Comprobación de objetos seguros
La comprobación de objetos seguros proporciona protección configurable por el usuario para la información comercial confidencial, como números de cliente, números de pedido y números de teléfono o códigos postales específicos de cada país o región. Una expresión regular definida por el usuario o un complemento personalizado indica al Web App Firewall el formato de esta información y define las reglas que se utilizarán para protegerla. Si una cadena de una solicitud de usuario coincide con una definición de objeto seguro, Web App Firewall bloquea la respuesta, enmascara la información protegida o quita la información protegida de la respuesta antes de enviarla al usuario, en función de cómo haya configurado esa regla de objeto seguro concreta.
La comprobación de objetos seguros evita que los atacantes exploten un defecto de seguridad en el software del servidor web o en su sitio web para obtener información privada confidencial, como números de tarjetas de crédito de la empresa o números de seguridad social. Si sus sitios web no tienen acceso a este tipo de información, no es necesario configurar esta comprobación. Si tiene un carrito de compras u otra aplicación que pueda acceder a dicha información, o sus sitios web tienen acceso a servidores de bases de datos que contienen dicha información, debe configurar la protección para cada tipo de información privada confidencial que gestione y almacene.
Nota:
Un sitio web que no tiene acceso a una base de datos SQL generalmente no tiene acceso a información privada confidencial.
El cuadro de diálogo Comprobación de objetos seguros es distinto al de cualquier otra comprobación. Cada expresión de objeto seguro que crea equivale a una comprobación de seguridad independiente, similar a la comprobación de tarjeta de crédito, para ese tipo de información. Si utiliza el asistente o la GUI, agregue una nueva expresión haciendo clic en Agregar y configurando la expresión en el cuadro de diálogo Agregar objeto seguro. Puede modificar una expresión existente seleccionándola, haciendo clic en Abrir y, a continuación, configurándola en el cuadro de diálogo Modificar objeto seguro.
En el cuadro de diálogo Objeto seguro para cada expresión de objeto seguro, puede configurar lo siguiente:
- Nombre de objeto seguro. Un nombre para el nuevo objeto seguro. El nombre puede comenzar con una letra, un número o un símbolo de subrayado, y puede constar de una a 255 letras, números y los símbolos de guión (-), punto (.) libra (#), espacio (), signo (@), igual (=), dos puntos (:) y guión bajo (_).
-
Acciones. Habilite o inhabilite las acciones Bloquear, Registrar y Estadísticas, así como las acciones siguientes:
- X-Out. Enmascara cualquier información que coincida con la expresión de objeto seguro con la letra “X”.
- Quitar. Elimine cualquier información que coincida con la expresión de objeto seguro.
- Expresión regular. Escriba una expresión regular compatible con PCRE-que defina el objeto seguro. Puede crear la expresión regular de una de estas tres maneras: Escribiendo la expresión regular directamente en el cuadro de texto, mediante el menú Tokens de expresiones regulares para introducir elementos y símbolos de expresiones regulares directamente en el cuadro de texto, o abriendo el Editor de expresiones regulares y usarlo para construya la expresión. La expresión regular debe constar únicamente de caracteres ASCII. No corte ni pegue caracteres que no formen parte del conjunto ASCII básico de 128 caracteres. Si quiere incluir caracteres que no sean ASCII, debe escribir manualmente esos caracteres en formato de codificación de caracteres hexadecimal PCRE. Nota: No utilice anclajes de inicio (^) al principio de expresiones de objeto seguro, ni anclajes finales ($) al final de expresiones de objeto seguro. Estas entidades PCRE no son compatibles con las expresiones de objeto seguro y, si se utilizan, hará que la expresión no coincida con lo que se pretendía hacer coincidir.
-
Longitud máxima de coincidencia. Escriba un entero positivo que represente la longitud máxima de la cadena que quiere que coincida. Por ejemplo, si quiere que coincidan con los números de la seguridad social de Estados Unidos, introduzca el número once (11) en este campo. Eso permite que su expresión regular coincida con una cadena con nueve números y dos guiones. Si quiere coincidir con los números de licencia de conducir de California, introduzca el número ocho (8).
Precaución:
Si no especifica una longitud máxima de coincidencia en este campo, el Web App Firewall utiliza un valor predeterminado de uno (1) al filtrar cadenas que coincidan con las expresiones de objeto seguras. Como resultado, la mayoría de las expresiones de objeto seguras no coinciden con sus cadenas de destino.
No puede utilizar la interfaz de línea de comandos para configurar la comprobación de objetos seguros. Debe configurarlo mediante el Asistente para Web App Firewall o la GUI.
A continuación se presentan ejemplos de expresiones regulares de comprobación de objetos seguros:
-
Busque cadenas que parezcan ser números de la seguridad social de Estados Unidos, que constan de tres números (el primero de los cuales no debe ser cero), seguido de un guión, seguido de dos números más, seguido de un segundo guión, y terminando con una cadena de cuatro números más:
[1-9][0-9]{3,3}-[0-9]{2,2}-[0-9]{4,4} -
Busque cadenas que parezcan ser identificadores de licencia de conducir de California, que comiencen con una letra y vayan seguidas de una cadena de exactamente siete números:
[A-Za-z][0-9]{7,7} -
Busque cadenas que parezcan ser ID de cliente que consistan en una cadena de cinco caracteres hexadecimales (todos los números y las letras A a F), seguidas de un guión, seguido de un código de tres letras, seguido de un segundo guión y terminando con una cadena de diez números:
[0-9A-Fa-f]{5,5}-[A-Za-z]{3,3}-[0-9]{10,10}
Precaución:
Las expresiones regulares son potentes. Especialmente si no está completamente familiarizado con las expresiones regulares con formato PCRE-Format, compruebe las expresiones regulares que escriba para asegurarse de que definen exactamente el tipo de cadena que quiere agregar como definición de objeto segura, y nada más. El uso descuidado de comodines, y especialmente de la combinación de metacarácter/comodín de punto (.*), puede tener resultados que no quería o esperaba, como bloquear el acceso al contenido web que no tenía intención de bloquear.