Utilisation des conditions de correspondance de scripts inter-site

Note

Il s'agit d'une documentation AWS WAF classique. Vous ne devez utiliser cette version que si vous avez créé AWS WAF des ressources, telles que des règles et des ACL Web, AWS WAF avant novembre 2019, et que vous ne les avez pas encore migrées vers la dernière version. Pour migrer vos ressources, veuillez consulter Migration de vos ressources AWS WAF classiques vers AWS WAF.

Pour la dernière version de AWS WAF, voirAWS WAF.

Les pirates insèrent parfois des scripts dans les requêtes web dans le but d'exploiter les vulnérabilités d'applications web. Vous pouvez créer une ou plusieurs conditions de correspondance entre les scripts intersites afin d'identifier les parties des requêtes Web, telles que l'URI ou la chaîne de requête, que AWS WAF Classic doit inspecter pour détecter d'éventuels scripts malveillants. Ultérieurement dans le processus, lorsque vous créez une liste ACL web, vous spécifiez s'il convient d'autoriser ou de bloquer des requêtes qui semblent contenir des scripts malveillants.

Création de conditions de correspondance de scripts inter-site

Lorsque vous créez des conditions de correspondance de scripts inter-site, vous spécifiez des filtres. Les filtres indiquent la partie des requêtes Web que AWS WAF Classic doit inspecter pour détecter la présence de scripts malveillants, tels que l'URI ou la chaîne de requête. Vous pouvez ajouter plus d'un filtre à une condition de correspondance de scripts inter-sites, ou vous pouvez créer une condition distincte pour chaque filtre. Voici comment chaque configuration affecte le comportement AWS WAF classique :

• Plus d'un filtre par condition de correspondance de script intersite (recommandé) — Lorsque vous ajoutez une condition de correspondance de script intersite contenant plusieurs filtres à une règle et que vous ajoutez la règle à une ACL Web, une demande Web ne doit correspondre qu'à l'un des filtres de la condition de correspondance de script intersite pour que AWS WAF Classic autorise ou bloque la demande en fonction de cette condition.

  Par exemple, supposons que vous créez une condition de correspondance de scripts inter-site et que la condition contient deux filtres. Un filtre demande à AWS WAF Classic d'inspecter l'URI pour détecter la présence de scripts malveillants, et l'autre indique à AWS WAF Classic d'inspecter la chaîne de requête. AWS WAF Classic autorise ou bloque les demandes si elles semblent contenir des scripts malveillants dans l'URI ou dans la chaîne de requête.

• Un filtre par condition de correspondance de script intersite — Lorsque vous ajoutez les conditions de correspondance de scripts intersites distinctes à une règle et que vous ajoutez la règle à une ACL Web, les requêtes Web doivent répondre à toutes les conditions pour que AWS WAF Classic autorise ou bloque les demandes en fonction de ces conditions.

  Supposons que vous créez deux conditions et que chaque condition contient l'un des deux filtres de l'exemple précédent. Lorsque vous ajoutez les deux conditions à la même règle et que vous ajoutez la règle à une ACL Web, AWS WAF Classic autorise ou bloque les demandes uniquement lorsque l'URI et la chaîne de requête semblent contenir des scripts malveillants.

Note

Lorsque vous ajoutez une condition de correspondance entre les scripts intersites à une règle, vous pouvez également configurer AWS WAF Classic pour autoriser ou bloquer les requêtes Web qui ne semblent pas contenir de scripts malveillants.

Pour créer une condition de correspondance de scripts inter-site

1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/wafv2/.

   Si le bouton Passer à la AWS WAF version classique apparaît dans le volet de navigation, sélectionnez-le.

2. Dans le volet de navigation, sélectionnez Cross-site scripting.

3. Choisissez Create condition.

4. Indiquez les paramètres de filtre applicables. Pour plus d’informations, consultez Valeurs que vous spécifiez lorsque vous créez ou modifiez des conditions de correspondance de scripts inter-site.

5. Choisissez Add another filter.

6. Si vous souhaitez ajouter un autre filtre, répétez les étapes 4 et 5.

7. Lorsque vous avez fini d'ajouter les filtres, choisissez Create.

Valeurs que vous spécifiez lorsque vous créez ou modifiez des conditions de correspondance de scripts inter-site

Lorsque vous créez ou mettez à jour une condition de correspondance de scripts inter-site, vous spécifiez les valeurs suivantes :

Nom

Le nom de la condition de correspondance de scripts inter-site.

Le nom ne peut contenir que les caractères A-Z, a-z, 0-9 et les caractères spéciaux suivants : _-!"#`+*},./ . Vous ne pouvez pas modifier la nom d'une condition après l'avoir créée.

Partie de la requête à filtrer

Choisissez la partie de chaque requête Web que AWS WAF Classic doit inspecter pour détecter la présence de scripts malveillants :

En-tête

Un en-tête de requête spécifié, par exemple, l'en-tête User-Agent ou Referer. Si vous choisissez Header, précisez le nom de l'en-tête dans le champs Header.

Méthode HTTP

La méthode HTTP, qui indique le type d'opération que la demande demande à l'origine d'effectuer. CloudFront prend en charge les méthodes suivantes : DELETEGET,HEAD,OPTIONS,PATCH,POST, etPUT.

Chaîne de requête

La partie d'une URL qui s'affiche après un caractère ?, le cas échéant.

Note

Pour les conditions de correspondance de scripts inter-site, nous vous recommandons de choisir All query parameters (values only) [Tous les paramètres de requête (valeurs uniquement)] au lieu de Query string (Chaîne de requête) pour Part of the request to filter on (Partie de la requête sur laquelle filtrer).

URI

Le chemin URI de la demande, qui identifie la ressource, par exemple,/images/daily-ad.jpg. Cela n'inclut pas la chaîne de requête ou les composants du fragment de l'URI. Pour plus d'informations, voir Uniform Resource Identifier (URI) : syntaxe générique.

À moins qu'une transformation ne soit spécifiée, un URI n'est pas normalisé et est inspecté au moment AWS où il est reçu du client dans le cadre de la demande. Une Transformation reformate l'URI comme spécifié.

Corps de texte

La partie d'une requête qui contient les données supplémentaires que vous souhaitez envoyer à votre serveur web en tant que corps de la requête HTTP, telles que les données d'un formulaire.

Note

Si vous choisissez Body pour la valeur d'une partie de la demande à filtrer, AWS WAF Classic inspecte uniquement les 8 192 premiers octets (8 Ko). Pour autoriser ou bloquer les demandes dont le corps est supérieur à 8 192 octets, vous pouvez créer une condition de contrainte de taille. (AWS WAF Classic obtient la longueur du corps à partir des en-têtes de requête.) Pour plus d’informations, consultez Utilisation des conditions de contrainte de taille.

Paramètre de requête unique (valeur uniquement)

Tous les paramètres que vous avez définis dans le cadre de la chaîne de requête. Par exemple, si l'URL est « www.xyz.com ? UserName =abc& SalesRegion =seattle », vous pouvez ajouter un filtre au paramètre or. UserNameSalesRegion

Si vous choisissez Single query parameter (value only) (Paramètre de requête unique (valeur uniquement)), vous spécifierez également un Query parameter name (Nom du paramètre de requête). Il s'agit du paramètre de la chaîne de requête que vous allez inspecter, tel que UserNameou SalesRegion. La longueur maximale de Query parameter name (Nom du paramètre de requête) est de 30 caractères. Query parameter name (Nom du paramètre de requête) n'est pas sensible à la casse. Par exemple, si vous spécifiez le UserNamenom du paramètre Query, celui-ci correspondra à toutes les variantes de UserName, telles que username et UserName.

Tous les paramètres de requête (valeurs uniquement)

Semblable au paramètre de requête unique (valeur uniquement), mais plutôt que d'inspecter les valeurs d'un seul paramètre, AWS WAF Classic inspecte toutes les valeurs des paramètres de la chaîne de requête pour détecter d'éventuels scripts malveillants. Par exemple, si l'URL est « www.xyz.com ? UserName =abc& SalesRegion =seattle » et que vous choisissez Tous les paramètres de requête (valeurs uniquement), AWS WAF Classic déclenchera une correspondance si la valeur est ou contient d'éventuels scripts malveillants. UserNameSalesRegion

En-tête

Si vous avez choisi En-tête pour une partie de la demande à filtrer, choisissez un en-tête dans la liste des en-têtes courants ou entrez le nom d'un en-tête que AWS WAF Classic doit inspecter pour détecter la présence de scripts malveillants.

Transformation

Une transformation reformate une requête Web avant que AWS WAF Classic ne l'inspecte. Cela élimine une partie du formatage inhabituel utilisé par les attaquants dans les requêtes Web dans le but de contourner AWS WAF Classic.

Vous ne pouvez spécifier qu'un seul type de transformation de texte.

Les transformations peuvent effectuer les opérations suivantes :

Aucun

AWS WAF Classic n'effectue aucune transformation de texte sur la requête Web avant de l'inspecter pour détecter la correspondance de la chaîne dans Value.

Convertir en minuscules

AWS WAF Classic convertit les lettres majuscules (A-Z) en minuscules (a-z).

Décodage d'HTML

AWS WAF Classic remplace les caractères codés en HTML par des caractères non codés :

• Remplace " par &

• Remplace   par un espace insécable

• Remplace < par <

• Remplace > par >

• Remplace les caractères qui sont représentées au format hexadécimal, &#xhhhh;, par les caractères correspondants

• Remplace les caractères qui sont représentés au format décimal, &#nnnn;, par les caractères correspondants

Normalisation des espaces blancs

AWS WAF Classic remplace les caractères suivants par un espace (32 décimal) :

• \f, saut de page, décimale 12

• \t, tabulation, décimale 9

• \n, nouvelle ligne, décimale 10

• \r, retour chariot, décimale 13

• \v, tabulation verticale, décimale 11

• Espace insécable, décimale 160

En outre, cette option remplace plusieurs espaces par un seul.

Simplifier la ligne de commande

Pour les requêtes qui contiennent des commandes de ligne de commande du système d'exploitation, utilisez cette option pour effectuer les transformations suivantes :

• Supprimer les caractères suivants : \ " ' ^

• Supprimer les espaces avant les caractères suivants : / (

• Remplacer les caractères suivants par un espace : , ;

• Remplacer plusieurs espaces par un espace

• Convertit les lettres majuscules (A-Z) en lettres minuscules (a-z)

Décodage d'URL

Décoder une requête encodée par URL.

Ajout et suppression de filtres dans une condition de correspondance de scripts inter-site

Vous pouvez ajouter ou supprimer des filtres dans une condition de correspondance de scripts inter-site. Pour modifier un filtre, ajoutez un nouveau filtre et supprimez l'ancien.

Pour ajouter ou supprimer des filtres dans une condition de correspondance de scripts inter-site

1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/wafv2/.

   Si le bouton Passer à la AWS WAF version classique apparaît dans le volet de navigation, sélectionnez-le.

2. Dans le volet de navigation, sélectionnez Cross-site scripting.

3. Sélectionnez la condition pour laquelle vous souhaitez ajouter ou supprimer des filtres.

4. Pour ajouter des filtres, effectuez les opérations suivantes :

   1. Choisissez Add filter.

   2. Indiquez les paramètres de filtre applicables. Pour plus d’informations, consultez Valeurs que vous spécifiez lorsque vous créez ou modifiez des conditions de correspondance de scripts inter-site.

   3. Choisissez Ajouter.

5. Pour supprimer des filtres, effectuez les opérations suivantes :

   1. Sélectionnez le filtre à supprimer.

   2. Choisissez Delete filter.

Suppression de conditions de correspondance de scripts inter-site

Si vous souhaitez supprimer une condition de correspondance de scripts inter-site, vous devez d'abord supprimer tous les filtres de la condition, puis supprimer la condition de toutes les règles qui l'utilisent, comme décrit dans la procédure suivante.

Pour supprimer une condition de correspondance de scripts inter-site

1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/wafv2/.

   Si le bouton Passer à la AWS WAF version classique apparaît dans le volet de navigation, sélectionnez-le.

2. Dans le volet de navigation, sélectionnez Cross-site scripting.

3. Dans le volet Cross-site scripting match conditions, choisissez la condition de correspondance de scripts inter-site que vous souhaitez supprimer.

4. Dans le volet droit, choisissez l'onglet Associated rules.

   Si la liste des règles qui utilisent cette condition de correspondance de scripts inter-site est vide, passez à l'étape 6. Si la liste contient une ou des règles, notez-les et passez à l'étape 5.

5. Pour supprimer la condition de correspondance de scripts inter-site des règles qui l'utilisent, effectuez les opérations suivantes :

   1. Dans le volet de navigation, choisissez Règles.

   2. Choisissez le nom d'une règle qui utilise la condition de correspondance de scripts inter-site que vous souhaitez supprimer.

   3. Dans le volet droit, sélectionnez la condition de correspondance de scripts inter-site que vous souhaitez supprimer de la règle, puis sélectionnez Remove selected condition.

   4. Répétez les étapes b et c pour toutes les autres règles qui utilisent la condition de correspondance de scripts inter-site que vous souhaitez supprimer.

   5. Dans le volet de navigation, sélectionnez Cross-site scripting.

   6. Dans le volet Cross-site scripting match conditions, choisissez la condition de correspondance de scripts inter-site que vous souhaitez supprimer.

6. Choisissez Delete pour supprimer la condition sélectionnée.