问题标签 [amazon-waf]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
amazon-cloudfront - PCI HTTP 标头安全要求和 AWS CloudFront
我有一个做电子商务的网站。我们一直在抱怨我们的安全性不符合 PCI DSS,因为我们基于 AWS 的服务器正在返回一个 HTTP 响应:
服务器:CloudFront
作为参数。我可以看到如何将您的服务器类型宣传为黑客的线索,但我一直无法找到任何关于如何在 CloudFront 或 WAF 中关闭它的参考资料(我确实看到了在 Apache HTTP 中关闭它的参考资料)。我们的实际服务器是 Linux 系统,CloudFront 通过重写 header 来混淆这些信息,但是我怎样才能删除它呢?或者只是将其重写为 CloudFront 就足够了吗?
amazon-web-services - 如何使用 Cloudformation 在 AWS WAF 中启用 WebACL 日志记录?
我正在浏览AWS WAF Cloudformation文档,但看不到启用日志记录的方法。我可以通过控制台启用日志记录,但是我想通过 Cloudformation 来启用它,以便在新堆栈中默认启用它。
如何通过 Cloudformation 在 AWS WAF WebACL 中启用日志记录。
谢谢
java - 如何获取 AWS WAF 详细信息列表
我正在尝试从我的 AWS 账户中获取 WAF 列表。但我总是得到空值。
回复:
但是在我的 AWS 区域中,我有“AWS WAF”,我的代码中是否缺少任何内容。
xss - AWS WAF XSS 检查阻止表单在表单字段值中使用“ON”关键字
在表单字段中发布带有“on”或以“on”开头的任何单词作为最后一个单词的表单,导致来自此规则阻止的 aws waf 的 XSS 阻止正文在解码为 URL 后包含跨站点脚本威胁,例如“仅二十" or " online" or "check on" 所有结果都在 XSS 块中
这些似乎是正常的词,为什么它会被 xss 阻止?
但最后有空格它不会阻止例如“仅二十”或“在线”或“检查”这些作品
amazon-web-services - 卓:是否可以允许 Lambda 函数调用由 WAF 保护的 API?
我有一个托管在 API Gateway 上的 API,由一些 WAF 规则保护。规则之一是 IP 限制规则,我允许 API 仅从特定 IP 范围调用。现在,我有一个应该调用此 API 的 Lambda 函数,当然,如果遇到 Forbidden 错误。我知道如果我将 Lambda 放入 VPC,然后将 VPC IP 添加到 WAF 规则中,我可以解决这个问题,但是是否可以在不使用 VPC 的情况下使其工作?
amazon-web-services - 被阻止请求的 AWS WAF 定价?
这里有一个简单的问题:AWS WAF 是否对它阻止的请求收费?
WAF的定价页面提到“您需要为 Web ACL 处理的 Web 请求数量付费”。这是否意味着任何到达 WAF 的请求,还是仅针对允许通过的请求?我似乎也无法在文档中找到答案。
我需要知道,因为我计划使用 WAF 来限制请求并尝试防止拒绝钱包攻击。如果所有请求都由 WAF 收费,那么拒绝钱包攻击仍然可能,因为这些请求是付费的。
amazon-web-services - 使用 CloudFormation 从 WAFv2 创建 WebACL
我正在尝试使用 cloudformation 创建一个 WebACL,以保护应用程序 API 免受滥用,其想法是在 5 分钟内将 API 访问限制为最多 100 个 IP 请求。
为此,我必须使用 WAFv2,因为第一个版本似乎只支持:
- 静态黑名单
- 字节匹配
- 尺寸限制
- 跨站脚本
- SQLi
WAFv2 文档: https ://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-wafv2-webacl.html
我写了这个作为例子:
但是,当我尝试将其上传到 CloudFormation 时,创建失败并显示以下消息:
模型验证失败(#: extraneous key [Type] is not allowed)
我认为问题出在以下几行:
但是我不知道如何分配 DefaultAction 而不会在 CloudFormation 上失败,我尝试了很多次(当然不同)并且找不到正确的方法。互联网上没有 WAFv2 的示例,第一版 WAF 的语法似乎不兼容 :(
python-3.x - 集成 AWS API Gateway 和 Web ACL
有没有办法web acl与aws api gatewayusing关联python?我尝试使用CLI命令测试我的代码
"*aws waf-regional associate-web-acl --region us-east-1 --web-acl-id '**************' --resource-arn 'arn:aws:apigateway:us-east-1::/restapis/******/stages/test'*
但它不起作用,我什至尝试从 aws 控制台将 web acl 关联到 api 网关,但是 web acl 的列表没有在下拉列表中列出,尽管我已经创建了 web acl。
amazon-web-services - AWS WAF 创建ACL和规则,只允许一个国家访问API网关
我想创建一个json格式的云形成模板,在WAF中创建一个ACL和规则,只允许美国用户访问API网关。到目前为止,我有以下代码,但它在 AWS 中给出了一个错误(“遇到不支持的属性操作”):
regex - 具有前瞻性的 AWS WAF 正则表达式问题
我正在使用负前瞻为 AWS WAF 构建正则表达式。
但是,我从 WAF 控制台返回了以下错误
AWS WAF 似乎不支持这种正则表达式。我找到了这个博客 https://aws.amazon.com/about-aws/whats-new/2017/10/aws-waf-now-supports-regular-expressions-regex/
有没有人有类似的问题?你能分享如何解决它吗?