Présentation des règles WAF préconfigurées de Google Cloud Armor

Les règles WAF préconfigurées Google Cloud Armor sont des règles complexes de pare-feu d'application Web (WAF, web application firewall) composées de dizaines de signatures, qui sont compilées à partir des normes Open Source. Chaque signature correspond à une règle de détection d'attaques dans l'ensemble de règles. Google propose ces règles telles quelles. Elles permettent à Google Cloud Armor d'évaluer des dizaines de signatures de trafic distinctes en se référant à des règles facilement nommées au lieu de vous obliger à définir chaque signature manuellement.

Les règles WAF préconfigurées de Google Cloud Armor peuvent être adaptées à vos besoins. Pour en savoir plus sur le réglage des règles, consultez la page Ajuster les règles WAF préconfigurées de Google Cloud Armor.

Le tableau suivant contient une liste complète des règles WAF préconfigurées pouvant être utilisées dans une stratégie de sécurité Google Cloud Armor. Les sources de règles sont ModSecurity Core Rule Set (CRS) 3.0 et CRS 3.3. Nous vous recommandons d'utiliser la version 3.3 pour accroître la sensibilité et pour augmenter la portée des types d'attaques protégés. La compatibilité avec CRS 3.0 est en cours.

CRS 3.3

Nom de la règle Google Cloud Armor Nom de la règle ModSecurity État actuel
Injection SQL sqli-v33-stable Synchronisée avec sqli-v33-canary
sqli-v33-canary Le plus récent
Script intersites xss-v33-stable Synchronisée avec xss-v33-canary
xss-v33-canary Le plus récent
Inclusion de fichiers locaux lfi-v33-stable Synchronisée avec lfi-v33-canary
lfi-v33-canary Le plus récent
Inclusion de fichiers distants rfi-v33-stable Synchronisée avec rfi-v33-canary
rfi-v33-canary Le plus récent
Exécution de code à distance rce-v33-stable Synchronisée avec rce-v33-canary
rce-v33-canary Le plus récent
Application de la méthode methodenforcement-v33-stable Synchronisée avec methodenforcement-v33-canary
methodenforcement-v33-canary Le plus récent
Détection du scanner scannerdetection-v33-stable Synchronisée avec scannerdetection-v33-canary
scannerdetection-v33-canary Le plus récent
Attaque de protocole protocolattack-v33-stable Synchronisée avec protocolattack-v33-canary
protocolattack-v33-canary Le plus récent
Attaque par injection PHP php-v33-stable Synchronisée avec php-v33-canary
php-v33-canary Le plus récent
Attaque de réparation de session sessionfixation-v33-stable Synchronisée avec sessionfixation-v33-canary
sessionfixation-v33-canary Le plus récent
Attaque Java java-v33-stable Synchronisée avec java-v33-canary
java-v33-canary Le plus récent
Attaque NodeJS nodejs-v33-stable Synchronisée avec nodejs-v33-canary
nodejs-v33-canary Le plus récent

CRS 3.0

Nom de la règle Google Cloud Armor Nom de la règle ModSecurity État actuel
Injection SQL sqli-stable Synchronisée avec sqli-canary
sqli-canary Le plus récent
Script intersites xss-stable Synchronisée avec xss-canary
xss-canary Le plus récent
Inclusion de fichiers locaux lfi-stable Synchronisée avec lfi-canary
lfi-canary Le plus récent
Inclusion de fichiers distants rfi-stable Synchronisée avec rfi-canary
rfi-canary Le plus récent
Exécution de code à distance rce-stable Synchronisée avec rce-canary
rce-canary Le plus récent
Application de la méthode methodenforcement-stable Synchronisée avec methodenforcement-canary
methodenforcement-canary Le plus récent
Détection du scanner scannerdetection-stable Synchronisée avec scannerdetection-canary
scannerdetection-canary Le plus récent
Attaque de protocole protocolattack-stable Synchronisée avec protocolattack-canary
protocolattack-canary Le plus récent
Attaque par injection PHP php-stable Synchronisée avec php-canary
php-canary Le plus récent
Attaque de réparation de session sessionfixation-stable Synchronisée avec sessionfixation-canary
sessionfixation-canary Le plus récent
Attaque Java Not included
Attaque NodeJS Not included

De plus, les règles cve-canary suivantes sont disponibles pour tous les clients Google Cloud Armor. Elles permettent de détecter les failles suivantes et de les bloquer éventuellement:

  • CVE-2021-44228 et CVE-2021-45046 failles RCE Log4j
  • 942550-sqli faille liée au contenu au format JSON
Nom de la règle Google Cloud Armor Types de failles couverts
cve-canary faille Log4j
json-sqli-canary Vulnérabilité de contournement des attaques par injection SQL basée sur JSON

Règles ModSecurity préconfigurées

Chaque règle WAF préconfigurée a un niveau de sensibilité qui correspond à un niveau de paranoïa ModSecurity. Un niveau de sensibilité inférieur indique une signature à confiance élevée, qui est moins susceptible de générer un faux positif. Un niveau de sensibilité plus élevé augmente la sécurité, mais augmente également le risque de générer un faux positif.

Injection SQL (SQLi)

Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle WAF préconfigurée SQLi.

CRS 3.3

ID de signature (ID de règle) Niveau de sensibilité Description
owasp-crs-v030301-id942100-sqli 1 Attaque par injection SQL détectée via libinjection
owasp-crs-v030301-id942140-sqli 1 Attaque par injection SQL : noms de base de données courants détectés
owasp-crs-v030301-id942160-sqli 1 Détecte les tests SQLi à l'aveugle à l'aide de la méthode sleep() ou benchmark()
owasp-crs-v030301-id942170-sqli 1 Détecte les tentatives d'injection SQL par les méthodes benchmark et sleep, y compris les requêtes conditionnelles
owasp-crs-v030301-id942190-sqli 1 Détecte les tentatives de collecte d'informations et d'exécution de code MSSQL
owasp-crs-v030301-id942220-sqli 1 Recherche les attaques par dépassement de capacité d'entiers
owasp-crs-v030301-id942230-sqli 1 Détecte les tentatives d'injection de code SQL conditionnel
owasp-crs-v030301-id942240-sqli 1 Détecte les tentatives de basculement de charset MySQL et d'attaque DoS MSSQL
owasp-crs-v030301-id942250-sqli 1 Détecte les injections de code MATCH AGAINST
owasp-crs-v030301-id942270-sqli 1 Recherche l'injection SQL de base, chaîne d'attaque courante pour MySql
owasp-crs-v030301-id942280-sqli 1 Détecte l'injection de Postgres pg_sleep
owasp-crs-v030301-id942290-sqli 1 Recherche les tentatives d'injection SQL MongoDB de base
owasp-crs-v030301-id942320-sqli 1 Détecte les injections de fonctions/procédures stockées MySQL et PostgreSQL
owasp-crs-v030301-id942350-sqli 1 Détecte l'injection de code UDF MySQL et d'autres tentatives de manipulation de données/structures
owasp-crs-v030301-id942360-sqli 1 Détecte l'injection SQL de base concaténée et les tentatives SQLLFI
owasp-crs-v030301-id942500-sqli 1 Commentaire intégré MySQL détecté
owasp-crs-v030301-id942110-sqli 2 Attaque par injection SQL : test d'injection commune détecté
owasp-crs-v030301-id942120-sqli 2 Attaque par injection SQL : opérateur SQL détecté
owasp-crs-v030301-id942130-sqli 2 Attaque par injection SQL: SQL Tautology détecté
owasp-crs-v030301-id942150-sqli 2 Attaque par injection SQL
owasp-crs-v030301-id942180-sqli 2 Détecte les tentatives de contournement de l'authentification SQL de base 1/3
owasp-crs-v030301-id942200-sqli 2 Détecte les injections MySQL de type comment-/space-obfuscated et d'accent grave
owasp-crs-v030301-id942210-sqli 2 Détecte les tentatives d'injection de code SQL en chaîne 1/2
owasp-crs-v030301-id942260-sqli 2 Détecte les tentatives de contournement de l'authentification SQL de base 2/3
owasp-crs-v030301-id942300-sqli 2 Détecte les commentaires MySQL
owasp-crs-v030301-id942310-sqli 2 Détecte les tentatives d'injection de code SQL en chaîne 2/2
owasp-crs-v030301-id942330-sqli 2 Détecte les sondes d'injection SQL classiques 1/2
owasp-crs-v030301-id942340-sqli 2 Détecte les tentatives de contournement de l'authentification SQL de base 3/3
owasp-crs-v030301-id942361-sqli 2 Détecte l'injection SQL de base en fonction d'une modification ou d'une union de mots clés
owasp-crs-v030301-id942370-sqli 2 Détecte les sondes d'injection SQL classiques 2/3
owasp-crs-v030301-id942380-sqli 2 Attaque par injection SQL
owasp-crs-v030301-id942390-sqli 2 Attaque par injection SQL
owasp-crs-v030301-id942400-sqli 2 Attaque par injection SQL
owasp-crs-v030301-id942410-sqli 2 Attaque par injection SQL
owasp-crs-v030301-id942470-sqli 2 Attaque par injection SQL
owasp-crs-v030301-id942480-sqli 2 Attaque par injection SQL
owasp-crs-v030301-id942430-sqli 2 Détection d'anomalies liées à la limite de caractères SQL (args) : nombre de caractères spéciaux dépassé (12)
owasp-crs-v030301-id942440-sqli 2 Séquence de commentaire SQL détectée
owasp-crs-v030301-id942450-sqli 2 Encodage hexadécimal SQL identifié
owasp-crs-v030301-id942510-sqli 2 Tentative de contournement SQLi par des accents aigus ou graves détectée
owasp-crs-v030301-id942251-sqli 3 Détecte les injections de code HAVING
owasp-crs-v030301-id942490-sqli 3 Détecte les sondes d'injection SQL classiques 3/3
owasp-crs-v030301-id942420-sqli 3 Détection d'anomalies liées à la limite de caractères SQL (cookies) : nombre de caractères spéciaux dépassé (8)
owasp-crs-v030301-id942431-sqli 3 Détection d'anomalies liées à la limite de caractères SQL (args) : nombre de caractères spéciaux dépassé (6)
owasp-crs-v030301-id942460-sqli 3 Alerte de détection d'anomalies liées aux métacaractères – Caractères non textuels répétitifs
owasp-crs-v030301-id942101-sqli 3 Attaque par injection SQL détectée via libinjection
owasp-crs-v030301-id942511-sqli 3 Tentative de contournement SQLi par des accents aigus détectée
owasp-crs-v030301-id942421-sqli 4 Détection d'anomalies liées à la limite de caractères SQL (cookies) : nombre de caractères spéciaux dépassé (3)
owasp-crs-v030301-id942432-sqli 4 Détection d'anomalies liées à la limite de caractères SQL (args) : nombre de caractères spéciaux dépassé (2)

CRS 3.0

ID de signature (ID de règle) Niveau de sensibilité Description
Not included 1 Attaque par injection SQL détectée via libinjection
owasp-crs-v030001-id942140-sqli 1 Attaque par injection SQL : noms de base de données courants détectés
owasp-crs-v030001-id942160-sqli 1 Détecte les tests SQLi à l'aveugle à l'aide de la méthode sleep() ou benchmark()
owasp-crs-v030001-id942170-sqli 1 Détecte les tentatives d'injection SQL par les méthodes benchmark et sleep, y compris les requêtes conditionnelles
owasp-crs-v030001-id942190-sqli 1 Détecte les tentatives de collecte d'informations et d'exécution de code MSSQL
owasp-crs-v030001-id942220-sqli 1 Recherche les attaques par dépassement de capacité d'entiers
owasp-crs-v030001-id942230-sqli 1 Détecte les tentatives d'injection de code SQL conditionnel
owasp-crs-v030001-id942240-sqli 1 Détecte les tentatives de basculement de charset MySQL et d'attaque DoS MSSQL
owasp-crs-v030001-id942250-sqli 1 Détecte les injections de code MATCH AGAINST
owasp-crs-v030001-id942270-sqli 1 Recherche l'injection SQL de base, chaîne d'attaque courante pour MySql
owasp-crs-v030001-id942280-sqli 1 Détecte l'injection de Postgres pg_sleep
owasp-crs-v030001-id942290-sqli 1 Recherche les tentatives d'injection SQL MongoDB de base
owasp-crs-v030001-id942320-sqli 1 Détecte les injections de fonctions/procédures stockées MySQL et PostgreSQL
owasp-crs-v030001-id942350-sqli 1 Détecte l'injection de code UDF MySQL et d'autres tentatives de manipulation de données/structures
owasp-crs-v030001-id942360-sqli 1 Détecte l'injection SQL de base concaténée et les tentatives SQLLFI
Not included 1 Commentaire intégré MySQL détecté
owasp-crs-v030001-id942110-sqli 2 Attaque par injection SQL : test d'injection commune détecté
owasp-crs-v030001-id942120-sqli 2 Attaque par injection SQL : opérateur SQL détecté
Not included 2 Attaque par injection SQL: SQL Tautology détecté
owasp-crs-v030001-id942150-sqli 2 Attaque par injection SQL
owasp-crs-v030001-id942180-sqli 2 Détecte les tentatives de contournement de l'authentification SQL de base 1/3
owasp-crs-v030001-id942200-sqli 2 Détecte les injections MySQL de type comment-/space-obfuscated et d'accent grave
owasp-crs-v030001-id942210-sqli 2 Détecte les tentatives d'injection de code SQL en chaîne 1/2
owasp-crs-v030001-id942260-sqli 2 Détecte les tentatives de contournement de l'authentification SQL de base 2/3
owasp-crs-v030001-id942300-sqli 2 Détecte les commentaires MySQL
owasp-crs-v030001-id942310-sqli 2 Détecte les tentatives d'injection de code SQL en chaîne 2/2
owasp-crs-v030001-id942330-sqli 2 Détecte les sondes d'injection SQL classiques 1/2
owasp-crs-v030001-id942340-sqli 2 Détecte les tentatives de contournement de l'authentification SQL de base 3/3
Not included 2 Détecte l'injection SQL de base en fonction d'une modification ou d'une union de mots clés
Not included 2 Détecte les sondes d'injection SQL classiques 2/3
owasp-crs-v030001-id942380-sqli 2 Attaque par injection SQL
owasp-crs-v030001-id942390-sqli 2 Attaque par injection SQL
owasp-crs-v030001-id942400-sqli 2 Attaque par injection SQL
owasp-crs-v030001-id942410-sqli 2 Attaque par injection SQL
Not included 2 Attaque par injection SQL
Not included 2 Attaque par injection SQL
owasp-crs-v030001-id942430-sqli 2 Détection d'anomalies liées à la limite de caractères SQL (args) : nombre de caractères spéciaux dépassé (12)
owasp-crs-v030001-id942440-sqli 2 Séquence de commentaire SQL détectée
owasp-crs-v030001-id942450-sqli 2 Encodage hexadécimal SQL identifié
Not included 2 Tentative de contournement SQLi par des accents aigus ou graves détectée
owasp-crs-v030001-id942251-sqli 3 Détecte les injections de code HAVING
Not included 2 Détecte les sondes d'injection SQL classiques 3/3
owasp-crs-v030001-id942420-sqli 3 Détection d'anomalies liées à la limite de caractères SQL (cookies) : nombre de caractères spéciaux dépassé (8)
owasp-crs-v030001-id942431-sqli 3 Détection d'anomalies liées à la limite de caractères SQL (args) : nombre de caractères spéciaux dépassé (6)
owasp-crs-v030001-id942460-sqli 3 Alerte de détection d'anomalies liées aux métacaractères – Caractères non textuels répétitifs
Not included 3 Attaque par injection SQL détectée via libinjection
Not included 3 Tentative de contournement SQLi par des accents aigus détectée
owasp-crs-v030001-id942421-sqli 4 Détection d'anomalies liées à la limite de caractères SQL (cookies) : nombre de caractères spéciaux dépassé (3)
owasp-crs-v030001-id942432-sqli 4 Détection d'anomalies liées à la limite de caractères SQL (args) : nombre de caractères spéciaux dépassé (2)

Vous pouvez configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredExpr() pour désactiver les signatures à des niveaux de sensibilité supérieurs.

Niveau de sensibilité SQLi 1 


evaluatePreconfiguredExpr('sqli-v33-stable',
['owasp-crs-v030301-id942110-sqli',
  'owasp-crs-v030301-id942120-sqli',
  'owasp-crs-v030301-id942130-sqli',
  'owasp-crs-v030301-id942150-sqli',
  'owasp-crs-v030301-id942180-sqli',
  'owasp-crs-v030301-id942200-sqli',
  'owasp-crs-v030301-id942210-sqli',
  'owasp-crs-v030301-id942260-sqli',
  'owasp-crs-v030301-id942300-sqli',
  'owasp-crs-v030301-id942310-sqli',
  'owasp-crs-v030301-id942330-sqli',
  'owasp-crs-v030301-id942340-sqli',
  'owasp-crs-v030301-id942361-sqli',
  'owasp-crs-v030301-id942370-sqli',
  'owasp-crs-v030301-id942380-sqli',
  'owasp-crs-v030301-id942390-sqli',
  'owasp-crs-v030301-id942400-sqli',
  'owasp-crs-v030301-id942410-sqli',
  'owasp-crs-v030301-id942470-sqli',
  'owasp-crs-v030301-id942480-sqli',
  'owasp-crs-v030301-id942430-sqli',
  'owasp-crs-v030301-id942440-sqli',
  'owasp-crs-v030301-id942450-sqli',
  'owasp-crs-v030301-id942510-sqli',
  'owasp-crs-v030301-id942251-sqli',
  'owasp-crs-v030301-id942490-sqli',
  'owasp-crs-v030301-id942420-sqli',
  'owasp-crs-v030301-id942431-sqli',
  'owasp-crs-v030301-id942460-sqli',
  'owasp-crs-v030301-id942101-sqli',
  'owasp-crs-v030301-id942511-sqli',
  'owasp-crs-v030301-id942421-sqli',
  'owasp-crs-v030301-id942432-sqli']
)
Niveau de sensibilité SQLi 2 


evaluatePreconfiguredExpr('sqli-v33-stable',
 ['owasp-crs-v030301-id942251-sqli',
  'owasp-crs-v030301-id942490-sqli',
  'owasp-crs-v030301-id942420-sqli',
  'owasp-crs-v030301-id942431-sqli',
  'owasp-crs-v030301-id942460-sqli',
  'owasp-crs-v030301-id942101-sqli',
  'owasp-crs-v030301-id942511-sqli',
  'owasp-crs-v030301-id942421-sqli',
  'owasp-crs-v030301-id942432-sqli']
)
Niveau de sensibilité SQLi 3 


evaluatePreconfiguredExpr('sqli-v33-stable',
        ['owasp-crs-v030301-id942421-sqli',
         'owasp-crs-v030301-id942432-sqli']
         )
Niveau de sensibilité SQLi 4 


evaluatePreconfiguredExpr('sqli-v33-stable')

Vous pouvez également configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredWaf() avec un paramètre de sensibilité prédéfini. Par défaut, sans configurer de sensibilité à l'ensemble de règles, Google Cloud Armor évalue toutes les signatures.

CRS 3.3

Niveau de sensibilité Expression
1 evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 3})
4 evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 4})

CRS 3.0

Niveau de sensibilité Expression
1 evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 3})
4 evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 4})

Script intersites (XSS)

Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle WAF préconfigurée XSS.

CRS 3.3

ID de signature (ID de règle) Niveau de sensibilité Description
owasp-crs-v030301-id941100-xss 1 Attaque XSS détectée via libinjection
owasp-crs-v030301-id941110-xss 1 Filtre XSS – Catégorie 1 : vecteur de balise de script
owasp-crs-v030301-id941120-xss 1 Filtre XSS – Catégorie 2 : vecteur de gestionnaire d'événements
owasp-crs-v030301-id941130-xss 1 Filtre XSS – Catégorie 3 : vecteur d'attribut
owasp-crs-v030301-id941140-xss 1 Filtre XSS – Catégorie 4 : vecteur d'URI JavaScript
owasp-crs-v030301-id941160-xss 1 NoScript XSS InjectionChecker : injection de code HTML
owasp-crs-v030301-id941170-xss 1 NoScript XSS InjectionChecker : injection d'attribut
owasp-crs-v030301-id941180-xss 1 Mots clés de la liste noire du valideur de nœuds
owasp-crs-v030301-id941190-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030301-id941200-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030301-id941210-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030301-id941220-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030301-id941230-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030301-id941240-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030301-id941250-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030301-id941260-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030301-id941270-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030301-id941280-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030301-id941290-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030301-id941300-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030301-id941310-xss 1 Filtre XSS d'encodage incorrectement formé US-ASCII – Attaque détectée
owasp-crs-v030301-id941350-xss 1 XSS IE d'encodage UTF-7 – Attaque détectée
owasp-crs-v030301-id941360-xss 1 Obscurcissement de Hieroglyphy détecté
owasp-crs-v030301-id941370-xss 1 Variable globale JavaScript trouvée
owasp-crs-v030301-id941101-xss 2 Attaque XSS détectée via libinjection
owasp-crs-v030301-id941150-xss 2 Filtre XSS – Catégorie 5 : attributs HTML non autorisés
owasp-crs-v030301-id941320-xss 2 Possible attaque XSS détectée – Gestionnaire de balises HTML
owasp-crs-v030301-id941330-xss 2 Filtres XSS IE – Attaque détectée
owasp-crs-v030301-id941340-xss 2 Filtres XSS IE – Attaque détectée
owasp-crs-v030301-id941380-xss 2 Injection de modèles côté client AngularJS détectée

CRS 3.0

ID de signature (ID de règle) Niveau de sensibilité Description
Not included 1 Attaque XSS détectée via libinjection
owasp-crs-v030001-id941110-xss 1 Filtre XSS – Catégorie 1 : vecteur de balise de script
owasp-crs-v030001-id941120-xss 1 Filtre XSS – Catégorie 2 : vecteur de gestionnaire d'événements
owasp-crs-v030001-id941130-xss 1 Filtre XSS – Catégorie 3 : vecteur d'attribut
owasp-crs-v030001-id941140-xss 1 Filtre XSS – Catégorie 4 : vecteur d'URI JavaScript
owasp-crs-v030001-id941160-xss 1 NoScript XSS InjectionChecker : injection de code HTML
owasp-crs-v030001-id941170-xss 1 NoScript XSS InjectionChecker : injection d'attribut
owasp-crs-v030001-id941180-xss 1 Mots clés de la liste noire du valideur de nœuds
owasp-crs-v030001-id941190-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030001-id941200-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030001-id941210-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030001-id941220-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030001-id941230-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030001-id941240-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030001-id941250-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030001-id941260-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030001-id941270-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030001-id941280-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030001-id941290-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030001-id941300-xss 1 Filtres XSS IE – Attaque détectée
owasp-crs-v030001-id941310-xss 1 Filtre XSS d'encodage incorrectement formé US-ASCII – Attaque détectée
owasp-crs-v030001-id941350-xss 1 XSS IE d'encodage UTF-7 – Attaque détectée
Not included 1 Obscurcissement de JSFuck/Hieroglyphy détecté
Not included 1 Variable globale JavaScript trouvée
Not included 2 Attaque XSS détectée via libinjection
owasp-crs-v030001-id941150-xss 2 Filtre XSS – Catégorie 5 : attributs HTML non autorisés
owasp-crs-v030001-id941320-xss 2 Possible attaque XSS détectée – Gestionnaire de balises HTML
owasp-crs-v030001-id941330-xss 2 Filtres XSS IE – Attaque détectée
owasp-crs-v030001-id941340-xss 2 Filtres XSS IE – Attaque détectée
Not included 2 Injection de modèles côté client AngularJS détectée

Vous pouvez configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredExpr() pour désactiver les signatures à des niveaux de sensibilité supérieurs.

Niveau de sensibilité XSS 1 


evaluatePreconfiguredExpr('xss-v33-stable',
['owasp-crs-v030301-id941101-xss',
  'owasp-crs-v030301-id941150-xss',
  'owasp-crs-v030301-id941320-xss',
  'owasp-crs-v030301-id941330-xss',
  'owasp-crs-v030301-id941340-xss',
  'owasp-crs-v030301-id941380-xss'
])


Toutes les signatures pour XSS sont inférieures au niveau de sensibilité 2. La configuration suivante fonctionne pour d'autres niveaux de sensibilité :

Niveau de sensibilité XSS 2 


evaluatePreconfiguredExpr('xss-v33-stable')

Vous pouvez également configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredWaf() avec un paramètre de sensibilité prédéfini. Par défaut, sans configurer de sensibilité à l'ensemble de règles, Google Cloud Armor évalue toutes les signatures.

CRS 3.3

Niveau de sensibilité Expression
1 evaluatePreconfiguredWaf('xss-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('xss-v33-stable', {'sensitivity': 2})

CRS 3.0

Niveau de sensibilité Expression
1 evaluatePreconfiguredWaf('xss-stable', {'sensitivity': 1})

Inclusion de fichiers locaux (LFI)

Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle WAF préconfigurée LFI.

CRS 3.3

ID de signature (ID de règle) Niveau de sensibilité Description
owasp-crs-v030301-id930100-lfi 1 Attaque par balayage de chemin (/../)
owasp-crs-v030301-id930110-lfi 1 Attaque par balayage de chemin (/../)
owasp-crs-v030301-id930120-lfi 1 Tentative d'accès à un fichier du système d'exploitation
owasp-crs-v030301-id930130-lfi 1 Tentative d'accès à un fichier non autorisé

CRS 3.0

ID de signature (ID de règle) Niveau de sensibilité Description
owasp-crs-v030001-id930100-lfi 1 Attaque par balayage de chemin (/../)
owasp-crs-v030001-id930110-lfi 1 Attaque par balayage de chemin (/../)
owasp-crs-v030001-id930120-lfi 1 Tentative d'accès à un fichier du système d'exploitation
owasp-crs-v030001-id930130-lfi 1 Tentative d'accès à un fichier non autorisé

Vous pouvez configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredExpr() pour désactiver les signatures à des niveaux de sensibilité supérieurs. Toutes les signatures pour LFI sont au niveau de sensibilité 1. La configuration suivante fonctionne pour tous les niveaux de sensibilité :

Niveau de sensibilité 1 LFI 


evaluatePreconfiguredExpr('lfi-v33-stable')

Vous pouvez également configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredWaf() avec un paramètre de sensibilité prédéfini. Toutes les signatures pour LFI sont au niveau de sensibilité 1. La configuration suivante fonctionne pour tous les niveaux de sensibilité :

CRS 3.3

Niveau de sensibilité Expression
1 evaluatePreconfiguredWaf('lfi-v33-stable', {'sensitivity': 1})

CRS 3.0

Niveau de sensibilité Expression
1 evaluatePreconfiguredWaf('lfi-stable', {'sensitivity': 1})

Exécution de code à distance (RCE)

Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle WAF préconfigurée RCE.

CRS 3.3

ID de signature (ID de règle) Niveau de sensibilité Description
owasp-crs-v030301-id932100-rce 1 Injection de commande UNIX
owasp-crs-v030301-id932105-rce 1 Injection de commande UNIX
owasp-crs-v030301-id932110-rce 1 Injection de commande Windows
owasp-crs-v030301-id932115-rce 1 Injection de commande Windows
owasp-crs-v030301-id932120-rce 1 Commande Windows PowerShell trouvée
owasp-crs-v030301-id932130-rce 1 Expression d'interface système Unix trouvée
owasp-crs-v030301-id932140-rce 1 Commande Windows FOR/IF trouvée
owasp-crs-v030301-id932150-rce 1 Exécution directe de commande UNIX
owasp-crs-v030301-id932160-rce 1 Code d'interface système UNIX trouvé
owasp-crs-v030301-id932170-rce 1 Shellshock (CVE-2014-6271)
owasp-crs-v030301-id932171-rce 1 Shellshock (CVE-2014-6271)
owasp-crs-v030301-id932180-rce 1 Tentative d'importation de fichier restreint
owasp-crs-v030301-id932200-rce 2 Technique de contournement RCE
owasp-crs-v030301-id932106-rce 3 Exécution de commande à distance : injection de commande Unix
owasp-crs-v030301-id932190-rce 3 Exécution de commande à distance : tentative de technique de contournement des caractères génériques

CRS 3.0

ID de signature (ID de règle) Niveau de sensibilité Description
owasp-crs-v030001-id932100-rce 1 Injection de commande UNIX
owasp-crs-v030001-id932105-rce 1 Injection de commande UNIX
owasp-crs-v030001-id932110-rce 1 Injection de commande Windows
owasp-crs-v030001-id932115-rce 1 Injection de commande Windows
owasp-crs-v030001-id932120-rce 1 Commande Windows PowerShell trouvée
owasp-crs-v030001-id932130-rce 1 Expression d'interface système Unix trouvée
owasp-crs-v030001-id932140-rce 1 Commande Windows FOR/IF trouvée
owasp-crs-v030001-id932150-rce 1 Exécution directe de commande UNIX
owasp-crs-v030001-id932160-rce 1 Code d'interface système UNIX trouvé
owasp-crs-v030001-id932170-rce 1 Shellshock (CVE-2014-6271)
owasp-crs-v030001-id932171-rce 1 Shellshock (CVE-2014-6271)
Not included 1 Tentative d'importation de fichier restreint
Not included 2 Technique de contournement RCE
Not included 3 Exécution de commande à distance : injection de commande Unix
Not included 3 Exécution de commande à distance : tentative de technique de contournement des caractères génériques

Vous pouvez configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredExpr() pour désactiver les signatures à des niveaux de sensibilité supérieurs. La configuration suivante fonctionne pour tous les niveaux de sensibilité:

Niveau de sensibilité 1 RCE 


evaluatePreconfiguredExpr('rce-v33-stable',
          ['owasp-crs-v030301-id932200-rce',
           'owasp-crs-v030301-id932106-rce',
           'owasp-crs-v030301-id932190-rce'])
Niveau de sensibilité 2 RCE 


evaluatePreconfiguredExpr('rce-v33-stable',
           [ 'owasp-crs-v030301-id932106-rce',
           'owasp-crs-v030301-id932190-rce'])
Niveau de sensibilité RCE 3 


evaluatePreconfiguredExpr('rce-v33-stable')

Vous pouvez également configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredWaf() avec un paramètre de sensibilité prédéfini. Toutes les signatures pour le RCE sont au niveau de sensibilité 1. La configuration suivante fonctionne pour tous les niveaux de sensibilité :

CRS 3.3

Niveau de sensibilité Expression
1 evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 3})

CRS 3.0

Niveau de sensibilité Expression
1 evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 3})

Inclusion de fichiers à distance (RFI)

Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle WAF préconfigurée RFI.

CRS 3.3

ID de signature (ID de règle) Niveau de sensibilité Description
owasp-crs-v030301-id931100-rfi 1 Paramètre d'URL utilisant une adresse IP
owasp-crs-v030301-id931110-rfi 1 Nom commun du paramètre vulnérable RFI utilisé avec la charge utile d'URL
owasp-crs-v030301-id931120-rfi 1 Charge utile d'URL utilisée avec le caractère de point d'interrogation de fin (?)
owasp-crs-v030301-id931130-rfi 2 Référence/Lien externe

CRS 3.0

ID de signature (ID de règle) Niveau de sensibilité Description
owasp-crs-v030001-id931100-rfi 1 Paramètre d'URL utilisant une adresse IP
owasp-crs-v030001-id931110-rfi 1 Nom commun du paramètre vulnérable RFI utilisé avec la charge utile d'URL
owasp-crs-v030001-id931120-rfi 1 Charge utile d'URL utilisée avec le caractère de point d'interrogation de fin (?)
owasp-crs-v030001-id931130-rfi 2 Référence/Lien externe

Vous pouvez configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredExpr() pour désactiver les signatures à des niveaux de sensibilité supérieurs.

Niveau de sensibilité RFI 1 


evaluatePreconfiguredExpr('rfi-v33-stable', ['owasp-crs-v030301-id931130-rfi'])

Toutes les signatures pour RFI sont inférieures au niveau de sensibilité 2. La configuration suivante fonctionne pour d'autres niveaux de sensibilité :

Niveaux de sensibilité RFI 2 


evaluatePreconfiguredExpr('rfi-v33-stable')

Vous pouvez également configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredWaf() avec un paramètre de sensibilité prédéfini. Par défaut, sans configurer de sensibilité à l'ensemble de règles, Google Cloud Armor évalue toutes les signatures.

CRS 3.3

Niveau de sensibilité Expression
1 evaluatePreconfiguredWaf('rfi-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('rfi-v33-stable', {'sensitivity': 2})

CRS 3.0

Niveau de sensibilité Expression
1 evaluatePreconfiguredWaf('rfi-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('rfi-stable', {'sensitivity': 2})

Application de la méthode

Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle préconfigurée d'application de la méthode.

CRS 3.3

ID de signature (ID de règle) Niveau de sensibilité Description
owasp-crs-v030301-id911100-methodenforcement 1 La méthode n'est pas autorisée par la règle

CRS 3.0

ID de signature (ID de règle) Niveau de sensibilité Description
owasp-crs-v030001-id911100-methodenforcement 1 La méthode n'est pas autorisée par la règle

Vous pouvez configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredExpr() pour désactiver les signatures à des niveaux de sensibilité supérieurs. Toutes les signatures de l'application de la méthode sont au niveau de sensibilité 1. La configuration suivante fonctionne pour d'autres niveaux de sensibilité :

Niveau de sensibilité 1 de l'application de la méthode 


evaluatePreconfiguredExpr('methodenforcement-v33-stable')

Vous pouvez également configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredWaf() avec un paramètre de sensibilité prédéfini. Par défaut, sans configurer de sensibilité à l'ensemble de règles, Google Cloud Armor évalue toutes les signatures.

CRS 3.3

Niveau de sensibilité Expression
1 evaluatePreconfiguredWaf('methodenforcement-v33-stable', {'sensitivity': 1})

CRS 3.0

Niveau de sensibilité Expression
1 evaluatePreconfiguredWaf('methodenforcement-stable', {'sensitivity': 1})

Détection du scanner

Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle préconfigurée de détection du scanner.

CRS 3.3

ID de signature (ID de règle) Niveau de sensibilité Description
owasp-crs-v030301-id913100-scannerdetection 1 User-agent associé à un scanner de sécurité
owasp-crs-v030301-id913110-scannerdetection 1 En-tête de requête associé à un scanner de sécurité
owasp-crs-v030301-id913120-scannerdetection 1 Nom de fichier ou un argument de requête associé à un scanner de sécurité
owasp-crs-v030301-id913101-scannerdetection 2 User-agent associé au client HTTP script/générique
owasp-crs-v030301-id913102-scannerdetection 2 User-agent associé au robot d'exploration/bot

CRS 3.0

ID de signature (ID de règle) Niveau de sensibilité Description
owasp-crs-v030001-id913100-scannerdetection 1 User-agent associé à un scanner de sécurité
owasp-crs-v030001-id913110-scannerdetection 1 En-tête de requête associé à un scanner de sécurité
owasp-crs-v030001-id913120-scannerdetection 1 Nom de fichier ou un argument de requête associé à un scanner de sécurité
owasp-crs-v030001-id913101-scannerdetection 2 User-agent associé au client HTTP script/générique
owasp-crs-v030001-id913102-scannerdetection 2 User-agent associé au robot d'exploration/bot

Vous pouvez configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredExpr() pour désactiver les signatures à des niveaux de sensibilité supérieurs.

Niveau de sensibilité de détection du scanner 1 


evaluatePreconfiguredExpr('scannerdetection-v33-stable',
  ['owasp-crs-v030301-id913101-scannerdetection',
  'owasp-crs-v030301-id913102-scannerdetection']
)
Niveau de sensibilité de détection du scanner 2 


evaluatePreconfiguredExpr('scannerdetection-v33-stable')

Vous pouvez également configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredWaf() avec un paramètre de sensibilité prédéfini. Par défaut, sans configurer de sensibilité à l'ensemble de règles, Google Cloud Armor évalue toutes les signatures.

CRS 3.3

Niveau de sensibilité Expression
1 evaluatePreconfiguredWaf('scannerdetection-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('scannerdetection-v33-stable', {'sensitivity': 2})

CRS 3.0

Niveau de sensibilité Expression
1 evaluatePreconfiguredWaf('scannerdetection-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('scannerdetection-stable', {'sensitivity': 2})

Attaque de protocole

Le tableaux suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle préconfigurée d'attaque de protocole.

CRS 3.3

ID de signature (ID de règle) Niveau de sensibilité Description
Not included 1 Attaque de contrebande de requête HTTP
owasp-crs-v030301-id921110-protocolattack 1 Attaque de contrebande de requête HTTP
owasp-crs-v030301-id921120-protocolattack 1 Attaque de division de réponse HTTP
owasp-crs-v030301-id921130-protocolattack 1 Attaque de division de réponse HTTP
owasp-crs-v030301-id921140-protocolattack 1 Attaque d'injection d'en-tête HTTP via des en-têtes
owasp-crs-v030301-id921150-protocolattack 1 Attaque d'injection d'en-tête HTTP via la charge utile (CR/LF détecté)
owasp-crs-v030301-id921160-protocolattack 1 Attaque d'injection d'en-tête HTTP via la charge utile (CR/LF et nom de l'en-tête détectés)
owasp-crs-v030301-id921190-protocolattack 1 Division HTTP (CR/LF dans le nom de fichier de requête détecté)
owasp-crs-v030301-id921200-protocolattack 1 Attaque par injection LDAP
owasp-crs-v030301-id921151-protocolattack 2 Attaque d'injection d'en-tête HTTP via la charge utile (CR/LF détecté)
owasp-crs-v030301-id921170-protocolattack 3 Pollution des paramètres HTTP

CRS 3.0

ID de signature (ID de règle) Niveau de sensibilité Description
owasp-crs-v030001-id921100-protocolattack 1 Attaque de contrebande de requête HTTP
owasp-crs-v030001-id921110-protocolattack 1 Attaque de contrebande de requête HTTP
owasp-crs-v030001-id921120-protocolattack 1 Attaque de division de réponse HTTP
owasp-crs-v030001-id921130-protocolattack 1 Attaque de division de réponse HTTP
owasp-crs-v030001-id921140-protocolattack 1 Attaque d'injection d'en-tête HTTP via des en-têtes
owasp-crs-v030001-id921150-protocolattack 1 Attaque d'injection d'en-tête HTTP via la charge utile (CR/LF détecté)
owasp-crs-v030001-id921160-protocolattack 1 Attaque d'injection d'en-tête HTTP via la charge utile (CR/LF et nom de l'en-tête détectés)
Not included 1 Division HTTP (CR/LF dans le nom de fichier de requête détecté)
Not included 1 Attaque par injection LDAP
owasp-crs-v030001-id921151-protocolattack 2 Attaque d'injection d'en-tête HTTP via la charge utile (CR/LF détecté)
owasp-crs-v030001-id921170-protocolattack 3 Pollution des paramètres HTTP

Vous pouvez configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredExpr() pour désactiver les signatures à des niveaux de sensibilité supérieurs.

Niveau de sensibilité du protocole d'attaque 1 


evaluatePreconfiguredExpr('protocolattack-v33-stable',
  ['owasp-crs-v030301-id921151-protocolattack',
  'owasp-crs-v030301-id921170-protocolattack']
)
Niveau de sensibilité du protocole d'attaque 2 


evaluatePreconfiguredExpr('protocolattack-v33-stable',
  ['owasp-crs-v030301-id921170-protocolattack']
)
Niveau de sensibilité du protocole d'attaque 3 


evaluatePreconfiguredExpr('protocolattack-v33-stable')

Vous pouvez également configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredWaf() avec un paramètre de sensibilité prédéfini. Par défaut, sans configurer de sensibilité à l'ensemble de règles, Google Cloud Armor évalue toutes les signatures.

CRS 3.3

Niveau de sensibilité Expression
1 evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 3})

CRS 3.0

Niveau de sensibilité Expression
1 evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 3})

PHP

Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle WAF préconfigurée PHP.

CRS 3.3

ID de signature (ID de règle) Niveau de sensibilité Description
owasp-crs-v030301-id933100-php 1 Attaque par injection PHP : tag PHP ouvert trouvé
owasp-crs-v030301-id933110-php 1 Attaque par injection PHP : importation du fichier de script PHP
owasp-crs-v030301-id933120-php 1 Attaque par injection PHP : directive de configuration trouvée
owasp-crs-v030301-id933130-php 1 Attaque par injection PHP : variables trouvées
owasp-crs-v030301-id933140-php 1 Attaque par injection PHP : flux d'E/S trouvé
owasp-crs-v030301-id933200-php 1 Attaque par injection PHP : schéma de wrapper détecté
owasp-crs-v030301-id933150-php 1 Attaque par injection PHP : nom de fonction PHP à haut risque détecté
owasp-crs-v030301-id933160-php 1 Attaque par injection PHP : appel de fonction PHP à haut risque détecté
owasp-crs-v030301-id933170-php 1 Attaque par injection PHP : injection d'objets en série
owasp-crs-v030301-id933180-php 1 Attaque par injection PHP : appel de fonction variable détecté
owasp-crs-v030301-id933210-php 1 Attaque par injection PHP : appel de fonction variable détecté
owasp-crs-v030301-id933151-php 2 Attaque par injection PHP : nom de fonction PHP à risque moyen détecté
owasp-crs-v030301-id933131-php 3 Attaque par injection PHP : variables trouvées
owasp-crs-v030301-id933161-php 3 Attaque par injection PHP : appel de fonction PHP à valeur faible détecté
owasp-crs-v030301-id933111-php 3 Attaque par injection PHP : importation du fichier de script PHP
owasp-crs-v030301-id933190-php 3 Attaque par injection PHP : tag PHP fermé trouvé

CRS 3.0

ID de signature (ID de règle) Niveau de sensibilité Description
owasp-crs-v030001-id933100-php 1 Attaque par injection PHP : tag PHP ouvert trouvé
owasp-crs-v030001-id933110-php 1 Attaque par injection PHP : importation du fichier de script PHP
owasp-crs-v030001-id933120-php 1 Attaque par injection PHP : directive de configuration trouvée
owasp-crs-v030001-id933130-php 1 Attaque par injection PHP : variables trouvées
owasp-crs-v030001-id933140-php 1 Attaque par injection PHP : flux d'E/S trouvé
Not included 1 Attaque par injection PHP : schéma de wrapper détecté
owasp-crs-v030001-id933150-php 1 Attaque par injection PHP : nom de fonction PHP à haut risque détecté
owasp-crs-v030001-id933160-php 1 Attaque par injection PHP : appel de fonction PHP à haut risque détecté
owasp-crs-v030001-id933170-php 1 Attaque par injection PHP : injection d'objets en série
owasp-crs-v030001-id933180-php 1 Attaque par injection PHP : appel de fonction variable détecté
Not included 1 Attaque par injection PHP : appel de fonction variable détecté
owasp-crs-v030001-id933151-php 2 Attaque par injection PHP : nom de fonction PHP à risque moyen détecté
owasp-crs-v030001-id933131-php 3 Attaque par injection PHP : variables trouvées
owasp-crs-v030001-id933161-php 3 Attaque par injection PHP : appel de fonction PHP à valeur faible détecté
owasp-crs-v030001-id933111-php 3 Attaque par injection PHP : importation du fichier de script PHP
Not included 3 Attaque par injection PHP : tag PHP fermé trouvé

Vous pouvez configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredExpr() pour désactiver les signatures à des niveaux de sensibilité supérieurs.

Niveau de sensibilité de l'attaque par injection PHP 1 


evaluatePreconfiguredExpr('php-v33-stable',
['owasp-crs-v030301-id933151-php',
  'owasp-crs-v030301-id933131-php',
  'owasp-crs-v030301-id933161-php',
  'owasp-crs-v030301-id933111-php',
  'owasp-crs-v030301-id933190-php']
)
Niveau de sensibilité de l'attaque par injection PHP 2 


evaluatePreconfiguredExpr('php-v33-stable',
  ['owasp-crs-v0303001-id933131-php',
  'owasp-crs-v0303001-id933161-php',
  'owasp-crs-v0303001-id933111-php',
  'owasp-crs-v030301-id933190-php'])
Niveau de sensibilité de l'attaque par injection PHP 3 


evaluatePreconfiguredExpr('php-v33-stable')

Vous pouvez également configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredWaf() avec un paramètre de sensibilité prédéfini. Par défaut, sans configurer de sensibilité à l'ensemble de règles, Google Cloud Armor évalue toutes les signatures.

CRS 3.3

Niveau de sensibilité Expression
1 evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 3})

CRS 3.0

Niveau de sensibilité Expression
1 evaluatePreconfiguredWaf('php-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('php-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('php-stable', {'sensitivity': 3})

Réparation des sessions

Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle préconfigurée de réparation des sessions.

CRS 3.3

ID de signature (ID de règle) Niveau de sensibilité Description
owasp-crs-v030301-id943100-sessionfixation 1 Possible attaque de réparation de session : définition de valeurs de cookie en HTML
owasp-crs-v030301-id943110-sessionfixation 1 Possible attaque de réparation de session : nom du paramètre SessionID avec référent hors domaine
owasp-crs-v030301-id943120-sessionfixation 1 Possible attaque de réparation de session : nom du paramètre SessionID sans référent

CRS 3.0

ID de signature (ID de règle) Niveau de sensibilité Description
owasp-crs-v030001-id943100-sessionfixation 1 Possible attaque de réparation de session : définition de valeurs de cookie en HTML
owasp-crs-v030001-id943110-sessionfixation 1 Possible attaque de réparation de session : nom du paramètre SessionID avec référent hors domaine
owasp-crs-v030001-id943120-sessionfixation 1 Possible attaque de réparation de session : nom du paramètre SessionID sans référent

Vous pouvez configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredExpr() pour désactiver les signatures à des niveaux de sensibilité supérieurs. Toutes les signatures pour la réparation des sessions sont au niveau de sensibilité 1. La configuration suivante fonctionne pour tous les niveaux de sensibilité :

Niveau de sensibilité 1 de réparation des sessions 


evaluatePreconfiguredExpr('sessionfixation-v33-stable')

Vous pouvez également configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredWaf() avec un paramètre de sensibilité prédéfini. Toutes les signatures pour la réparation des sessions sont au niveau de sensibilité 1. La configuration suivante fonctionne pour tous les niveaux de sensibilité :

CRS 3.3

Niveau de sensibilité Expression
1 evaluatePreconfiguredWaf('sessionfixation-v33-stable', {'sensitivity': 1})

CRS 3.0

Niveau de sensibilité Expression
1 evaluatePreconfiguredWaf('sessionfixation-stable', {'sensitivity': 1})

Attaque Java

Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle préconfigurée d'attaque Java.

CRS 3.3

ID de signature (ID de règle) Niveau de sensibilité Description
owasp-crs-v030301-id944100-java 1 Exécution de commande à distance : classe Java suspecte détectée
owasp-crs-v030301-id944110-java 1 Exécution de commande à distance : génération de processus Java (CVE-2017-9805)
owasp-crs-v030301-id944120-java 1 Exécution de commande à distance : sérialisation Java (CVE-2015-4852)
owasp-crs-v030301-id944130-java 1 Classe Java suspecte détectée
owasp-crs-v030301-id944200-java 2 Octets magiques détectés, sérialisation Java probablement en cours d'utilisation
owasp-crs-v030301-id944210-java 2 Octets magiques détectés encodés en base64, sérialisation Java probablement en cours d'utilisation
owasp-crs-v030301-id944240-java 2 Exécution de commande à distance : sérialisation Java (CVE-2015-4852)
owasp-crs-v030301-id944250-java 2 Exécution de commande à distance : méthode Java suspecte détectée
owasp-crs-v030301-id944300-java 3 Chaîne encodée en base64 mise en correspondance avec un mot clé suspect

CRS 3.0

ID de signature (ID de règle) Niveau de sensibilité Description
Not included 1 Exécution de commande à distance : classe Java suspecte détectée
Not included 1 Exécution de commande à distance : génération de processus Java (CVE-2017-9805)
Not included 1 Exécution de commande à distance : sérialisation Java (CVE-2015-4852)
Not included 1 Classe Java suspecte détectée
Not included 2 Octets magiques détectés, sérialisation Java probablement en cours d'utilisation
Not included 2 Octets magiques détectés encodés en base64, sérialisation Java probablement en cours d'utilisation
Not included 2 Exécution de commande à distance : sérialisation Java (CVE-2015-4852)
Not included 2 Exécution de commande à distance : méthode Java suspecte détectée
Not included 3 Chaîne encodée en base64 mise en correspondance avec un mot clé suspect

Vous pouvez configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredExpr() pour désactiver les signatures à des niveaux de sensibilité supérieurs.

Niveau de sensibilité 1 de l'attaque Java 


evaluatePreconfiguredExpr('java-v33-stable',
['owasp-crs-v030301-id944200-java',
 'owasp-crs-v030301-id944210-java',
 'owasp-crs-v030301-id944240-java',
 'owasp-crs-v030301-id944250-java',
 'owasp-crs-v030301-id944300-java'])
Niveau de sensibilité 2 de l'attaque Java 


evaluatePreconfiguredExpr('java-v33-stable',
['owasp-crs-v030301-id944300-java'])
Niveau de sensibilité 3 de l'attaque Java 


evaluatePreconfiguredExpr('java-v33-stable')

Vous pouvez également configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredWaf() avec un paramètre de sensibilité prédéfini. Par défaut, sans configurer de sensibilité à l'ensemble de règles, Google Cloud Armor évalue toutes les signatures.

Niveau de sensibilité Expression
1 evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 3})

Attaque NodeJS

Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle préconfigurée d'attaque NodeJS.

Les signatures de règles WAF préconfigurées suivantes ne sont incluses que dans CRS 3.3.

CRS 3.3

ID de signature (ID de règle) Niveau de sensibilité Description
owasp-crs-v030301-id934100-nodejs 1 Attaque par injection Node.js

CRS 3.0

ID de signature (ID de règle) Niveau de sensibilité Description
Not included 1 Attaque par injection Node.js

Vous pouvez configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredExpr() pour désactiver les signatures à des niveaux de sensibilité supérieurs. Toutes les signatures de l'attaque NodeJS sont au niveau de sensibilité 1. La configuration suivante fonctionne pour d'autres niveaux de sensibilité :

Niveau de sensibilité 1 NodeJS 


evaluatePreconfiguredExpr('nodejs-v33-stable')

Vous pouvez également configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredWaf() avec un paramètre de sensibilité prédéfini. Toutes les signatures de l'attaque NodeJS sont au niveau de sensibilité 1. La configuration suivante fonctionne pour d'autres niveaux de sensibilité :

Niveau de sensibilité Expression
1 evaluatePreconfiguredWaf('nodejs-v33-stable', {'sensitivity': 1})

CVE et autres failles

Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle préconfigurée sur la faille CVE Log4j RCE.

ID de signature (ID de règle) Niveau de sensibilité Description
owasp-crs-v030001-id044228-cve 1 Règle de base pour détecter les tentatives d'exploitation de CVE-2021-44228 et CVE-2021-45046
owasp-crs-v030001-id144228-cve 1 Améliorations fournies par Google pour couvrir davantage de tentatives de contournement et d'obscurcissement
owasp-crs-v030001-id244228-cve 3 Sensibilité de détection accrue pour cibler davantage de tentatives de contournement et d'obscurcissement, avec une augmentation nominale du risque de détection de faux positifs
owasp-crs-v030001-id344228-cve 3 Sensibilité de détection accrue pour cibler davantage de tentatives de contournement et d'obscurcissement utilisant l'encodage base64, avec une augmentation nominale du risque de détection de faux positifs

Vous pouvez configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredExpr() pour désactiver les signatures à des niveaux de sensibilité supérieurs.

Niveau de sensibilité 1 CVE 


evaluatePreconfiguredExpr('cve-canary', ['owasp-crs-v030001-id244228-cve',
  'owasp-crs-v030001-id344228-cve'])
Niveau de sensibilité 3 CVE 


evaluatePreconfiguredExpr('cve-canary')

Vous pouvez également configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredWaf() avec un paramètre de sensibilité prédéfini. Par défaut, sans configurer de sensibilité à l'ensemble de règles, Google Cloud Armor évalue toutes les signatures.

Niveau de sensibilité Expression
1 evaluatePreconfiguredWaf('cve-canary', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('cve-canary', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('cve-canary', {'sensitivity': 3})

Failles SQLi liées au contenu au format JSON

Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de la signature compatible 942550-sqli, qui couvre la faille dans laquelle des pirates informatiques peuvent contourner WAF en ajoutant une syntaxe JSON aux charges utiles d'injection SQL.

ID de signature (ID de règle) Niveau de sensibilité Description
owasp-crs-id942550-sqli 2 Détecte tous les vecteurs SQLi basés sur JSON, y compris les signatures SQLi trouvées dans l'URL

Utilisez l'expression suivante pour déployer la signature:

  evaluatePreconfiguredWaf('json-sqli-canary', {'sensitivity':0, 'opt_in_rule_ids': ['owasp-crs-id942550-sqli']})

Nous vous recommandons également d'activer sqli-v33-stable au niveau de sensibilité 2 pour résoudre entièrement les contournements d'injection SQL basés sur JSON.

Limites

Les règles préconfigurées Google Cloud Armor présentent les limites suivantes :

  • Parmi les types de requêtes HTTP avec un corps de requête, Google Cloud Armor ne traite que les requêtes POST. Google Cloud Armor évalue les règles préconfigurées par rapport aux huit premiers ko du contenu du corps POST. Pour en savoir plus, consultez la section Limite d'inspection du corps POST.
  • Google Cloud Armor peut analyser et appliquer des règles WAF préconfigurées lorsque l'analyse JSON est activée avec une valeur d'en-tête Content-Type correspondante. Pour en savoir plus, consultez la section Analyse JSON.

Étapes suivantes