Lidar com falsos positivos XSS - Automações de segurança para AWS WAF

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Lidar com falsos positivos XSS

Essa solução configura uma regra do AWS WAF que inspeciona elementos comumente explorados das solicitações recebidas para identificar e bloquear ataques XSS. Esse padrão de detecção é menos eficaz se sua carga de trabalho permitir que usuários legítimos componham e enviem HTML, por exemplo, usando um editor de rich text em um sistema de gerenciamento de conteúdo. Nesse cenário, considere criar uma regra de exceção que ignore a regra XSS padrão para padrões de URL específicos que aceitam entrada de rich text e implemente mecanismos alternativos para proteger os excluídos. URLs

Além disso, alguns formatos de imagem ou dados personalizados podem causar falsos positivos porque contêm padrões que indicam um possível ataque de XSS em conteúdo HTML. Por exemplo, um arquivo SVG pode conter uma <script> tag. Se você espera esse tipo de conteúdo de usuários legítimos, adapte suas regras de XSS de forma restrita para permitir solicitações de HTML que incluam esses outros formatos de dados.

Conclua as etapas a seguir para atualizar a regra XSS para excluir URLs que aceite HTML como entrada. Consulte o Guia do desenvolvedor do Amazon WAF para obter instruções detalhadas.

  1. Faça login no console do AWS WAF.

  2. Crie uma correspondência de string ou condição de regex.

  3. Defina as configurações do filtro para inspecionar os valores de URI e de lista que você deseja aceitar em relação à regra XSS.

  4. Edite a regra XSS dessa solução e adicione a nova condição que você criou.

    Por exemplo, para excluir tudo URLs na lista, escolha o seguinte para Quando uma solicitação:

    • não

    • corresponder a pelo menos um dos arquivadores na condição de correspondência de string

    • Lista de permissões de XSS