AWS WAFでAccount Takeover Prevention (ATP)機能を使ってログインページを保護する | DevelopersIOいわさです。 AWS WAFの新機能としてマネージドルールにAccount Takeover Prevention(ATP)が追加されました。 この機能を使うと、盗まれた資格情報、拒否されたトークンの利用をはじめいくつかの攻撃の検知など様々なルールで認証エンドポイントへのリクエストの検査を行うことが出来ます。 本日時点で利用可能なリージョンは以下です。 US East (N. Virginia) US West (Oregon) Europe (Ireland) Europe (London) Asia Pacific (Singapore) ルールが結構あるのでもう少し検証が必要な気がしていますが、まずはAPI Gatewayとルール内のひとつ「AttributeCompromisedCredentials」を使って、基本的な設定方法を確認してみました。 APIを用意 まずは保護対象のエ
