Vérification de l’objet sécurisé
La vérification de l’objet sécurisé offre une protection configurable par l’utilisateur pour les informations commerciales sensibles, telles que les numéros de client, les numéros de commande, les numéros de téléphone ou les codes postaux spécifiques à un pays ou à une région. Une expression régulière ou un plug-in personnalisé défini par l’utilisateur indique au Web App Firewall le format de ces informations et définit les règles à utiliser pour les protéger. Si une chaîne dans une demande utilisateur correspond à une définition d’objet sécurisé, le Web App Firewall bloque la réponse, masque les informations protégées ou supprime les informations protégées de la réponse avant de les envoyer à l’utilisateur, selon la façon dont vous avez configuré cette règle d’objet sécurisé particulière.
La vérification de l’objet sécurisé empêche les attaquants d’exploiter un défaut de sécurité dans votre logiciel serveur Web ou sur votre site Web pour obtenir des informations confidentielles sensibles, telles que les numéros de carte de crédit d’entreprise ou les numéros de sécurité sociale. Si vos sites Web n’ont pas accès à ces types d’informations, vous n’avez pas besoin de configurer cette vérification. Si vous disposez d’un panier d’achat ou d’une autre application pouvant accéder à ces informations, ou si vos sites Web ont accès à des serveurs de base de données contenant ces informations, vous devez configurer la protection de chaque type d’informations privées sensibles que vous manipulez et stockez.
Remarque :
Un site Web qui n’accède pas à une base de données SQL n’a généralement pas accès à des informations confidentielles sensibles.
La boîte de dialogue Vérification d’objet sécurisée est différente de celle de toute autre vérification. Chaque expression d’objet sécurisé que vous créez est l’équivalent d’une vérification de sécurité distincte, similaire à la vérification de carte de crédit, pour ce type d’informations. Si vous utilisez l’assistant ou l’interface graphique, vous ajoutez une nouvelle expression en cliquant sur Ajouter et en configurant l’expression dans la boîte de dialogue Ajouter un objet sécurisé. Vous modifiez une expression existante en la sélectionnant, puis en cliquant sur Ouvrir, puis en configurant l’expression dans la boîte de dialogue Modifier un objet sécurisé.
Dans la boîte de dialogue Objet sécurisé pour chaque expression d’objet sécurisé, vous pouvez configurer les éléments suivants :
- Nom d’objet sécurisé. Un nom pour votre nouvel objet sécurisé. Le nom peut commencer par une lettre, un nombre ou le symbole de trait de soulignement, et peut être composé de un à 255 lettres, chiffres et le tiret (-), point (.) livre (#), espace (), signe (@), égal (=), deux-points ( :) et soulignement (_).
-
Actions. Activez ou désactivez les actions Bloquer, Journal et Statistiques, ainsi que les actions suivantes :
- X-Out. Masquez toute information correspondant à l’expression de l’objet sécurisé par la lettre « X ».
- Remove. Supprimez toutes les informations correspondant à l’expression d’objet sécurisé.
- Expression régulière. Entrez une expression régulière compatible PCRE qui définit l’objet sécurisé. Vous pouvez créer l’expression régulière de l’une des trois façons suivantes : en tapant l’expression régulière directement dans la zone de texte, en utilisant le menu Jetons Regex pour entrer des éléments d’expression régulière et des symboles directement dans la zone de texte, ou en ouvrant l’éditeur d’expressions régulières et en l’utilisant pour construire l’expression. L’expression régulière doit être composée de caractères ASCII uniquement. Ne coupez pas et collez les caractères qui ne font pas partie du jeu ASCII de base de 128 caractères. Si vous souhaitez inclure des caractères non ASCII, vous devez taper manuellement ces caractères au format de codage de caractères hexadécimaux PCRE. Remarque : N’utilisez pas les ancres de départ (^) au début des expressions d’objet sécurisé, ni les ancres de fin ($) à la fin des expressions d’objet sécurisé. Ces entités PCRE ne sont pas prises en charge dans les expressions d’objet sécurisé et, si elles sont utilisées, votre expression ne correspondra pas à ce qu’elle était destinée à correspondre.
-
Longueur maximale de correspondance. Entrez un entier positif qui représente la longueur maximale de la chaîne que vous souhaitez faire correspondre. Par exemple, si vous souhaitez faire correspondre les numéros de sécurité sociale américains, saisissez le numéro onze (11) dans ce champ. Cela permet à votre expression régulière de correspondre à une chaîne avec neuf chiffres et deux traits d’union. Si vous souhaitez correspondre aux numéros de permis de conduire de la Californie, entrez le numéro huit (8).
Attention :
Si vous n’entrez pas de longueur de correspondance maximale dans ce champ, le pare-feu d’application Web utilise la valeur par défaut un (1) lors du filtrage des chaînes correspondant à vos expressions d’objet sécurisées. Par conséquent, la plupart des expressions d’objet sûres ne parviennent pas à correspondre à leurs chaînes cibles.
Vous ne pouvez pas utiliser l’interface de ligne de commande pour configurer la vérification de l’objet sécurisé. Vous devez le configurer à l’aide de l’Assistant Web App Firewall ou de l’interface graphique.
Voici des exemples d’expressions régulières de vérification d’objet sécurisé :
-
Recherchez les chaînes qui semblent être des numéros de sécurité sociale américains, qui se composent de trois chiffres (dont le premier ne doit pas être zéro), suivi d’un trait d’union, suivi de deux chiffres supplémentaires, suivi d’un second tiret, et se terminant par une chaîne de quatre chiffres supplémentaires :
[1-9][0-9]{3,3}-[0-9]{2,2}-[0-9]{4,4} <!--NeedCopy--> -
Recherchez les chaînes qui semblent être des ID de permis de conduire californiens, qui commencent par une lettre et sont suivies d’une chaîne de sept chiffres exactement :
[A-Za-z][0-9]{7,7} <!--NeedCopy--> -
Recherchez les chaînes qui semblent être des ID client qui se composent d’une chaîne de cinq caractères hexadécimaux (tous les chiffres et les lettres A à F), suivies d’un trait d’union, suivi d’un code à trois lettres, suivi d’un second trait d’union et se terminant par une chaîne de dix chiffres :
[0-9A-Fa-f]{5,5}-[A-Za-z]{3,3}-[0-9]{10,10} <!--NeedCopy-->
Attention :
Les expressions régulières sont puissantes. Surtout si vous n’êtes pas parfaitement familier avec les expressions régulières au format PCRE, vérifiez toutes les expressions régulières que vous écrivez pour vous assurer qu’elles définissent exactement le type de chaîne que vous voulez ajouter en tant que définition d’objet sécurisé, et rien d’autre. L’utilisation imprudente des caractères génériques, et en particulier de la combinaison de métacaractères/caractères génériques (.*), peut avoir des résultats que vous ne vouliez pas ou n’attendez pas, tels que le blocage de l’accès au contenu Web que vous n’aviez pas l’intention de bloquer.