Wie gehe ich mit übergroßen HTTP-Anfragen in AWS WAF um?

Kurzbeschreibung

Wenn ein Webanfragetext die Größenbeschränkung für die Texteinsicht überschreitet, leitet der zugrunde liegende Host-Service nur Inhalte an AWS WAF weiter, die innerhalb des Limits liegen. AWS WAF erkennt keine Cross-Site Scripting (XSS)-Angriffe oder SQL-Injektion-Muster im Text der Webanfrage, die das Limit überschreiten.

Hinweis: AWS WAF protokolliert den Inhalt des Texts der Webanfrage nicht, unabhängig davon, ob ein Angriffsmuster innerhalb der Größenbeschränkung für die Texteinsicht gefunden wird oder nicht.

Um sich vor Angriffsmustern zu schützen, die nicht innerhalb der Größenbeschränkung für übergroße Anfragen erscheinen, konfiguriere eine Regel, die alle übergroßen Anfragen blockiert. Erstelle dann eine Regel, die legitime Anfragen mit übergroßer Größe explizit zulässt. Du kannst entweder eine benutzerdefinierte Regel erstellen oder die verwaltete Regelgruppe mit Kernregelsatz (CRS) verwenden.

Lösung

Eine CRS-verwaltete Regel verwenden

Um die vom CRS verwaltete Regelgruppe zu verwenden, aktiviere die Regel SizeRestrictions_Body, um Anfragen zu blockieren, die 8 KB (8192 Byte) überschreiten. Erstelle dann eine Regel, die legitime Anfragen zulässt, die die Größenbeschränkung überschreiten.

Regel SizeRestrictions_Body aktivieren

Führe die folgenden Schritte aus:

1. Öffnen Sie die AWS-WAF-Konsole.
2. Wähle im Navigationsbereich unter AWS WAF die Option Web-ACLs.
3. Wähle für Region die AWS-Region, in der du die Web-Zugriffssteuerungsliste (Web-ACL) erstellt hast.
   Hinweis: Wenn du die Web-ACL für Amazon CloudFront einrichtest, wähle Global aus.
4. Wähle die Web-ACL aus.
5. Wähle unter Regeln die Option Regeln hinzufügen.
6. Wähle in der Drop-down-Liste die Option Verwaltete Regelgruppen hinzufügen.
7. Wähle unter Verwaltete Regelgruppen hinzufügen die Option Von AWS verwaltete Regelgruppen.
8. Wähle unter **Freie Regelgruppen ** die Option Kernregelsatz.
9. Aktiviere ** Zur Web-ACL hinzufügen** und wähle dann Bearbeiten.
10. Um Webanfragetexte, die 8 KB überschreiten, zu überprüfen und zu blockieren, setze die Regel SizeRestrictions_BODY auf Blockieren.
11. Wähle Regel speichern.

Um das Auftreten von Fehlalarmen zu reduzieren, verwende nur die Regel SizeRestrictions_Body und überschreibe alle anderen Regeln zu Count. 

Eine Regel erstellen, die legitime Anfragen zulässt

Die Regel SizeRestrictions_Body blockiert möglicherweise legitime Anfragen, die 8 KB überschreiten. Um legitime Anfragen zuzulassen, die die Größenbeschränkung überschreiten, setze die Regel SizeRestrictions_BODY auf Count. Verwende dann die Labels, die AWS WAF für die nachfolgende Regelauswertung hinzufügt. 

Führe die folgenden Schritte aus:

1. Öffnen Sie die AWS-WAF-Konsole.
2. Wähle im Navigationsbereich unter AWS WAF die Option Web-ACLs.
3. Wähle für Region die Region aus, in der du die Web-ACL erstellt hast.
   Hinweis: Wenn du die Web-ACL für CloudFront einrichtest, wähle Global aus.
4. Wähle die Web-ACL aus.
5. Wähle unter Regeln die Option AWS-AWSManagedRulesCommonRuleset.
6. Wähle Bearbeiten.
7. Wähle für die Regel SizeRestrictions_BODY die Option Zu „Count“ überschreiben.
8. Wähle Regel speichern.
9. Wähle unter Regeln Regeln hinzufügen und dann Eigene Regeln und Regelgruppen hinzufügen.
10. Gib für Name einen Regelnamen ein und wähle dann reguläre Regel.
11. Wähle für Wenn eine Anfrage die Option allen Angaben entspricht (AND).
12. Gib für Anweisung 1 die folgenden Informationen ein:
    Wählen für Prüfen Hat ein Label.
    Wähle unter Reichweite anpassen die Option Label.
    Gib für Abgleichschlüssel die Bezeichnung awswaf:managed:aws:core-rule-set:SizeRestrictions_Body ein.
13. Gib für Anweisung 2 die folgenden Informationen ein:
    Wähle Abrechnungsergebnisse negieren.
    Wähle für Prüfen den URI-Pfad.
    Wählen Sie unter Übereinstimmungstyp die Option Entspricht exakt der Zeichenfolge.
    Gib für Zeichenfolge zur Übereinstimmung, /upload ein.
    Hinweis: Ersetze /upload durch den URI-Pfad, in dem du Anfragen stellst.
14. (Optional) Wähle für Texttransformation eine Texttransformation oder Keine aus.
15. Wähle unter Aktion die Option Blockieren.
16. Wähle Regel hinzufügen.
17. Aktualisiere für Regelpriorität festlegen die Priorität so, dass die Regel hinter der vom CRS verwalteten Regelgruppe steht. Die Regel SizeRestrictions_Body im CRS kann jetzt ein Label hinzufügen und AWS WAF kann das Label in nachfolgenden Regeln verwenden.
18. Wähle Regel speichern.

Hinweis: Es hat sich bewährt, Regeln in einer Nicht-Produktionsumgebung zu testen, wobei die Aktion auf Count gesetzt ist. Um die Regel zu evaluieren, verwende Amazon-CloudWatch-Metriken mit Stichprobenanfragen von AWS WAF oder AWS-WAF-Protokollen.

Eine benutzerdefinierte Testspektionsregel erstellen

Die Aktion zur Bearbeitung übergroßer Anfragen für die Regel einrichten

Wenn du eine benutzerdefinierte Regel für die Textinspektion konfigurierst, kannst du die Aktion zur Bearbeitung von übergroßen Anfragen auswählen. Die Bearbeitung von Übergrößen teilt der AWS WAF mit, was mit einer Webanfrage zu tun ist, wenn der Anfragetext die Größenbeschränkung überschreitet. Zu den Optionen für übergroße Komponenten gehören Weiter, Übereinstimmung und Keine Übereinstimmung. Auf der AWS WAF-Konsole musst du eine dieser Optionen wählen. Außerhalb der Konsole ist die Standardoption auf Weiter eingestellt. Um übergroße Anfragen zu blockieren, erstelle eine benutzerdefinierte Regel, die die Aktion zur Bearbeitung übergroßer Anfragen verwendet.

Eine Regel erstellen, die legitime Anfragen zulässt

Um legitime Anfragen zuzulassen, die die Größenbeschränkung überschreiten, erstelle eine Regel, die Anfragen von legitimen Hosts explizit zulässt. Aktualisiere dann die Priorität der Regel, sodass sie höher ist als die Priorität der Regel, die die Anfrage blockiert.

Ähnliche Informationen

Warum blockiert AWS WAF meine legitime Upload-Anfrage?