Como o AWS WAF usa tokens - Administrador de segurança da rede do AWS WAF, AWS Firewall Manager, AWS Shield Advanced e AWS Shield

Apresentação de uma nova experiência de console para o AWS WAF

Agora você pode usar a experiência atualizada para acessar a funcionalidade do AWS WAF em qualquer lugar no console. Consulte mais detalhes em Trabalhar com a experiência atualizada do console.

Como o AWS WAF usa tokens

Esta seção explica como o AWS WAF usa tokens.

O AWS WAF usa tokens para registrar e verificar os seguintes tipos de validação da sessão do cliente:

  • CAPTCHA: os quebra-cabeças CAPTCHA ajudam a distinguir bots de usuários humanos. Um CAPTCHA é executado somente pela ação de regra CAPTCHA. Após a conclusão bem-sucedida do quebra-cabeça, o script do CAPTCHA atualiza o timestamp do CAPTCHA do token. Para obter mais informações, consulte CAPTCHA e Challenge em AWS WAF.

  • Desafio: os desafios são executados silenciosamente para ajudar a distinguir as sessões regulares dos clientes das sessões de bots e para tornar a operação dos bots mais dispendiosa. Quando o desafio é concluído com sucesso, o script do desafio adquire automaticamente um novo token do AWS WAF, se necessário, e então atualiza o timestamp do desafio do token.

    O AWS WAF executa desafios nas seguintes situações:

    • SDKs de integração de aplicativos: os SDKs de integração de aplicativos são executados dentro das sessões do aplicativo cliente e ajudam a garantir que as tentativas de login só sejam permitidas após o cliente ter respondido com sucesso a um desafio. Para obter mais informações, consulte Integrações de aplicações clientes no AWS WAF.

    • Ação de regra Challenge: para mais informações, consulte CAPTCHA e Challenge em AWS WAF.

    • CAPTCHA: quando um intersticial CAPTCHA é executada, se o cliente ainda não tiver um token, o script executa automaticamente um desafio primeiro, para verificar a sessão do cliente e inicializar o token.

Os tokens são exigidos por muitas das regras dos grupos de regras das regras gerenciadas da AWS de ameaças inteligentes. As regras usam tokens para fazer coisas como distinguir entre clientes no nível da sessão, determinar as características do navegador e entender o nível de interatividade humana na página da web do aplicativo. Esses grupos de regras invocam o gerenciamento de tokens do AWS WAF, que aplica a rotulagem de tokens que os grupos de regras então inspecionam.

  • Prevenção contra fraude na criação de contas (ACFP) do AWS WAF Fraud Control: as regras do ACFP exigem solicitações na web com tokens válidos. Para obter mais informações sobre as regras, consulte Grupo de regras de prevenção contra fraude na criação de contas (ACFP) do AWS WAF Fraud Control .

  • Prevenção contra apropriação de contas (ATP) do AWS WAF Fraud Control: as regras do ATP que evitam sessões de alto volume e longa duração com clientes exigem solicitações da web que tenham um token válido com um timestamp de desafio não expirado. Para obter mais informações, consulte Grupo de regras de prevenção contra apropriação de contas (ATP) do AWS WAF Fraud Control.

  • Controle de Bots do AWS WAF: as regras específicas desse grupo de regras limitam o número de solicitações da web que um cliente pode enviar sem um token válido e usam o acompanhamento de sessão de token para monitoramento e gerenciamento em nível de sessão. Conforme necessário, as regras aplicam as ações de regra Challenge e CAPTCHApara impor a aquisição de tokens e o comportamento válido do cliente. Para obter mais informações, consulte Grupo de regras do Controle de Bots do AWS WAF.