本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
ATP 示例:对丢失和泄露的凭据进行自定义处理
默认情况下,规则组执行的证书检查按如下方式AWSManagedRulesATPRuleSet处理 Web 请求:
-
缺少凭据-标记和屏蔽请求。
-
凭证泄露 — 为请求添加标签,但不要将其屏蔽或计算在内。
有关规则组和规则行为的详细信息,请参阅Amazon WAF欺诈控制账户收购预防 (ATP) 规则组。
您可以通过执行以下操作,为证书缺失或泄露的 Web 请求添加自定义处理:
-
将
MissingCredential规则改写为Count-此规则操作覆盖会使规则仅计算和标记匹配请求。 -
添加带有自定义处理的标签匹配规则-将此规则配置为与两个 ATP 标签匹配并执行自定义处理。例如,您可以将客户重定向到您的注册页面。
以下规则显示了前面示例中的 ATP 管理规则组,MissingCredential规则操作已改写为计数。这会导致规则将其标签应用于匹配的请求,然后仅对请求进行计数,而不是阻止请求。
"Rules": [ { "Priority": 1, "OverrideAction": { "None": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "AccountTakeOverValidationRule" }, "Name": "DetectCompromisedUserCredentials", "Statement": { "ManagedRuleGroupStatement": { "ManagedRuleGroupConfigs": [ { "UsernameField": { "Identifier": "/form/username" } }, { "PasswordField": { "Identifier": "/form/password" } }, { "PayloadType": "JSON" }, { "LoginPath": "/web/login" } ], "VendorName": "AWS", "Name": "AWSManagedRulesATPRuleSet", "RuleActionOverrides": [ { "ActionToUse": { "Count": {} }, "Name": "MissingCredential" } ], "ExcludedRules": [] } } } ],
使用此配置,当此规则组评估任何缺失或已泄露凭据的 Web 请求时,它将标记该请求,但不会将其阻止。
以下规则的数字优先级高于前面的规则组,因此在规则组评估之后对其进行评估。该规则配置为匹配任一凭据标签,并为匹配的请求发送自定义响应。
"Name": "redirectToSignup", "Priority": 10, "Statement": { "OrStatement": { "Statements": [ { "LabelMatchStatement": { "Scope": "LABEL", "Key": "awswaf:managed:aws:atp:signal:missing_credential" } }, { "LabelMatchStatement": { "Scope": "LABEL", "Key": "awswaf:managed:aws:atp:signal:credential_compromised" } } ] } }, "Action": { "Block": { "CustomResponse": {your custom response settings} } }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "redirectToSignup" }