Dans cet article, vous apprendrez ce qu'est le Core Rule Set (CRS) de l'OWASP et comment vous pouvez l'utiliser pour protéger votre site Web.
Qu’est-ce que le Core Rule Set de l’OWASP?
Le «Core Rule Set» (en abrégé «CRS») de l’OWASP est un outil qui vous permet de protéger votre site Web contre les attaques génériques. Les attaques sont considérées comme génériques lorsqu’elles ne visent pas une application ou une technologie spécifique, mais des failles de sécurité largement répandues. Le CRS est un ensemble de règles permettant de détecter de telles attaques. Toutes les requêtes adressées à un site Web sont analysées en fonction de ces règles. Si une requête correspond aux critères d’une ou de plusieurs règles, l’accès au site Web est bloqué. Dans le cas contraire, l’accès est autorisé.
Le CSR vous aide ainsi à identifier les menaces potentielles et à renforcer la sécurité de votre site Web. Il vous protège contre une multitude d’attaques différentes comme l’«injection SQL» ou le «cross-site scripting». De plus amples informations sur les attaques les plus fréquentes contre lesquelles le CRS protège sont disponibles sur le site Web du Core Rule Set de l’OWASP.
Le CRS est développé et mis à jour par l’organisation OWASP. OWASP est l’acronyme de «Open Worldwide Application Security Project». Il s’agit d’une organisation à but non lucratif dont l’objectif est d’améliorer la sécurité des applications, services et logiciels.
Utilisation chez Hostpoint
Le CRS de l’OWASP est désactivé par défaut chez Hostpoint. Vous pouvez l’activer vous-même dans le Control Panel Hostpoint. Pour savoir comment procéder, reportez-vous au paragraphe «Activer le CRS de l’OWASP».
Comme les règles du CRS sont très strictes, il arrive que des accès légitimes soient bloqués. Dans ce contexte, on parle également de «False Positives». Pour éviter cela, vous pouvez assouplir ou même désactiver les règles de manière individuelle au moyen des «Exclusion Plugins» et des «Exclude Rules».
Plugins d'exclusion
Pour certains des systèmes de gestion de contenu (CMS) les plus courants (par ex. WordPress), il existe des plugins qui permettent d’assouplir les règles du CRS. Ces plugins sont également appelés «Exclusion Plugins». Si un tel plugin existe pour le CMS que vous utilisez, nous vous recommandons de l’activer.
Règles à exclure
Si, malgré l’activation du plugin, le CRS est trop strict à votre goût ou si aucun plugin n’existe pour votre CMS, vous pouvez désactiver certaines règles. Vous pouvez ainsi adapter le CRS encore plus précisément à vos besoins.
Pour ajouter une telle règle d’exception (également appelée «Exclude Rule»), vous avez besoin de l’ID de la règle à exclure. Vous le trouverez dans le journal d’erreurs (Errorlog) de votre site Web, que vous pouvez télécharger via le Control Panel Hostpoint. Le journal d’erreurs enregistre les requêtes adressées à votre site Web qui ont été bloquées et leur attribue l’ID de la règle correspondante. Le moyen le plus simple de trouver la requête concernée est de rechercher l'heure ou l'adresse IP dans le fichier.
L'exemple suivant montre une requête bloquée par le CRS de l’OWASP. Si l'accès est considéré comme légitime et que l'on ne souhaite pas qu'une telle requête soit bloquée, il est possible d'ajouter l'ID de la règle (marqué en rouge) aux «ID des règles à exclure».
[Tue Jan 07 02:43:43.657734 2025] [-:error] [pid 78379:tid 38756085760] ModSecurity: Warning. Matched phrase ".env" at REQUEST_FILENAME. [file "/usr/local/etc/apache24/Includes/mod_security/crs/rules/REQUEST-930-APPLICATION-ATTACK-LFI.conf"] [line "143"] [id "930130"] [msg "Restricted File Access Attempt"] [data "Matched Data: .env found within REQUEST_FILENAME: /.env"] [severity "CRITICAL"] [ver "OWASP_CRS/4.6.0"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-lfi"] [tag "paranoia-level/1"] [tag "OWASP_CRS"] [tag "capec/1000/255/153/126"] [tag "PCI/6.5.4"] [hostname "votre-propre-domaine.ch"] [uri "/.env"] [unique_id "Z3yGz6UWH6z-1DWgHdR_DwAAAPA"
Activation du CRS de l’OSWAP
Pour activer le CRS de l’OWASP, procédez comme suit:
- Connectez-vous au Control Panel Hostpoint avec votre Hostpoint ID.
- Ouvrez votre compte d’hébergement Web.
- Cliquez sur «Sites Web» dans le menu de gauche.
- Cliquez sur «Modifier» pour le site Web souhaité.
→ Un aperçu des paramètres du site Web en question s’affiche. - Faites défiler vers le bas jusqu’à la section «Web Application Firewall (WAF)» et cliquez sur «Modifier» dans «Core Rule Set (CRS) de l’OWASP».
- Activez le CRS de l’OWASP.
- Si vous le souhaitez, vous pouvez également activer un plugin d’exclusion (Exclusion Plugin) ou configurer des ID de règles à exclure (Exclude Rules) au même endroit.
→ Le CRS de l’OWASP est activé.
Informations complémentaires
De plus amples informations sur l’OWASP et le Core Rule Set sont également disponibles auprès des organismes suivants:
- OWASP: https://owasp.org/
- Core Rule Set: https://coreruleset.org/ et https://owasp.org/www-project-modsecurity-core-rule-set/
Pour envoyer une demande d'assistance au support, merci d'utiliser ce formulaire-ci.