Les règles WAF préconfigurées Google Cloud Armor sont des règles complexes de pare-feu d'application Web (WAF, web application firewall) composées de dizaines de signatures, qui sont compilées à partir des normes Open Source. Chaque signature correspond à une règle de détection d'attaques dans l'ensemble de règles. Google propose ces règles telles quelles. Elles permettent à Google Cloud Armor d'évaluer des dizaines de signatures de trafic distinctes en s'appuyant sur des règles nommés facilement, plutôt que de devoir définir chaque signature manuellement.
Les règles WAF préconfigurées de Google Cloud Armor peuvent être adaptées à vos besoins. Pour en savoir plus sur le réglage des règles, consultez la page Régler les règles WAF Google Cloud Armor préconfigurées.
Le tableau suivant contient une liste complète des règles WAF préconfigurées pouvant être utilisées dans une stratégie de sécurité Google Cloud Armor. Les sources de règles sont ModSecurity Core Rule Set (CRS) 3.0 et CRS 3.3.
Nous vous recommandons d'utiliser la version 3.3 pour plus de sensibilité et pour avoir plus de types d'attaques protégées. La prise en charge de CRS 3.0 est en cours.
CRS 3.3
| Nom de la règle Google Cloud Armor |
Nom de la règle ModSecurity |
État actuel |
| Injection SQL |
sqli-v33-stable |
Synchronisée avec sqli-v33-canary |
sqli-v33-canary |
Le plus récent |
| Script intersites |
xss-v33-stable |
Synchronisée avec xss-v33-canary |
xss-v33-canary |
Le plus récent |
| Inclusion de fichiers locaux |
lfi-v33-stable |
Synchronisée avec lfi-v33-canary |
lfi-v33-canary |
Le plus récent |
| Inclusion de fichiers distants |
rfi-v33-stable |
Synchronisée avec rfi-v33-canary |
rfi-v33-canary |
Le plus récent |
| Exécution de code à distance |
rce-v33-stable |
Synchronisée avec rce-v33-canary |
rce-v33-canary |
Le plus récent |
| Application de la méthode |
methodenforcement-v33-stable |
Synchronisée avec methodenforcement-v33-canary |
methodenforcement-v33-canary |
Le plus récent |
| Détection du scanner |
scannerdetection-v33-stable |
Synchronisée avec scannerdetection-v33-canary |
scannerdetection-v33-canary |
Le plus récent |
| Attaque de protocole |
protocolattack-v33-stable |
Synchronisée avec protocolattack-v33-canary |
protocolattack-v33-canary |
Le plus récent |
| Attaque par injection PHP |
php-v33-stable |
Synchronisée avec php-v33-canary |
php-v33-canary |
Le plus récent |
| Attaque de réparation de session |
sessionfixation-v33-stable |
Synchronisée avec sessionfixation-v33-canary |
sessionfixation-v33-canary |
Le plus récent |
| Attaque Java |
java-v33-stable |
Synchronisée avec java-v33-canary |
java-v33-canary |
Le plus récent |
| Attaque NodeJS |
nodejs-v33-stable |
Synchronisée avec nodejs-v33-canary |
nodejs-v33-canary |
Le plus récent |
CRS 3.0
| Nom de la règle Google Cloud Armor |
Nom de la règle ModSecurity |
État actuel |
| Injection SQL |
sqli-stable |
Synchronisée avec sqli-canary |
sqli-canary |
Le plus récent |
| Script intersites |
xss-stable |
Synchronisée avec xss-canary |
xss-canary |
Le plus récent |
| Inclusion de fichiers locaux |
lfi-stable |
Synchronisée avec lfi-canary |
lfi-canary |
Le plus récent |
| Inclusion de fichiers distants |
rfi-stable |
Synchronisée avec rfi-canary |
rfi-canary |
Le plus récent |
| Exécution de code à distance |
rce-stable |
Synchronisée avec rce-canary |
rce-canary |
Le plus récent |
| Application de la méthode |
methodenforcement-stable |
Synchronisée avec methodenforcement-canary |
methodenforcement-canary |
Le plus récent |
| Détection du scanner |
scannerdetection-stable |
Synchronisée avec scannerdetection-canary |
scannerdetection-canary |
Le plus récent |
| Attaque de protocole |
protocolattack-stable |
Synchronisée avec protocolattack-canary |
protocolattack-canary |
Le plus récent |
| Attaque par injection PHP |
php-stable |
Synchronisée avec php-canary |
php-canary |
Le plus récent |
| Attaque de réparation de session |
sessionfixation-stable |
Synchronisée avec sessionfixation-canary |
sessionfixation-canary |
Le plus récent |
| Attaque Java |
Not included |
| Attaque NodeJS |
Not included |
De plus, les règles cve-canary suivantes sont disponibles pour tous les clients Google Cloud Armor afin de faciliter la détection et le blocage des failles suivantes:
- Failles
CVE-2021-44228 et CVE-2021-45046 Log4j RCE
942550-sqli faille de contenu au format JSON
| Nom de la règle Google Cloud Armor |
Types de failles couverts |
cve-canary |
Faille Log4j |
json-sqli-canary |
La faille de contournement de l'injection SQL basée sur JSON |
Chaque règle WAF préconfigurée a un niveau de sensibilité qui correspond à un niveau de paranoïa ModSecurity.
Un niveau de sensibilité inférieur indique une signature à confiance élevée, qui est moins susceptible de générer un faux positif. Un niveau de sensibilité plus élevé augmente la sécurité, mais augmente également le risque de générer un faux positif.
Injection SQL (SQLi)
Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle WAF préconfigurée SQLi.
CRS 3.3
| ID de signature (ID de règle) |
Niveau de sensibilité |
Description |
owasp-crs-v030301-id942100-sqli |
1 |
Attaque par injection SQL détectée via libinjection |
owasp-crs-v030301-id942140-sqli |
1 |
Attaque par injection SQL : noms de base de données courants détectés |
owasp-crs-v030301-id942160-sqli |
1 |
Détecte les tests SQLi à l'aveugle à l'aide de la méthode sleep() ou benchmark() |
owasp-crs-v030301-id942170-sqli |
1 |
Détecte les tentatives d'injection SQL par les méthodes benchmark et sleep, y compris les requêtes conditionnelles |
owasp-crs-v030301-id942190-sqli |
1 |
Détecte les tentatives de collecte d'informations et d'exécution de code MSSQL |
owasp-crs-v030301-id942220-sqli |
1 |
Recherche les attaques par dépassement de capacité d'entiers |
owasp-crs-v030301-id942230-sqli |
1 |
Détecte les tentatives d'injection de code SQL conditionnel |
owasp-crs-v030301-id942240-sqli |
1 |
Détecte les tentatives de basculement de charset MySQL et d'attaque DoS MSSQL |
owasp-crs-v030301-id942250-sqli |
1 |
Détecte les injections de code MATCH AGAINST |
owasp-crs-v030301-id942270-sqli |
1 |
Recherche l'injection SQL de base, chaîne d'attaque courante pour MySql |
owasp-crs-v030301-id942280-sqli |
1 |
Détecte l'injection de Postgres pg_sleep |
owasp-crs-v030301-id942290-sqli |
1 |
Recherche les tentatives d'injection SQL MongoDB de base |
owasp-crs-v030301-id942320-sqli |
1 |
Détecte les injections de fonctions/procédures stockées MySQL et PostgreSQL |
owasp-crs-v030301-id942350-sqli |
1 |
Détecte l'injection de code UDF MySQL et d'autres tentatives de manipulation de données/structures |
owasp-crs-v030301-id942360-sqli |
1 |
Détecte l'injection SQL de base concaténée et les tentatives SQLLFI |
owasp-crs-v030301-id942500-sqli |
1 |
Commentaire intégré MySQL détecté |
owasp-crs-v030301-id942110-sqli |
2 |
Attaque par injection SQL : test d'injection commune détecté |
owasp-crs-v030301-id942120-sqli |
2 |
Attaque par injection SQL : opérateur SQL détecté |
owasp-crs-v030301-id942130-sqli |
2 |
Attaque par injection SQL: SQL Tautology détecté |
owasp-crs-v030301-id942150-sqli |
2 |
Attaque par injection SQL |
owasp-crs-v030301-id942180-sqli |
2 |
Détecte les tentatives de contournement de l'authentification SQL de base 1/3 |
owasp-crs-v030301-id942200-sqli |
2 |
Détecte les injections MySQL de type comment-/space-obfuscated et d'accent grave |
owasp-crs-v030301-id942210-sqli |
2 |
Détecte les tentatives d'injection de code SQL en chaîne 1/2 |
owasp-crs-v030301-id942260-sqli |
2 |
Détecte les tentatives de contournement de l'authentification SQL de base 2/3 |
owasp-crs-v030301-id942300-sqli |
2 |
Détecte les commentaires MySQL |
owasp-crs-v030301-id942310-sqli |
2 |
Détecte les tentatives d'injection de code SQL en chaîne 2/2 |
owasp-crs-v030301-id942330-sqli |
2 |
Détecte les sondes d'injection SQL classiques 1/2 |
owasp-crs-v030301-id942340-sqli |
2 |
Détecte les tentatives de contournement de l'authentification SQL de base 3/3 |
owasp-crs-v030301-id942361-sqli |
2 |
Détecte l'injection SQL de base en fonction d'une modification ou d'une union de mots clés |
owasp-crs-v030301-id942370-sqli |
2 |
Détecte les sondes d'injection SQL classiques 2/3 |
owasp-crs-v030301-id942380-sqli |
2 |
Attaque par injection SQL |
owasp-crs-v030301-id942390-sqli |
2 |
Attaque par injection SQL |
owasp-crs-v030301-id942400-sqli |
2 |
Attaque par injection SQL |
owasp-crs-v030301-id942410-sqli |
2 |
Attaque par injection SQL |
owasp-crs-v030301-id942470-sqli |
2 |
Attaque par injection SQL |
owasp-crs-v030301-id942480-sqli |
2 |
Attaque par injection SQL |
owasp-crs-v030301-id942430-sqli |
2 |
Détection d'anomalies liées à la limite de caractères SQL (args) : nombre de caractères spéciaux dépassé (12) |
owasp-crs-v030301-id942440-sqli |
2 |
Séquence de commentaire SQL détectée |
owasp-crs-v030301-id942450-sqli |
2 |
Encodage hexadécimal SQL identifié |
owasp-crs-v030301-id942510-sqli |
2 |
Tentative de contournement SQLi par des accents aigus ou graves détectée |
owasp-crs-v030301-id942251-sqli |
3 |
Détecte les injections de code HAVING |
owasp-crs-v030301-id942490-sqli |
3 |
Détecte les sondes d'injection SQL classiques 3/3 |
owasp-crs-v030301-id942420-sqli |
3 |
Détection d'anomalies liées à la limite de caractères SQL (cookies) : nombre de caractères spéciaux dépassé (8) |
owasp-crs-v030301-id942431-sqli |
3 |
Détection d'anomalies liées à la limite de caractères SQL (args) : nombre de caractères spéciaux dépassé (6) |
owasp-crs-v030301-id942460-sqli |
3 |
Alerte de détection d'anomalies liées aux métacaractères – Caractères non textuels répétitifs |
owasp-crs-v030301-id942101-sqli |
3 |
Attaque par injection SQL détectée via libinjection |
owasp-crs-v030301-id942511-sqli |
3 |
Tentative de contournement SQLi par des accents aigus détectée |
owasp-crs-v030301-id942421-sqli |
4 |
Détection d'anomalies liées à la limite de caractères SQL (cookies) : nombre de caractères spéciaux dépassé (3) |
owasp-crs-v030301-id942432-sqli |
4 |
Détection d'anomalies liées à la limite de caractères SQL (args) : nombre de caractères spéciaux dépassé (2) |
CRS 3.0
| ID de signature (ID de règle) |
Niveau de sensibilité |
Description |
Not included |
1 |
Attaque par injection SQL détectée via libinjection |
owasp-crs-v030001-id942140-sqli |
1 |
Attaque par injection SQL : noms de base de données courants détectés |
owasp-crs-v030001-id942160-sqli |
1 |
Détecte les tests SQLi à l'aveugle à l'aide de la méthode sleep() ou benchmark() |
owasp-crs-v030001-id942170-sqli |
1 |
Détecte les tentatives d'injection SQL par les méthodes benchmark et sleep, y compris les requêtes conditionnelles |
owasp-crs-v030001-id942190-sqli |
1 |
Détecte les tentatives de collecte d'informations et d'exécution de code MSSQL |
owasp-crs-v030001-id942220-sqli |
1 |
Recherche les attaques par dépassement de capacité d'entiers |
owasp-crs-v030001-id942230-sqli |
1 |
Détecte les tentatives d'injection de code SQL conditionnel |
owasp-crs-v030001-id942240-sqli |
1 |
Détecte les tentatives de basculement de charset MySQL et d'attaque DoS MSSQL |
owasp-crs-v030001-id942250-sqli |
1 |
Détecte les injections de code MATCH AGAINST |
owasp-crs-v030001-id942270-sqli |
1 |
Recherche l'injection SQL de base, chaîne d'attaque courante pour MySql |
owasp-crs-v030001-id942280-sqli |
1 |
Détecte l'injection de Postgres pg_sleep |
owasp-crs-v030001-id942290-sqli |
1 |
Recherche les tentatives d'injection SQL MongoDB de base |
owasp-crs-v030001-id942320-sqli |
1 |
Détecte les injections de fonctions/procédures stockées MySQL et PostgreSQL |
owasp-crs-v030001-id942350-sqli |
1 |
Détecte l'injection de code UDF MySQL et d'autres tentatives de manipulation de données/structures |
owasp-crs-v030001-id942360-sqli |
1 |
Détecte l'injection SQL de base concaténée et les tentatives SQLLFI |
Not included |
1 |
Commentaire intégré MySQL détecté |
owasp-crs-v030001-id942110-sqli |
2 |
Attaque par injection SQL : test d'injection commune détecté |
owasp-crs-v030001-id942120-sqli |
2 |
Attaque par injection SQL : opérateur SQL détecté |
Not included |
2 |
Attaque par injection SQL: SQL Tautology détecté |
owasp-crs-v030001-id942150-sqli |
2 |
Attaque par injection SQL |
owasp-crs-v030001-id942180-sqli |
2 |
Détecte les tentatives de contournement de l'authentification SQL de base 1/3 |
owasp-crs-v030001-id942200-sqli |
2 |
Détecte les injections MySQL de type comment-/space-obfuscated et d'accent grave |
owasp-crs-v030001-id942210-sqli |
2 |
Détecte les tentatives d'injection de code SQL en chaîne 1/2 |
owasp-crs-v030001-id942260-sqli |
2 |
Détecte les tentatives de contournement de l'authentification SQL de base 2/3 |
owasp-crs-v030001-id942300-sqli |
2 |
Détecte les commentaires MySQL |
owasp-crs-v030001-id942310-sqli |
2 |
Détecte les tentatives d'injection de code SQL en chaîne 2/2 |
owasp-crs-v030001-id942330-sqli |
2 |
Détecte les sondes d'injection SQL classiques 1/2 |
owasp-crs-v030001-id942340-sqli |
2 |
Détecte les tentatives de contournement de l'authentification SQL de base 3/3 |
Not included |
2 |
Détecte l'injection SQL de base en fonction d'une modification ou d'une union de mots clés |
Not included |
2 |
Détecte les sondes d'injection SQL classiques 2/3 |
owasp-crs-v030001-id942380-sqli |
2 |
Attaque par injection SQL |
owasp-crs-v030001-id942390-sqli |
2 |
Attaque par injection SQL |
owasp-crs-v030001-id942400-sqli |
2 |
Attaque par injection SQL |
owasp-crs-v030001-id942410-sqli |
2 |
Attaque par injection SQL |
Not included |
2 |
Attaque par injection SQL |
Not included |
2 |
Attaque par injection SQL |
owasp-crs-v030001-id942430-sqli |
2 |
Détection d'anomalies liées à la limite de caractères SQL (args) : nombre de caractères spéciaux dépassé (12) |
owasp-crs-v030001-id942440-sqli |
2 |
Séquence de commentaire SQL détectée |
owasp-crs-v030001-id942450-sqli |
2 |
Encodage hexadécimal SQL identifié |
Not included |
2 |
Tentative de contournement SQLi par des accents aigus ou graves détectée |
owasp-crs-v030001-id942251-sqli |
3 |
Détecte les injections de code HAVING |
Not included |
2 |
Détecte les sondes d'injection SQL classiques 3/3 |
owasp-crs-v030001-id942420-sqli |
3 |
Détection d'anomalies liées à la limite de caractères SQL (cookies) : nombre de caractères spéciaux dépassé (8) |
owasp-crs-v030001-id942431-sqli |
3 |
Détection d'anomalies liées à la limite de caractères SQL (args) : nombre de caractères spéciaux dépassé (6) |
owasp-crs-v030001-id942460-sqli |
3 |
Alerte de détection d'anomalies liées aux métacaractères – Caractères non textuels répétitifs |
Not included |
3 |
Attaque par injection SQL détectée via libinjection |
Not included |
3 |
Tentative de contournement SQLi par des accents aigus détectée |
owasp-crs-v030001-id942421-sqli |
4 |
Détection d'anomalies liées à la limite de caractères SQL (cookies) : nombre de caractères spéciaux dépassé (3) |
owasp-crs-v030001-id942432-sqli |
4 |
Détection d'anomalies liées à la limite de caractères SQL (args) : nombre de caractères spéciaux dépassé (2) |
Vous pouvez configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredExpr() pour désactiver les signatures à des niveaux de sensibilité plus élevés.
| Niveau de sensibilité SQLi 1 |
evaluatePreconfiguredExpr('sqli-v33-stable',
['owasp-crs-v030301-id942110-sqli',
'owasp-crs-v030301-id942120-sqli',
'owasp-crs-v030301-id942130-sqli',
'owasp-crs-v030301-id942150-sqli',
'owasp-crs-v030301-id942180-sqli',
'owasp-crs-v030301-id942200-sqli',
'owasp-crs-v030301-id942210-sqli',
'owasp-crs-v030301-id942260-sqli',
'owasp-crs-v030301-id942300-sqli',
'owasp-crs-v030301-id942310-sqli',
'owasp-crs-v030301-id942330-sqli',
'owasp-crs-v030301-id942340-sqli',
'owasp-crs-v030301-id942361-sqli',
'owasp-crs-v030301-id942370-sqli',
'owasp-crs-v030301-id942380-sqli',
'owasp-crs-v030301-id942390-sqli',
'owasp-crs-v030301-id942400-sqli',
'owasp-crs-v030301-id942410-sqli',
'owasp-crs-v030301-id942470-sqli',
'owasp-crs-v030301-id942480-sqli',
'owasp-crs-v030301-id942430-sqli',
'owasp-crs-v030301-id942440-sqli',
'owasp-crs-v030301-id942450-sqli',
'owasp-crs-v030301-id942510-sqli',
'owasp-crs-v030301-id942251-sqli',
'owasp-crs-v030301-id942490-sqli',
'owasp-crs-v030301-id942420-sqli',
'owasp-crs-v030301-id942431-sqli',
'owasp-crs-v030301-id942460-sqli',
'owasp-crs-v030301-id942101-sqli',
'owasp-crs-v030301-id942511-sqli',
'owasp-crs-v030301-id942421-sqli',
'owasp-crs-v030301-id942432-sqli']
)
|
| Niveau de sensibilité SQLi 2 |
evaluatePreconfiguredExpr('sqli-v33-stable',
['owasp-crs-v030301-id942251-sqli',
'owasp-crs-v030301-id942490-sqli',
'owasp-crs-v030301-id942420-sqli',
'owasp-crs-v030301-id942431-sqli',
'owasp-crs-v030301-id942460-sqli',
'owasp-crs-v030301-id942101-sqli',
'owasp-crs-v030301-id942511-sqli',
'owasp-crs-v030301-id942421-sqli',
'owasp-crs-v030301-id942432-sqli']
)
|
| Niveau de sensibilité SQLi 3 |
evaluatePreconfiguredExpr('sqli-v33-stable',
['owasp-crs-v030301-id942421-sqli',
'owasp-crs-v030301-id942432-sqli']
)
|
| Niveau de sensibilité SQLi 4 |
evaluatePreconfiguredExpr('sqli-v33-stable')
|
Vous pouvez également configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredWaf() avec un paramètre de sensibilité prédéfini. Par défaut, sans configurer de sensibilité à l'ensemble de règles, Google Cloud Armor évalue toutes les signatures.
CRS 3.3
| Niveau de sensibilité |
Expression |
| 1 |
evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 2}) |
| 3 |
evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 3}) |
| 4 |
evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 4}) |
CRS 3.0
| Niveau de sensibilité |
Expression |
| 1 |
evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 2}) |
| 3 |
evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 3}) |
| 4 |
evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 4}) |
Script intersites (XSS)
Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle WAF préconfigurée XSS.
CRS 3.3
| ID de signature (ID de règle) |
Niveau de sensibilité |
Description |
owasp-crs-v030301-id941100-xss |
1 |
Attaque XSS détectée via libinjection |
owasp-crs-v030301-id941110-xss |
1 |
Filtre XSS – Catégorie 1 : vecteur de balise de script |
owasp-crs-v030301-id941120-xss |
1 |
Filtre XSS – Catégorie 2 : vecteur de gestionnaire d'événements |
owasp-crs-v030301-id941130-xss |
1 |
Filtre XSS – Catégorie 3 : vecteur d'attribut |
owasp-crs-v030301-id941140-xss |
1 |
Filtre XSS – Catégorie 4 : vecteur d'URI JavaScript |
owasp-crs-v030301-id941160-xss |
1 |
NoScript XSS InjectionChecker : injection de code HTML |
owasp-crs-v030301-id941170-xss |
1 |
NoScript XSS InjectionChecker : injection d'attribut |
owasp-crs-v030301-id941180-xss |
1 |
Mots clés de la liste noire du valideur de nœuds |
owasp-crs-v030301-id941190-xss |
1 |
Filtres XSS IE – Attaque détectée |
owasp-crs-v030301-id941200-xss |
1 |
Filtres XSS IE – Attaque détectée |
owasp-crs-v030301-id941210-xss |
1 |
Filtres XSS IE – Attaque détectée |
owasp-crs-v030301-id941220-xss |
1 |
Filtres XSS IE – Attaque détectée |
owasp-crs-v030301-id941230-xss |
1 |
Filtres XSS IE – Attaque détectée |
owasp-crs-v030301-id941240-xss |
1 |
Filtres XSS IE – Attaque détectée |
owasp-crs-v030301-id941250-xss |
1 |
Filtres XSS IE – Attaque détectée |
owasp-crs-v030301-id941260-xss |
1 |
Filtres XSS IE – Attaque détectée |
owasp-crs-v030301-id941270-xss |
1 |
Filtres XSS IE – Attaque détectée |
owasp-crs-v030301-id941280-xss |
1 |
Filtres XSS IE – Attaque détectée |
owasp-crs-v030301-id941290-xss |
1 |
Filtres XSS IE – Attaque détectée |
owasp-crs-v030301-id941300-xss |
1 |
Filtres XSS IE – Attaque détectée |
owasp-crs-v030301-id941310-xss |
1 |
Filtre XSS d'encodage incorrectement formé US-ASCII – Attaque détectée |
owasp-crs-v030301-id941350-xss |
1 |
XSS IE d'encodage UTF-7 – Attaque détectée |
owasp-crs-v030301-id941360-xss |
1 |
Obscurcissement de Hieroglyphy détecté |
owasp-crs-v030301-id941370-xss |
1 |
Variable globale JavaScript trouvée |
owasp-crs-v030301-id941101-xss |
2 |
Attaque XSS détectée via libinjection |
owasp-crs-v030301-id941150-xss |
2 |
Filtre XSS – Catégorie 5 : attributs HTML non autorisés |
owasp-crs-v030301-id941320-xss |
2 |
Possible attaque XSS détectée – Gestionnaire de balises HTML |
owasp-crs-v030301-id941330-xss |
2 |
Filtres XSS IE – Attaque détectée |
owasp-crs-v030301-id941340-xss |
2 |
Filtres XSS IE – Attaque détectée |
owasp-crs-v030301-id941380-xss |
2 |
Injection de modèles côté client AngularJS détectée |
CRS 3.0
| ID de signature (ID de règle) |
Niveau de sensibilité |
Description |
Not included |
1 |
Attaque XSS détectée via libinjection |
owasp-crs-v030001-id941110-xss |
1 |
Filtre XSS – Catégorie 1 : vecteur de balise de script |
owasp-crs-v030001-id941120-xss |
1 |
Filtre XSS – Catégorie 2 : vecteur de gestionnaire d'événements |
owasp-crs-v030001-id941130-xss |
1 |
Filtre XSS – Catégorie 3 : vecteur d'attribut |
owasp-crs-v030001-id941140-xss |
1 |
Filtre XSS – Catégorie 4 : vecteur d'URI JavaScript |
owasp-crs-v030001-id941160-xss |
1 |
NoScript XSS InjectionChecker : injection de code HTML |
owasp-crs-v030001-id941170-xss |
1 |
NoScript XSS InjectionChecker : injection d'attribut |
owasp-crs-v030001-id941180-xss |
1 |
Mots clés de la liste noire du valideur de nœuds |
owasp-crs-v030001-id941190-xss |
1 |
Filtres XSS IE – Attaque détectée |
owasp-crs-v030001-id941200-xss |
1 |
Filtres XSS IE – Attaque détectée |
owasp-crs-v030001-id941210-xss |
1 |
Filtres XSS IE – Attaque détectée |
owasp-crs-v030001-id941220-xss |
1 |
Filtres XSS IE – Attaque détectée |
owasp-crs-v030001-id941230-xss |
1 |
Filtres XSS IE – Attaque détectée |
owasp-crs-v030001-id941240-xss |
1 |
Filtres XSS IE – Attaque détectée |
owasp-crs-v030001-id941250-xss |
1 |
Filtres XSS IE – Attaque détectée |
owasp-crs-v030001-id941260-xss |
1 |
Filtres XSS IE – Attaque détectée |
owasp-crs-v030001-id941270-xss |
1 |
Filtres XSS IE – Attaque détectée |
owasp-crs-v030001-id941280-xss |
1 |
Filtres XSS IE – Attaque détectée |
owasp-crs-v030001-id941290-xss |
1 |
Filtres XSS IE – Attaque détectée |
owasp-crs-v030001-id941300-xss |
1 |
Filtres XSS IE – Attaque détectée |
owasp-crs-v030001-id941310-xss |
1 |
Filtre XSS d'encodage incorrectement formé US-ASCII – Attaque détectée |
owasp-crs-v030001-id941350-xss |
1 |
XSS IE d'encodage UTF-7 – Attaque détectée |
Not included |
1 |
Obscurcissement de JSFuck/Hieroglyphy détecté |
Not included |
1 |
Variable globale JavaScript trouvée |
Not included |
2 |
Attaque XSS détectée via libinjection |
owasp-crs-v030001-id941150-xss |
2 |
Filtre XSS – Catégorie 5 : attributs HTML non autorisés |
owasp-crs-v030001-id941320-xss |
2 |
Possible attaque XSS détectée – Gestionnaire de balises HTML |
owasp-crs-v030001-id941330-xss |
2 |
Filtres XSS IE – Attaque détectée |
owasp-crs-v030001-id941340-xss |
2 |
Filtres XSS IE – Attaque détectée |
Not included |
2 |
Injection de modèles côté client AngularJS détectée |
Vous pouvez configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredExpr() pour désactiver les signatures à des niveaux de sensibilité plus élevés.
| Niveau de sensibilité XSS 1 |
evaluatePreconfiguredExpr('xss-v33-stable',
['owasp-crs-v030301-id941101-xss',
'owasp-crs-v030301-id941150-xss',
'owasp-crs-v030301-id941320-xss',
'owasp-crs-v030301-id941330-xss',
'owasp-crs-v030301-id941340-xss',
'owasp-crs-v030301-id941380-xss'
])
|
Toutes les signatures pour XSS sont inférieures au niveau de sensibilité 2. La configuration suivante fonctionne pour d'autres niveaux de sensibilité :
| Niveau de sensibilité XSS 2 |
evaluatePreconfiguredExpr('xss-v33-stable')
|
Vous pouvez également configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredWaf() avec un paramètre de sensibilité prédéfini. Par défaut, sans configurer de sensibilité à l'ensemble de règles, Google Cloud Armor évalue toutes les signatures.
CRS 3.3
| Niveau de sensibilité |
Expression |
| 1 |
evaluatePreconfiguredWaf('xss-v33-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('xss-v33-stable', {'sensitivity': 2}) |
CRS 3.0
| Niveau de sensibilité |
Expression |
| 1 |
evaluatePreconfiguredWaf('xss-stable', {'sensitivity': 1}) |
Inclusion de fichiers locaux (LFI)
Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle WAF préconfigurée LFI.
CRS 3.3
| ID de signature (ID de règle) |
Niveau de sensibilité |
Description |
owasp-crs-v030301-id930100-lfi |
1 |
Attaque par balayage de chemin (/../) |
owasp-crs-v030301-id930110-lfi |
1 |
Attaque par balayage de chemin (/../) |
owasp-crs-v030301-id930120-lfi |
1 |
Tentative d'accès à un fichier du système d'exploitation |
owasp-crs-v030301-id930130-lfi |
1 |
Tentative d'accès à un fichier non autorisé |
CRS 3.0
| ID de signature (ID de règle) |
Niveau de sensibilité |
Description |
owasp-crs-v030001-id930100-lfi |
1 |
Attaque par balayage de chemin (/../) |
owasp-crs-v030001-id930110-lfi |
1 |
Attaque par balayage de chemin (/../) |
owasp-crs-v030001-id930120-lfi |
1 |
Tentative d'accès à un fichier du système d'exploitation |
owasp-crs-v030001-id930130-lfi |
1 |
Tentative d'accès à un fichier non autorisé |
Vous pouvez configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredExpr() pour désactiver les signatures à des niveaux de sensibilité plus élevés. Toutes les signatures pour LFI sont au niveau de sensibilité 1. La configuration suivante fonctionne pour tous les niveaux de sensibilité :
| Niveau de sensibilité 1 LFI |
evaluatePreconfiguredExpr('lfi-v33-stable')
|
Vous pouvez également configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredWaf() avec un paramètre de sensibilité prédéfini. Toutes les signatures pour LFI sont au niveau de sensibilité 1. La configuration suivante fonctionne pour tous les niveaux de sensibilité :
CRS 3.3
| Niveau de sensibilité |
Expression |
| 1 |
evaluatePreconfiguredWaf('lfi-v33-stable', {'sensitivity': 1}) |
CRS 3.0
| Niveau de sensibilité |
Expression |
| 1 |
evaluatePreconfiguredWaf('lfi-stable', {'sensitivity': 1}) |
Exécution de code à distance (RCE)
Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle WAF préconfigurée RCE.
CRS 3.3
| ID de signature (ID de règle) |
Niveau de sensibilité |
Description |
owasp-crs-v030301-id932100-rce |
1 |
Injection de commande UNIX |
owasp-crs-v030301-id932105-rce |
1 |
Injection de commande UNIX |
owasp-crs-v030301-id932110-rce |
1 |
Injection de commande Windows |
owasp-crs-v030301-id932115-rce |
1 |
Injection de commande Windows |
owasp-crs-v030301-id932120-rce |
1 |
Commande Windows PowerShell trouvée |
owasp-crs-v030301-id932130-rce |
1 |
Expression d'interface système Unix trouvée |
owasp-crs-v030301-id932140-rce |
1 |
Commande Windows FOR/IF trouvée |
owasp-crs-v030301-id932150-rce |
1 |
Exécution directe de commande UNIX |
owasp-crs-v030301-id932160-rce |
1 |
Code d'interface système UNIX trouvé |
owasp-crs-v030301-id932170-rce |
1 |
Shellshock (CVE-2014-6271) |
owasp-crs-v030301-id932171-rce |
1 |
Shellshock (CVE-2014-6271) |
owasp-crs-v030301-id932180-rce |
1 |
Tentative d'importation de fichier restreint |
owasp-crs-v030301-id932200-rce |
2 |
Technique de contournement RCE |
owasp-crs-v030301-id932106-rce |
3 |
Exécution de commande à distance : injection de commande Unix |
owasp-crs-v030301-id932190-rce |
3 |
Exécution de commande à distance : tentative de technique de contournement des caractères génériques |
CRS 3.0
| ID de signature (ID de règle) |
Niveau de sensibilité |
Description |
owasp-crs-v030001-id932100-rce |
1 |
Injection de commande UNIX |
owasp-crs-v030001-id932105-rce |
1 |
Injection de commande UNIX |
owasp-crs-v030001-id932110-rce |
1 |
Injection de commande Windows |
owasp-crs-v030001-id932115-rce |
1 |
Injection de commande Windows |
owasp-crs-v030001-id932120-rce |
1 |
Commande Windows PowerShell trouvée |
owasp-crs-v030001-id932130-rce |
1 |
Expression d'interface système Unix trouvée |
owasp-crs-v030001-id932140-rce |
1 |
Commande Windows FOR/IF trouvée |
owasp-crs-v030001-id932150-rce |
1 |
Exécution directe de commande UNIX |
owasp-crs-v030001-id932160-rce |
1 |
Code d'interface système UNIX trouvé |
owasp-crs-v030001-id932170-rce |
1 |
Shellshock (CVE-2014-6271) |
owasp-crs-v030001-id932171-rce |
1 |
Shellshock (CVE-2014-6271) |
Not included |
1 |
Tentative d'importation de fichier restreint |
Not included |
2 |
Technique de contournement RCE |
Not included |
3 |
Exécution de commande à distance : injection de commande Unix |
Not included |
3 |
Exécution de commande à distance : tentative de technique de contournement des caractères génériques |
Vous pouvez configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredExpr() pour désactiver les signatures à des niveaux de sensibilité plus élevés. La configuration suivante fonctionne pour tous les niveaux de sensibilité:
| Niveau de sensibilité 1 RCE |
evaluatePreconfiguredExpr('rce-v33-stable',
['owasp-crs-v030301-id932200-rce',
'owasp-crs-v030301-id932106-rce',
'owasp-crs-v030301-id932190-rce'])
|
| Niveau de sensibilité 2 RCE |
evaluatePreconfiguredExpr('rce-v33-stable',
[ 'owasp-crs-v030301-id932106-rce',
'owasp-crs-v030301-id932190-rce'])
|
| Niveau de sensibilité RCE 3 |
evaluatePreconfiguredExpr('rce-v33-stable')
|
Vous pouvez également configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredWaf() avec un paramètre de sensibilité prédéfini. Toutes les signatures pour le RCE sont au niveau de sensibilité 1. La configuration suivante fonctionne pour tous les niveaux de sensibilité :
CRS 3.3
| Niveau de sensibilité |
Expression |
| 1 |
evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 2}) |
| 3 |
evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 3}) |
CRS 3.0
| Niveau de sensibilité |
Expression |
| 1 |
evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 2}) |
| 3 |
evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 3}) |
Inclusion de fichiers à distance (RFI)
Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle WAF préconfigurée RFI.
CRS 3.3
| ID de signature (ID de règle) |
Niveau de sensibilité |
Description |
owasp-crs-v030301-id931100-rfi |
1 |
Paramètre d'URL utilisant une adresse IP |
owasp-crs-v030301-id931110-rfi |
1 |
Nom commun du paramètre vulnérable RFI utilisé avec la charge utile d'URL |
owasp-crs-v030301-id931120-rfi |
1 |
Charge utile d'URL utilisée avec le caractère de point d'interrogation de fin (?) |
owasp-crs-v030301-id931130-rfi |
2 |
Référence/Lien externe |
CRS 3.0
| ID de signature (ID de règle) |
Niveau de sensibilité |
Description |
owasp-crs-v030001-id931100-rfi |
1 |
Paramètre d'URL utilisant une adresse IP |
owasp-crs-v030001-id931110-rfi |
1 |
Nom commun du paramètre vulnérable RFI utilisé avec la charge utile d'URL |
owasp-crs-v030001-id931120-rfi |
1 |
Charge utile d'URL utilisée avec le caractère de point d'interrogation de fin (?) |
owasp-crs-v030001-id931130-rfi |
2 |
Référence/Lien externe |
Vous pouvez configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredExpr() pour désactiver les signatures à des niveaux de sensibilité plus élevés.
| Niveau de sensibilité RFI 1 |
evaluatePreconfiguredExpr('rfi-v33-stable', ['owasp-crs-v030301-id931130-rfi'])
|
Toutes les signatures pour RFI sont inférieures au niveau de sensibilité 2. La configuration suivante fonctionne pour d'autres niveaux de sensibilité :
| Niveaux de sensibilité RFI 2 |
evaluatePreconfiguredExpr('rfi-v33-stable')
|
Vous pouvez également configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredWaf() avec un paramètre de sensibilité prédéfini. Par défaut, sans configurer de sensibilité à l'ensemble de règles, Google Cloud Armor évalue toutes les signatures.
CRS 3.3
| Niveau de sensibilité |
Expression |
| 1 |
evaluatePreconfiguredWaf('rfi-v33-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('rfi-v33-stable', {'sensitivity': 2}) |
CRS 3.0
| Niveau de sensibilité |
Expression |
| 1 |
evaluatePreconfiguredWaf('rfi-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('rfi-stable', {'sensitivity': 2}) |
Application de la méthode
Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle préconfigurée d'application de la méthode.
CRS 3.3
| ID de signature (ID de règle) |
Niveau de sensibilité |
Description |
owasp-crs-v030301-id911100-methodenforcement |
1 |
La méthode n'est pas autorisée par la règle |
CRS 3.0
| ID de signature (ID de règle) |
Niveau de sensibilité |
Description |
owasp-crs-v030001-id911100-methodenforcement |
1 |
La méthode n'est pas autorisée par la règle |
Vous pouvez configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredExpr() pour désactiver les signatures à des niveaux de sensibilité plus élevés. Toutes les signatures de l'application de la méthode sont au niveau de sensibilité 1. La configuration suivante fonctionne pour d'autres niveaux de sensibilité :
| Niveau de sensibilité 1 de l'application de la méthode |
evaluatePreconfiguredExpr('methodenforcement-v33-stable')
|
Vous pouvez également configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredWaf() avec un paramètre de sensibilité prédéfini. Par défaut, sans configurer de sensibilité à l'ensemble de règles, Google Cloud Armor évalue toutes les signatures.
CRS 3.3
| Niveau de sensibilité |
Expression |
| 1 |
evaluatePreconfiguredWaf('methodenforcement-v33-stable', {'sensitivity': 1}) |
CRS 3.0
| Niveau de sensibilité |
Expression |
| 1 |
evaluatePreconfiguredWaf('methodenforcement-stable', {'sensitivity': 1}) |
Détection du scanner
Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle préconfigurée de détection du scanner.
CRS 3.3
| ID de signature (ID de règle) |
Niveau de sensibilité |
Description |
owasp-crs-v030301-id913100-scannerdetection |
1 |
User-agent associé à un scanner de sécurité |
owasp-crs-v030301-id913110-scannerdetection |
1 |
En-tête de requête associé à un scanner de sécurité |
owasp-crs-v030301-id913120-scannerdetection |
1 |
Nom de fichier ou un argument de requête associé à un scanner de sécurité |
owasp-crs-v030301-id913101-scannerdetection |
2 |
User-agent associé au client HTTP script/générique |
owasp-crs-v030301-id913102-scannerdetection |
2 |
User-agent associé au robot d'exploration/bot |
CRS 3.0
| ID de signature (ID de règle) |
Niveau de sensibilité |
Description |
owasp-crs-v030001-id913100-scannerdetection |
1 |
User-agent associé à un scanner de sécurité |
owasp-crs-v030001-id913110-scannerdetection |
1 |
En-tête de requête associé à un scanner de sécurité |
owasp-crs-v030001-id913120-scannerdetection |
1 |
Nom de fichier ou un argument de requête associé à un scanner de sécurité |
owasp-crs-v030001-id913101-scannerdetection |
2 |
User-agent associé au client HTTP script/générique |
owasp-crs-v030001-id913102-scannerdetection |
2 |
User-agent associé au robot d'exploration/bot |
Vous pouvez configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredExpr() pour désactiver les signatures à des niveaux de sensibilité plus élevés.
| Niveau de sensibilité de détection du scanner 1 |
evaluatePreconfiguredExpr('scannerdetection-v33-stable',
['owasp-crs-v030301-id913101-scannerdetection',
'owasp-crs-v030301-id913102-scannerdetection']
)
|
| Niveau de sensibilité de détection du scanner 2 |
evaluatePreconfiguredExpr('scannerdetection-v33-stable')
|
Vous pouvez également configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredWaf() avec un paramètre de sensibilité prédéfini. Par défaut, sans configurer de sensibilité à l'ensemble de règles, Google Cloud Armor évalue toutes les signatures.
CRS 3.3
| Niveau de sensibilité |
Expression |
| 1 |
evaluatePreconfiguredWaf('scannerdetection-v33-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('scannerdetection-v33-stable', {'sensitivity': 2}) |
CRS 3.0
| Niveau de sensibilité |
Expression |
| 1 |
evaluatePreconfiguredWaf('scannerdetection-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('scannerdetection-stable', {'sensitivity': 2}) |
Attaque de protocole
Le tableaux suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle préconfigurée d'attaque de protocole.
CRS 3.3
| ID de signature (ID de règle) |
Niveau de sensibilité |
Description |
Not included |
1 |
Attaque de contrebande de requête HTTP |
owasp-crs-v030301-id921110-protocolattack |
1 |
Attaque de contrebande de requête HTTP |
owasp-crs-v030301-id921120-protocolattack |
1 |
Attaque de division de réponse HTTP |
owasp-crs-v030301-id921130-protocolattack |
1 |
Attaque de division de réponse HTTP |
owasp-crs-v030301-id921140-protocolattack |
1 |
Attaque d'injection d'en-tête HTTP via des en-têtes |
owasp-crs-v030301-id921150-protocolattack |
1 |
Attaque d'injection d'en-tête HTTP via la charge utile (CR/LF détecté) |
owasp-crs-v030301-id921160-protocolattack |
1 |
Attaque d'injection d'en-tête HTTP via la charge utile (CR/LF et nom de l'en-tête détectés) |
owasp-crs-v030301-id921190-protocolattack |
1 |
Division HTTP (CR/LF dans le nom de fichier de requête détecté) |
owasp-crs-v030301-id921200-protocolattack |
1 |
Attaque par injection LDAP |
owasp-crs-v030301-id921151-protocolattack |
2 |
Attaque d'injection d'en-tête HTTP via la charge utile (CR/LF détecté) |
owasp-crs-v030301-id921170-protocolattack |
3 |
Pollution des paramètres HTTP |
CRS 3.0
| ID de signature (ID de règle) |
Niveau de sensibilité |
Description |
owasp-crs-v030001-id921100-protocolattack |
1 |
Attaque de contrebande de requête HTTP |
owasp-crs-v030001-id921110-protocolattack |
1 |
Attaque de contrebande de requête HTTP |
owasp-crs-v030001-id921120-protocolattack |
1 |
Attaque de division de réponse HTTP |
owasp-crs-v030001-id921130-protocolattack |
1 |
Attaque de division de réponse HTTP |
owasp-crs-v030001-id921140-protocolattack |
1 |
Attaque d'injection d'en-tête HTTP via des en-têtes |
owasp-crs-v030001-id921150-protocolattack |
1 |
Attaque d'injection d'en-tête HTTP via la charge utile (CR/LF détecté) |
owasp-crs-v030001-id921160-protocolattack |
1 |
Attaque d'injection d'en-tête HTTP via la charge utile (CR/LF et nom de l'en-tête détectés) |
Not included |
1 |
Division HTTP (CR/LF dans le nom de fichier de requête détecté) |
Not included |
1 |
Attaque par injection LDAP |
owasp-crs-v030001-id921151-protocolattack |
2 |
Attaque d'injection d'en-tête HTTP via la charge utile (CR/LF détecté) |
owasp-crs-v030001-id921170-protocolattack |
3 |
Pollution des paramètres HTTP |
Vous pouvez configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredExpr() pour désactiver les signatures à des niveaux de sensibilité plus élevés.
| Niveau de sensibilité du protocole d'attaque 1 |
evaluatePreconfiguredExpr('protocolattack-v33-stable',
['owasp-crs-v030301-id921151-protocolattack',
'owasp-crs-v030301-id921170-protocolattack']
)
|
| Niveau de sensibilité du protocole d'attaque 2 |
evaluatePreconfiguredExpr('protocolattack-v33-stable',
['owasp-crs-v030301-id921170-protocolattack']
)
|
| Niveau de sensibilité du protocole d'attaque 3 |
evaluatePreconfiguredExpr('protocolattack-v33-stable')
|
Vous pouvez également configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredWaf() avec un paramètre de sensibilité prédéfini. Par défaut, sans configurer de sensibilité à l'ensemble de règles, Google Cloud Armor évalue toutes les signatures.
CRS 3.3
| Niveau de sensibilité |
Expression |
| 1 |
evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 2}) |
| 3 |
evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 3}) |
CRS 3.0
| Niveau de sensibilité |
Expression |
| 1 |
evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 2}) |
| 3 |
evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 3}) |
PHP
Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle WAF préconfigurée PHP.
CRS 3.3
| ID de signature (ID de règle) |
Niveau de sensibilité |
Description |
owasp-crs-v030301-id933100-php |
1 |
Attaque par injection PHP : tag PHP ouvert trouvé |
owasp-crs-v030301-id933110-php |
1 |
Attaque par injection PHP : importation du fichier de script PHP |
owasp-crs-v030301-id933120-php |
1 |
Attaque par injection PHP : directive de configuration trouvée |
owasp-crs-v030301-id933130-php |
1 |
Attaque par injection PHP : variables trouvées |
owasp-crs-v030301-id933140-php |
1 |
Attaque par injection PHP : flux d'E/S trouvé |
owasp-crs-v030301-id933200-php |
1 |
Attaque par injection PHP : schéma de wrapper détecté |
owasp-crs-v030301-id933150-php |
1 |
Attaque par injection PHP : nom de fonction PHP à haut risque détecté |
owasp-crs-v030301-id933160-php |
1 |
Attaque par injection PHP : appel de fonction PHP à haut risque détecté |
owasp-crs-v030301-id933170-php |
1 |
Attaque par injection PHP : injection d'objets en série |
owasp-crs-v030301-id933180-php |
1 |
Attaque par injection PHP : appel de fonction variable détecté |
owasp-crs-v030301-id933210-php |
1 |
Attaque par injection PHP : appel de fonction variable détecté |
owasp-crs-v030301-id933151-php |
2 |
Attaque par injection PHP : nom de fonction PHP à risque moyen détecté |
owasp-crs-v030301-id933131-php |
3 |
Attaque par injection PHP : variables trouvées |
owasp-crs-v030301-id933161-php |
3 |
Attaque par injection PHP : appel de fonction PHP à valeur faible détecté |
owasp-crs-v030301-id933111-php |
3 |
Attaque par injection PHP : importation du fichier de script PHP |
owasp-crs-v030301-id933190-php |
3 |
Attaque par injection PHP : tag PHP fermé trouvé |
CRS 3.0
| ID de signature (ID de règle) |
Niveau de sensibilité |
Description |
owasp-crs-v030001-id933100-php |
1 |
Attaque par injection PHP : tag PHP ouvert trouvé |
owasp-crs-v030001-id933110-php |
1 |
Attaque par injection PHP : importation du fichier de script PHP |
owasp-crs-v030001-id933120-php |
1 |
Attaque par injection PHP : directive de configuration trouvée |
owasp-crs-v030001-id933130-php |
1 |
Attaque par injection PHP : variables trouvées |
owasp-crs-v030001-id933140-php |
1 |
Attaque par injection PHP : flux d'E/S trouvé |
Not included |
1 |
Attaque par injection PHP : schéma de wrapper détecté |
owasp-crs-v030001-id933150-php |
1 |
Attaque par injection PHP : nom de fonction PHP à haut risque détecté |
owasp-crs-v030001-id933160-php |
1 |
Attaque par injection PHP : appel de fonction PHP à haut risque détecté |
owasp-crs-v030001-id933170-php |
1 |
Attaque par injection PHP : injection d'objets en série |
owasp-crs-v030001-id933180-php |
1 |
Attaque par injection PHP : appel de fonction variable détecté |
Not included |
1 |
Attaque par injection PHP : appel de fonction variable détecté |
owasp-crs-v030001-id933151-php |
2 |
Attaque par injection PHP : nom de fonction PHP à risque moyen détecté |
owasp-crs-v030001-id933131-php |
3 |
Attaque par injection PHP : variables trouvées |
owasp-crs-v030001-id933161-php |
3 |
Attaque par injection PHP : appel de fonction PHP à valeur faible détecté |
owasp-crs-v030001-id933111-php |
3 |
Attaque par injection PHP : importation du fichier de script PHP |
Not included |
3 |
Attaque par injection PHP : tag PHP fermé trouvé |
Vous pouvez configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredExpr() pour désactiver les signatures à des niveaux de sensibilité plus élevés.
| Niveau de sensibilité de l'attaque par injection PHP 1 |
evaluatePreconfiguredExpr('php-v33-stable',
['owasp-crs-v030301-id933151-php',
'owasp-crs-v030301-id933131-php',
'owasp-crs-v030301-id933161-php',
'owasp-crs-v030301-id933111-php',
'owasp-crs-v030301-id933190-php']
)
|
| Niveau de sensibilité de l'attaque par injection PHP 2 |
evaluatePreconfiguredExpr('php-v33-stable',
['owasp-crs-v0303001-id933131-php',
'owasp-crs-v0303001-id933161-php',
'owasp-crs-v0303001-id933111-php',
'owasp-crs-v030301-id933190-php'])
|
| Niveau de sensibilité de l'attaque par injection PHP 3 |
evaluatePreconfiguredExpr('php-v33-stable')
|
Vous pouvez également configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredWaf() avec un paramètre de sensibilité prédéfini. Par défaut, sans configurer de sensibilité à l'ensemble de règles, Google Cloud Armor évalue toutes les signatures.
CRS 3.3
| Niveau de sensibilité |
Expression |
| 1 |
evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 2}) |
| 3 |
evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 3}) |
CRS 3.0
| Niveau de sensibilité |
Expression |
| 1 |
evaluatePreconfiguredWaf('php-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('php-stable', {'sensitivity': 2}) |
| 3 |
evaluatePreconfiguredWaf('php-stable', {'sensitivity': 3}) |
Réparation des sessions
Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle préconfigurée de réparation des sessions.
CRS 3.3
| ID de signature (ID de règle) |
Niveau de sensibilité |
Description |
owasp-crs-v030301-id943100-sessionfixation |
1 |
Possible attaque de réparation de session : définition de valeurs de cookie en HTML |
owasp-crs-v030301-id943110-sessionfixation |
1 |
Possible attaque de réparation de session : nom du paramètre SessionID avec référent hors domaine |
owasp-crs-v030301-id943120-sessionfixation |
1 |
Possible attaque de réparation de session : nom du paramètre SessionID sans référent |
CRS 3.0
| ID de signature (ID de règle) |
Niveau de sensibilité |
Description |
owasp-crs-v030001-id943100-sessionfixation |
1 |
Possible attaque de réparation de session : définition de valeurs de cookie en HTML |
owasp-crs-v030001-id943110-sessionfixation |
1 |
Possible attaque de réparation de session : nom du paramètre SessionID avec référent hors domaine |
owasp-crs-v030001-id943120-sessionfixation |
1 |
Possible attaque de réparation de session : nom du paramètre SessionID sans référent |
Vous pouvez configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredExpr() pour désactiver les signatures à des niveaux de sensibilité plus élevés. Toutes les signatures pour la réparation des sessions sont au niveau de sensibilité 1. La configuration suivante fonctionne pour tous les niveaux de sensibilité :
| Niveau de sensibilité 1 de réparation des sessions |
evaluatePreconfiguredExpr('sessionfixation-v33-stable')
|
Vous pouvez également configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredWaf() avec un paramètre de sensibilité prédéfini. Toutes les signatures pour la réparation des sessions sont au niveau de sensibilité 1. La configuration suivante fonctionne pour tous les niveaux de sensibilité :
CRS 3.3
| Niveau de sensibilité |
Expression |
| 1 |
evaluatePreconfiguredWaf('sessionfixation-v33-stable', {'sensitivity': 1}) |
CRS 3.0
| Niveau de sensibilité |
Expression |
| 1 |
evaluatePreconfiguredWaf('sessionfixation-stable', {'sensitivity': 1}) |
Attaque Java
Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle préconfigurée d'attaque Java.
CRS 3.3
| ID de signature (ID de règle) |
Niveau de sensibilité |
Description |
owasp-crs-v030301-id944100-java |
1 |
Exécution de commande à distance : classe Java suspecte détectée |
owasp-crs-v030301-id944110-java |
1 |
Exécution de commande à distance : génération de processus Java (CVE-2017-9805) |
owasp-crs-v030301-id944120-java |
1 |
Exécution de commande à distance : sérialisation Java (CVE-2015-4852) |
owasp-crs-v030301-id944130-java |
1 |
Classe Java suspecte détectée |
owasp-crs-v030301-id944200-java |
2 |
Octets magiques détectés, sérialisation Java probablement en cours d'utilisation |
owasp-crs-v030301-id944210-java |
2 |
Octets magiques détectés encodés en base64, sérialisation Java probablement en cours d'utilisation |
owasp-crs-v030301-id944240-java |
2 |
Exécution de commande à distance : sérialisation Java (CVE-2015-4852) |
owasp-crs-v030301-id944250-java |
2 |
Exécution de commande à distance : méthode Java suspecte détectée |
owasp-crs-v030301-id944300-java |
3 |
Chaîne encodée en base64 mise en correspondance avec un mot clé suspect |
CRS 3.0
| ID de signature (ID de règle) |
Niveau de sensibilité |
Description |
Not included |
1 |
Exécution de commande à distance : classe Java suspecte détectée |
Not included |
1 |
Exécution de commande à distance : génération de processus Java (CVE-2017-9805) |
Not included |
1 |
Exécution de commande à distance : sérialisation Java (CVE-2015-4852) |
Not included |
1 |
Classe Java suspecte détectée |
Not included |
2 |
Octets magiques détectés, sérialisation Java probablement en cours d'utilisation |
Not included |
2 |
Octets magiques détectés encodés en base64, sérialisation Java probablement en cours d'utilisation |
Not included |
2 |
Exécution de commande à distance : sérialisation Java (CVE-2015-4852) |
Not included |
2 |
Exécution de commande à distance : méthode Java suspecte détectée |
Not included |
3 |
Chaîne encodée en base64 mise en correspondance avec un mot clé suspect |
Vous pouvez configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredExpr() pour désactiver les signatures à des niveaux de sensibilité plus élevés.
| Niveau de sensibilité 1 de l'attaque Java |
evaluatePreconfiguredExpr('java-v33-stable',
['owasp-crs-v030301-id944200-java',
'owasp-crs-v030301-id944210-java',
'owasp-crs-v030301-id944240-java',
'owasp-crs-v030301-id944250-java',
'owasp-crs-v030301-id944300-java'])
|
| Niveau de sensibilité 2 de l'attaque Java |
evaluatePreconfiguredExpr('java-v33-stable',
['owasp-crs-v030301-id944300-java'])
|
| Niveau de sensibilité 3 de l'attaque Java |
evaluatePreconfiguredExpr('java-v33-stable')
|
Vous pouvez également configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredWaf() avec un paramètre de sensibilité prédéfini. Par défaut, sans configurer de sensibilité à l'ensemble de règles, Google Cloud Armor évalue toutes les signatures.
| Niveau de sensibilité |
Expression |
| 1 |
evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 1}) |
| 2 |
evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 2}) |
| 3 |
evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 3}) |
Attaque NodeJS
Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle préconfigurée d'attaque NodeJS.
Les signatures de règles WAF préconfigurées suivantes ne sont incluses que dans CRS 3.3.
CRS 3.3
| ID de signature (ID de règle) |
Niveau de sensibilité |
Description |
owasp-crs-v030301-id934100-nodejs |
1 |
Attaque par injection Node.js |
CRS 3.0
| ID de signature (ID de règle) |
Niveau de sensibilité |
Description |
Not included |
1 |
Attaque par injection Node.js |
Vous pouvez configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredExpr() pour désactiver les signatures à des niveaux de sensibilité plus élevés. Toutes les signatures de l'attaque NodeJS sont au niveau de sensibilité 1. La configuration suivante fonctionne pour d'autres niveaux de sensibilité :
| Niveau de sensibilité 1 NodeJS |
evaluatePreconfiguredExpr('nodejs-v33-stable')
|
Vous pouvez également configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredWaf() avec un paramètre de sensibilité prédéfini. Toutes les signatures de l'attaque NodeJS sont au niveau de sensibilité 1. La configuration suivante fonctionne pour d'autres niveaux de sensibilité :
| Niveau de sensibilité |
Expression |
| 1 |
assessPreconfigureWaf('nodejs-v33-stable', {'sensitivité': 1}) |
CVE et autres failles
Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle de faille préconfigurée CVE Log4j RCE.
| ID de signature (ID de règle) |
Niveau de sensibilité |
Description |
owasp-crs-v030001-id044228-cve |
1 |
Règle de base pour détecter les tentatives d'exploitation de CVE-2021-44228 et CVE-2021-45046 |
owasp-crs-v030001-id144228-cve |
1 |
Améliorations fournies par Google pour couvrir davantage de tentatives de contournement et d'obscurcissement |
owasp-crs-v030001-id244228-cve |
3 |
Sensibilité de détection accrue pour cibler davantage de tentatives de contournement et d'obscurcissement, avec une augmentation nominale du risque de détection de faux positifs |
owasp-crs-v030001-id344228-cve |
3 |
Sensibilité de détection accrue pour cibler davantage de tentatives de contournement et d'obscurcissement utilisant l'encodage base64, avec une augmentation nominale du risque de détection de faux positifs |
Vous pouvez configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredExpr() pour désactiver les signatures à des niveaux de sensibilité plus élevés.
| Niveau de sensibilité 1 CVE |
evaluatePreconfiguredExpr('cve-canary', ['owasp-crs-v030001-id244228-cve',
'owasp-crs-v030001-id344228-cve'])
|
| Niveau de sensibilité 3 CVE |
evaluatePreconfiguredExpr('cve-canary')
|
Vous pouvez également configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredWaf() avec un paramètre de sensibilité prédéfini. Par défaut, sans configurer de sensibilité à l'ensemble de règles, Google Cloud Armor évalue toutes les signatures.
| Niveau de sensibilité |
Expression |
| 1 |
assessPreconfigureWaf('cve-canary', {'sensitivity': 1}) |
| 2 |
assessPreconfigureWaf('cve-canary', {'sensitivity': 2}) |
| 3 |
assessPreconfigureWaf('cve-canary', {'sensitivity': 3}) |
Faille SQLi de contenu au format JSON
Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de la signature compatible, 942550-sqli, qui couvre la faille dans laquelle les pirates informatiques malveillants peuvent contourner WAF en ajoutant la syntaxe JSON aux charges utiles d'injection SQL.
| ID de signature (ID de règle) |
Niveau de sensibilité |
Description |
owasp-crs-id942550-sqli |
2 |
Détecte tous les vecteurs SQLi basés sur JSON, y compris les signatures SQLi trouvées dans l'URL |
Utilisez l'expression suivante pour déployer la signature:
evaluatePreconfiguredWaf('json-sqli-canary', {'sensitivity':0, 'opt_in_rule_ids': ['owasp-crs-id942550-sqli']})
Nous vous recommandons également d'activer sqli-v33-stable au niveau de sensibilité 2 pour résoudre les contournements d'injection SQL basés sur JSON.
Limites
Les règles préconfigurées Google Cloud Armor présentent les limites suivantes :
- Parmi les types de requêtes HTTP avec un corps de requête, Google Cloud Armor ne traite que les requêtes
POST. Google Cloud Armor évalue les règles préconfigurées par rapport aux huit premiers ko du contenu du corps POST. Pour en savoir plus, consultez la section Limite d'inspection du corps POST.
- Google Cloud Armor peut analyser et appliquer des règles WAF préconfigurées lorsque l'analyse JSON est activée avec une valeur d'en-tête
Content-Type correspondante. Pour en savoir plus, consultez la page Analyse JSON.
Étapes suivantes
