¿Cómo gestiona AWS WAF las inspecciones del cuerpo de las solicitudes HTTP?

3 minutos de lectura
0

¿Cómo gestiona AWS WAF las inspecciones del cuerpo de las solicitudes HTTP?

Resolución

AWS WAF inspecciona los primeros 8 KB (8192 bytes) del cuerpo de la solicitud. Este es un límite de servicio estricto y no se puede cambiar.

Por ejemplo:

  • Si el cuerpo es de 5000 bytes: AWS WAF puede inspeccionar todo el contenido del cuerpo.
  • Si el cuerpo es de 8500 bytes: AWS WAF inspecciona el contenido desde el byte 1 hasta los 8192 bytes. No se inspecciona todo el contenido desde los 8193 bytes a los 8500 bytes.

Este límite es importante al configurar reglas porque AWS WAF no puede comprobar el contenido del cuerpo después de los 8192 bytes. No se detectará ningún ataque XSS ni patrón de inyección de código SQL después de los 8192 bytes.

Para protegerse contra los ataques a partes del cuerpo no inspeccionadas, utilice uno de los siguientes métodos:

Conjunto de reglas básicas de AWS Managed Rules

La regla SizeRestrictions_BODY dentro del conjunto de reglas básicas (CRS) de AWS Managed Rules comprueba los cuerpos de las solicitudes que superan los 8 KB (8192 bytes). Los cuerpos de solicitudes superiores a 8 KB se bloquean.

Regla de inspección de cuerpo personalizada

Cuando configura una regla de inspección de cuerpo personalizada, puede elegir la acción de gestión de solicitudes de gran tamaño. Esta acción surte efecto cuando el cuerpo de la solicitud supera los 8192 bytes.

Por ejemplo, configura una regla personalizada con un cuerpo de solicitud que contiene ataques de inyección XSS y el cuerpo de la solicitud es de 9000 bytes. Puede elegir entre las siguientes acciones de gestión de solicitudes de gran tamaño:

  • Continuar: AWS WAF inspecciona del byte 1 a los 8192 bytes del contenido del cuerpo en busca de ataques XSS. El contenido restante de los 8193 a 9000 bytes no se inspecciona.
  • Coincidencia: AWS WAF marca esta solicitud como que contiene un ataque XSS y lleva a cabo la acción de la regla (ALLOW o BLOCK). No importa si el cuerpo de la solicitud incluye un patrón de ataque XSS o no.
  • Sin coincidencia: AWS WAF marca esta solicitud como que no contiene un ataque XSS, independientemente del contenido del cuerpo de la solicitud.

Al usar el conjunto de reglas básicas de AWS Managed, la regla SizeRestrictions_BODY puede bloquear las solicitudes legítimas con un tamaño de cuerpo superior a 8192 bytes. Puede crear una regla de permiso para permitir explícitamente la solicitud.

Por ejemplo, si un cliente tiene una solicitud legítima de la URL “/upload”, puede configurar las reglas de la siguiente manera:

1.    En la ACL web, anule la acción SizeRestrictions para contar desde el grupo de reglas.

2.    Agregue una regla de coincidencia de etiquetas a la ACL web después del conjunto de reglas básicas. Utilice la siguiente lógica en la regla:

Has a label “awswaf:managed:aws:core-rule-set:SizeRestrictions_Body”
AND
    NOT (URL path contains “/upload”)
Action: BLOCK

Al utilizar la configuración anterior, se permiten solicitudes con la URL “/upload” con un tamaño de cuerpo superior a 8192 bytes. Se bloquea cualquier solicitud que no provenga de esta URL.


Información relacionada

Gestión de componentes de solicitudes de gran tamaño

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 2 años