Comportamiento de acción CAPTCHA y Challenge - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, y director AWS Shield de seguridad de red

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las AWS WAF funciones desde cualquier parte de la consola. Para obtener más información, consulta Trabajar con la experiencia de consola actualizada.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Comportamiento de acción CAPTCHA y Challenge

En esta sección se explica qué hacen las acciones CAPTCHA y Challenge.

Cuando una solicitud web coincide con los criterios de inspección de una regla CAPTCHA o una Challenge acción, AWS WAF determina cómo gestionar la solicitud según el estado de su token y la configuración del tiempo de inmunidad. AWS WAF también tiene en cuenta si la solicitud puede gestionar el rompecabezas de CAPTCHA o los intersticiales de los scripts de desafío. Los scripts están diseñados para ser tratados como contenido HTML y solo un cliente que espere contenido HTML puede gestionarlos correctamente.

nota

Se le cobrarán tarifas adicionales cuando utilice la acción de regla CAPTCHA o Challenge en una de sus reglas o como anulación de una acción de regla en un grupo de reglas. Para obtener más información, consulte AWS WAF Precios.

Cómo gestiona la acción la solicitud web

AWS WAF aplica la Challenge acción CAPTCHA o a una solicitud web de la siguiente manera:

  • Token válido: lo AWS WAF gestiona de forma similar a una Count acción. AWS WAF aplica las etiquetas y personalizaciones de solicitud que haya configurado para la acción de la regla y, a continuación, continúa evaluando la solicitud con las demás reglas del paquete de protección o de la ACL web.

  • Token faltante, no válido o caducado: AWS WAF interrumpe la evaluación de la solicitud por parte del paquete de protección o de la ACL web e impide que se dirija a su destino previsto.

    AWS WAF genera una respuesta que envía al cliente, según el tipo de acción de la regla:

    • Challenge: AWS WAF incluye lo que se detalla a continuación en la respuesta:

      • El encabezado x-amzn-waf-action con un valor de challenge.

        nota

        Para las aplicaciones de JavaScript que se ejecutan en el navegador del cliente, este encabezado solo está disponible en el dominio de la aplicación. El encabezado no está disponible para su recuperación entre dominios. Para obtener detalles, consulte la siguiente sección.

      • El código de estado HTTP 202 Request Accepted.

      • Si la solicitud contiene un Accept encabezado con un valor detext/html, la respuesta incluye un intersticial de JavaScript página con un script de desafío.

    • CAPTCHA— AWS WAF incluye lo siguiente en la respuesta:

      • El encabezado x-amzn-waf-action con un valor de captcha.

        nota

        En el caso de las aplicaciones de JavaScript que se ejecutan en el navegador del cliente, este encabezado solo está disponible en el dominio de la aplicación. El encabezado no está disponible para su recuperación entre dominios. Para obtener detalles, consulte la siguiente sección.

      • El código de estado HTTP 405 Method Not Allowed.

      • Si la solicitud contiene un Accept encabezado con un valor detext/html, la respuesta incluye un intersticial de JavaScript página con un script CAPTCHA.

Para configurar el momento de caducidad del token a nivel de paquete de protección, ACL web o regla, consulte. Establecer los tiempos de caducidad de las marcas de tiempo y de inmunidad de los tokens en AWS WAF

Los encabezados no están disponibles para JavaScript las aplicaciones que se ejecutan en el navegador del cliente

Cuando AWS WAF responde a una solicitud de un cliente con un CAPTCHA o una respuesta a un desafío, no incluye los encabezados de intercambio de recursos entre orígenes (CORS). Los encabezados CORS son un conjunto de encabezados de control de acceso que indican al navegador web del cliente qué dominios, métodos HTTP y encabezados HTTP pueden utilizar las aplicaciones. JavaScript Sin los encabezados CORS, JavaScript las aplicaciones que se ejecutan en el navegador de un cliente no tienen acceso a los encabezados HTTP y, por lo tanto, no pueden leer el x-amzn-waf-action encabezado que se proporciona en las respuestas y. CAPTCHA Challenge

Función de los intersticiales de desafío y CAPTCHA

Cuando se ejecuta un desafío intersticial, después de que el cliente responda correctamente, si aún no tiene un token, el intersticial inicializa uno para él. A continuación, actualiza el token con la marca de tiempo de resolución del desafío.

Cuando se ejecuta un intersticial de CAPTCHA, si el cliente aún no tiene un token, el intersticial de CAPTCHA invoca primero el script de desafío para desafiar al navegador e inicializar el token. Luego, el intersticial ejecuta su rompecabezas de CAPTCHA. Cuando el usuario final complete correctamente el rompecabezas, el intersticial actualiza el token con la marca de tiempo de resolución del CAPTCHA.

En cualquier caso, una vez que el cliente responde correctamente y el script actualiza el token, el script vuelve a enviar la solicitud web original utilizando el token actualizado.

Puede configurar la forma AWS WAF en que gestiona los tokens. Para obtener información, consulte Uso de tokens en la mitigación AWS WAF inteligente de amenazas.