In che modo AWS WAF gestisce le ispezioni del corpo per le richieste HTTP?

Risoluzione

AWS WAF ispeziona i primi 8 KB (8.192 byte) del corpo della richiesta. Questo è un limite di servizio rigido e non può essere modificato.

Ad esempio:

• Se il corpo è di 5.000 byte: tutto il contenuto del corpo può essere ispezionato da AWS WAF.
• Se il corpo è di 8.500 byte: i contenuti da 1 a 8.192 byte vengono controllati da AWS WAF. Il contenuto da 8.193 byte a 8.500 byte non viene esaminato.

Questo limite è importante quando si configurano le regole perché AWS WAF non è in grado di controllare il contenuto del corpo che eccede gli 8.192 byte. Gli eventuali attacchi di tipo XSS o di iniezione SQL non verranno rilevati nel contenuto del corpo che eccede gli 8.192 byte.

Per la protezione contro gli attacchi a parti del corpo non ispezionate, utilizza una delle seguenti opzioni:

Set di regole di base gestite da AWS

La regola SizeRestrictions_BODY all'interno del set di regole di base gestite da AWS controlla i corpi delle richieste che superano gli 8 KB (8.192 byte). I corpi delle richieste superiori a 8 KB sono bloccati.

Regola personalizzata di ispezione del corpo

Quando si configura una regola personalizzata di ispezione del corpo, è possibile scegliere l'azione di gestione delle richieste di dimensioni eccessive. Questa azione ha effetto quando il corpo della richiesta è più grande di 8.192 byte.

Ad esempio, si configura una regola personalizzata per un corpo della richiesta che contiene attacchi di iniezione XSS e ha una dimensione di 9.000 byte. È possibile scegliere tra le seguenti azioni di gestione delle richieste di dimensioni eccessive:

• Continua: AWS WAF ispeziona il contenuto del corpo da 1 a 8.192 byte per rilevare gli eventuali attacchi XSS. Il restante contenuto da 8.193 a 9000 byte non viene ispezionato.
• Corrispondenza: AWS WAF contrassegna questa richiesta come contenente un attacco XSS e intraprende l'azione della regola ALLOW (Consenti) o BLOCK (Blocca). Non importa se il corpo della richiesta include o meno un tipo di attacco XSS.
• Nessuna corrispondenza: AWS WAF contrassegna questa richiesta come non contenente un attacco XSS indipendentemente dal contenuto del corpo della richiesta.

Quando si utilizza il set di regole di base gestite da AWS, le richieste legittime con una dimensione del corpo superiore a 8.192 byte potrebbero essere bloccate dalla regola SizeRestrictions_BODY. È possibile creare una regola di autorizzazione per consentire esplicitamente la richiesta.

Ad esempio, se un cliente ha una richiesta legittima dall'URL "/upload", è possibile configurare le regole come segue:

1.    Nella lista di controllo degli accessi (ACL) Web, sostituisci l'azione SizeRestrictions con Count (Conteggio) dal gruppo di regole.

2.    Aggiungi una regola di corrispondenza delle etichette all'ACL Web dopo il set di regole di base. Utilizza la seguente logica nella regola:

Has a label “awswaf:managed:aws:core-rule-set:SizeRestrictions_Body”
AND
    NOT (URL path contains “/upload”)
Action: BLOCK

Utilizzando la configurazione precedente, saranno consentite le richieste con l'URL "/upload" che hanno una dimensione del corpo superiore a 8.192 byte. Tutte le richieste che non provengono da questo URL verranno bloccate.

---

Informazioni correlate

Gestione dei componenti della richiesta di dimensioni eccessive