v030001-id932140-rce
1
Commande Windows FOR/IF trouvée
owasp-crs-v030001-id932150-rce
1
Exécution directe de commande UNIX
owasp-crs-v030001-id932160-rce
1
Code d'interface système UNIX trouvé
owasp-crs-v030001-id932170-rce
1
Shellshock (CVE-2014-6271)
owasp-crs-v030001-id932171-rce
1
Shellshock (CVE-2014-6271)
Not included
1
Tentative d'importation de fichier restreinte
Not included
2
Technique de contournement RCE
Not included
3
Exécution de commande à distance: injection de commande Unix
Not included
3
Exécution de commande à distance: tentative de technique de contournement des caractères génériques
Toutes les signatures pour le RCE sont au niveau de sensibilité 1. La configuration suivante fonctionne pour tous les niveaux de sensibilité :
Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle préconfigurée RFI.
CRS 3.3
ID de signature (ID de règle)
Niveau de sensibilité
Description
owasp-crs-v030301-id931100-rfi
1
Paramètre d'URL utilisant une adresse IP
owasp-crs-v030301-id931110-rfi
1
Nom commun du paramètre vulnérable RFI utilisé avec la charge utile d'URL
owasp-crs-v030301-id931120-rfi
1
Charge utile d'URL utilisée avec le caractère de point d'interrogation de fin (?)
owasp-crs-v030301-id931130-rfi
2
Référence/Lien externe
CRS 3.0
ID de signature (ID de règle)
Niveau de sensibilité
Description
owasp-crs-v030001-id931100-rfi
1
Paramètre d'URL utilisant une adresse IP
owasp-crs-v030001-id931110-rfi
1
Nom commun du paramètre vulnérable RFI utilisé avec la charge utile d'URL
owasp-crs-v030001-id931120-rfi
1
Charge utile d'URL utilisée avec le caractère de point d'interrogation de fin (?)
owasp-crs-v030001-id931130-rfi
2
Référence/Lien externe
Pour configurer une règle à un niveau de sensibilité particulier, désactivez les signatures à des niveaux de sensibilité supérieurs.
Toutes les signatures pour RFI sont inférieures au niveau de sensibilité 2. La configuration suivante fonctionne pour d'autres niveaux de sensibilité :
Niveaux de sensibilité RFI 2
evaluatePreconfiguredExpr('rfi-v33-stable')
Application de la méthode
Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle préconfigurée d'application des méthodes.
CRS 3.3
ID de signature (ID de règle)
Niveau de sensibilité
Description
owasp-crs-v030301-id911100-methodenforcement
1
La méthode n'est pas autorisée par la règle
CRS 3.0
ID de signature (ID de règle)
Niveau de sensibilité
Description
owasp-crs-v030001-id911100-methodenforcement
1
La méthode n'est pas autorisée par la règle
Toutes les signatures de l'application de la méthode sont inférieures au niveau de sensibilité 2. La configuration suivante fonctionne pour d'autres niveaux de sensibilité :
Niveau de sensibilité de l'application de la méthode 1
Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle préconfigurée de détection d'analyse.
CRS 3.3
ID de signature (ID de règle)
Niveau de sensibilité
Description
owasp-crs-v030301-id913100-scannerdetection
1
User-agent associé à un scanner de sécurité
owasp-crs-v030301-id913110-scannerdetection
1
En-tête de requête associé à un scanner de sécurité
owasp-crs-v030301-id913120-scannerdetection
1
Nom de fichier ou un argument de requête associé à un scanner de sécurité
owasp-crs-v030301-id913101-scannerdetection
2
User-agent associé au client HTTP script/générique
owasp-crs-v030301-id913102-scannerdetection
2
User-agent associé au robot d'exploration/bot
CRS 3.0
ID de signature (ID de règle)
Niveau de sensibilité
Description
owasp-crs-v030001-id913100-scannerdetection
1
User-agent associé à un scanner de sécurité
owasp-crs-v030001-id913110-scannerdetection
1
En-tête de requête associé à un scanner de sécurité
owasp-crs-v030001-id913120-scannerdetection
1
Nom de fichier ou un argument de requête associé à un scanner de sécurité
owasp-crs-v030001-id913101-scannerdetection
2
User-agent associé au client HTTP script/générique
owasp-crs-v030001-id913102-scannerdetection
2
User-agent associé au robot d'exploration/bot
Pour configurer une règle à un niveau de sensibilité particulier, désactivez les signatures à des niveaux de sensibilité supérieurs.
Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle préconfigurée d'attaque par protocole.
CRS 3.3
ID de signature (ID de règle)
Niveau de sensibilité
Description
Not included
1
Attaque de contrebande de requête HTTP
owasp-crs-v030301-id921110-protocolattack
1
Attaque de contrebande de requête HTTP
owasp-crs-v030301-id921120-protocolattack
1
Attaque de division de réponse HTTP
owasp-crs-v030301-id921130-protocolattack
1
Attaque de division de réponse HTTP
owasp-crs-v030301-id921140-protocolattack
1
Attaque d'injection d'en-tête HTTP via des en-têtes
owasp-crs-v030301-id921150-protocolattack
1
Attaque d'injection d'en-tête HTTP via la charge utile (CR/LF détecté)
owasp-crs-v030301-id921160-protocolattack
1
Attaque d'injection d'en-tête HTTP via la charge utile (CR/LF et nom de l'en-tête détectés)
owasp-crs-v030301-id921190-protocolattack
1
Répartition HTTP (CR/LF dans le nom de fichier de requête détecté)
owasp-crs-v030301-id921200-protocolattack
1
Attaque par injection LDAP
owasp-crs-v030301-id921151-protocolattack
2
Attaque d'injection d'en-tête HTTP via la charge utile (CR/LF détecté)
owasp-crs-v030301-id921170-protocolattack
3
Pollution des paramètres HTTP
CRS 3.0
ID de signature (ID de règle)
Niveau de sensibilité
Description
owasp-crs-v030001-id921100-protocolattack
1
Attaque de contrebande de requête HTTP
owasp-crs-v030001-id921110-protocolattack
1
Attaque de contrebande de requête HTTP
owasp-crs-v030001-id921120-protocolattack
1
Attaque de division de réponse HTTP
owasp-crs-v030001-id921130-protocolattack
1
Attaque de division de réponse HTTP
owasp-crs-v030001-id921140-protocolattack
1
Attaque d'injection d'en-tête HTTP via des en-têtes
owasp-crs-v030001-id921150-protocolattack
1
Attaque d'injection d'en-tête HTTP via la charge utile (CR/LF détecté)
owasp-crs-v030001-id921160-protocolattack
1
Attaque d'injection d'en-tête HTTP via la charge utile (CR/LF et nom de l'en-tête détectés)
Not included
1
Répartition HTTP (CR/LF dans le nom de fichier de requête détecté)
Not included
1
Attaque par injection LDAP
owasp-crs-v030001-id921151-protocolattack
2
Attaque d'injection d'en-tête HTTP via la charge utile (CR/LF détecté)
owasp-crs-v030001-id921170-protocolattack
3
Pollution des paramètres HTTP
Pour configurer une règle à un niveau de sensibilité particulier, désactivez les signatures à des niveaux de sensibilité supérieurs.
Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle préconfigurée PHP.
CRS 3.3
ID de signature (ID de règle)
Niveau de sensibilité
Description
owasp-crs-v030301-id933100-php
1
Attaque par injection PHP : tag PHP ouvert trouvé
owasp-crs-v030301-id933110-php
1
Attaque par injection PHP : importation du fichier de script PHP
owasp-crs-v030301-id933120-php
1
Attaque par injection PHP : directive de configuration trouvée
owasp-crs-v030301-id933130-php
1
Attaque par injection PHP : variables trouvées
owasp-crs-v030301-id933140-php
1
Attaque par injection PHP : flux d'E/S trouvé
owasp-crs-v030301-id933200-php
1
Attaque par injection PHP: schéma d'encapsulation détecté
owasp-crs-v030301-id933150-php
1
Attaque par injection PHP : nom de fonction PHP à haut risque détecté
owasp-crs-v030301-id933160-php
1
Attaque par injection PHP : appel de fonction PHP à haut risque détecté
owasp-crs-v030301-id933170-php
1
Attaque par injection PHP : injection d'objets en série
owasp-crs-v030301-id933180-php
1
Attaque par injection PHP : appel de fonction variable détecté
owasp-crs-v030301-id933210-php
1
Attaque par injection PHP : appel de fonction variable détecté
owasp-crs-v030301-id933151-php
2
Attaque par injection PHP : nom de fonction PHP à risque moyen détecté
owasp-crs-v030301-id933131-php
3
Attaque par injection PHP : variables trouvées
owasp-crs-v030301-id933161-php
3
Attaque par injection PHP : appel de fonction PHP à valeur faible détecté
owasp-crs-v030301-id933111-php
3
Attaque par injection PHP : importation du fichier de script PHP
owasp-crs-v030301-id933190-php
3
Attaque par injection PHP : tag PHP fermé trouvé
CRS 3.0
ID de signature (ID de règle)
Niveau de sensibilité
Description
owasp-crs-v030001-id933100-php
1
Attaque par injection PHP : tag PHP ouvert trouvé
owasp-crs-v030001-id933110-php
1
Attaque par injection PHP : importation du fichier de script PHP
owasp-crs-v030001-id933120-php
1
Attaque par injection PHP : directive de configuration trouvée
owasp-crs-v030001-id933130-php
1
Attaque par injection PHP : variables trouvées
owasp-crs-v030001-id933140-php
1
Attaque par injection PHP : flux d'E/S trouvé
Not included
1
Attaque par injection PHP: schéma d'encapsulation détecté
owasp-crs-v030001-id933150-php
1
Attaque par injection PHP : nom de fonction PHP à haut risque détecté
owasp-crs-v030001-id933160-php
1
Attaque par injection PHP : appel de fonction PHP à haut risque détecté
owasp-crs-v030001-id933170-php
1
Attaque par injection PHP : injection d'objets en série
owasp-crs-v030001-id933180-php
1
Attaque par injection PHP : appel de fonction variable détecté
Not included
1
Attaque par injection PHP : appel de fonction variable détecté
owasp-crs-v030001-id933151-php
2
Attaque par injection PHP : nom de fonction PHP à risque moyen détecté
owasp-crs-v030001-id933131-php
3
Attaque par injection PHP : variables trouvées
owasp-crs-v030001-id933161-php
3
Attaque par injection PHP : appel de fonction PHP à valeur faible détecté
owasp-crs-v030001-id933111-php
3
Attaque par injection PHP : importation du fichier de script PHP
Not included
3
Attaque par injection PHP : tag PHP fermé trouvé
Pour configurer une règle à un niveau de sensibilité particulier, désactivez les signatures à des niveaux de sensibilité supérieurs.
Niveau de sensibilité de l'attaque par injection PHP 1
Niveau de sensibilité de l'attaque par injection PHP 3
evaluatePreconfiguredExpr('php-v33-stable')
Réparation des sessions
Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle préconfigurée de réparation de session.
CRS 3.3
ID de signature (ID de règle)
Niveau de sensibilité
Description
owasp-crs-v030301-id943100-sessionfixation
1
Possible attaque de réparation de session : définition de valeurs de cookie en HTML
owasp-crs-v030301-id943110-sessionfixation
1
Possible attaque de réparation de session : nom du paramètre SessionID avec référent hors domaine
owasp-crs-v030301-id943120-sessionfixation
1
Possible attaque de réparation de session : nom du paramètre SessionID sans référent
CRS 3.0
ID de signature (ID de règle)
Niveau de sensibilité
Description
owasp-crs-v030001-id943100-sessionfixation
1
Possible attaque de réparation de session : définition de valeurs de cookie en HTML
owasp-crs-v030001-id943110-sessionfixation
1
Possible attaque de réparation de session : nom du paramètre SessionID avec référent hors domaine
owasp-crs-v030001-id943120-sessionfixation
1
Possible attaque de réparation de session : nom du paramètre SessionID sans référent
Toutes les signatures pour la réparation des sessions sont inférieures au niveau de sensibilité 2. La configuration suivante fonctionne pour d'autres niveaux de sensibilité :
Niveau de sensibilité de la réparation de session 1
Les signatures suivantes couvrent les vulnérabilités Log4j RCE CVE-2021-44228 et CVE-2021-45046.
ID de signature (ID de règle)
Niveau de sensibilité
Description
owasp-crs-v030001-id044228-cve
1
Règle de base pour détecter les tentatives d'exploitation de CVE-2021-44228 et CVE-2021-45046
owasp-crs-v030001-id144228-cve
1
Améliorations fournies par Google pour couvrir davantage de tentatives de contournement et d'obscurcissement
owasp-crs-v030001-id244228-cve
3
Sensibilité de détection accrue pour cibler davantage de tentatives de contournement et d'obscurcissement, avec une augmentation nominale du risque de détection de faux positifs
owasp-crs-v030001-id344228-cve
3
Sensibilité de détection accrue pour cibler davantage de tentatives de contournement et d'obscurcissement utilisant l'encodage base64, avec une augmentation nominale du risque de détection de faux positifs
Pour configurer une règle à un niveau de sensibilité particulier, désactivez les signatures à des niveaux de sensibilité supérieurs.
Les règles préconfigurées Google Cloud Armor présentent les limites suivantes :
Parmi les types de requêtes HTTP avec un corps de requête, Google Cloud Armor ne traite que les requêtes POST. Google Cloud Armor évalue les règles préconfigurées par rapport aux huit premiers ko du contenu du corps POST. Pour en savoir plus, consultez la section Limite d'inspection du corps POST.
Google Cloud Armor peut analyser et appliquer des règles WAF préconfigurées pour les corps POST par défaut encodés en URL et au format JSON (Content-Type='application/json").
Toutefois, Google Cloud Armor n'analyse ou ne décode pas les autres formats HTTP Content-Type et Content-Encoding.
Les règles de sécurité Google Cloud Armor ne sont disponibles que pour les services de backend derrière un équilibreur de charge. Par conséquent, les quotas et limites d'équilibrage de charge s'appliquent à votre déploiement. Pour en savoir plus, consultez la page Quotas de l'équilibrage de charge.
Les ID de règles ModSecurity CRS suivants ne sont pas compatibles avec Google Cloud Armor.
