公开证书检查规则集
公开凭据检查规则集(托管规则的一部分)是一组针对内容管理系统应用程序的预配置规则,用于对照被盗凭据的公共数据库进行检查。 在规则中启用时,当规则表达式求值为 true
时,将执行公开的凭证检查。
WAF 根据已知被盗凭证的公共数据库检查请求中的用户名和密码对。 当规则表达式和公开的凭证检查都为 true
时,规则匹配将触发规则中配置的操作。
当 WAF 检测到公开的凭证时,它可以执行下列其中一项操作。
- 暴露凭证检查标题:在暴露凭证的 HTTP 请求中添加 HTTP 标题。 然后,位于源的应用程序可以强制密码重置,启动双因子认证过程或任何其他操作。
Exposed-Credential-Check
HTTP 报头中添加了1
值。 - 受管挑战: 帮助缩短在因特网上解决 CAPTCHA 的人类时间。 根据请求的特征,CIS 会动态选择相应类型的提问。
- 阻止:阻止包含暴露凭据的 HTTP 请求。
- JS Challenge:向使用暴露凭证发送 HTTP 请求的客户提出非交互式挑战。
- 日志: (仅限企业) 使用日志中公开的凭证来记录请求。 建议先进行日志记录以验证规则,然后再落实更严格的操作。
- 互动挑战:向使用公开凭证发送 HTTP 请求的客户提出互动挑战。
“公开凭据检查”管理规则集中的规则默认操作为 Exposed-Credential-Check Header
(在API中名为 rewrite
)。
最佳实践是仅使用 Exposed-Credential-Check Header
(API 中的 rewrite
) 和 Log
(log
)。