Ajuster les règles WAF Google Cloud Armor

Règles préconfigurées

Les règles préconfigurées Google Cloud Armor sont des règles complexes de pare-feu d'application Web (WAF, web application firewall) composées de dizaines de signatures, qui sont compilées à partir des normes Open Source. Google propose ces règles en l'état. Elles permettent à Google Cloud Armor d'évaluer des dizaines de signatures de trafic distinctes en se référant à des règles bien nommées, plutôt que de vous obliger à définir chaque signature manuellement.

Le tableau suivant contient une liste complète des règles WAF préconfigurées pouvant être utilisées dans une stratégie de sécurité Google Cloud Armor. La source des règles est l'ensemble de règles de base ModSecurity (CRS) 3.0 et CRS 3.3. Nous vous recommandons d'utiliser la version 3.3 pour renforcer la sensibilité et pour une plus grande étendue des types d'attaque protégés.

CRS 3.3

Nom de la règle Google Cloud Armor Nom de la règle ModSecurity État actuel
Injection SQL (aperçu public) sqli-v33-stable Synchronisée avec sqli-v33-canary
sqli-v33-canary Le plus récent
Script intersites (aperçu public) xss-v33-stable Synchronisée avec xss-v33-canary
xss-v33-canary Le plus récent
Inclusion de fichiers locaux (aperçu public) lfi-v33-stable Synchronisée avec lfi-v33-canary
lfi-v33-canary Le plus récent
Inclusion de fichiers distants (aperçu public) rfi-v33-stable Synchronisée avec rfi-v33-canary
rfi-v33-canary Le plus récent
Exécution de code à distance (aperçu public) rce-v33-stable Synchronisée avec rce-v33-canary
rce-v33-canary Le plus récent
Application de la méthode (aperçu public) methodenforcement-v33-stable Synchronisée avec methodenforcement-v33-canary
methodenforcement-v33-canary Le plus récent
Détection de l'outil d'analyse (aperçu public) scannerdetection-v33-stable Synchronisée avec scannerdetection-v33-canary
scannerdetection-v33-canary Le plus récent
Attaque de protocole (aperçu public) protocolattack-v33-stable Synchronisée avec protocolattack-v33-canary
protocolattack-v33-canary Le plus récent
Attaque par injection PHP (aperçu public) php-v33-stable Synchronisée avec php-v33-canary
php-v33-canary Le plus récent
Attaque réparation de session (aperçu public) sessionfixation-v33-stable Synchronisée avec sessionfixation-v33-canary
sessionfixation-v33-canary Le plus récent

CRS 3.0

Nom de la règle Google Cloud Armor Nom de la règle ModSecurity État actuel
Injection SQL sqli-stable Synchronisée avec sqli-canary
sqli-canary Le plus récent
Script intersites xss-stable Synchronisée avec xss-canary
xss-canary Le plus récent
Inclusion de fichiers locaux lfi-stable Synchronisée avec lfi-canary
lfi-canary Le plus récent
Inclusion de fichiers distants rfi-stable Synchronisée avec rfi-canary
rfi-canary Le plus récent
Exécution de code à distance rce-stable Synchronisée avec rce-canary
rce-canary Le plus récent
Application de la méthode (aperçu public) methodenforcement-stable Synchronisée avec methodenforcement-canary
methodenforcement-canary Le plus récent
Détection du scanner scannerdetection-stable Synchronisée avec scannerdetection-canary
scannerdetection-canary Le plus récent
Attaque de protocole protocolattack-stable Synchronisée avec protocolattack-canary
protocolattack-canary Le plus récent
Attaque par injection PHP php-stable Synchronisée avec php-canary
php-canary Le plus récent
Attaque de réparation de session sessionfixation-stable Synchronisée avec sessionfixation-canary
sessionfixation-canary Le plus récent

En outre, la règle cve-canary suivante est disponible pour tous les clients Google Cloud Armor afin d'aider la détection et éventuellement bloquer les tentatives d'exploitation des failles CVE-2021-44228 et CVE-2021-45046.

Nom de la règle Google Cloud Armor Contenu de la règle Types de failles couverts
cve-canary Failles récemment détectées Faille Log4j

Chaque règle préconfigurée se compose de plusieurs signatures. Les requêtes entrantes sont évaluées par rapport aux règles préconfigurées. Une requête correspond à une règle préconfigurée si elle correspond à l'une des signatures associées à la règle préconfigurée. Une correspondance est établie lorsque la commande evaluatePreconfiguredExpr() renvoie la valeur true.

Si vous décidez qu'une règle préconfigurée correspond à plus de trafic que nécessaire ou si la règle bloque le trafic qui doit être autorisé, la règle peut être ajustée afin de désactiver les signatures bruyantes ou autrement inutiles. Pour désactiver des signatures dans une règle préconfigurée particulière, fournissez une liste d'ID des signatures indésirables à la commande evaluatePreconfiguredExpr().

L'exemple suivant exclut deux ID de règle CRS de la règle WAF xss-v33-stable (CRS 3.3) préconfigurée:

evaluatePreconfiguredExpr('xss-v33-stable', ['owasp-crs-v030301-id941330-xss', 'owasp-crs-v030301-id941340-xss'])

Lorsque vous excluez des ID de signature d'ensembles de règles CRS préconfigurées, vous devez faire correspondre la version de l'ID de signature à la version de l'ensemble de règles (CRS 3.0 ou 3.3) pour éviter les erreurs de configuration.

L'exemple précédent est une expression dans le langage de règles personnalisées. La syntaxe générale est la suivante :

evaluatePreconfiguredExpr(RULE, ['SIGNATURE1', 'SIGNATURE2', 'SIGNATURE3'])

Règles ModSecurity préconfigurées

Chaque règle préconfigurée a un niveau de sensibilité qui correspond à un niveau de paranoïa ModSecurity. Un niveau de sensibilité inférieur indique une signature à confiance élevée, qui est moins susceptible de générer un faux positif. Un niveau de sensibilité plus élevé augmente la sécurité, mais augmente également le risque de générer un faux positif.

Injection SQL (SQLi)

Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle préconfigurée SQLi.

CRS 3.3

ID de signature (ID de règle) Niveau de sensibilité Description
owasp-crs-v030301-id942140-sqli 1 Attaque par injection SQL : noms de base de données courants détectés
owasp-crs-v030301-id942160-sqli 1 Détecte les tests SQLi à l'aveugle à l'aide de la méthode sleep() ou benchmark()
owasp-crs-v030301-id942170-sqli 1 Détecte les tentatives d'injection SQL par les méthodes benchmark et sleep, y compris les requêtes conditionnelles
owasp-crs-v030301-id942190-sqli 1 Détecte les tentatives de collecte d'informations et d'exécution de code MSSQL
owasp-crs-v030301-id942220-sqli 1 Recherche les attaques par dépassement de capacité d'entiers
owasp-crs-v030301-id942230-sqli 1 Détecte les tentatives d'injection de code SQL conditionnel
owasp-crs-v030301-id942240-sqli 1 Détecte les tentatives de basculement de charset MySQL et d'attaque DoS MSSQL
owasp-crs-v030301-id942250-sqli 1 Détecte les injections de code MATCH AGAINST
owasp-crs-v030301-id942270-sqli 1 Recherche l'injection SQL de base, chaîne d'attaque courante pour MySql
owasp-crs-v030301-id942280-sqli 1 Détecte l'injection de Postgres pg_sleep
owasp-crs-v030301-id942290-sqli 1 Recherche les tentatives d'injection SQL MongoDB de base
owasp-crs-v030301-id942320-sqli 1 Détecte les injections de fonctions/procédures stockées MySQL et PostgreSQL
owasp-crs-v030301-id942350-sqli 1 Détecte l'injection de code UDF MySQL et d'autres tentatives de manipulation de données/structures
owasp-crs-v030301-id942360-sqli 1 Détecte l'injection SQL de base concaténée et les tentatives SQLLFI
owasp-crs-v030301-id942500-sqli 1 Commentaire intégré MySQL détecté
owasp-crs-v030301-id942110-sqli 2 Attaque par injection SQL : test d'injection commune détecté
owasp-crs-v030301-id942120-sqli 2 Attaque par injection SQL : opérateur SQL détecté
owasp-crs-v030301-id942130-sqli 2 Attaque par injection SQL: SQL Tautology détecté
owasp-crs-v030301-id942150-sqli 2 Attaque par injection SQL
owasp-crs-v030301-id942180-sqli 2 Détecte les tentatives de contournement de l'authentification SQL de base 1/3
owasp-crs-v030301-id942200-sqli 2 Détecte les injections MySQL de type comment-/space-obfuscated et d'accent grave
owasp-crs-v030301-id942210-sqli 2 Détecte les tentatives d'injection de code SQL en chaîne 1/2
owasp-crs-v030301-id942260-sqli 2 Détecte les tentatives de contournement de l'authentification SQL de base 2/3
owasp-crs-v030301-id942300-sqli 2 Détecte les commentaires MySQL
owasp-crs-v030301-id942310-sqli 2 Détecte les tentatives d'injection de code SQL en chaîne 2/2
owasp-crs-v030301-id942330-sqli 2 Détecte les sondes d'injection SQL classiques 1/2
owasp-crs-v030301-id942340-sqli 2 Détecte les tentatives de contournement de l'authentification SQL de base 3/3
owasp-crs-v030301-id942361-sqli 2 Détecte l'injection SQL de base en fonction d'une modification ou d'une union de mots clés
owasp-crs-v030301-id942370-sqli 2 Détecte les sondes d'injection SQL classiques 2/3
owasp-crs-v030301-id942380-sqli 2 Attaque par injection SQL
owasp-crs-v030301-id942390-sqli 2 Attaque par injection SQL
owasp-crs-v030301-id942400-sqli 2 Attaque par injection SQL
owasp-crs-v030301-id942410-sqli 2 Attaque par injection SQL
owasp-crs-v030301-id942470-sqli 2 Attaque par injection SQL
owasp-crs-v030301-id942480-sqli 2 Attaque par injection SQL
owasp-crs-v030301-id942430-sqli 2 Détection d'anomalies liées à la limite de caractères SQL (args) : nombre de caractères spéciaux dépassé (12)
owasp-crs-v030301-id942440-sqli 2 Séquence de commentaire SQL détectée
owasp-crs-v030301-id942450-sqli 2 Encodage hexadécimal SQL identifié
owasp-crs-v030301-id942510-sqli 2 Tentative de contournement de SQLi par des graduations ou des accents graves détectés
owasp-crs-v030301-id942251-sqli 3 Détecte les injections de code HAVING
owasp-crs-v030301-id942490-sqli 3 Détecte les sondes d'injection SQL classiques 3/3
owasp-crs-v030301-id942420-sqli 3 Détection d'anomalies liées à la limite de caractères SQL (cookies) : nombre de caractères spéciaux dépassé (8)
owasp-crs-v030301-id942431-sqli 3 Détection d'anomalies liées à la limite de caractères SQL (args) : nombre de caractères spéciaux dépassé (6)
owasp-crs-v030301-id942460-sqli 3 Alerte de détection d'anomalies liées aux métacaractères – Caractères non textuels répétitifs
owasp-crs-v030301-id942511-sqli 3 Tentative de contournement SQLi par des graduations détectée
owasp-crs-v030301-id942421-sqli 4 Détection d'anomalies liées à la limite de caractères SQL (cookies) : nombre de caractères spéciaux dépassé (3)
owasp-crs-v030301-id942432-sqli 4 Détection d'anomalies liées à la limite de caractères SQL (args) : nombre de caractères spéciaux dépassé (2)

CRS 3.0

ID de signature (ID de règle) Niveau de sensibilité Description
owasp-crs-v030001-id942140-sqli 1 Attaque par injection SQL : noms de base de données courants détectés
owasp-crs-v030001-id942160-sqli 1 Détecte les tests SQLi à l'aveugle à l'aide de la méthode sleep() ou benchmark()
owasp-crs-v030001-id942170-sqli 1 Détecte les tentatives d'injection SQL par les méthodes benchmark et sleep, y compris les requêtes conditionnelles
owasp-crs-v030001-id942190-sqli 1 Détecte les tentatives de collecte d'informations et d'exécution de code MSSQL
owasp-crs-v030001-id942220-sqli 1 Recherche les attaques par dépassement de capacité d'entiers
owasp-crs-v030001-id942230-sqli 1 Détecte les tentatives d'injection de code SQL conditionnel
owasp-crs-v030001-id942240-sqli 1 Détecte les tentatives de basculement de charset MySQL et d'attaque DoS MSSQL
owasp-crs-v030001-id942250-sqli 1 Détecte les injections de code MATCH AGAINST
owasp-crs-v030001-id942270-sqli 1 Recherche l'injection SQL de base, chaîne d'attaque courante pour MySql
owasp-crs-v030001-id942280-sqli 1 Détecte l'injection de Postgres pg_sleep
owasp-crs-v030001-id942290-sqli 1 Recherche les tentatives d'injection SQL MongoDB de base
owasp-crs-v030001-id942320-sqli 1 Détecte les injections de fonctions/procédures stockées MySQL et PostgreSQL
owasp-crs-v030001-id942350-sqli 1 Détecte l'injection de code UDF MySQL et d'autres tentatives de manipulation de données/structures
owasp-crs-v030001-id942360-sqli 1 Détecte l'injection SQL de base concaténée et les tentatives SQLLFI
Not included 1 Commentaire intégré MySQL détecté
owasp-crs-v030001-id942110-sqli 2 Attaque par injection SQL : test d'injection commune détecté
owasp-crs-v030001-id942120-sqli 2 Attaque par injection SQL : opérateur SQL détecté
Not included 2 Attaque par injection SQL: SQL Tautology détecté
owasp-crs-v030001-id942150-sqli 2 Attaque par injection SQL
owasp-crs-v030001-id942180-sqli 2 Détecte les tentatives de contournement de l'authentification SQL de base 1/3
owasp-crs-v030001-id942200-sqli 2 Détecte les injections MySQL de type comment-/space-obfuscated et d'accent grave
owasp-crs-v030001-id942210-sqli 2 Détecte les tentatives d'injection de code SQL en chaîne 1/2
owasp-crs-v030001-id942260-sqli 2 Détecte les tentatives de contournement de l'authentification SQL de base 2/3
owasp-crs-v030001-id942300-sqli 2 Détecte les commentaires MySQL
owasp-crs-v030001-id942310-sqli 2 Détecte les tentatives d'injection de code SQL en chaîne 2/2
owasp-crs-v030001-id942330-sqli 2 Détecte les sondes d'injection SQL classiques 1/2
owasp-crs-v030001-id942340-sqli 2 Détecte les tentatives de contournement de l'authentification SQL de base 3/3
Not included 2 Détecte l'injection SQL de base en fonction d'une modification ou d'une union de mots clés
Not included 2 Détecte les sondes d'injection SQL classiques 2/3
owasp-crs-v030001-id942380-sqli 2 Attaque par injection SQL
owasp-crs-v030001-id942390-sqli 2 Attaque par injection SQL
owasp-crs-v030001-id942400-sqli 2 Attaque par injection SQL
owasp-crs-v030001-id942410-sqli 2 Attaque par injection SQL
Not included 2 Attaque par injection SQL
Not included 2 Attaque par injection SQL
owasp-crs-v030001-id942430-sqli 2 Détection d'anomalies liées à la limite de caractères SQL (args) : nombre de caractères spéciaux dépassé (12)
owasp-crs-v030001-id942440-sqli 2 Séquence de commentaire SQL détectée
owasp-crs-v030001-id942450-sqli 2 Encodage hexadécimal SQL identifié
Not included 2 Tentative de contournement de SQLi par des graduations ou des accents graves détectés
owasp-crs-v030001-id942251-sqli 3 Détecte les injections de code HAVING
Not included 2 Détecte les sondes d'injection SQL classiques 3/3
owasp-crs-v030001-id942420-sqli 3 Détection d'anomalies liées à la limite de caractères SQL (cookies) : nombre de caractères spéciaux dépassé (8)
owasp-crs-v030001-id942431-sqli 3 Détection d'anomalies liées à la limite de caractères SQL (args) : nombre de caractères spéciaux dépassé (6)
owasp-crs-v030001-id942460-sqli 3 Alerte de détection d'anomalies liées aux métacaractères – Caractères non textuels répétitifs
Not included 3 Tentative de contournement SQLi par des graduations détectée
owasp-crs-v030001-id942421-sqli 4 Détection d'anomalies liées à la limite de caractères SQL (cookies) : nombre de caractères spéciaux dépassé (3)
owasp-crs-v030001-id942432-sqli 4 Détection d'anomalies liées à la limite de caractères SQL (args) : nombre de caractères spéciaux dépassé (2)

Pour configurer une règle à un niveau de sensibilité particulier, désactivez les signatures à des niveaux de sensibilité supérieurs.

Niveau de sensibilité SQLi 1


evaluatePreconfiguredExpr('sqli-v33-stable',
['owasp-crs-v030301-id942110-sqli',
  'owasp-crs-v030301-id942120-sqli',
  'owasp-crs-v030301-id942130-sqli',
  'owasp-crs-v030301-id942150-sqli',
  'owasp-crs-v030301-id942180-sqli',
  'owasp-crs-v030301-id942200-sqli',
  'owasp-crs-v030301-id942210-sqli',
  'owasp-crs-v030301-id942260-sqli',
  'owasp-crs-v030301-id942300-sqli',
  'owasp-crs-v030301-id942310-sqli',
  'owasp-crs-v030301-id942330-sqli',
  'owasp-crs-v030301-id942340-sqli',
  'owasp-crs-v030301-id942361-sqli',
  'owasp-crs-v030301-id942370-sqli',
  'owasp-crs-v030301-id942380-sqli',
  'owasp-crs-v030301-id942390-sqli',
  'owasp-crs-v030301-id942400-sqli',
  'owasp-crs-v030301-id942410-sqli',
  'owasp-crs-v030301-id942470-sqli',
  'owasp-crs-v030301-id942480-sqli',
  'owasp-crs-v030301-id942430-sqli',
  'owasp-crs-v030301-id942440-sqli',
  'owasp-crs-v030301-id942450-sqli',
  'owasp-crs-v030301-id942510-sqli',
  'owasp-crs-v030301-id942251-sqli',
  'owasp-crs-v030301-id942490-sqli',
  'owasp-crs-v030301-id942420-sqli',
  'owasp-crs-v030301-id942431-sqli',
  'owasp-crs-v030301-id942460-sqli',
  'owasp-crs-v030301-id942511-sqli',
  'owasp-crs-v030301-id942421-sqli',
  'owasp-crs-v030301-id942432-sqli']
)
          
Niveau de sensibilité SQLi 2


evaluatePreconfiguredExpr('sqli-v33-stable',
 ['owasp-crs-v030301-id942251-sqli',
  'owasp-crs-v030301-id942490-sqli',
  'owasp-crs-v030301-id942420-sqli',
  'owasp-crs-v030301-id942431-sqli',
  'owasp-crs-v030301-id942460-sqli',
  'owasp-crs-v030301-id942511-sqli',
  'owasp-crs-v030301-id942421-sqli',
  'owasp-crs-v030301-id942432-sqli']
)
Niveau de sensibilité SQLi 3


evaluatePreconfiguredExpr('sqli-v33-stable',
        ['owasp-crs-v030301-id942421-sqli',
         'owasp-crs-v030301-id942432-sqli']
         )
Niveau de sensibilité SQLi 4


evaluatePreconfiguredExpr('sqli-v33-stable')

Script intersites (XSS)

Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle préconfigurée XSS.

CRS 3.3

ID de signature (ID de règle) Niveau de sensibilité Description
owasp-crs-v030301-id941110-xss 1 Filtre XSS – Catégorie 1 : vecteur de balise de script
owasp-crs-v030301-id941120-xss 1 Filtre XSS – Catégorie 2 : vecteur de gestionnaire d'événements
owasp-crs-v030301-id941130-xss 1 Filtre XSS – Catégorie 3 : vecteur d'attribut
owasp-crs-v030301-id941140-xss 1 Filtre XSS – Catégorie 4 : vecteur d'URI JavaScript
owasp-crs-v030301-id941160-xss 1 NoScript XSS InjectionChecker : injection de code HTML
owasp-crs-v030301-id941170-xss 1 NoScript XSS InjectionChecker : injection d'attribut
owasp-crs-v030301-id941180-xss 1 Mots clés de la liste noire du valideur de nœuds
owasp-crs-v030301-id941190-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030301-id941200-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030301-id941210-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030301-id941220-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030301-id941230-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030301-id941240-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030301-id941250-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030301-id941260-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030301-id941270-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030301-id941280-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030301-id941290-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030301-id941300-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030301-id941310-xss 1 Filtre XSS d'encodage incorrectement formé US-ASCII – Attaque détectée
owasp-crs-v030301-id941350-xss 1 XSS IE d'encodage UTF-7 – Attaque détectée
owasp-crs-v030301-id941360-xss 1 Obscurciment de l'hiérarchie
owasp-crs-v030301-id941370-xss 1 Variable globale JavaScript trouvée
owasp-crs-v030301-id941150-xss 2 Filtre XSS – Catégorie 5 : attributs HTML non autorisés
owasp-crs-v030301-id941320-xss 2 Possible attaque XSS détectée – Gestionnaire de balises HTML
owasp-crs-v030301-id941330-xss 2 Filtres XSS IE – Attaque détectée
owasp-crs-v030301-id941340-xss 2 Filtres XSS IE – Attaque détectée
owasp-crs-v030301-id941380-xss 2 Injection de modèles côté client AngularJS détectée

CRS 3.0

ID de signature (ID de règle) Niveau de sensibilité Description
owasp-crs-v030001-id941110-xss 1 Filtre XSS – Catégorie 1 : vecteur de balise de script
owasp-crs-v030001-id941120-xss 1 Filtre XSS – Catégorie 2 : vecteur de gestionnaire d'événements
owasp-crs-v030001-id941130-xss 1 Filtre XSS – Catégorie 3 : vecteur d'attribut
owasp-crs-v030001-id941140-xss 1 Filtre XSS – Catégorie 4 : vecteur d'URI JavaScript
owasp-crs-v030001-id941160-xss 1 NoScript XSS InjectionChecker : injection de code HTML
owasp-crs-v030001-id941170-xss 1 NoScript XSS InjectionChecker : injection d'attribut
owasp-crs-v030001-id941180-xss 1 Mots clés de la liste noire du valideur de nœuds
owasp-crs-v030001-id941190-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030001-id941200-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030001-id941210-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030001-id941220-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030001-id941230-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030001-id941240-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030001-id941250-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030001-id941260-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030001-id941270-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030001-id941280-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030001-id941290-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030001-id941300-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030001-id941310-xss 1 Filtre XSS d'encodage incorrectement formé US-ASCII – Attaque détectée
owasp-crs-v030001-id941350-xss 1 XSS IE d'encodage UTF-7 – Attaque détectée
Not included 1 JSFuck / obscurcissement hiéroglyphique détecté
Not included 1 Variable globale JavaScript trouvée
owasp-crs-v030001-id941150-xss 2 Filtre XSS – Catégorie 5 : attributs HTML non autorisés
owasp-crs-v030001-id941320-xss 2 Possible attaque XSS détectée – Gestionnaire de balises HTML
owasp-crs-v030001-id941330-xss 2 Filtres XSS IE – Attaque détectée
owasp-crs-v030001-id941340-xss 2 Filtres XSS IE – Attaque détectée
Not included 2 Injection de modèles côté client AngularJS détectée

Pour configurer une règle à un niveau de sensibilité particulier, désactivez les signatures à des niveaux de sensibilité supérieurs.

Niveau de sensibilité XSS 1


evaluatePreconfiguredExpr('xss-v33-stable',
['owasp-crs-v030301-id941150-xss',
  'owasp-crs-v030301-id941320-xss',
  'owasp-crs-v030301-id941330-xss',
  'owasp-crs-v030301-id941340-xss',
  'owasp-crs-v030301-id941380-xss'
])
          


Toutes les signatures pour XSS sont inférieures au niveau de sensibilité 2. La configuration suivante fonctionne pour d'autres niveaux de sensibilité :

Niveau de sensibilité XSS 2


evaluatePreconfiguredExpr('xss-v33-stable')

Inclusion de fichiers locaux (LFI)

Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle préconfigurée LFI.

CRS 3.3

ID de signature (ID de règle) Niveau de sensibilité Description
owasp-crs-v030301-id930100-lfi 1 Attaque par balayage de chemin (/../)
owasp-crs-v030301-id930110-lfi 1 Attaque par balayage de chemin (/../)
owasp-crs-v030301-id930120-lfi 1 Tentative d'accès à un fichier du système d'exploitation
owasp-crs-v030301-id930130-lfi 1 Tentative d'accès à un fichier non autorisé

CRS 3.0

ID de signature (ID de règle) Niveau de sensibilité Description
owasp-crs-v030001-id930100-lfi 1 Attaque par balayage de chemin (/../)
owasp-crs-v030001-id930110-lfi 1 Attaque par balayage de chemin (/../)
owasp-crs-v030001-id930120-lfi 1 Tentative d'accès à un fichier du système d'exploitation
owasp-crs-v030001-id930130-lfi 1 Tentative d'accès à un fichier non autorisé

Toutes les signatures pour LFI sont au niveau de sensibilité 1. La configuration suivante fonctionne pour tous les niveaux de sensibilité :

Niveau de sensibilité LFI 1


evaluatePreconfiguredExpr('lfi-v33-canary')

Exécution de code à distance (RCE)

Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle préconfigurée RCE.

CRS 3.3

ID de signature (ID de règle) Niveau de sensibilité Description
owasp-crs-v030301-id932100-rce 1 Injection de commande UNIX
owasp-crs-v030301-id932105-rce 1 Injection de commande UNIX
owasp-crs-v030301-id932110-rce 1 Injection de commande Windows
owasp-crs-v030301-id932115-rce 1 Injection de commande Windows
owasp-crs-v030301-id932120-rce 1 Commande Windows PowerShell trouvée
owasp-crs-v030301-id932130-rce 1 Expression d'interface système Unix trouvée
owasp-crs-v030301-id932140-rce 1 Commande Windows FOR/IF trouvée
owasp-crs-v030301-id932150-rce 1 Exécution directe de commande UNIX
owasp-crs-v030301-id932160-rce 1 Code d'interface système UNIX trouvé
owasp-crs-v030301-id932170-rce 1 Shellshock (CVE-2014-6271)
owasp-crs-v030301-id932171-rce 1 Shellshock (CVE-2014-6271)
owasp-crs-v030301-id932180-rce 1 Tentative d'importation de fichier restreinte
owasp-crs-v030301-id932200-rce 2 Technique de contournement RCE
owasp-crs-v030301-id932106-rce 3 Exécution de commande à distance: injection de commande Unix
owasp-crs-v030301-id932190-rce 3 Exécution de commande à distance: tentative de technique de contournement des caractères génériques

CRS 3.0

ID de signature (ID de règle) Niveau de sensibilité Description
owasp-crs-v030001-id932100-rce 1 Injection de commande UNIX
owasp-crs-v030001-id932105-rce 1 Injection de commande UNIX
owasp-crs-v030001-id932110-rce 1 Injection de commande Windows
owasp-crs-v030001-id932115-rce 1 Injection de commande Windows
owasp-crs-v030001-id932120-rce 1 Commande Windows PowerShell trouvée
owasp-crs-v030001-id932130-rce 1 Expression d'interface système Unix trouvée
owasp-crs-v030001-id932140-rce 1 Commande Windows FOR/IF trouvée
owasp-crs-v030001-id932150-rce 1 Exécution directe de commande UNIX
owasp-crs-v030001-id932160-rce 1 Code d'interface système UNIX trouvé
owasp-crs-v030001-id932170-rce 1 Shellshock (CVE-2014-6271)
owasp-crs-v030001-id932171-rce 1 Shellshock (CVE-2014-6271)
Not included 1 Tentative d'importation de fichier restreinte
Not included 2 Technique de contournement RCE
Not included 3 Exécution de commande à distance: injection de commande Unix
Not included 3 Exécution de commande à distance: tentative de technique de contournement des caractères génériques

Toutes les signatures pour le RCE sont au niveau de sensibilité 1. La configuration suivante fonctionne pour tous les niveaux de sensibilité :

Niveau de sensibilité RCE 1


evaluatePreconfiguredExpr('rce-v33-stable',
          ['owasp-crs-v030301-id932200-rce',
           'owasp-crs-v030301-id932106-rce',
           'owasp-crs-v030301-id932190-rce'])
          )

La configuration suivante fonctionne pour d'autres niveaux de sensibilité :

Niveau de sensibilité RCE 2


evaluatePreconfiguredExpr('rce-v33-stable',
          ['owasp-crs-v030301-id932106-rce',
           'owasp-crs-v030301-id932190-rce'])
          )
          
Niveau de sensibilité RCE 3


evaluatePreconfiguredExpr('rce-v33-stable')
          

Inclusion de fichiers à distance (RFI)

Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle préconfigurée RFI.

CRS 3.3

ID de signature (ID de règle) Niveau de sensibilité Description
owasp-crs-v030301-id931100-rfi 1 Paramètre d'URL utilisant une adresse IP
owasp-crs-v030301-id931110-rfi 1 Nom commun du paramètre vulnérable RFI utilisé avec la charge utile d'URL
owasp-crs-v030301-id931120-rfi 1 Charge utile d'URL utilisée avec le caractère de point d'interrogation de fin (?)
owasp-crs-v030301-id931130-rfi 2 Référence/Lien externe

CRS 3.0

ID de signature (ID de règle) Niveau de sensibilité Description
owasp-crs-v030001-id931100-rfi 1 Paramètre d'URL utilisant une adresse IP
owasp-crs-v030001-id931110-rfi 1 Nom commun du paramètre vulnérable RFI utilisé avec la charge utile d'URL
owasp-crs-v030001-id931120-rfi 1 Charge utile d'URL utilisée avec le caractère de point d'interrogation de fin (?)
owasp-crs-v030001-id931130-rfi 2 Référence/Lien externe

Pour configurer une règle à un niveau de sensibilité particulier, désactivez les signatures à des niveaux de sensibilité supérieurs.

Niveau de sensibilité RFI 1


evaluatePreconfiguredExpr('rfi-v33-canary', ['owasp-crs-v030301-id931130-rfi'])

Toutes les signatures pour RFI sont inférieures au niveau de sensibilité 2. La configuration suivante fonctionne pour d'autres niveaux de sensibilité :

Niveaux de sensibilité RFI 2


evaluatePreconfiguredExpr('rfi-v33-stable')

Application de la méthode

Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle préconfigurée d'application des méthodes.

CRS 3.3

ID de signature (ID de règle) Niveau de sensibilité Description
owasp-crs-v030301-id911100-methodenforcement 1 La méthode n'est pas autorisée par la règle

CRS 3.0

ID de signature (ID de règle) Niveau de sensibilité Description
owasp-crs-v030001-id911100-methodenforcement 1 La méthode n'est pas autorisée par la règle

Toutes les signatures de l'application de la méthode sont inférieures au niveau de sensibilité 2. La configuration suivante fonctionne pour d'autres niveaux de sensibilité :

Niveau de sensibilité de l'application de la méthode 1


evaluatePreconfiguredExpr('methodenforcement-v33-stable')

Détection du scanner

Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle préconfigurée de détection d'analyse.

CRS 3.3

ID de signature (ID de règle) Niveau de sensibilité Description
owasp-crs-v030301-id913100-scannerdetection 1 User-agent associé à un scanner de sécurité
owasp-crs-v030301-id913110-scannerdetection 1 En-tête de requête associé à un scanner de sécurité
owasp-crs-v030301-id913120-scannerdetection 1 Nom de fichier ou un argument de requête associé à un scanner de sécurité
owasp-crs-v030301-id913101-scannerdetection 2 User-agent associé au client HTTP script/générique
owasp-crs-v030301-id913102-scannerdetection 2 User-agent associé au robot d'exploration/bot

CRS 3.0

ID de signature (ID de règle) Niveau de sensibilité Description
owasp-crs-v030001-id913100-scannerdetection 1 User-agent associé à un scanner de sécurité
owasp-crs-v030001-id913110-scannerdetection 1 En-tête de requête associé à un scanner de sécurité
owasp-crs-v030001-id913120-scannerdetection 1 Nom de fichier ou un argument de requête associé à un scanner de sécurité
owasp-crs-v030001-id913101-scannerdetection 2 User-agent associé au client HTTP script/générique
owasp-crs-v030001-id913102-scannerdetection 2 User-agent associé au robot d'exploration/bot

Pour configurer une règle à un niveau de sensibilité particulier, désactivez les signatures à des niveaux de sensibilité supérieurs.

Niveau de sensibilité de détection du scanner 1


evaluatePreconfiguredExpr('scannerdetection-v33-stable',
  ['owasp-crs-v030301-id913101-scannerdetection',
  'owasp-crs-v030301-id913102-scannerdetection']
)
          
Niveau de sensibilité de détection du scanner 2


evaluatePreconfiguredExpr('scannerdetection-v33-stable')
          

Attaque de protocole

Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle préconfigurée d'attaque par protocole.

CRS 3.3

ID de signature (ID de règle) Niveau de sensibilité Description
Not included 1 Attaque de contrebande de requête HTTP
owasp-crs-v030301-id921110-protocolattack 1 Attaque de contrebande de requête HTTP
owasp-crs-v030301-id921120-protocolattack 1 Attaque de division de réponse HTTP
owasp-crs-v030301-id921130-protocolattack 1 Attaque de division de réponse HTTP
owasp-crs-v030301-id921140-protocolattack 1 Attaque d'injection d'en-tête HTTP via des en-têtes
owasp-crs-v030301-id921150-protocolattack 1 Attaque d'injection d'en-tête HTTP via la charge utile (CR/LF détecté)
owasp-crs-v030301-id921160-protocolattack 1 Attaque d'injection d'en-tête HTTP via la charge utile (CR/LF et nom de l'en-tête détectés)
owasp-crs-v030301-id921190-protocolattack 1 Répartition HTTP (CR/LF dans le nom de fichier de requête détecté)
owasp-crs-v030301-id921200-protocolattack 1 Attaque par injection LDAP
owasp-crs-v030301-id921151-protocolattack 2 Attaque d'injection d'en-tête HTTP via la charge utile (CR/LF détecté)
owasp-crs-v030301-id921170-protocolattack 3 Pollution des paramètres HTTP

CRS 3.0

ID de signature (ID de règle) Niveau de sensibilité Description
owasp-crs-v030001-id921100-protocolattack 1 Attaque de contrebande de requête HTTP
owasp-crs-v030001-id921110-protocolattack 1 Attaque de contrebande de requête HTTP
owasp-crs-v030001-id921120-protocolattack 1 Attaque de division de réponse HTTP
owasp-crs-v030001-id921130-protocolattack 1 Attaque de division de réponse HTTP
owasp-crs-v030001-id921140-protocolattack 1 Attaque d'injection d'en-tête HTTP via des en-têtes
owasp-crs-v030001-id921150-protocolattack 1 Attaque d'injection d'en-tête HTTP via la charge utile (CR/LF détecté)
owasp-crs-v030001-id921160-protocolattack 1 Attaque d'injection d'en-tête HTTP via la charge utile (CR/LF et nom de l'en-tête détectés)
Not included 1 Répartition HTTP (CR/LF dans le nom de fichier de requête détecté)
Not included 1 Attaque par injection LDAP
owasp-crs-v030001-id921151-protocolattack 2 Attaque d'injection d'en-tête HTTP via la charge utile (CR/LF détecté)
owasp-crs-v030001-id921170-protocolattack 3 Pollution des paramètres HTTP

Pour configurer une règle à un niveau de sensibilité particulier, désactivez les signatures à des niveaux de sensibilité supérieurs.

Niveau de sensibilité du protocole d'attaque 1


evaluatePreconfiguredExpr('protocolattack-v33-stable',
  ['owasp-crs-v030301-id921151-protocolattack',
  'owasp-crs-v030301-id921170-protocolattack']
)
          
Niveau de sensibilité du protocole d'attaque 2


evaluatePreconfiguredExpr('protocolattack-v33-stable',
  ['owasp-crs-v030301-id921170-protocolattack']
)
          
Niveau de sensibilité du protocole d'attaque 3


evaluatePreconfiguredExpr('protocolattack-v33-stable')
          

PHP

Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle préconfigurée PHP.

CRS 3.3

ID de signature (ID de règle) Niveau de sensibilité Description
owasp-crs-v030301-id933100-php 1 Attaque par injection PHP : tag PHP ouvert trouvé
owasp-crs-v030301-id933110-php 1 Attaque par injection PHP : importation du fichier de script PHP
owasp-crs-v030301-id933120-php 1 Attaque par injection PHP : directive de configuration trouvée
owasp-crs-v030301-id933130-php 1 Attaque par injection PHP : variables trouvées
owasp-crs-v030301-id933140-php 1 Attaque par injection PHP : flux d'E/S trouvé
owasp-crs-v030301-id933200-php 1 Attaque par injection PHP: schéma d'encapsulation détecté
owasp-crs-v030301-id933150-php 1 Attaque par injection PHP : nom de fonction PHP à haut risque détecté
owasp-crs-v030301-id933160-php 1 Attaque par injection PHP : appel de fonction PHP à haut risque détecté
owasp-crs-v030301-id933170-php 1 Attaque par injection PHP : injection d'objets en série
owasp-crs-v030301-id933180-php 1 Attaque par injection PHP : appel de fonction variable détecté
owasp-crs-v030301-id933210-php 1 Attaque par injection PHP : appel de fonction variable détecté
owasp-crs-v030301-id933151-php 2 Attaque par injection PHP : nom de fonction PHP à risque moyen détecté
owasp-crs-v030301-id933131-php 3 Attaque par injection PHP : variables trouvées
owasp-crs-v030301-id933161-php 3 Attaque par injection PHP : appel de fonction PHP à valeur faible détecté
owasp-crs-v030301-id933111-php 3 Attaque par injection PHP : importation du fichier de script PHP
owasp-crs-v030301-id933190-php 3 Attaque par injection PHP : tag PHP fermé trouvé

CRS 3.0

ID de signature (ID de règle) Niveau de sensibilité Description
owasp-crs-v030001-id933100-php 1 Attaque par injection PHP : tag PHP ouvert trouvé
owasp-crs-v030001-id933110-php 1 Attaque par injection PHP : importation du fichier de script PHP
owasp-crs-v030001-id933120-php 1 Attaque par injection PHP : directive de configuration trouvée
owasp-crs-v030001-id933130-php 1 Attaque par injection PHP : variables trouvées
owasp-crs-v030001-id933140-php 1 Attaque par injection PHP : flux d'E/S trouvé
Not included 1 Attaque par injection PHP: schéma d'encapsulation détecté
owasp-crs-v030001-id933150-php 1 Attaque par injection PHP : nom de fonction PHP à haut risque détecté
owasp-crs-v030001-id933160-php 1 Attaque par injection PHP : appel de fonction PHP à haut risque détecté
owasp-crs-v030001-id933170-php 1 Attaque par injection PHP : injection d'objets en série
owasp-crs-v030001-id933180-php 1 Attaque par injection PHP : appel de fonction variable détecté
Not included 1 Attaque par injection PHP : appel de fonction variable détecté
owasp-crs-v030001-id933151-php 2 Attaque par injection PHP : nom de fonction PHP à risque moyen détecté
owasp-crs-v030001-id933131-php 3 Attaque par injection PHP : variables trouvées
owasp-crs-v030001-id933161-php 3 Attaque par injection PHP : appel de fonction PHP à valeur faible détecté
owasp-crs-v030001-id933111-php 3 Attaque par injection PHP : importation du fichier de script PHP
Not included 3 Attaque par injection PHP : tag PHP fermé trouvé

Pour configurer une règle à un niveau de sensibilité particulier, désactivez les signatures à des niveaux de sensibilité supérieurs.

Niveau de sensibilité de l'attaque par injection PHP 1


evaluatePreconfiguredExpr('php-v33-stable',
['owasp-crs-v030301-id933151-php',
  'owasp-crs-v030301-id933131-php',
  'owasp-crs-v030301-id933161-php',
  'owasp-crs-v030301-id933111-php',
  'owasp-crs-v030301-id933190-php']
)
          
Niveau de sensibilité de l'attaque par injection PHP 2


evaluatePreconfiguredExpr('php-v33-stable',
  ['owasp-crs-v0303001-id933131-php',
  'owasp-crs-v0303001-id933161-php',
  'owasp-crs-v0303001-id933111-php'
  'owasp-crs-v030301-id933190-php'])
          
Niveau de sensibilité de l'attaque par injection PHP 3


evaluatePreconfiguredExpr('php-v33-stable')
          

Réparation des sessions

Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle préconfigurée de réparation de session.

CRS 3.3

ID de signature (ID de règle) Niveau de sensibilité Description
owasp-crs-v030301-id943100-sessionfixation 1 Possible attaque de réparation de session : définition de valeurs de cookie en HTML
owasp-crs-v030301-id943110-sessionfixation 1 Possible attaque de réparation de session : nom du paramètre SessionID avec référent hors domaine
owasp-crs-v030301-id943120-sessionfixation 1 Possible attaque de réparation de session : nom du paramètre SessionID sans référent

CRS 3.0

ID de signature (ID de règle) Niveau de sensibilité Description
owasp-crs-v030001-id943100-sessionfixation 1 Possible attaque de réparation de session : définition de valeurs de cookie en HTML
owasp-crs-v030001-id943110-sessionfixation 1 Possible attaque de réparation de session : nom du paramètre SessionID avec référent hors domaine
owasp-crs-v030001-id943120-sessionfixation 1 Possible attaque de réparation de session : nom du paramètre SessionID sans référent

Toutes les signatures pour la réparation des sessions sont inférieures au niveau de sensibilité 2. La configuration suivante fonctionne pour d'autres niveaux de sensibilité :

Niveau de sensibilité de la réparation de session 1


evaluatePreconfiguredExpr('sessionfixation-v33-canary')

CVE et autres failles

Les signatures suivantes couvrent les vulnérabilités Log4j RCE CVE-2021-44228 et CVE-2021-45046.

ID de signature (ID de règle) Niveau de sensibilité Description
owasp-crs-v030001-id044228-cve 1 Règle de base pour détecter les tentatives d'exploitation de CVE-2021-44228 et CVE-2021-45046
owasp-crs-v030001-id144228-cve 1 Améliorations fournies par Google pour couvrir davantage de tentatives de contournement et d'obscurcissement
owasp-crs-v030001-id244228-cve 3 Sensibilité de détection accrue pour cibler davantage de tentatives de contournement et d'obscurcissement, avec une augmentation nominale du risque de détection de faux positifs
owasp-crs-v030001-id344228-cve 3 Sensibilité de détection accrue pour cibler davantage de tentatives de contournement et d'obscurcissement utilisant l'encodage base64, avec une augmentation nominale du risque de détection de faux positifs

Pour configurer une règle à un niveau de sensibilité particulier, désactivez les signatures à des niveaux de sensibilité supérieurs.

Niveau de sensibilité CVE 1


evaluatePreconfiguredExpr('cve-canary', ['owasp-crs-v030001-id244228-cve',
  'owasp-crs-v030001-id344228-cve'])
          
Niveau de sensibilité CVE 3


evaluatePreconfiguredExpr('cve-canary')

Limites

Les règles préconfigurées Google Cloud Armor présentent les limites suivantes :

  • Parmi les types de requêtes HTTP avec un corps de requête, Google Cloud Armor ne traite que les requêtes POST. Google Cloud Armor évalue les règles préconfigurées par rapport aux huit premiers ko du contenu du corps POST. Pour en savoir plus, consultez la section Limite d'inspection du corps POST.
  • Google Cloud Armor peut analyser et appliquer des règles WAF préconfigurées pour les corps POST par défaut encodés en URL et au format JSON (Content-Type='application/json"). Toutefois, Google Cloud Armor n'analyse ou ne décode pas les autres formats HTTP Content-Type et Content-Encoding.
  • Les règles de sécurité Google Cloud Armor ne sont disponibles que pour les services de backend derrière un équilibreur de charge. Par conséquent, les quotas et limites d'équilibrage de charge s'appliquent à votre déploiement. Pour en savoir plus, consultez la page Quotas de l'équilibrage de charge.
  • Les ID de règles ModSecurity CRS suivants ne sont pas compatibles avec Google Cloud Armor.
    • sqli-942100
    • sqli-942101
    • xss-941100
    • xss-941101

Étape suivante