本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
可承諾量範例:遺失與遭到入侵之認證的自訂處
根據預設,規則群組執行的認證檢查AWSManagedRulesATPRuleSet處理 Web 要求,如下所示:
-
遺失認證 — 標籤和封鎖要求。
-
受損的憑據 — 標籤請求,但不要阻止或計算它。
如需有關規則群組和規則行為的詳細資訊,請參閱AWS WAF 詐騙控制帳戶接管預防 (ATP) 規則群組。
您可以執行下列動作,針對遺失或遭到入侵認證的 Web 要求新增自訂處理:
-
將
MissingCredential規則覆寫為 Count — 此規則動作覆寫會導致規則僅計數和標籤相符請求。 -
使用自訂處理新增標籤比對規則 — 設定此規則以符合兩個可承諾量標籤,並執行您的自訂處理。例如,您可以將客戶重新導向至您的註冊頁面。
下列規則顯示先前範例中的可承諾量管理規則群組,其中MissingCredential規則作業已覆寫為計數。這會導致規則將其標籤應用於匹配的請求,然後僅計算請求,而不是阻止它們。
"Rules": [ { "Priority": 1, "OverrideAction": { "None": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "AccountTakeOverValidationRule" }, "Name": "DetectCompromisedUserCredentials", "Statement": { "ManagedRuleGroupStatement": { "ManagedRuleGroupConfigs": [ { "AWSManagedRulesATPRuleSet": { "LoginPath": "/web/login", "RequestInspection": { "PayloadType": "JSON", "UsernameField": { "Identifier": "/form/username" }, "PasswordField": { "Identifier": "/form/password" } }, "EnableRegexInPath": false } } ] "VendorName": "AWS", "Name": "AWSManagedRulesATPRuleSet", "RuleActionOverrides": [ { "ActionToUse": { "Count": {} }, "Name": "MissingCredential" } ], "ExcludedRules": [] } } } ],
使用此配置時,當此規則組評估任何缺少或洩露憑據的 Web 請求時,它將標記該請求,但不會阻止它。
下列規則的優先順序設定高於前一個規則群組的數值。 AWS WAF 以數字順序評估規則 (從最低值開始),因此會在規則群組評估之後評估此規則。此規則設定為符合任一認證標籤,並傳送相符要求的自訂回應。
"Name": "redirectToSignup", "Priority": 10, "Statement": { "OrStatement": { "Statements": [ { "LabelMatchStatement": { "Scope": "LABEL", "Key": "awswaf:managed:aws:atp:signal:missing_credential" } }, { "LabelMatchStatement": { "Scope": "LABEL", "Key": "awswaf:managed:aws:atp:signal:credential_compromised" } } ] } }, "Action": { "Block": { "CustomResponse": {your custom response settings} } }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "redirectToSignup" }
