发布于: Feb 16, 2023
AWS WAF Fraud Control - Account Takeover Protection (ATP) 现在可以检查源响应,为客户提供额外的保护,使其免受登录页面上的暴力和凭证填充攻击。截至今日,ATP 规则仅限于根据被盗凭证数据库检查传入的登录请求,分析随着时间的推移出现的用户名和密码遍历请求,然后根据唯一标识符(例如 IP 地址或会话 ID)汇总这些数据。在此版本中,ATP 托管规则现在还可以根据客户定义的登录失败条件检查应用程序响应数据并阻止登录尝试。此功能有助于防范涉及未泄露凭证的暴力攻击。
您可以根据 HTTP 状态代码、HTTP 标头或响应正文以及 JSON 字符串指定成功或失败条件。例如,您可以将 ATP 配置为检查包含 HTTP 响应代码 200(成功条件)或 401(失败条件)的响应。您可以将 ATP 配置为使用这些响应条件作为附加信号,以汇总每个会话或每个 IP 地址的失败登录尝试次数。一旦达到每台设备登录失败的预定义阈值,ATP 就会阻止后续请求,以防范暴力攻击。我们强烈建议与应用程序集成 SDK 相集成,以便最有效地使用 ATP 规则组。
您可以通过 AWS WAF 控制台、AWS SDK 和 AWS CLI 配置源响应检查。此功能目前仅适用于 CloudFront 发行版,但预计稍后会支持保护区域性 AWS 资源。虽然使用此功能不会产生额外费用,但仍会收取标准 ATP 费用。要开始使用 ATP,请访问此处的文档链接。