Comment télécharger des fichiers bloqués par AWS WAF ?

Date de la dernière mise à jour : 22/02/2021

J'ai besoin de télécharger (POST) un fichier qui utilise une extension bloquée par AWS WAF. Comment télécharger des fichiers bloqués par AWS WAF ?

Brève description

Considérez ce qui suit pour comprendre pourquoi une requête POST est bloquée par AWS WAF :

  • Les filtres AWS WAF BODY inspectent uniquement les 8 192 premiers octets de la charge utile d'une requête POST pour les scripts malveillants.
  • Les règles SQLinjection et XSS (Cross Site Scripting) sont sensibles aux fichiers qui contiennent des caractères aléatoires dans leurs métadonnées. Ces caractères aléatoires peuvent déclencher des règles de liste de contrôle d'accès Web (Web ACL) en raison de leur similitude avec une XSS ou SQLinjection réelle.

Le filtrage de types de fichiers spécifiques n'est pas pris en charge par AWS WAF. Vous devez utiliser d'autres méthodes pour éliminer les faux positifs causés par le téléchargement de fichiers ou d'images.

Résolution

Remarque : les règles sont traitées dans l'ordre dans lequel elles sont répertoriées dans l'ACL Web. Pour les recommandations suivantes, assurez-vous de réorganiser les priorités de vos règles au besoin.

Choisissez la meilleure méthode pour votre cas d'utilisation :

  • Appliquez une exclusion sélective à l'aide d'une instruction de règle de correspondance de chaîne (AWS WAF) ou d'une condition de correspondance de chaîne (AWS WAF Classic). Ajoutez des phrases spécifiques associées au BODY des fichiers à votre liste sécurisée. Si un URI a un certain chemin d'accès, ajoutez ce chemin à votre liste de sécurité.
  • Utilisez un domaine distinct pour les téléchargements de fichiers. Assurez-vous d'examiner s'il s'agit d'une option rentable pour votre cas d'utilisation.
  • Analysez (nettoyez) les fichiers et les images du code et des données incorporés. Vous pouvez effectuer cette action côté client avant de télécharger les fichiers. Ou, si vous devez créer une règle d'exclusion, vous pouvez effectuer cette action sur le backend après avoir téléchargé les fichiers.
  • Compressez les fichiers avant de les télécharger.
    Attention : confirmez que vous ne compressez pas les fichiers malveillants.
  • Si le téléchargement se produit à partir d'une plage d'adresses IP connues, ajoutez ces adresses IP à votre liste de sécurité.
  • Utilisez le codage base64. Toutes les données d'image sont encodées, ce qui signifie qu'AWS WAF ne peut pas déclencher XSS sur les images.
    Attention : veillez à éviter d'encoder des images malveillantes.
  • Mettez en œuvre des techniques d'optimisation d'image, telles que la suppression de fragments ou la répartition aléatoire des bits.

Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?