Utilisation des conditions de correspondance d'injection SQL

Note

Il s'agit d'une documentation AWS WAF classique. Vous ne devez utiliser cette version que si vous avez créé AWS WAF des ressources, telles que des règles et des ACL Web, AWS WAF avant novembre 2019, et que vous ne les avez pas encore migrées vers la dernière version. Pour migrer vos ressources, veuillez consulter Migration de vos ressources AWS WAF classiques vers AWS WAF.

Pour la dernière version de AWS WAF, voirAWS WAF.

Les pirates insèrent parfois du code SQL malveillant dans les requêtes web dans le but d'extraire des données de votre base de données. Pour autoriser ou bloquer des requêtes web qui semblent contenir du code SQL malveillant, créez une ou plusieurs conditions de correspondance d'injection SQL. Une condition de correspondance par injection SQL identifie la partie des requêtes Web, telle que le chemin de l'URI ou la chaîne de requête, que AWS WAF Classic doit inspecter. Ultérieurement dans le processus, lorsque vous créez une liste ACL web, vous spécifiez s'il convient d'autoriser ou de bloquer des requêtes qui semblent contenir du code SQL malveillant.

Création de conditions de correspondance d'injection SQL

Lorsque vous créez des conditions de correspondance par injection SQL, vous spécifiez des filtres qui indiquent la partie des requêtes Web que AWS WAF Classic doit inspecter pour détecter la présence de code SQL malveillant, telle que l'URI ou la chaîne de requête. Vous pouvez ajouter plus d'un filtre à une condition de correspondance d'injection SQL ou vous pouvez créer une condition distincte pour chaque filtre. Voici comment chaque configuration affecte le comportement AWS WAF classique :

• Plusieurs filtres par condition de correspondance par injection SQL (recommandé) — Lorsque vous ajoutez une condition de correspondance par injection SQL contenant plusieurs filtres à une règle et que vous ajoutez la règle à une ACL Web, il suffit qu'une requête Web corresponde à l'un des filtres de la condition de correspondance par injection SQL pour que AWS WAF Classic autorise ou bloque la demande en fonction de cette condition.

  Par exemple, supposons que vous créez une condition de correspondance d'injection SQL et que la condition contient deux filtres. Un filtre demande à AWS WAF Classic d'inspecter l'URI pour détecter la présence de code SQL malveillant, et l'autre indique à AWS WAF Classic d'inspecter la chaîne de requête. AWS WAF Classic autorise ou bloque les demandes si elles semblent contenir du code SQL malveillant dans l'URI ou dans la chaîne de requête.

• Un filtre par condition de correspondance d'injection SQL — Lorsque vous ajoutez les conditions de correspondance d'injection SQL distinctes à une règle et que vous ajoutez la règle à une ACL Web, les requêtes Web doivent répondre à toutes les conditions pour que AWS WAF Classic autorise ou bloque les demandes en fonction de ces conditions.

  Supposons que vous créez deux conditions et que chaque condition contient l'un des deux filtres de l'exemple précédent. Lorsque vous ajoutez les deux conditions à la même règle et que vous ajoutez la règle à une ACL Web, AWS WAF Classic autorise ou bloque les demandes uniquement lorsque l'URI et la chaîne de requête semblent contenir du code SQL malveillant.

Note

Lorsque vous ajoutez une condition de correspondance par injection SQL à une règle, vous pouvez également configurer AWS WAF Classic pour autoriser ou bloquer les requêtes Web qui ne semblent pas contenir de code SQL malveillant.

Pour créer une condition de correspondance d'injection SQL

1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/wafv2/.

   Si vous voyez Passer à la AWS WAF version classique dans le volet de navigation, sélectionnez-le.

2. Dans le volet de navigation, choisissez SQL injection.

3. Choisissez Create condition.

4. Indiquez les paramètres de filtre applicables. Pour plus d’informations, consultez Valeurs que vous spécifiez lorsque vous créez ou modifiez des conditions de correspondance d'injection SQL.

5. Choisissez Add another filter.

6. Si vous souhaitez ajouter un autre filtre, répétez les étapes 4 et 5.

7. Lorsque vous avez fini d'ajouter les filtres, choisissez Create.

Valeurs que vous spécifiez lorsque vous créez ou modifiez des conditions de correspondance d'injection SQL

Lorsque vous créez ou mettez à jour une condition de correspondance d'injection SQL, vous spécifiez les valeurs suivantes :

Nom

Le nom de la condition de correspondance d'injection SQL.

Le nom ne peut contenir que des caractères alphanumériques (A-Z, a-z, 0-9) ou les caractères spéciaux suivants : _-!"#`+*},./. Vous ne pouvez pas modifier la nom d'une condition après l'avoir créée.

Partie de la requête à filtrer

Choisissez la partie de chaque requête Web que AWS WAF Classic doit inspecter pour détecter la présence de code SQL malveillant :

En-tête

Un en-tête de requête spécifié, par exemple, l'en-tête User-Agent ou Referer. Si vous choisissez Header, précisez le nom de l'en-tête dans le champs Header.

Méthode HTTP

La méthode HTTP, qui indique le type d'opération que la demande demande à l'origine d'effectuer. CloudFront prend en charge les méthodes suivantes : DELETEGET,HEAD,OPTIONS,PATCH,POST, etPUT.

Chaîne de requête

La partie d'une URL qui s'affiche après un caractère ?, le cas échéant.

Note

Pour les conditions de correspondance d'injection SQL, nous vous recommandons de choisir All query parameters (values only) [Tous les paramètres de requête (valeurs uniquement)] au lieu de Query string (Chaîne de requête) pour Part of the request to filter on (Partie de la requête sur laquelle filtrer).

URI

Le chemin URI de la demande, qui identifie la ressource, par exemple,/images/daily-ad.jpg. Cela n'inclut pas la chaîne de requête ou les composants du fragment de l'URI. Pour plus d'informations, voir Uniform Resource Identifier (URI) : syntaxe générique.

À moins qu'une transformation ne soit spécifiée, un URI n'est pas normalisé et est inspecté au moment AWS où il est reçu du client dans le cadre de la demande. Une Transformation reformate l'URI comme spécifié.

Corps de texte

La partie d'une requête qui contient les données supplémentaires que vous souhaitez envoyer à votre serveur web en tant que corps de la requête HTTP, telles que les données d'un formulaire.

Note

Si vous choisissez Body pour la valeur d'une partie de la demande à filtrer, AWS WAF Classic inspecte uniquement les 8 192 premiers octets (8 Ko). Pour autoriser ou bloquer les demandes dont le corps est supérieur à 8 192 octets, vous pouvez créer une condition de contrainte de taille. (AWS WAF Classic obtient la longueur du corps à partir des en-têtes de requête.) Pour plus d’informations, consultez Utilisation des conditions de contrainte de taille.

Paramètre de requête unique (valeur uniquement)

Tous les paramètres que vous avez définis dans le cadre de la chaîne de requête. Par exemple, si l'URL est « www.xyz.com ? UserName =abc& SalesRegion =seattle », vous pouvez ajouter un filtre au paramètre or. UserNameSalesRegion

Si vous choisissez Single query parameter (value only) (Paramètre de requête unique (valeur uniquement)), vous spécifierez également un Query parameter name (Nom du paramètre de requête). Il s'agit du paramètre de la chaîne de requête que vous allez inspecter, tel que UserNameou SalesRegion. La longueur maximale de Query parameter name (Nom du paramètre de requête) est de 30 caractères. Query parameter name (Nom du paramètre de requête) n'est pas sensible à la casse. Par exemple, si vous spécifiez le UserNamenom du paramètre Query, celui-ci correspondra à toutes les variantes de UserName, telles que username et UserName.

Tous les paramètres de requête (valeurs uniquement)

Semblable au paramètre de requête unique (valeur uniquement), mais plutôt que d'inspecter la valeur d'un seul paramètre, AWS WAF Classic inspecte la valeur de tous les paramètres de la chaîne de requête pour détecter d'éventuels codes SQL malveillants. Par exemple, si l'URL est « www.xyz.com ? UserName =abc& SalesRegion =seattle » et que vous choisissez Tous les paramètres de requête (valeurs uniquement), AWS WAF Classic déclenchera une correspondance si la valeur de l'un ou UserNamel'autre contient un éventuel code SQL malveillant. SalesRegion

En-tête

Si vous avez choisi En-tête pour une partie de la demande à filtrer, choisissez un en-tête dans la liste des en-têtes courants ou entrez le nom d'un en-tête que AWS WAF Classic doit inspecter pour détecter la présence de code SQL malveillant.

Transformation

Une transformation reformate une requête Web avant que AWS WAF Classic ne l'inspecte. Cela élimine une partie du formatage inhabituel utilisé par les attaquants dans les requêtes Web dans le but de contourner AWS WAF Classic.

Vous ne pouvez spécifier qu'un seul type de transformation de texte.

Les transformations peuvent effectuer les opérations suivantes :

Aucun

AWS WAF Classic n'effectue aucune transformation de texte sur la requête Web avant de l'inspecter pour détecter la correspondance de la chaîne dans Value.

Convertir en minuscules

AWS WAF Classic convertit les lettres majuscules (A-Z) en minuscules (a-z).

Décodage d'HTML

AWS WAF Classic remplace les caractères codés en HTML par des caractères non codés :

• Remplace " par &

• Remplace   par un espace insécable

• Remplace < par <

• Remplace > par >

• Remplace les caractères qui sont représentées au format hexadécimal, &#xhhhh;, par les caractères correspondants

• Remplace les caractères qui sont représentés au format décimal, &#nnnn;, par les caractères correspondants

Normalisation des espaces blancs

AWS WAF Classic remplace les caractères suivants par un espace (32 décimal) :

• \f, saut de page, décimale 12

• \t, tabulation, décimale 9

• \n, nouvelle ligne, décimale 10

• \r, retour chariot, décimale 13

• \v, tabulation verticale, décimale 11

• Espace insécable, décimale 160

En outre, cette option remplace plusieurs espaces par un seul.

Simplifier la ligne de commande

Pour les requêtes qui contiennent des commandes de ligne de commande du système d'exploitation, utilisez cette option pour effectuer les transformations suivantes :

• Supprimer les caractères suivants : \ " ' ^

• Supprimer les espaces avant les caractères suivants : / (

• Remplacer les caractères suivants par un espace : , ;

• Remplacer plusieurs espaces par un espace

• Convertit les lettres majuscules (A-Z) en lettres minuscules (a-z)

Décodage d'URL

Décoder une requête encodée par URL.

Ajout et suppression de filtres dans une condition de correspondance d'injection SQL

Vous pouvez ajouter ou supprimer des filtres dans une condition de correspondance d'injection SQL. Pour modifier un filtre, ajoutez un nouveau filtre et supprimez l'ancien.

Pour ajouter ou supprimer des filtres dans une condition de correspondance d'injection SQL

1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/wafv2/.

   Si vous voyez Passer à la AWS WAF version classique dans le volet de navigation, sélectionnez-le.

2. Dans le volet de navigation, choisissez SQL injection.

3. Sélectionnez la condition pour laquelle vous souhaitez ajouter ou supprimer des filtres.

4. Pour ajouter des filtres, effectuez les opérations suivantes :

   1. Choisissez Add filter.

   2. Indiquez les paramètres de filtre applicables. Pour plus d’informations, consultez Valeurs que vous spécifiez lorsque vous créez ou modifiez des conditions de correspondance d'injection SQL.

   3. Choisissez Ajouter.

5. Pour supprimer des filtres, effectuez les opérations suivantes :

   1. Sélectionnez le filtre à supprimer.

   2. Choisissez Delete filter.

Suppression des conditions de correspondance d'injection SQL

Si vous souhaitez supprimer une condition de correspondance d'injection SQL, vous devez d'abord supprimer tous les filtres de la condition, puis supprimer la condition de toutes les règles qui l'utilisent, comme décrit dans la procédure suivante.

Pour supprimer une condition de correspondance d'injection SQL

1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/wafv2/.

   Si vous voyez Passer à la AWS WAF version classique dans le volet de navigation, sélectionnez-le.

2. Dans le volet de navigation, choisissez SQL injection.

3. Dans le volet SQL injection match conditions, choisissez la condition de correspondance d'injection SQL que vous souhaitez supprimer.

4. Dans le volet droit, choisissez l'onglet Associated rules.

   Si la liste des règles utilisant cette condition de correspondance d'injection SQL est vide, passez à l'étape 6. Si la liste contient une ou des règles, notez-les et passez à l'étape 5.

5. Pour supprimer la condition de correspondance d'injection SQL des règles qui l'utilisent, effectuez les opérations suivantes :

   1. Dans le volet de navigation, choisissez Règles.

   2. Choisissez le nom d'une règle qui utilise la condition de correspondance d'injection SQL que vous souhaitez supprimer.

   3. Dans le volet droit, sélectionnez la condition de correspondance d'injection SQL que vous souhaitez supprimer de la règle, puis sélectionnez Remove selected condition.

   4. Répétez les étapes b et c pour toutes les autres règles qui utilisent la condition de correspondance d'injection SQL que vous souhaitez supprimer.

   5. Dans le volet de navigation, choisissez SQL injection.

   6. Dans le volet SQL injection match conditions, choisissez la condition de correspondance d'injection SQL que vous souhaitez supprimer.

6. Choisissez Delete pour supprimer la condition sélectionnée.