Class Central is learner-supported. When you buy through links on our site, we may earn an affiliate commission.

Amazon Web Services

Filtraggio e blocco degli attacchi web con AWS WAF (Italiano) | Filtering and blocking web incursions with AWS WAF (Italian)

Amazon Web Services and Amazon via AWS Skill Builder

Overview

Panoramica del laboratorio

Ti diamo il benvenuto nel challenge lab AWS Web Application Firewall! AWS WAF è un firewall per applicazioni web che aiuta a proteggere le applicazioni web o le API dai bot ed exploit web che possono intaccare la disponibilità delle applicazioni, compromettere la sicurezza o consumare troppe risorse. Grazie ad AWS WAF è possibile controllare il modo in cui il traffico raggiunge le applicazioni, attraverso la creazione di regole di sicurezza che controllano il traffico dei bot e bloccano i comuni pattern di attacco, come SQL injection (SQLi) e cross-site scripting (XSS). Inoltre, è possibile personalizzare le regole che filtrano pattern di traffico specifici.

In questo laboratorio, lavori come tecnico della sicurezza per un’azienda che ha appena lanciato un negozio di succhi online. Ti è stato chiesto di cercare e attenuare le vulnerabilità SQLi e XSS nella sua applicazione web.

Diversamente dai laboratori tradizionali comprendenti istruzioni dettagliate, questo challenge lab ti fornisce gli obiettivi e solo alcune indicazioni minime. Dovrai applicare la tua conoscenza relativa a sicurezza ed exploit web per completare le attività.

Nel primo set di attività, ti viene presentata un’applicazione web non sicura e ti viene richiesto di usare l’iniezione SQL e gli attacchi cross-site scripting (XSS) per sfruttarne la vulnerabilità. Se non riesci a procedere, espandi i menu Suggerimento e Soluzione per assistenza su come predisporre gli attacchi.

Nella seconda serie di attività, dovrai distribuire e configurare AWS WAF con una serie di regole gestite e personalizzate, create per attenuare gli attacchi lanciati in precedenza.

Obiettivi

Al termine del laboratorio, sarai in grado di svolgere le seguenti attività:

  • Distribuire semplici attacchi SQLi e XSS per compromettere un’applicazione web.
  • Creare una lista di controllo accessi web (ACL web) in AWS WAF e associarla a un Application Load Balancer.
  • Applicare i gruppi di regole gestiti da AWS nell’ACL web.
  • Applicare regole personalizzate a un ACL web.

Competenze tecniche preliminari

Per questo laboratorio, sono necessarie la conoscenza avanzata di SQL e una solida comprensione della sicurezza di rete, dei protocolli web comuni e del framework RESTful. Devi inoltre avere una certa familiarità nell’utilizzo dell’ambiente Windows Server tramite Desktop remoto.

Requisiti di sistema

Questo laboratorio richiede:

  • Google Chrome

Durata

Il completamento di questo laboratorio richiede circa 60 minuti.

Legenda icone

In questo laboratorio vengono utilizzate varie icone per richiamare l’attenzione su diversi tipi di istruzioni e note. Nell’elenco seguente viene illustrato lo scopo di ciascuna di esse:

  • Comando: un comando da eseguire.
  • Output previsto: un output di esempio che puoi utilizzare per verificare l’output di un comando o di un file modificato.
  • Nota: un commento, un suggerimento o indicazioni importanti.
  • Ulteriori informazioni: specifica dove trovare ulteriori informazioni.
  • Attenzione: informazioni di particolare interesse o importanza, non così importanti da causare problemi alle apparecchiature o ai dati se non si rispettano, ma che potrebbero comportare la necessità di ripetere determinati passaggi
  • AVVISO: un’azione irreversibile e che potrebbe provocare la mancata esecuzione di un comando o di un processo. Include avvisi su configurazioni che sarà impossibile modificare dopo l’esecuzione.
  • Prendi in considerazione: un momento di pausa per riflettere sulla modalità di applicazione di un concetto nel tuo ambiente o per avviare una conversazione sul topic in questione.
  • Sicurezza: identifica un’opportunità di integrare le best practice relative alla sicurezza.
  • Suggerimento: suggerimento per una domanda o una sfida.
  • Risposta: la risposta a una domanda o alla sfida.

Ambiente di laboratorio

Il seguente diagramma mostra l’architettura di base di questo ambiente di laboratorio:


Descrizione dell’immagine: il diagramma precedente rappresenta un flusso di dati. Il traffico va da un’istanza EC2, detta Pen Testing Host, attraverso AWS WAF quindi in una distribuzione Cloudfront che si trova di fronte a un Application Load Balancer. L’ALB inoltra le richieste a un gruppo di dimensionamento automatico.

Di seguito vengono riportate le risorse più importanti illustrate nel diagramma:

  • Un VPC con due sottoreti private e una sottorete pubblica distribuite tra due zone di disponibilità.
  • Un Application Load Balancer interno situato di fronte a un gruppo di dimensionamento automatico con due nodi.
  • Una distribuzione Cloudfront di fronte all’Application Load Balancer.
  • Il traffico attraversa AWS WAF prima di raggiungere la distribuzione Cloudfront.

Reviews

Start your review of Filtraggio e blocco degli attacchi web con AWS WAF (Italiano) | Filtering and blocking web incursions with AWS WAF (Italian)

Never Stop Learning.

Get personalized course recommendations, track subjects and courses with reminders, and more.

Someone learning on their laptop while sitting on the floor.