Menangani positif palsu XSS - Otomasi Keamanan untuk AWS WAF

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menangani positif palsu XSS

Solusi ini mengonfigurasi aturan AWS WAF yang memeriksa elemen permintaan masuk yang umum dieksplorasi untuk mengidentifikasi dan memblokir serangan XSS. Pola deteksi ini kurang efektif jika beban kerja Anda memungkinkan pengguna yang sah untuk menulis dan mengirimkan HTML, misalnya, menggunakan editor teks kaya dalam sistem manajemen konten. Dalam skenario ini, pertimbangkan untuk membuat aturan pengecualian yang melewati aturan XSS default untuk pola URL tertentu yang menerima masukan teks kaya, dan menerapkan mekanisme alternatif untuk melindungi yang dikecualikan. URLs

Selain itu, beberapa gambar atau format data kustom dapat menyebabkan positif palsu karena mengandung pola yang menunjukkan potensi serangan XSS dalam konten HTML. Misalnya, file SVG mungkin berisi <script> tag. Jika Anda mengharapkan jenis konten ini dari pengguna yang sah, sesuaikan aturan XSS Anda secara sempit untuk mengizinkan permintaan HTML yang menyertakan format data lainnya ini.

Selesaikan langkah-langkah berikut untuk memperbarui aturan XSS untuk mengecualikan URLs yang menerima HTML sebagai input. Lihat Panduan Pengembang Amazon WAF untuk petunjuk terperinci.

  1. Masuk ke konsol AWS WAF.

  2. Buat kecocokan string atau kondisi regex.

  3. Konfigurasikan pengaturan filter untuk memeriksa URI dan daftar nilai yang ingin Anda terima terhadap aturan XSS.

  4. Edit Aturan XSS solusi ini dan tambahkan kondisi baru yang Anda buat.

    Misalnya, untuk mengecualikan semua URLs dalam daftar, pilih yang berikut untuk Ketika permintaan:

    • tidak

    • mencocokkan setidaknya satu dari filer dalam kondisi kecocokan string

    • Daftar Izin XSS