Contoh ACFP: Respons khusus untuk kredensil yang dikompromikan

Secara default, pemeriksaan kredensil yang dilakukan oleh grup aturan AWSManagedRulesACFPRuleSet menangani kredensil yang dikompromikan dengan memberi label permintaan dan memblokirnya. Untuk detail tentang kelompok aturan dan perilaku aturan, lihatAWS WAF Grup aturan pencegahan penipuan (ACFP) pembuatan akun Kontrol Penipuan.

Untuk memberi tahu pengguna bahwa kredensi akun yang mereka berikan telah disusupi, Anda dapat melakukan hal berikut:

Ganti SignalCredentialCompromised aturan ke Count — Ini menyebabkan aturan hanya menghitung dan memberi label permintaan pencocokan.
Tambahkan aturan pencocokan label dengan penanganan kustom — Konfigurasikan aturan ini agar sesuai dengan label ACFP dan untuk melakukan penanganan kustom Anda.

Paket perlindungan atau daftar ACL web berikut menunjukkan grup aturan terkelola ACFP dari contoh sebelumnya, dengan tindakan SignalCredentialCompromised aturan diganti untuk dihitung. Dengan konfigurasi ini, ketika grup aturan ini mengevaluasi permintaan web apa pun yang menggunakan kredensi yang dikompromikan, ia akan memberi label permintaan, tetapi tidak memblokirnya.

Selain itu, paket perlindungan atau web ACL sekarang memiliki respons khusus bernama aws-waf-credential-compromised dan aturan baru bernamaAccountSignupCompromisedCredentialsHandling. Prioritas aturan adalah pengaturan numerik yang lebih tinggi daripada grup aturan, sehingga berjalan setelah grup aturan dalam paket perlindungan atau evaluasi ACL web. Aturan baru cocok dengan permintaan apa pun dengan label kredensi grup aturan yang disusupi. Saat aturan menemukan kecocokan, aturan tersebut menerapkan Block tindakan ke permintaan dengan badan respons khusus. Badan respons khusus memberikan informasi kepada pengguna akhir bahwa kredensialnya telah dikompromikan dan mengusulkan tindakan untuk diambil.


{
  "Name": "compromisedCreds",
  "Id": "... ",
  "ARN": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/compromisedCreds/...",
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "",
  "Rules": [
    {
      "Name": "AWS-AWSManagedRulesACFPRuleSet",
      "Priority": 0,
      "Statement": {
        "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesACFPRuleSet",
          "ManagedRuleGroupConfigs": [
            {
              "AWSManagedRulesACFPRuleSet": {
                "CreationPath": "/web/signup/submit-registration",
                "RegistrationPagePath": "/web/signup/registration",
                "RequestInspection": {
                  "PayloadType": "JSON",
                  "UsernameField": {
                    "Identifier": "/form/username"
                  },
                  "PasswordField": {
                    "Identifier": "/form/password"
                  },
                  "EmailField": {
                    "Identifier": "/form/email"
                  },
                  "PhoneNumberFields": [
                    {
                      "Identifier": "/form/country-code"
                    },
                    {
                      "Identifier": "/form/region-code"
                    },
                    {
                      "Identifier": "/form/phonenumber"
                    }
                  ],
                  "AddressFields": [
                    {
                      "Identifier": "/form/name"
                    },
                    {
                      "Identifier": "/form/street-address"
                    },
                    {
                      "Identifier": "/form/city"
                    },
                    {
                      "Identifier": "/form/state"
                    },
                    {
                      "Identifier": "/form/zipcode"
                    }
                  ]
                },
                "EnableRegexInPath": false
              }
            }
          ],
          "RuleActionOverrides": [
            {
              "Name": "SignalCredentialCompromised",
              "ActionToUse": {
                "Count": {}
              }
            }
          ]
        }
      },
      "OverrideAction": {
        "None": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSManagedRulesACFPRuleSet"
      }
    },
    {
      "Name": "AccountSignupCompromisedCredentialsHandling",
      "Priority": 1,
      "Statement": {
        "LabelMatchStatement": {
          "Scope": "LABEL",
          "Key": "awswaf:managed:aws:acfp:signal:credential_compromised"
        }
      },
      "Action": {
        "Block": {
          "CustomResponse": {
            "ResponseCode": 406,
            "CustomResponseBodyKey": "aws-waf-credential-compromised",
            "ResponseHeaders": [
              {
                "Name": "aws-waf-credential-compromised",
                "Value": "true"
              }
            ]
          }
        }
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AccountSignupCompromisedCredentialsHandling"
      }
    }
  ],
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "compromisedCreds"
  },
  "Capacity": 51,
  "ManagedByFirewallManager": false,
  "RetrofittedByFirewallManager": false,
  "LabelNamespace": "awswaf:111122223333:webacl:compromisedCreds:",
  "CustomResponseBodies": {
    "aws-waf-credential-compromised": {
      "ContentType": "APPLICATION_JSON",
      "Content": "{\n  \"credentials-compromised\": \"The credentials you provided have been found in a compromised credentials database.\\n\\nTry again with a different username, password pair.\"\n}"
    }
  }
}

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Konfigurasi sederhana

Konfigurasi inspeksi respons