Vérification des objets sécurisés
La vérification des objets sécurisés fournit une protection configurable par l’utilisateur pour les informations commerciales sensibles, telles que les numéros de clients, les numéros de commande et les numéros de téléphone ou codes postaux spécifiques à un pays ou à une région. Une expression régulière définie par l’utilisateur ou un plug-in personnalisé indique au Web App Firewall le format de ces informations et définit les règles à utiliser pour les protéger. Si une chaîne d’une demande utilisateur correspond à une définition d’objet sécurisé, le Web App Firewall bloque la réponse, masque les informations protégées ou supprime les informations protégées de la réponse avant de les envoyer à l’utilisateur, selon la façon dont vous avez configuré cette règle d’objet sécurisé particulière.
La vérification des objets sécurisés empêche les attaquants d’exploiter une faille de sécurité dans votre logiciel de serveur Web ou sur votre site Web pour obtenir des informations privées sensibles, telles que les numéros de carte de crédit de l’entreprise ou les numéros de sécurité sociale. Si vos sites Web n’ont pas accès à ce type d’informations, vous n’avez pas besoin de configurer cette vérification. Si vous disposez d’un panier d’achat ou d’une autre application qui peut accéder à ces informations, ou si vos sites Web ont accès à des serveurs de base de données contenant ces informations, vous devez configurer la protection pour chaque type d’informations privées sensibles que vous gérez et stockez.
Remarque :
Un site Web qui n’accède pas à une base de données SQL n’a généralement pas accès aux informations privées sensibles.
La vérification des objets sûrs ne ressemble à aucune autre vérification. Chaque expression d’objet sécurisé que vous créez est l’équivalent d’une vérification de sécurité distincte, similaire à la vérification de carte de crédit, pour ce type d’informations.
Configuration de la vérification des objets sécurisés à l’aide de l’interface
Remarque
Vous devez configurer la vérification des objets sûrs uniquement à l’aide de l’interface graphique. L’interface de ligne de commande n’est pas prise en charge.
Pour ajouter une vérification de sécurité des objets sécurisés à l’aide de l’interface graphique :
-
Accédez à Sécurité > NetScaler Web App Firewall> Profils.
-
Sélectionnez le profil souhaité et cliquez sur Modifier.
-
Dans le volet Paramètres avancés, cliquez sur Règles de relaxation.
-
Sélectionnez Safe Object et cliquez sur Edit.
-
Cliquez sur Ajouter et configurez les éléments suivants :
- Nom de l’objet sécurisé. Un nom pour votre nouvel objet sécurisé. Le nom peut commencer par une lettre, un chiffre ou le symbole de soulignement. Le nom peut être composé de 1 à 255 lettres, chiffres et du tiret (-), du point (.) livre (#), de l’espace (), du signe at (@), de l’égal (=), du deux-points (:) et du trait de soulignement (_).
-
Des actions. Activez ou désactivez les actions Bloquer, Consigneret Statistiques, ainsi que les actions suivantes :
- Sortie X. Masquez toutes les informations qui correspondent à l’expression d’objet sécurisé par la lettre « X ».
- Remove. Supprimez toutes les informations correspondant à l’expression d’objet sécurisé.
-
Expression régulière. Entrez une expression régulière compatible PCRE qui définit l’objet sécurisé. Vous pouvez créer l’expression régulière de l’une des manières suivantes :
- En saisissant l’expression régulière directement dans la zone de texte
- En utilisant le menu Regex Tokens pour saisir des éléments d’expression régulière et des symboles directement dans la zone de texte
- En ouvrant l’éditeur d’expressions régulières et en l’utilisant pour construire l’expression. L’expression régulière doit être composée uniquement de caractères ASCII. Ne coupez pas et ne collez pas de caractères qui ne font pas partie du jeu ASCII de base de 128 caractères. Si vous souhaitez inclure des caractères non ASCII, vous devez les saisir manuellement au format de codage hexadécimal PCRE.
Remarque :
n’utilisez pas d’ancres de début (^) au début des expressions d’objet sécurisé, ni d’ancres de fin ($) à la fin des expressions d’objet sécurisé. Ces entités PCRE ne sont pas prises en charge dans les expressions d’objet sécurisé et, si elles sont utilisées, votre expression ne correspond pas à ce qu’elle était censée correspondre.
-
Durée maximale du match. Entrez un entier positif qui représente la longueur maximale de la chaîne à laquelle vous souhaitez faire correspondre. Par exemple, si vous souhaitez faire correspondre les numéros de sécurité sociale américains, saisissez le chiffre 11 dans ce champ. Cela permet à votre expression régulière de faire correspondre une chaîne de neuf chiffres et deux tirets. Si vous souhaitez faire correspondre les numéros de permis de conduire californiens, saisissez le chiffre huit (8).
Attention :
Si vous ne définissez pas la longueur maximale de correspondance, le Web App Firewall utilise la valeur par défaut de un (1) lors du filtrage des chaînes correspondant à vos expressions d’objet sûres. Par conséquent, la plupart des expressions d’objet sûres ne correspondent pas à leurs chaînes cibles.
Vous pouvez modifier un express existant en sélectionnant l’expression requise, en cliquant sur Ouvrir, puis en configurant l’expression dans la boîte de dialogue Modifier l’objet sécurisé .
Voici des exemples d’expressions régulières de vérification d’objets sûrs :
- Recherchez les chaînes qui semblent être des numéros de sécurité sociale (SSN) américains. Le SSN se compose des caractères suivants dans l’ordre indiqué :
- Trois chiffres (dont le premier ne doit pas être zéro)
- Un trait d’union
- Encore deux chiffres
- Un deuxième trait d’union
- Une suite de quatre autres chiffres
[1-9][0-9]{3,3}-[0-9]{2,2}-[0-9]{4,4} <!--NeedCopy-->
-
Recherchez les chaînes qui semblent être des numéros de permis de conduire californiens, qui commencent par une lettre et sont suivies d’une chaîne de sept chiffres exactement :
[A-Za-z][0-9]{7,7} <!--NeedCopy-->
- Recherchez les chaînes qui semblent être des identifiants de clients. Les identifiants clients se composent des éléments suivants dans l’ordre indiqué :
- Une chaîne de cinq caractères hexadécimaux (tous les chiffres et les lettres de A à F)
- Un trait d’union
- Un code à trois lettres
- Un deuxième trait d’union
- Une chaîne de 10 chiffres
[0-9A-Fa-f]{5,5}-[A-Za-z]{3,3}-[0-9]{10,10} <!--NeedCopy-->
Attention :
Les expressions régulières sont puissantes. Si vous êtes moins familiarisé avec les expressions régulières au format PCRE, vérifiez toutes les expressions régulières que vous écrivez. Assurez-vous que l’expression régulière définit exactement le type de chaîne que vous souhaitez ajouter en tant que définition d’objet sécurisée. L’utilisation négligente de caractères génériques, et en particulier de la combinaison métacaractère/caractère générique point-astérisque (.*), peut avoir des résultats que vous ne vouliez pas ou que vous n’attendiez pas, tels que le blocage de l’accès à du contenu Web que vous n’aviez pas l’intention de bloquer.