Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

Wie geht AWS WAF mit Textinspektionen für HTTP-Anfragen um?

Lesedauer: 3 Minute
0

Wie geht AWS WAF mit Textinspektionen für HTTP-Anfragen um?

Auflösung

AWS WAF prüft die ersten 8 KB (8 192 Byte) des Anforderungstexts. Dies ist eine festes Servicelimit, das nicht geändert werden kann.

Zum Beispiel:

  • Wenn der Hauptteil 5 000 Byte groß ist: Der gesamte Inhalt des Textkörpers kann von AWS WAF überprüft werden.
  • Wenn der Hauptteil 8 500 Bytes groß ist: Inhalte von Bytes 1 bis 8 192 Byte werden von AWS WAF geprüft. Alle Inhalte von 8 193 Bytes bis 8 500 Byte werden nicht geprüft.

Dieser Grenzwert ist bei der Konfiguration von Regeln wichtig, da AWS WAF den Textkörperinhalt nach 8 192 Bytes nicht mehr überprüfen kann. Jegliches XSS- oder SQL-Injection-Pattern für Angriffe wird nach 8 192 Byte nicht erkannt.

Verwenden Sie zum Schutz vor Angriffen auf nicht inspizierte Körperteile eine der folgenden Methoden:

Kernregelsatz für AWS Managed Rules

Die Regel SizeRestrictions_body innerhalb des AWS Managed Rules Core Rule Set (CRS) überprüft Anforderungstexte, die mehr als 8 KB (8 192 Byte) umfassen. Anforderungstexte über 8 KB sind blockiert.

Benutzerdefinierte Regel zum Text

Bei der Konfiguration einer benutzerdefinierten Text-Inspektionsregel können Sie die Aktion zur Behandlung von Übergrößenanfragen auswählen. Diese Aktion wird wirksam, wenn der Anforderungstext größer als 8 192 Byte ist.

Sie konfigurieren zum Beispiel eine benutzerdefinierte Regel mit einem Anfragekörper, der XXS-Injektionsangriffe enthält, und Ihr Anfragekörper ist 9 000 Bytes groß. Sie können aus den folgenden Aktionen zur Handhabung von Übergrößen wählen:

  • Weiter: AWS WAF prüft die Bytes 1 bis 8 192 Byte des Textinhalts auf XSS-Angriffe. Die restlichen 8 193 bis 9 000 Byte Inhalt werden nicht geprüft.
  • Übereinstimmung: AWS WAF markiert diese Anforderung als einen XSS-Angriff enthaltend und führt die Regelaktion aus (entweder ZULASSEN oder BLOCKIEREN). Es spielt keine Rolle, ob der Anforderungstext ein XSS-Angriffsmuster enthält oder nicht.
  • Keine Übereinstimmung: AWS WAF markiert diese Anfrage unabhängig vom Inhalt des Anfragetexts als nicht XSS-gefährdet.

Bei Verwendung des AWS-Managed-Core-Regelsatzes können legitime Anfragen mit einer Körpergröße größer als 8 192 Byte durch die Regel SizeRestrictions_body blockiert werden. Sie können eine Zulassungsregel erstellen, um die Anforderung explizit zuzulassen.

Wenn ein Kunde beispielsweise eine legitime Anfrage von der URL “/upload“ hat, können Sie die Regeln wie folgt konfigurieren:

1.    Überschreiben Sie in Ihrer Web-ACL die Aktion SizeRestrictions, um sie aus der Regelgruppe zu zählen.

2.    Fügen Sie Ihrer Web-ACL nach dem Core-Regelsatz für den Etikettenabgleich hinzu. Verwenden Sie die folgende Logik in der Regel:

Has a label “awswaf:managed:aws:core-rule-set:SizeRestrictions_Body”
AND
    NOT (URL path contains “/upload”)
Action: BLOCK

Bei Verwendung der vorherigen Konfiguration sind Anforderungen mit der URL "/upload" mit einer Körpergröße größer als 8 192 Byte zulässig. Alle Anfragen, die nicht von dieser URL stammen, werden blockiert.

Verwandte Informationen

Überdimensionale Handhabung für Anforderungskomponenten

Themen
Sicherheit, Identität & Konformität
Tags
AWS WAF
Sprache
Deutsch
AWS OFFICIAL
AWS OFFICIALAktualisiert vor 2 Jahren

Relevanter Inhalt