Amazon-Web-Services
通過防火牆將“難以猜測”的自定義標頭(或類似標頭)列入白名單
我的組織正在使用 AWS WAF 向我們的測試堆棧添加防火牆。我們希望將來自我們建構的 SDK 的所有流量列入白名單,以促進我們服務之間的請求。
我們考慮使用自定義的“X-”請求標頭來執行此操作,然後使用 AWS WAF 的正則表達式匹配條件來檢查它是否與“非平凡猜測”模式相匹配。
我知道這將提供非常低水平的保護;這個想法是為了防止來自搜尋引擎的隨機瀏覽或任何知道 URL 的人都可以輕鬆訪問。也就是說,我們不需要或期望以這種方式防範知情或有動機的攻擊者。
我在網上找不到任何先例。有沒有類似的例子,或者有更好的方法來實現與我們的目標相似的事情?(不是有意義的安全性,而是對請求來源的初步信任)
您所描述的本質上是不**記名令牌身份驗證**- 客戶端必須出示有效令牌或被拒絕訪問。
幾乎沒有關於該令牌是什麼的規則 - 它可以是伺服器和客戶端都知道的 base64 編碼的隨機字元串,或者它可以在內部編碼一些身份驗證數據,如*JWT 令牌*。在您的情況下,您可以簡單地生成和編碼一個隨機字元串(大約 32 個字元)並將其用於基本身份驗證。
不用說,這只能通過 HTTPS 使用,以防止任何人竊聽明文流量。然而,現在所有網站都應該只使用 HTTPS,所以這是一個有爭議的問題;)
另一方面,如果您的測試人員來自已知位置,您應該在測試堆棧上簡單地列出已批准 IP 的白名單,並拒絕來自其他地方的任何人。
希望有幫助:)