IBM Cloud Docs
公开证书检查规则集

公开证书检查规则集

公开凭据检查规则集(托管规则的一部分)是一组针对内容管理系统应用程序的预配置规则,用于对照被盗凭据的公共数据库进行检查。 在规则中启用时,当规则表达式求值为 true 时,将执行公开的凭证检查。

WAF 根据已知被盗凭证的公共数据库检查请求中的用户名和密码对。 当规则表达式和公开的凭证检查都为 true 时,规则匹配将触发规则中配置的操作。

当 WAF 检测到公开的凭证时,它可以执行下列其中一项操作。

  • 暴露凭证检查标题:在暴露凭证的 HTTP 请求中添加 HTTP 标题。 然后,位于源的应用程序可以强制密码重置,启动双因子认证过程或任何其他操作。 Exposed-Credential-Check HTTP 报头中添加了 1 值。
  • 受管挑战: 帮助缩短在因特网上解决 CAPTCHA 的人类时间。 根据请求的特征,CIS 会动态选择相应类型的提问。
  • 阻止:阻止包含暴露凭据的 HTTP 请求。
  • JS Challenge:向使用暴露凭证发送 HTTP 请求的客户提出非交互式挑战。
  • 日志: (仅限企业) 使用日志中公开的凭证来记录请求。 建议先进行日志记录以验证规则,然后再落实更严格的操作。
  • 互动挑战:向使用公开凭证发送 HTTP 请求的客户提出互动挑战。

“公开凭据检查”管理规则集中的规则默认操作为 Exposed-Credential-Check Header (在API中名为 rewrite )。

最佳实践是仅使用 Exposed-Credential-Check Header (API 中的 rewrite ) 和 Log (log)。