Stay up to date with the latest from the Knowledge Center. See all new and updated Knowledge Center articles published in the last month and re:Post’s top contributors.
Wie geht AWS WAF mit Textinspektionen für HTTP-Anfragen um?
Wie geht AWS WAF mit Textinspektionen für HTTP-Anfragen um?
Auflösung
AWS WAF prüft die ersten 8 KB (8 192 Byte) des Anforderungstexts. Dies ist eine festes Servicelimit, das nicht geändert werden kann.
Zum Beispiel:
- Wenn der Hauptteil 5 000 Byte groß ist: Der gesamte Inhalt des Textkörpers kann von AWS WAF überprüft werden.
- Wenn der Hauptteil 8 500 Bytes groß ist: Inhalte von Bytes 1 bis 8 192 Byte werden von AWS WAF geprüft. Alle Inhalte von 8 193 Bytes bis 8 500 Byte werden nicht geprüft.
Dieser Grenzwert ist bei der Konfiguration von Regeln wichtig, da AWS WAF den Textkörperinhalt nach 8 192 Bytes nicht mehr überprüfen kann. Jegliches XSS- oder SQL-Injection-Pattern für Angriffe wird nach 8 192 Byte nicht erkannt.
Verwenden Sie zum Schutz vor Angriffen auf nicht inspizierte Körperteile eine der folgenden Methoden:
Kernregelsatz für AWS Managed Rules
Die Regel SizeRestrictions_body innerhalb des AWS Managed Rules Core Rule Set (CRS) überprüft Anforderungstexte, die mehr als 8 KB (8 192 Byte) umfassen. Anforderungstexte über 8 KB sind blockiert.
Benutzerdefinierte Regel zum Text
Bei der Konfiguration einer benutzerdefinierten Text-Inspektionsregel können Sie die Aktion zur Behandlung von Übergrößenanfragen auswählen. Diese Aktion wird wirksam, wenn der Anforderungstext größer als 8 192 Byte ist.
Sie konfigurieren zum Beispiel eine benutzerdefinierte Regel mit einem Anfragekörper, der XXS-Injektionsangriffe enthält, und Ihr Anfragekörper ist 9 000 Bytes groß. Sie können aus den folgenden Aktionen zur Handhabung von Übergrößen wählen:
- Weiter: AWS WAF prüft die Bytes 1 bis 8 192 Byte des Textinhalts auf XSS-Angriffe. Die restlichen 8 193 bis 9 000 Byte Inhalt werden nicht geprüft.
- Übereinstimmung: AWS WAF markiert diese Anforderung als einen XSS-Angriff enthaltend und führt die Regelaktion aus (entweder ZULASSEN oder BLOCKIEREN). Es spielt keine Rolle, ob der Anforderungstext ein XSS-Angriffsmuster enthält oder nicht.
- Keine Übereinstimmung: AWS WAF markiert diese Anfrage unabhängig vom Inhalt des Anfragetexts als nicht XSS-gefährdet.
Bei Verwendung des AWS-Managed-Core-Regelsatzes können legitime Anfragen mit einer Körpergröße größer als 8 192 Byte durch die Regel SizeRestrictions_body blockiert werden. Sie können eine Zulassungsregel erstellen, um die Anforderung explizit zuzulassen.
Wenn ein Kunde beispielsweise eine legitime Anfrage von der URL “/upload“ hat, können Sie die Regeln wie folgt konfigurieren:
1. Überschreiben Sie in Ihrer Web-ACL die Aktion SizeRestrictions, um sie aus der Regelgruppe zu zählen.
2. Fügen Sie Ihrer Web-ACL nach dem Core-Regelsatz für den Etikettenabgleich hinzu. Verwenden Sie die folgende Logik in der Regel:
Has a label “awswaf:managed:aws:core-rule-set:SizeRestrictions_Body” AND NOT (URL path contains “/upload”) Action: BLOCK
Bei Verwendung der vorherigen Konfiguration sind Anforderungen mit der URL "/upload" mit einer Körpergröße größer als 8 192 Byte zulässig. Alle Anfragen, die nicht von dieser URL stammen, werden blockiert.
Verwandte Informationen
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor 3 Jahren
- AWS OFFICIALAktualisiert vor 2 Jahren
- AWS OFFICIALAktualisiert vor einem Jahr
- AWS OFFICIALAktualisiert vor 3 Jahren