Comment AWS WAF gère-t-il les inspections du corps pour les requêtes HTTP ?

Solution

AWS WAF inspecte les 8 premiers Ko (8 192 octets) du corps de la requête. Il s'agit d'une limite de service stricte qui ne peut pas être modifiée.

Par exemple :

• Si le corps fait 5 000 octets : Tout le contenu du corps peut être inspecté par AWS WAF.
• Si le corps est de 8 500 octets : Le contenu compris entre les octets 1 et 8 192 octets est inspecté par AWS WAF. Tout le contenu compris entre 8 193 octets et 8 500 octets n'est pas inspecté.

Cette limite est importante lors de la configuration des règles, car AWS WAF ne peut pas vérifier le contenu du corps après 8 192 octets. Aucun modèle d'injection XSS ou SQL d'attaque ne sera détecté après 8 192 octets.

Pour vous protéger contre les attaques sur des parties du corps non inspectées, utilisez l'un des moyens suivants :

Ensemble de règles de base gérées par AWS

La règle SizeRestrictions_BODY de l'ensemble de règles de base gérées par AWS (CRS) vérifie les corps de requête de plus de 8 Ko (8 192 octets). Les corps de requête de plus de 8 Ko sont bloqués.

Règle d'inspection du corps personnalisée

Lorsque vous configurez une règle d'inspection du corps personnalisée, vous pouvez choisir l'action de traitement des demandes surdimensionnées. Cette action prend effet lorsque le corps de la requête est supérieur à 8 192 octets.

Par exemple, vous configurez une règle personnalisée avec un corps de requête contenant des attaques par injection XSS et votre corps de requête est de 9 000 octets. Vous pouvez choisir parmi les actions de manipulation des objets surdimensionnés suivantes :

• Continuer : AWS WAF inspecte les octets 1 à 8 192 octets du contenu du corps pour détecter une attaque XSS. Le contenu restant de 8 193 à 9 000 octets n'est pas inspecté.
• Correspondance : AWS WAF marque cette demande comme contenant une attaque XSS et prend l'action de règle (Autoriser ou Bloquer). Peu importe que le corps de la requête inclut un schéma d'attaque XSS ou non.
• Ne correspond pas : AWS WAF marque cette demande comme ne contenant pas d'attaque XSS, quel que soit le contenu du corps de la demande.

Lors de l'utilisation de l'ensemble de règles AWS Managed Core, les demandes légitimes dont la taille du corps est supérieure à 8 192 octets peuvent être bloquées par la règle SizeRestrictions_BODY. Vous pouvez créer une règle d'autorisation pour autoriser explicitement la demande.

Par exemple, si un client a une demande légitime provenant de l'URL "/upload", vous pouvez configurer les règles comme suit :

1.    Dans votre ACL Web, remplacez l'action SizeRestrictions dans Compter dans le groupe de règles.

2.    Ajoutez une règle de correspondance d'étiquettes à votre ACL Web après l'Ensemble de règles de base. Utilisez la logique suivante dans la règle :

Has a label “awswaf:managed:aws:core-rule-set:SizeRestrictions_Body”
AND
    NOT (URL path contains “/upload”)
Action: BLOCK

En utilisant la configuration précédente, les requêtes avec l'URL "/upload" dont la taille du corps est supérieure à 8 192 octets sont autorisées. Toutes les demandes qui ne proviennent pas de cette URL sont bloquées.

Informations connexes

Traitement des surdimensions pour les composants de la demande