Comment créer une règle AWS WAF pour empêcher SQLi et XSS ?

Lecture de 7 minute(s)

Je souhaite empêcher l'injection SQL (SQLi) et le script intersite (XSS). Quelles sont les options proposées par AWS WAF pour prévenir les attaques SQLi et XSS ?

Brève description

AWS WAF offre les protections suivantes pour prévenir les attaques SQLi et XSS :

Moteurs SQLi et XSS intégrés
AWS Managed Rules disponible pour les attaques par injection SQLi et XSS

Pour configurer ces protections, assurez-vous d'avoir configuré AWS WAF et créé une liste ACL Web.

Remarque : AWS WAF a des limites lors de l'inspection du corps, des en-têtes ou des composants de demande de cookies. Pour plus d'informations, consultez la section Inspection du corps de la demande, des en-têtes et des cookies.

Solution

Important : il est recommandé de tester les règles dans un environnement hors production avec Action définie sur Count (Compter). Évaluez la règle à l'aide des métriques Amazon CloudWatch combinées aux demandes échantillonnées AWS WAF ou aux journaux AWS WAF. Lorsque vous êtes convaincu que la règle fait ce que vous voulez, définissez Action sur Block (Bloquer).

Utilisez les moteurs SQLi et XSS intégrés

Des attaques peuvent être effectuées sur différentes parties de la requête HTTP, telles que l'en-tête HTTP, la chaîne de requête ou l'URI. Configurez les règles AWS WAF pour inspecter différentes parties de la requête HTTP par rapport aux moteurs d'atténuation intégrés.

Instruction de règle d'attaque SQLi

Créez une instruction de règle d'attaque par injection SQL pour détecter tout code SQL malveillant. Pour créer une instruction de règle d'attaque SQLi, procédez comme suit :

Ouvrez la console AWS WAF.
Dans le volet de navigation, sous AWS WAF, choisissez Web ACLs (ACL web).
Pour Region (Région), choisissez la région AWS dans laquelle vous avez créé votre liste ACL web.
**Remarque :**sélectionnez Global si votre liste ACL web est configurée pour Amazon CloudFront.
Sélectionnez votre liste ACL web.
Choisissez Règles, puis Ajouter une règle. Sélectionnez Ajouter mes propres règles et groupes de règles dans la liste déroulante.
Pour Name (Nom), saisissez un nom de règle, puis choisissez Regular Rule (Règle régulière).
Pour If a request (Si une demande), choisissez matches the statement (correspond à l'instruction).
Pour Inspect, sélectionnez Demander des composants à évaluer par rapport au moteur d'atténuation intégré de SQLi.
Pour Type de correspondance, sélectionnez Contient des attaques par injection SQL dans la liste déroulante.
Choisissez une transformation de texte.
Pour Action, choisissez Block (Bloquer).
Choisissez Add rule (Ajouter une règle).
Choisissez Enregistrer.

Instruction de règle d'attaque XSS

Créez une instruction de règle d'attaque par script intersite pour détecter la présence de scripts malveillants dans un composant de requête Web. Pour créer une instruction de règle d'attaque XSS, procédez comme suit :

Ouvrez la console AWS WAF.
Dans le volet de navigation, sous AWS WAF, choisissez Web ACLs (ACL web).
Pour Region (Région), choisissez la région AWS dans laquelle vous avez créé votre liste ACL web.
**Remarque :**sélectionnez Global si votre liste ACL web est configurée pour Amazon CloudFront.
Sélectionnez votre liste ACL web.
Choisissez Règles, puis Ajouter une règle. Sélectionnez Ajouter mes propres règles et groupes de règles dans la liste déroulante.
Pour Name (Nom), saisissez un nom de règle, puis choisissez Regular Rule (Règle régulière).
Pour If a request (Si une demande), choisissez matches the statement (correspond à l'instruction).
Pour Inspect (Inspecter), sélectionnez Demander des composants à évaluer par rapport au moteur d'atténuation intégré XSS.
Pour Type de correspondance, sélectionnez Contient des attaques par injection XSS dans la liste déroulante.
Choisissez une transformation de texte.
Pour Action, choisissez Block (Bloquer).
Choisissez Add rule (Ajouter une règle).
Choisissez Enregistrer.

Règles d'attaque SQLi et XSS qui s'évaluent par rapport à plusieurs composants de requête

Pour créer une règle d'attaque qui s'évalue par rapport à plusieurs composants de requête, procédez comme suit :

Ouvrez la console AWS WAF.
Dans le volet de navigation, sous AWS WAF, choisissez Web ACLs (ACL web).
Pour Region (Région), choisissez la région AWS dans laquelle vous avez créé votre liste ACL web.
**Remarque :**sélectionnez Global si votre liste ACL web est configurée pour Amazon CloudFront.
Sélectionnez votre liste ACL web.
Choisissez Règles, puis Ajouter une règle. Sélectionnez Ajouter mes propres règles et groupes de règles dans la liste déroulante.
Pour Name (Nom), saisissez un nom de règle, puis choisissez Regular Rule (Règle régulière).
Pour Si une demande, choisissez correspond à au moins une des instructions (OU).
Pour Inspecter, sélectionnez Demander des composants à évaluer par rapport au moteur d'atténuation intégré SQLi ou XSS.
Pour Type de correspondance, sélectionnez Contient des attaques par injection SQLi ou Contient des attaques par injection XSS dans la liste déroulante.
Choisissez une transformation de texte.
Répétez les étapes 8 à 10 pour chaque Instruction. Choisissez Ajouter une instruction pour des évaluations de règles supplémentaires.
Pour Action, choisissez Block (Bloquer).
Choisissez Add rule (Ajouter une règle).
Choisissez Enregistrer.

Important : vous devez appliquer les transformations de texte correctes pour que la règle fonctionne comme prévu. Par exemple, si vous inspectez un cookie, utilisez les transformations suivantes associées à un cookie :

Décodage d'URL
Décodage d'entité HTML
Minuscules

Utiliser les règles gérées AWS disponibles pour les attaques par injection SQLi et XSS

Utilisez AWS Managed Rules for AWS WAF pour vous protéger contre les vulnérabilités des applications ou tout autre trafic indésirable sans avoir à écrire vos propres règles.

Remarque : les règles gérées peuvent faire l'objet de modifications de version et d'expiration. Pour plus d'informations, consultez Meilleures pratiques pour la gestion des versions de groupes de règles gérés.

Utilisez le groupe de règles géré par base de données SQL pour vous protéger contre les attaques par injection SQL. Le groupe de règles géré par la base de données SQL (version 1.1 par défaut) comporte les règles suivantes qui fournissent une protection :

SQLiExtendedPatterns_QUERYARGUMENTS
SQLi_QUERYARGUMENTS
SQLi_Body
SQLi_COOKIE
SQLi_URIPATH

Utilisez le groupe de règles géré Core Rule Set (CRS) pour vous protéger contre les attaques par injection XSS. Le groupe de règles géré par ensemble de règles de base (CRS) (version par défaut 1.3) comporte les règles suivantes qui fournissent une protection :

CrossSiteScripting_COOKIE
CrossSiteScripting_QUERYARGUMENTS
CrossSiteScripting_BODY
CrossSiteScripting_URIPATH

Pour ajouter un groupe de règles géré par AWS à votre ACL Web

Ouvrez la console AWS WAF.
Dans le volet de navigation, sous AWS WAF, choisissez Web ACLs (ACL web).
Pour Region (Région), choisissez la région AWS dans laquelle vous avez créé votre liste ACL web.
**Remarque :**sélectionnez Global si votre liste ACL web est configurée pour Amazon CloudFront.
Sélectionnez votre liste ACL web.
Choisissez Règles, puis Ajouter une règle. Sélectionnez Ajouter des groupes de règles gérés dans la liste déroulante.
Développez la section Groupes de règles gérés par AWS.
Localisez le groupe de règles et activez Ajouter à la liste ACL Web.
Par exemple, vous pouvez activer l'option Ajouter à la liste ACL Web pour la base de données SQL pour la protection SQLi et pour l'ensemble de règles de base pour la protection XSS.
(Facultatif) Choisissez Modifier pour afficher et modifier les paramètres du groupe de règles.
Choisissez Ajouter des règles.
Choisissez Enregistrer.

Pour modifier un groupe de règles géré par AWS existant dans votre ACL Web

Ouvrez la console AWS WAF.
Dans le volet de navigation, sous AWS WAF, choisissez Web ACLs (ACL web).
Pour Region (Région), choisissez la région AWS dans laquelle vous avez créé votre liste ACL web.
**Remarque :**sélectionnez Global si votre liste ACL web est configurée pour Amazon CloudFront.
Sélectionnez votre liste ACL web.
Choisissez Règles, puis Modifier pour afficher et modifier les paramètres.
Remarque : pour plus d'informations sur la modification des paramètres, consultez la section Utilisation des groupes de règles gérés.
Lorsque vous avez terminé vos modifications, choisissez Enregistrer.

Si vous obtenez des scénarios faussement positifs avec des groupes de règles gérés par AWS, consultez Groupes de règles gérés par AWS pour AWS WAF.

Sujets

Sécurité, identité et conformité

Balises

AWS WAF

Langue

Français

AWS OFFICIELA mis à jour il y a 2 ans

Aucun commentaire

Contenus pertinents

loi sur la protection des renseignements personnel et les documents électroniques du Canada (LPRDE)
Nadal
demandé il y a un an
Quels services AWS sont nécessaires pour remplacer une base de données MySQL classique ?
rePost-User-8854683
demandé il y a un an
Fonction Lambda : 15 tests et toujours le même statut "Statut failed" avec toujours le même message d'erreur...
BrunoAWSLambda
demandé il y a 6 mois
Impossible d'afficher la page de modification WAF sur une distribution Cloudfront
Réponse acceptée
Adesin
demandé il y a 6 mois
Comment changer l'émetteur utilisé pour envoyer les SMS ?
Nicolas
demandé il y a 9 mois
Comment puis-je exclure des URI spécifiques de l'inspection XSS ou SQLi pour les requêtes HTTP dans AWS WAF ?
AWS OFFICIELA mis à jour il y a 8 mois
Comment AWS WAF peut-il aider à prévenir les attaques de connexion par force brute ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment les métriques et les journaux sont-ils formatés pour l'action de règle de comptage dans AWS WAF ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment puis-je configurer AWS WAF pour protéger mes ressources contre les attaques courantes ?
AWS OFFICIELA mis à jour il y a 3 ans