How do I decrease the sensitivity of the AWS WAF sql injection filters?
We have our application set up on Amazon Web Services behind an ALB (Application Load Balancer) with a AWS WAF (Web Application Firewall). The WAF includes a rule to block SQL injection attempts using a set of conditions provided by Amazon.
The problem is that certain form fields in the system are designed to be used for generic notes, and the WAF is overly aggressive at filtering this input. An example note:
You shouldn't have more than one "and" in this sentence
The form that submits this request gets blocked (403 Forbidden) because of the "and" (including the quotes).
Is there a way to modify our application or the WAF configuration to prevent it from blocking these types of requests?
We have had multiple instances of broad SQL injection probe attacks in our past, so while we have made a concentrated effort to patch any security holes at the application level, we'd really like to be able to keep the WAF as an additional layer of protection over the whole application.
Итак, решение, которое я нашел, заключалось в добавлении правила белого списка. По сути, я создаю условие сопоставления строк для URI этого конкретного запроса, создаю с ним новое правило «Белый список» и добавляю его как первое правило в моем ACL с «Разрешить» в качестве действия. Насколько я понимаю, это означает, что запросы к этому URI передаются автоматически и не проверяются на соответствие правилам SQL-инъекции, расположенным ниже в списке. Это действительно работает - я могу отправить строки, которые представляют собой SQL-инъекцию на рассматриваемую страницу, но другие страницы все еще защищены.
Очевидно, мне нужно быть особенно осторожным, чтобы данная страница не была уязвима для этого типа атак, но Я сохраняю свой уровень защиты в остальной части приложения.
Я все еще готов принять другой ответ, если кто-то может описать лучшее решение.