Présentation des règles WAF préconfigurées de Google Cloud Armor
Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Les règles WAF préconfigurées Google Cloud Armor sont des règles complexes de pare-feu d'application Web (WAF, web application firewall) composées de dizaines de signatures, qui sont compilées à partir des normes Open Source. Chaque signature correspond à une règle de détection d'attaques dans l'ensemble de règles. Google propose ces règles en l'état. Elles permettent à Google Cloud Armor d'évaluer des dizaines de signatures de trafic distinctes en se référant à des règles bien nommées, plutôt que de vous obliger à définir chaque signature manuellement.
Le tableau suivant contient une liste complète des règles WAF préconfigurées pouvant être utilisées dans une stratégie de sécurité Google Cloud Armor. Les sources de règles sont ModSecurity Core Rule Set (CRS) 3.0 et CRS 3.3.2.
Nous vous recommandons d'utiliser la version 3.3 pour renforcer la sensibilité et pour une plus grande étendue des types d'attaque protégés. La prise en charge de CRS 3.0 est en cours.
CRS 3.3
Nom de la règle Google Cloud Armor
Nom de la règle ModSecurity
État actuel
Injection SQL
sqli-v33-stable
Synchronisée avec sqli-v33-canary
sqli-v33-canary
Le plus récent
Script intersites
xss-v33-stable
Synchronisée avec xss-v33-canary
xss-v33-canary
Le plus récent
Inclusion de fichiers locaux
lfi-v33-stable
Synchronisée avec lfi-v33-canary
lfi-v33-canary
Le plus récent
Inclusion de fichiers distants
rfi-v33-stable
Synchronisée avec rfi-v33-canary
rfi-v33-canary
Le plus récent
Exécution de code à distance
rce-v33-stable
Synchronisée avec rce-v33-canary
rce-v33-canary
Le plus récent
Application de la méthode
methodenforcement-v33-stable
Synchronisée avec methodenforcement-v33-canary
methodenforcement-v33-canary
Le plus récent
Détection du scanner
scannerdetection-v33-stable
Synchronisée avec scannerdetection-v33-canary
scannerdetection-v33-canary
Le plus récent
Attaque de protocole
protocolattack-v33-stable
Synchronisée avec protocolattack-v33-canary
protocolattack-v33-canary
Le plus récent
Attaque par injection PHP
php-v33-stable
Synchronisée avec php-v33-canary
php-v33-canary
Le plus récent
Attaque de réparation de session
sessionfixation-v33-stable
Synchronisée avec sessionfixation-v33-canary
sessionfixation-v33-canary
Le plus récent
Attaque Java
java-v33-stable
Synchronisée avec java-v33-canary
java-v33-canary
Le plus récent
Attaque NodeJS
nodejs-v33-stable
Synchronisée avec nodejs-v33-canary
nodejs-v33-canary
Le plus récent
CRS 3.0
Nom de la règle Google Cloud Armor
Nom de la règle ModSecurity
État actuel
Injection SQL
sqli-stable
Synchronisée avec sqli-canary
sqli-canary
Le plus récent
Script intersites
xss-stable
Synchronisée avec xss-canary
xss-canary
Le plus récent
Inclusion de fichiers locaux
lfi-stable
Synchronisée avec lfi-canary
lfi-canary
Le plus récent
Inclusion de fichiers distants
rfi-stable
Synchronisée avec rfi-canary
rfi-canary
Le plus récent
Exécution de code à distance
rce-stable
Synchronisée avec rce-canary
rce-canary
Le plus récent
Application de la méthode
methodenforcement-stable
Synchronisée avec methodenforcement-canary
methodenforcement-canary
Le plus récent
Détection du scanner
scannerdetection-stable
Synchronisée avec scannerdetection-canary
scannerdetection-canary
Le plus récent
Attaque de protocole
protocolattack-stable
Synchronisée avec protocolattack-canary
protocolattack-canary
Le plus récent
Attaque par injection PHP
php-stable
Synchronisée avec php-canary
php-canary
Le plus récent
Attaque de réparation de session
sessionfixation-stable
Synchronisée avec sessionfixation-canary
sessionfixation-canary
Le plus récent
Attaque Java
Not included
Attaque NodeJS
Not included
En outre, les règles cve-canary suivantes sont disponibles pour tous les clients Google Cloud Armor afin d'aider à détecter et éventuellement bloquer les failles suivantes:
Vulnérabilités RCE Log4j CVE-2021-44228 et CVE-2021-45046
Vulnérabilité du contenu au format JSON 942550-sqli
Nom de la règle Google Cloud Armor
Types de failles couverts
cve-canary
faille Log4j
json-sqli-canary
Faille de contournement d'injection SQL basée sur JSON
Règles ModSecurity préconfigurées
Chaque règle WAF préconfigurée a un niveau de sensibilité qui correspond à un niveau de paranoïa ModSecurity.
Un niveau de sensibilité inférieur indique une signature à confiance élevée, qui est moins susceptible de générer un faux positif. Un niveau de sensibilité plus élevé augmente la sécurité, mais augmente également le risque de générer un faux positif.
Injection SQL (SQLi)
Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle WAF préconfigurée SQLi.
CRS 3.3
ID de signature (ID de règle)
Niveau de sensibilité
Description
owasp-crs-v030301-id942100-sqli
1
Attaque par injection SQL détectée via libinjection
owasp-crs-v030301-id942140-sqli
1
Attaque par injection SQL : noms de base de données courants détectés
owasp-crs-v030301-id942160-sqli
1
Détecte les tests SQLi à l'aveugle à l'aide de la méthode sleep() ou benchmark()
owasp-crs-v030301-id942170-sqli
1
Détecte les tentatives d'injection SQL par les méthodes benchmark et sleep, y compris les requêtes conditionnelles
owasp-crs-v030301-id942190-sqli
1
Détecte les tentatives de collecte d'informations et d'exécution de code MSSQL
owasp-crs-v030301-id942220-sqli
1
Recherche les attaques par dépassement de capacité d'entiers
owasp-crs-v030301-id942230-sqli
1
Détecte les tentatives d'injection de code SQL conditionnel
owasp-crs-v030301-id942240-sqli
1
Détecte les tentatives de basculement de charset MySQL et d'attaque DoS MSSQL
owasp-crs-v030301-id942250-sqli
1
Détecte les injections de code MATCH AGAINST
owasp-crs-v030301-id942270-sqli
1
Recherche l'injection SQL de base, chaîne d'attaque courante pour MySql
owasp-crs-v030301-id942280-sqli
1
Détecte l'injection de Postgres pg_sleep
owasp-crs-v030301-id942290-sqli
1
Recherche les tentatives d'injection SQL MongoDB de base
owasp-crs-v030301-id942320-sqli
1
Détecte les injections de fonctions/procédures stockées MySQL et PostgreSQL
owasp-crs-v030301-id942350-sqli
1
Détecte l'injection de code UDF MySQL et d'autres tentatives de manipulation de données/structures
owasp-crs-v030301-id942360-sqli
1
Détecte l'injection SQL de base concaténée et les tentatives SQLLFI
owasp-crs-v030301-id942500-sqli
1
Commentaire intégré MySQL détecté
owasp-crs-v030301-id942110-sqli
2
Attaque par injection SQL : test d'injection commune détecté
owasp-crs-v030301-id942120-sqli
2
Attaque par injection SQL : opérateur SQL détecté
owasp-crs-v030301-id942130-sqli
2
Attaque par injection SQL: SQL Tautology détecté
owasp-crs-v030301-id942150-sqli
2
Attaque par injection SQL
owasp-crs-v030301-id942180-sqli
2
Détecte les tentatives de contournement de l'authentification SQL de base 1/3
owasp-crs-v030301-id942200-sqli
2
Détecte les injections MySQL de type comment-/space-obfuscated et d'accent grave
owasp-crs-v030301-id942210-sqli
2
Détecte les tentatives d'injection de code SQL en chaîne 1/2
owasp-crs-v030301-id942260-sqli
2
Détecte les tentatives de contournement de l'authentification SQL de base 2/3
owasp-crs-v030301-id942300-sqli
2
Détecte les commentaires MySQL
owasp-crs-v030301-id942310-sqli
2
Détecte les tentatives d'injection de code SQL en chaîne 2/2
owasp-crs-v030301-id942330-sqli
2
Détecte les sondes d'injection SQL classiques 1/2
owasp-crs-v030301-id942340-sqli
2
Détecte les tentatives de contournement de l'authentification SQL de base 3/3
owasp-crs-v030301-id942361-sqli
2
Détecte l'injection SQL de base en fonction d'une modification ou d'une union de mots clés
owasp-crs-v030301-id942370-sqli
2
Détecte les sondes d'injection SQL classiques 2/3
owasp-crs-v030301-id942380-sqli
2
Attaque par injection SQL
owasp-crs-v030301-id942390-sqli
2
Attaque par injection SQL
owasp-crs-v030301-id942400-sqli
2
Attaque par injection SQL
owasp-crs-v030301-id942410-sqli
2
Attaque par injection SQL
owasp-crs-v030301-id942470-sqli
2
Attaque par injection SQL
owasp-crs-v030301-id942480-sqli
2
Attaque par injection SQL
owasp-crs-v030301-id942430-sqli
2
Détection d'anomalies liées à la limite de caractères SQL (args) : nombre de caractères spéciaux dépassé (12)
owasp-crs-v030301-id942440-sqli
2
Séquence de commentaire SQL détectée
owasp-crs-v030301-id942450-sqli
2
Encodage hexadécimal SQL identifié
owasp-crs-v030301-id942510-sqli
2
Tentative de contournement SQLi par des accents aigus ou graves détectée
owasp-crs-v030301-id942251-sqli
3
Détecte les injections de code HAVING
owasp-crs-v030301-id942490-sqli
3
Détecte les sondes d'injection SQL classiques 3/3
owasp-crs-v030301-id942420-sqli
3
Détection d'anomalies liées à la limite de caractères SQL (cookies) : nombre de caractères spéciaux dépassé (8)
owasp-crs-v030301-id942431-sqli
3
Détection d'anomalies liées à la limite de caractères SQL (args) : nombre de caractères spéciaux dépassé (6)
owasp-crs-v030301-id942460-sqli
3
Alerte de détection d'anomalies liées aux métacaractères – Caractères non textuels répétitifs
owasp-crs-v030301-id942101-sqli
3
Attaque par injection SQL détectée via libinjection
owasp-crs-v030301-id942511-sqli
3
Tentative de contournement SQLi par des accents aigus détectée
owasp-crs-v030301-id942421-sqli
4
Détection d'anomalies liées à la limite de caractères SQL (cookies) : nombre de caractères spéciaux dépassé (3)
owasp-crs-v030301-id942432-sqli
4
Détection d'anomalies liées à la limite de caractères SQL (args) : nombre de caractères spéciaux dépassé (2)
CRS 3.0
ID de signature (ID de règle)
Niveau de sensibilité
Description
Not included
1
Attaque par injection SQL détectée via libinjection
owasp-crs-v030001-id942140-sqli
1
Attaque par injection SQL : noms de base de données courants détectés
owasp-crs-v030001-id942160-sqli
1
Détecte les tests SQLi à l'aveugle à l'aide de la méthode sleep() ou benchmark()
owasp-crs-v030001-id942170-sqli
1
Détecte les tentatives d'injection SQL par les méthodes benchmark et sleep, y compris les requêtes conditionnelles
owasp-crs-v030001-id942190-sqli
1
Détecte les tentatives de collecte d'informations et d'exécution de code MSSQL
owasp-crs-v030001-id942220-sqli
1
Recherche les attaques par dépassement de capacité d'entiers
owasp-crs-v030001-id942230-sqli
1
Détecte les tentatives d'injection de code SQL conditionnel
owasp-crs-v030001-id942240-sqli
1
Détecte les tentatives de basculement de charset MySQL et d'attaque DoS MSSQL
owasp-crs-v030001-id942250-sqli
1
Détecte les injections de code MATCH AGAINST
owasp-crs-v030001-id942270-sqli
1
Recherche l'injection SQL de base, chaîne d'attaque courante pour MySql
owasp-crs-v030001-id942280-sqli
1
Détecte l'injection de Postgres pg_sleep
owasp-crs-v030001-id942290-sqli
1
Recherche les tentatives d'injection SQL MongoDB de base
owasp-crs-v030001-id942320-sqli
1
Détecte les injections de fonctions/procédures stockées MySQL et PostgreSQL
owasp-crs-v030001-id942350-sqli
1
Détecte l'injection de code UDF MySQL et d'autres tentatives de manipulation de données/structures
owasp-crs-v030001-id942360-sqli
1
Détecte l'injection SQL de base concaténée et les tentatives SQLLFI
Not included
1
Commentaire intégré MySQL détecté
owasp-crs-v030001-id942110-sqli
2
Attaque par injection SQL : test d'injection commune détecté
owasp-crs-v030001-id942120-sqli
2
Attaque par injection SQL : opérateur SQL détecté
Not included
2
Attaque par injection SQL: SQL Tautology détecté
owasp-crs-v030001-id942150-sqli
2
Attaque par injection SQL
owasp-crs-v030001-id942180-sqli
2
Détecte les tentatives de contournement de l'authentification SQL de base 1/3
owasp-crs-v030001-id942200-sqli
2
Détecte les injections MySQL de type comment-/space-obfuscated et d'accent grave
owasp-crs-v030001-id942210-sqli
2
Détecte les tentatives d'injection de code SQL en chaîne 1/2
owasp-crs-v030001-id942260-sqli
2
Détecte les tentatives de contournement de l'authentification SQL de base 2/3
owasp-crs-v030001-id942300-sqli
2
Détecte les commentaires MySQL
owasp-crs-v030001-id942310-sqli
2
Détecte les tentatives d'injection de code SQL en chaîne 2/2
owasp-crs-v030001-id942330-sqli
2
Détecte les sondes d'injection SQL classiques 1/2
owasp-crs-v030001-id942340-sqli
2
Détecte les tentatives de contournement de l'authentification SQL de base 3/3
Not included
2
Détecte l'injection SQL de base en fonction d'une modification ou d'une union de mots clés
Not included
2
Détecte les sondes d'injection SQL classiques 2/3
owasp-crs-v030001-id942380-sqli
2
Attaque par injection SQL
owasp-crs-v030001-id942390-sqli
2
Attaque par injection SQL
owasp-crs-v030001-id942400-sqli
2
Attaque par injection SQL
owasp-crs-v030001-id942410-sqli
2
Attaque par injection SQL
Not included
2
Attaque par injection SQL
Not included
2
Attaque par injection SQL
owasp-crs-v030001-id942430-sqli
2
Détection d'anomalies liées à la limite de caractères SQL (args) : nombre de caractères spéciaux dépassé (12)
owasp-crs-v030001-id942440-sqli
2
Séquence de commentaire SQL détectée
owasp-crs-v030001-id942450-sqli
2
Encodage hexadécimal SQL identifié
Not included
2
Tentative de contournement SQLi par des accents aigus ou graves détectée
owasp-crs-v030001-id942251-sqli
3
Détecte les injections de code HAVING
Not included
2
Détecte les sondes d'injection SQL classiques 3/3
owasp-crs-v030001-id942420-sqli
3
Détection d'anomalies liées à la limite de caractères SQL (cookies) : nombre de caractères spéciaux dépassé (8)
owasp-crs-v030001-id942431-sqli
3
Détection d'anomalies liées à la limite de caractères SQL (args) : nombre de caractères spéciaux dépassé (6)
owasp-crs-v030001-id942460-sqli
3
Alerte de détection d'anomalies liées aux métacaractères – Caractères non textuels répétitifs
Not included
3
Attaque par injection SQL détectée via libinjection
Not included
3
Tentative de contournement SQLi par des accents aigus détectée
owasp-crs-v030001-id942421-sqli
4
Détection d'anomalies liées à la limite de caractères SQL (cookies) : nombre de caractères spéciaux dépassé (3)
owasp-crs-v030001-id942432-sqli
4
Détection d'anomalies liées à la limite de caractères SQL (args) : nombre de caractères spéciaux dépassé (2)
Vous pouvez configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredExpr() pour désactiver les signatures à des niveaux de sensibilité supérieurs.
Vous pouvez également configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredWaf() avec un paramètre de sensibilité prédéfini. Par défaut, sans configurer de sensibilité à l'ensemble de règles, Google Cloud Armor évalue toutes les signatures.
Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle WAF préconfigurée XSS.
CRS 3.3
ID de signature (ID de règle)
Niveau de sensibilité
Description
owasp-crs-v030301-id941100-xss
1
Attaque XSS détectée via libinjection
owasp-crs-v030301-id941110-xss
1
Filtre XSS – Catégorie 1 : vecteur de balise de script
owasp-crs-v030301-id941120-xss
1
Filtre XSS – Catégorie 2 : vecteur de gestionnaire d'événements
Filtre XSS – Catégorie 5 : attributs HTML non autorisés
owasp-crs-v030001-id941320-xss
2
Possible attaque XSS détectée – Gestionnaire de balises HTML
owasp-crs-v030001-id941330-xss
2
Filtres XSS IE – Attaque détectée
owasp-crs-v030001-id941340-xss
2
Filtres XSS IE – Attaque détectée
Not included
2
Injection de modèles côté client AngularJS détectée
Vous pouvez configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredExpr() pour désactiver les signatures à des niveaux de sensibilité supérieurs.
Toutes les signatures pour XSS sont inférieures au niveau de sensibilité 2. La configuration suivante fonctionne pour d'autres niveaux de sensibilité :
Niveau de sensibilité XSS 2
evaluatePreconfiguredExpr('xss-v33-stable')
Vous pouvez également configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredWaf() avec un paramètre de sensibilité prédéfini. Par défaut, sans configurer de sensibilité à l'ensemble de règles, Google Cloud Armor évalue toutes les signatures.
Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle WAF préconfigurée LFI.
CRS 3.3
ID de signature (ID de règle)
Niveau de sensibilité
Description
owasp-crs-v030301-id930100-lfi
1
Attaque par balayage de chemin (/../)
owasp-crs-v030301-id930110-lfi
1
Attaque par balayage de chemin (/../)
owasp-crs-v030301-id930120-lfi
1
Tentative d'accès à un fichier du système d'exploitation
owasp-crs-v030301-id930130-lfi
1
Tentative d'accès à un fichier non autorisé
CRS 3.0
ID de signature (ID de règle)
Niveau de sensibilité
Description
owasp-crs-v030001-id930100-lfi
1
Attaque par balayage de chemin (/../)
owasp-crs-v030001-id930110-lfi
1
Attaque par balayage de chemin (/../)
owasp-crs-v030001-id930120-lfi
1
Tentative d'accès à un fichier du système d'exploitation
owasp-crs-v030001-id930130-lfi
1
Tentative d'accès à un fichier non autorisé
Vous pouvez configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredExpr() pour désactiver les signatures à des niveaux de sensibilité supérieurs. Toutes les signatures pour LFI sont au niveau de sensibilité 1. La configuration suivante fonctionne pour tous les niveaux de sensibilité :
Niveau de sensibilité 1 LFI
evaluatePreconfiguredExpr('lfi-v33-stable')
Vous pouvez également configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredWaf() avec un paramètre de sensibilité prédéfini. Toutes les signatures pour LFI sont au niveau de sensibilité 1. La configuration suivante fonctionne pour tous les niveaux de sensibilité :
Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle WAF préconfigurée RCE.
CRS 3.3
ID de signature (ID de règle)
Niveau de sensibilité
Description
owasp-crs-v030301-id932100-rce
1
Injection de commande UNIX
owasp-crs-v030301-id932105-rce
1
Injection de commande UNIX
owasp-crs-v030301-id932110-rce
1
Injection de commande Windows
owasp-crs-v030301-id932115-rce
1
Injection de commande Windows
owasp-crs-v030301-id932120-rce
1
Commande Windows PowerShell trouvée
owasp-crs-v030301-id932130-rce
1
Expression d'interface système Unix trouvée
owasp-crs-v030301-id932140-rce
1
Commande Windows FOR/IF trouvée
owasp-crs-v030301-id932150-rce
1
Exécution directe de commande UNIX
owasp-crs-v030301-id932160-rce
1
Code d'interface système UNIX trouvé
owasp-crs-v030301-id932170-rce
1
Shellshock (CVE-2014-6271)
owasp-crs-v030301-id932171-rce
1
Shellshock (CVE-2014-6271)
owasp-crs-v030301-id932180-rce
1
Tentative d'importation de fichier restreint
owasp-crs-v030301-id932200-rce
2
Technique de contournement RCE
owasp-crs-v030301-id932106-rce
3
Exécution de commande à distance : injection de commande Unix
owasp-crs-v030301-id932190-rce
3
Exécution de commande à distance : tentative de technique de contournement des caractères génériques
CRS 3.0
ID de signature (ID de règle)
Niveau de sensibilité
Description
owasp-crs-v030001-id932100-rce
1
Injection de commande UNIX
owasp-crs-v030001-id932105-rce
1
Injection de commande UNIX
owasp-crs-v030001-id932110-rce
1
Injection de commande Windows
owasp-crs-v030001-id932115-rce
1
Injection de commande Windows
owasp-crs-v030001-id932120-rce
1
Commande Windows PowerShell trouvée
owasp-crs-v030001-id932130-rce
1
Expression d'interface système Unix trouvée
owasp-crs-v030001-id932140-rce
1
Commande Windows FOR/IF trouvée
owasp-crs-v030001-id932150-rce
1
Exécution directe de commande UNIX
owasp-crs-v030001-id932160-rce
1
Code d'interface système UNIX trouvé
owasp-crs-v030001-id932170-rce
1
Shellshock (CVE-2014-6271)
owasp-crs-v030001-id932171-rce
1
Shellshock (CVE-2014-6271)
Not included
1
Tentative d'importation de fichier restreint
Not included
2
Technique de contournement RCE
Not included
3
Exécution de commande à distance : injection de commande Unix
Not included
3
Exécution de commande à distance : tentative de technique de contournement des caractères génériques
Vous pouvez configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredExpr() pour désactiver les signatures à des niveaux de sensibilité supérieurs. La configuration suivante fonctionne pour tous les niveaux de sensibilité:
Vous pouvez également configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredWaf() avec un paramètre de sensibilité prédéfini. Toutes les signatures pour le RCE sont au niveau de sensibilité 1. La configuration suivante fonctionne pour tous les niveaux de sensibilité :
Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle WAF préconfigurée RFI.
CRS 3.3
ID de signature (ID de règle)
Niveau de sensibilité
Description
owasp-crs-v030301-id931100-rfi
1
Paramètre d'URL utilisant une adresse IP
owasp-crs-v030301-id931110-rfi
1
Nom commun du paramètre vulnérable RFI utilisé avec la charge utile d'URL
owasp-crs-v030301-id931120-rfi
1
Charge utile d'URL utilisée avec le caractère de point d'interrogation de fin (?)
owasp-crs-v030301-id931130-rfi
2
Référence/Lien externe
CRS 3.0
ID de signature (ID de règle)
Niveau de sensibilité
Description
owasp-crs-v030001-id931100-rfi
1
Paramètre d'URL utilisant une adresse IP
owasp-crs-v030001-id931110-rfi
1
Nom commun du paramètre vulnérable RFI utilisé avec la charge utile d'URL
owasp-crs-v030001-id931120-rfi
1
Charge utile d'URL utilisée avec le caractère de point d'interrogation de fin (?)
owasp-crs-v030001-id931130-rfi
2
Référence/Lien externe
Vous pouvez configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredExpr() pour désactiver les signatures à des niveaux de sensibilité supérieurs.
Toutes les signatures pour RFI sont inférieures au niveau de sensibilité 2. La configuration suivante fonctionne pour d'autres niveaux de sensibilité :
Niveaux de sensibilité RFI 2
evaluatePreconfiguredExpr('rfi-v33-stable')
Vous pouvez également configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredWaf() avec un paramètre de sensibilité prédéfini. Par défaut, sans configurer de sensibilité à l'ensemble de règles, Google Cloud Armor évalue toutes les signatures.
Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle préconfigurée d'application de la méthode.
CRS 3.3
ID de signature (ID de règle)
Niveau de sensibilité
Description
owasp-crs-v030301-id911100-methodenforcement
1
La méthode n'est pas autorisée par la règle
CRS 3.0
ID de signature (ID de règle)
Niveau de sensibilité
Description
owasp-crs-v030001-id911100-methodenforcement
1
La méthode n'est pas autorisée par la règle
Vous pouvez configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredExpr() pour désactiver les signatures à des niveaux de sensibilité supérieurs. Toutes les signatures de l'application de la méthode sont au niveau de sensibilité 1. La configuration suivante fonctionne pour d'autres niveaux de sensibilité :
Niveau de sensibilité 1 de l'application de la méthode
Vous pouvez également configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredWaf() avec un paramètre de sensibilité prédéfini. Par défaut, sans configurer de sensibilité à l'ensemble de règles, Google Cloud Armor évalue toutes les signatures.
Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle préconfigurée de détection du scanner.
CRS 3.3
ID de signature (ID de règle)
Niveau de sensibilité
Description
owasp-crs-v030301-id913100-scannerdetection
1
User-agent associé à un scanner de sécurité
owasp-crs-v030301-id913110-scannerdetection
1
En-tête de requête associé à un scanner de sécurité
owasp-crs-v030301-id913120-scannerdetection
1
Nom de fichier ou un argument de requête associé à un scanner de sécurité
owasp-crs-v030301-id913101-scannerdetection
2
User-agent associé au client HTTP script/générique
owasp-crs-v030301-id913102-scannerdetection
2
User-agent associé au robot d'exploration/bot
CRS 3.0
ID de signature (ID de règle)
Niveau de sensibilité
Description
owasp-crs-v030001-id913100-scannerdetection
1
User-agent associé à un scanner de sécurité
owasp-crs-v030001-id913110-scannerdetection
1
En-tête de requête associé à un scanner de sécurité
owasp-crs-v030001-id913120-scannerdetection
1
Nom de fichier ou un argument de requête associé à un scanner de sécurité
owasp-crs-v030001-id913101-scannerdetection
2
User-agent associé au client HTTP script/générique
owasp-crs-v030001-id913102-scannerdetection
2
User-agent associé au robot d'exploration/bot
Vous pouvez configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredExpr() pour désactiver les signatures à des niveaux de sensibilité supérieurs.
Vous pouvez également configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredWaf() avec un paramètre de sensibilité prédéfini. Par défaut, sans configurer de sensibilité à l'ensemble de règles, Google Cloud Armor évalue toutes les signatures.
Le tableaux suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle préconfigurée d'attaque de protocole.
CRS 3.3
ID de signature (ID de règle)
Niveau de sensibilité
Description
Not included
1
Attaque de contrebande de requête HTTP
owasp-crs-v030301-id921110-protocolattack
1
Attaque de contrebande de requête HTTP
owasp-crs-v030301-id921120-protocolattack
1
Attaque de division de réponse HTTP
owasp-crs-v030301-id921130-protocolattack
1
Attaque de division de réponse HTTP
owasp-crs-v030301-id921140-protocolattack
1
Attaque d'injection d'en-tête HTTP via des en-têtes
owasp-crs-v030301-id921150-protocolattack
1
Attaque d'injection d'en-tête HTTP via la charge utile (CR/LF détecté)
owasp-crs-v030301-id921160-protocolattack
1
Attaque d'injection d'en-tête HTTP via la charge utile (CR/LF et nom de l'en-tête détectés)
owasp-crs-v030301-id921190-protocolattack
1
Division HTTP (CR/LF dans le nom de fichier de requête détecté)
owasp-crs-v030301-id921200-protocolattack
1
Attaque par injection LDAP
owasp-crs-v030301-id921151-protocolattack
2
Attaque d'injection d'en-tête HTTP via la charge utile (CR/LF détecté)
owasp-crs-v030301-id921170-protocolattack
3
Pollution des paramètres HTTP
CRS 3.0
ID de signature (ID de règle)
Niveau de sensibilité
Description
owasp-crs-v030001-id921100-protocolattack
1
Attaque de contrebande de requête HTTP
owasp-crs-v030001-id921110-protocolattack
1
Attaque de contrebande de requête HTTP
owasp-crs-v030001-id921120-protocolattack
1
Attaque de division de réponse HTTP
owasp-crs-v030001-id921130-protocolattack
1
Attaque de division de réponse HTTP
owasp-crs-v030001-id921140-protocolattack
1
Attaque d'injection d'en-tête HTTP via des en-têtes
owasp-crs-v030001-id921150-protocolattack
1
Attaque d'injection d'en-tête HTTP via la charge utile (CR/LF détecté)
owasp-crs-v030001-id921160-protocolattack
1
Attaque d'injection d'en-tête HTTP via la charge utile (CR/LF et nom de l'en-tête détectés)
Not included
1
Division HTTP (CR/LF dans le nom de fichier de requête détecté)
Not included
1
Attaque par injection LDAP
owasp-crs-v030001-id921151-protocolattack
2
Attaque d'injection d'en-tête HTTP via la charge utile (CR/LF détecté)
owasp-crs-v030001-id921170-protocolattack
3
Pollution des paramètres HTTP
Vous pouvez configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredExpr() pour désactiver les signatures à des niveaux de sensibilité supérieurs.
Vous pouvez également configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredWaf() avec un paramètre de sensibilité prédéfini. Par défaut, sans configurer de sensibilité à l'ensemble de règles, Google Cloud Armor évalue toutes les signatures.
Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle WAF préconfigurée PHP.
CRS 3.3
ID de signature (ID de règle)
Niveau de sensibilité
Description
owasp-crs-v030301-id933100-php
1
Attaque par injection PHP : tag PHP ouvert trouvé
owasp-crs-v030301-id933110-php
1
Attaque par injection PHP : importation du fichier de script PHP
owasp-crs-v030301-id933120-php
1
Attaque par injection PHP : directive de configuration trouvée
owasp-crs-v030301-id933130-php
1
Attaque par injection PHP : variables trouvées
owasp-crs-v030301-id933140-php
1
Attaque par injection PHP : flux d'E/S trouvé
owasp-crs-v030301-id933200-php
1
Attaque par injection PHP : schéma de wrapper détecté
owasp-crs-v030301-id933150-php
1
Attaque par injection PHP : nom de fonction PHP à haut risque détecté
owasp-crs-v030301-id933160-php
1
Attaque par injection PHP : appel de fonction PHP à haut risque détecté
owasp-crs-v030301-id933170-php
1
Attaque par injection PHP : injection d'objets en série
owasp-crs-v030301-id933180-php
1
Attaque par injection PHP : appel de fonction variable détecté
owasp-crs-v030301-id933210-php
1
Attaque par injection PHP : appel de fonction variable détecté
owasp-crs-v030301-id933151-php
2
Attaque par injection PHP : nom de fonction PHP à risque moyen détecté
owasp-crs-v030301-id933131-php
3
Attaque par injection PHP : variables trouvées
owasp-crs-v030301-id933161-php
3
Attaque par injection PHP : appel de fonction PHP à valeur faible détecté
owasp-crs-v030301-id933111-php
3
Attaque par injection PHP : importation du fichier de script PHP
owasp-crs-v030301-id933190-php
3
Attaque par injection PHP : tag PHP fermé trouvé
CRS 3.0
ID de signature (ID de règle)
Niveau de sensibilité
Description
owasp-crs-v030001-id933100-php
1
Attaque par injection PHP : tag PHP ouvert trouvé
owasp-crs-v030001-id933110-php
1
Attaque par injection PHP : importation du fichier de script PHP
owasp-crs-v030001-id933120-php
1
Attaque par injection PHP : directive de configuration trouvée
owasp-crs-v030001-id933130-php
1
Attaque par injection PHP : variables trouvées
owasp-crs-v030001-id933140-php
1
Attaque par injection PHP : flux d'E/S trouvé
Not included
1
Attaque par injection PHP : schéma de wrapper détecté
owasp-crs-v030001-id933150-php
1
Attaque par injection PHP : nom de fonction PHP à haut risque détecté
owasp-crs-v030001-id933160-php
1
Attaque par injection PHP : appel de fonction PHP à haut risque détecté
owasp-crs-v030001-id933170-php
1
Attaque par injection PHP : injection d'objets en série
owasp-crs-v030001-id933180-php
1
Attaque par injection PHP : appel de fonction variable détecté
Not included
1
Attaque par injection PHP : appel de fonction variable détecté
owasp-crs-v030001-id933151-php
2
Attaque par injection PHP : nom de fonction PHP à risque moyen détecté
owasp-crs-v030001-id933131-php
3
Attaque par injection PHP : variables trouvées
owasp-crs-v030001-id933161-php
3
Attaque par injection PHP : appel de fonction PHP à valeur faible détecté
owasp-crs-v030001-id933111-php
3
Attaque par injection PHP : importation du fichier de script PHP
Not included
3
Attaque par injection PHP : tag PHP fermé trouvé
Vous pouvez configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredExpr() pour désactiver les signatures à des niveaux de sensibilité supérieurs.
Niveau de sensibilité de l'attaque par injection PHP 1
Niveau de sensibilité de l'attaque par injection PHP 3
evaluatePreconfiguredExpr('php-v33-stable')
Vous pouvez également configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredWaf() avec un paramètre de sensibilité prédéfini. Par défaut, sans configurer de sensibilité à l'ensemble de règles, Google Cloud Armor évalue toutes les signatures.
Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle préconfigurée de réparation des sessions.
CRS 3.3
ID de signature (ID de règle)
Niveau de sensibilité
Description
owasp-crs-v030301-id943100-sessionfixation
1
Possible attaque de réparation de session : définition de valeurs de cookie en HTML
owasp-crs-v030301-id943110-sessionfixation
1
Possible attaque de réparation de session : nom du paramètre SessionID avec référent hors domaine
owasp-crs-v030301-id943120-sessionfixation
1
Possible attaque de réparation de session : nom du paramètre SessionID sans référent
CRS 3.0
ID de signature (ID de règle)
Niveau de sensibilité
Description
owasp-crs-v030001-id943100-sessionfixation
1
Possible attaque de réparation de session : définition de valeurs de cookie en HTML
owasp-crs-v030001-id943110-sessionfixation
1
Possible attaque de réparation de session : nom du paramètre SessionID avec référent hors domaine
owasp-crs-v030001-id943120-sessionfixation
1
Possible attaque de réparation de session : nom du paramètre SessionID sans référent
Vous pouvez configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredExpr() pour désactiver les signatures à des niveaux de sensibilité supérieurs. Toutes les signatures pour la réparation des sessions sont au niveau de sensibilité 1. La configuration suivante fonctionne pour tous les niveaux de sensibilité :
Niveau de sensibilité 1 de réparation des sessions
Vous pouvez également configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredWaf() avec un paramètre de sensibilité prédéfini. Toutes les signatures pour la réparation des sessions sont au niveau de sensibilité 1. La configuration suivante fonctionne pour tous les niveaux de sensibilité :
Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle préconfigurée d'attaque Java.
CRS 3.3
ID de signature (ID de règle)
Niveau de sensibilité
Description
owasp-crs-v030301-id944100-java
1
Exécution de commande à distance : classe Java suspecte détectée
owasp-crs-v030301-id944110-java
1
Exécution de commande à distance : génération de processus Java (CVE-2017-9805)
owasp-crs-v030301-id944120-java
1
Exécution de commande à distance : sérialisation Java (CVE-2015-4852)
owasp-crs-v030301-id944130-java
1
Classe Java suspecte détectée
owasp-crs-v030301-id944200-java
2
Octets magiques détectés, sérialisation Java probablement en cours d'utilisation
owasp-crs-v030301-id944210-java
2
Octets magiques détectés encodés en base64, sérialisation Java probablement en cours d'utilisation
owasp-crs-v030301-id944240-java
2
Exécution de commande à distance : sérialisation Java (CVE-2015-4852)
owasp-crs-v030301-id944250-java
2
Exécution de commande à distance : méthode Java suspecte détectée
owasp-crs-v030301-id944300-java
3
Chaîne encodée en base64 mise en correspondance avec un mot clé suspect
CRS 3.0
ID de signature (ID de règle)
Niveau de sensibilité
Description
Not included
1
Exécution de commande à distance : classe Java suspecte détectée
Not included
1
Exécution de commande à distance : génération de processus Java (CVE-2017-9805)
Not included
1
Exécution de commande à distance : sérialisation Java (CVE-2015-4852)
Not included
1
Classe Java suspecte détectée
Not included
2
Octets magiques détectés, sérialisation Java probablement en cours d'utilisation
Not included
2
Octets magiques détectés encodés en base64, sérialisation Java probablement en cours d'utilisation
Not included
2
Exécution de commande à distance : sérialisation Java (CVE-2015-4852)
Not included
2
Exécution de commande à distance : méthode Java suspecte détectée
Not included
3
Chaîne encodée en base64 mise en correspondance avec un mot clé suspect
Vous pouvez configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredExpr() pour désactiver les signatures à des niveaux de sensibilité supérieurs.
Vous pouvez également configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredWaf() avec un paramètre de sensibilité prédéfini. Par défaut, sans configurer de sensibilité à l'ensemble de règles, Google Cloud Armor évalue toutes les signatures.
Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle préconfigurée d'attaque NodeJS.
Les signatures de règles WAF préconfigurées suivantes ne sont incluses que dans CRS 3.3.
CRS 3.3
ID de signature (ID de règle)
Niveau de sensibilité
Description
owasp-crs-v030301-id934100-nodejs
1
Attaque par injection Node.js
CRS 3.0
ID de signature (ID de règle)
Niveau de sensibilité
Description
Not included
1
Attaque par injection Node.js
Vous pouvez configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredExpr() pour désactiver les signatures à des niveaux de sensibilité supérieurs. Toutes les signatures de l'attaque NodeJS sont au niveau de sensibilité 1. La configuration suivante fonctionne pour d'autres niveaux de sensibilité :
Niveau de sensibilité 1 NodeJS
evaluatePreconfiguredExpr('nodejs-v33-stable')
Vous pouvez également configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredWaf() avec un paramètre de sensibilité prédéfini. Toutes les signatures de l'attaque NodeJS sont au niveau de sensibilité 1. La configuration suivante fonctionne pour d'autres niveaux de sensibilité :
Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de chaque signature compatible dans la règle préconfigurée de la faille RCE Log4j CVE.
ID de signature (ID de règle)
Niveau de sensibilité
Description
owasp-crs-v030001-id044228-cve
1
Règle de base pour détecter les tentatives d'exploitation de CVE-2021-44228 et CVE-2021-45046
owasp-crs-v030001-id144228-cve
1
Améliorations fournies par Google pour couvrir davantage de tentatives de contournement et d'obscurcissement
owasp-crs-v030001-id244228-cve
3
Sensibilité de détection accrue pour cibler davantage de tentatives de contournement et d'obscurcissement, avec une augmentation nominale du risque de détection de faux positifs
owasp-crs-v030001-id344228-cve
3
Sensibilité de détection accrue pour cibler davantage de tentatives de contournement et d'obscurcissement utilisant l'encodage base64, avec une augmentation nominale du risque de détection de faux positifs
Vous pouvez configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredExpr() pour désactiver les signatures à des niveaux de sensibilité supérieurs.
Vous pouvez également configurer une règle à un niveau de sensibilité particulier en utilisant evaluatePreconfiguredWaf() avec un paramètre de sensibilité prédéfini. Par défaut, sans configurer de sensibilité à l'ensemble de règles, Google Cloud Armor évalue toutes les signatures.
Le tableau suivant fournit l'ID de signature, le niveau de sensibilité et la description de la signature compatible 942550-sqli, qui couvre la faille permettant aux pirates informatiques malveillants de contourner le WAF en ajoutant une syntaxe JSON aux charges utiles d'injection SQL.
ID de signature (ID de règle)
Niveau de sensibilité
Description
owasp-crs-id942550-sqli
2
Détecte tous les vecteurs d'injection SQL basés sur JSON, y compris les signatures d'injection SQL trouvées dans l'URL
Utilisez l'expression suivante pour déployer la signature:
Nous vous recommandons également d'activer sqli-v33-stable au niveau de sensibilité 2 pour résoudre complètement les cas de contournement d'injection SQL basés sur JSON.
Limites
Les règles préconfigurées Google Cloud Armor présentent les limites suivantes :
La propagation des modifications apportées aux règles du WAF prend généralement plusieurs minutes.
Parmi les types de requêtes HTTP avec un corps de requête, Google Cloud Armor ne traite que les requêtes POST. Google Cloud Armor évalue les règles préconfigurées par rapport aux huit premiers ko du contenu du corps POST. Pour en savoir plus, consultez la section Limite d'inspection du corps POST.
Google Cloud Armor peut analyser et appliquer des règles WAF préconfigurées lorsque l'analyse JSON est activée avec une valeur d'en-tête Content-Type correspondante. Pour en savoir plus, consultez la section Analyse JSON.
Lorsqu'une exclusion de champ de requête est associée à une règle WAF préconfigurée, vous ne pouvez pas utiliser l'action allow. Les requêtes correspondant à l'exception sont automatiquement autorisées.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2024/12/18 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Hard to understand","hardToUnderstand","thumb-down"],["Incorrect information or sample code","incorrectInformationOrSampleCode","thumb-down"],["Missing the information/samples I need","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2024/12/18 (UTC)."],[],[]]