AWS WAFのChallengeアクションの動作を見てみる

#AWS

#AWS WAF

じゅんや

2023.06.07

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

初めに

先日AWS WAFのCAPTCHAの機能を従来通りの動作と合わせどのような動作をするか確認してみました。

その際に設定項目としてChallengeの機能が気になって調べたものの、機能が比較的新しいせいか(2022年10月頃)自分の調べかたの問題か具体的にどのようなものかいまいち情報が出てきませんでした。

説明を読んでも具体的な流れが何となくのでのイメージとなったため動作を確認してみます。

Challengeアクション概要

https://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/waf-captcha-and-challenge.html
Challenge は、サイレントチャレンジを実行して、クライアントセッションがボットではなく、ブラウザであることを検証する必要があります。検証は、エンドユーザーの関与なしでバックグラウンドで実行されます。これは、CAPTCHA パズルでエンドユーザーのエクスペリエンスに悪影響を与えることなく、無効だと思われるクライアントを検証する場合に適したオプションです。

ドキュメント上には上記のような記載がされており、Challengeアクションが指定されている場合何らかの方法でブラウザであるかどうか区別するためのアクションのようです。

またその仕組みとしてははCAPTCHAアクションと異なりユーザ側に操作を求めるものではなく自動的に行われるため、ユーザ側に負荷をかけないというのが１つのポイントになります。

https://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/waf-application-integration.html
インテリジェントな脅威に対応した統合 API は、AWS WAF サイレントブラウザのチャレンジを使用しているため、クライアントで有効なトークンを取得した後にのみ、保護されたリソースに対するログイン試行やその他の呼び出しが許可されるようになっています。API は、クライアントアプリケーションセッションのトークン認証を管理し、クライアントに関する情報を収集して、ボットによる操作か、人間による操作かを判断します。

仕組み自体は同ページの記載によるとインテリジェントな脅威と類似する機能らしく、参照してみると何らかのトークンを識別に利用しそれを持ってアクセスを許可しているようです。

実際のアクセスを見てみる

/index.htmlへのアクセスをすべてChallengeアクションを行うように設定しています。

index.htmlの中身は以下のとおりです。

<!DOCTYPE html>
<html lang="ja">
<head>
    <meta charset="UTF-8">
<body>
    <div>
        <span>Hello World!</span>
    </div>
</body>
</html>

こちらにCookieやブラウザキャッシュがない状態でアクセスすると以下のようなアクセスが行われました。

まず最初にindex.htmlがHTTPステータスコード202で返却された後、再度HTTPステータスコード200にてindex.htmlが返却されています。

表示上は一瞬白画面が表示されたのちに本来のコンテンツが読み込まれる様に見えます。

なお後述しますが202の返却の後に一度リロードが行われているため、永続ログで取得していないとWAFがないとき同様に通常通りのアクセスのみに見えますので試そうと思っている方はご注意ください。

同様に一度HTTPステータスコード202アクセスを受け取ったのち一定の間はこの202アクセス相当のアクセスは発生せず通常通りのアクセスのみになります。

curlで直接アクセスした場合は202のアクセスのみで止まってしまいます。

$ curl http://xxxxx.cloudfront.net/index.html --verbose
*   Trying 18.65.141.16:80...
* Connected to xxxxx.cloudfront.net (18.65.141.16) port 80 (#0)
> GET /index.html HTTP/1.1
> Host: xxxxx.cloudfront.net
> User-Agent: curl/7.88.1
> Accept: */*
>
< HTTP/1.1 202 Accepted
< Server: CloudFront
< Date: Wed, 07 Jun 2023 04:49:42 GMT
< Content-Length: 0
< Connection: keep-alive
< x-amzn-waf-action: challenge
< Cache-Control: no-store, max-age=0
< Content-Type: text/html; charset=UTF-8
< X-Cache: Error from cloudfront
< Via: 1.1 xxxxx.cloudfront.net (CloudFront)
< X-Amz-Cf-Pop: NRT51-P1
< X-Amz-Cf-Id: xxxxx
<
* Connection #0 to host xxxxx.cloudfront.net left intact

curlのレスポンスを見るとレスポンスボディが特にないためchallenge.jsやverfyはどこから読み込まれているのかとなりましたが、ブラウザの開発者モードで202となるアクセスのレスポンスボディを除くと中身が存在しないわけではなく以下の内容が含まれておりました。

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="utf-8">
    <meta name="viewport" content="width=device-width, initial-scale=1">
    <title>Human Verification</title>
    <style>
        body {
            font-family: "Arial";
        }
    </style>
    <script type="text/javascript">
    window.awsWafCookieDomainList = [];
    </script>
    <script src="https://xxxx.ap-northeast-1.token.awswaf.com/xxxx/xxxx/xxxx/xxxx.js"></script>
</head>
<body>
    <div id="challenge-container"></div>
    <script type="text/javascript">
        AwsWafIntegration.checkForceRefresh().then((forceRefresh) => {
            if (forceRefresh) {
                AwsWafIntegration.forceRefreshToken().then(() => {
                    window.location.reload(true);
                });
            } else {
                AwsWafIntegration.getToken().then(() => {
                    window.location.reload(true);
                });
            }
        });
    </script>
    <noscript>
        <h1>JavaScript is disabled</h1>
        In order to continue, we need to verify that you're not a robot.
        This requires JavaScript. Enable JavaScript and then reload the page.
    </noscript>
</body>
</html>

スクリプトの中身は非常に長く難読化されてるので解読は難しそうですが、このchallenge.jsやverfyの流れは以前CAPTCHA認証を試した時（「初めに」に記載のリンクを参照)の認証後の流れとほとんど似ているので手動の認証を１段挟むかどうかの違いはあるものの似たような処理を行っていそうです。

同じであればaws-waf-tokenが含まれているかと思い確認してみたところ、アクセス前にCookieを空にしているのにも関わらず200を返却するindex.htmlのアクセス時にはaws-waf-tokenをCookieのパラメータとして送信していることが確認できます。