LIVE Intel Feed21.639 exponierte Instanzen128.457 Checks93.4% Auth-Bypass RisikoUpdate: Feb 2026Keine Speicherung deiner Eingaben
ClawGuru
Institutional Ops Intelligence
NotfallPro Kits
Runbook

WebSocket Origin Hardening auf AWS Lightsail

Origin whitelist, Auth, Rate-Limits, sichere Headers. (Operator Guide für AWS Lightsail).

Was ist das hier?

Origin whitelist, Auth, Rate-Limits, sichere Headers. (Operator Guide für AWS Lightsail).

Priorität
Wenn Production betroffen ist: Containment zuerst (Stop the bleeding), dann Root Cause.

Schnell‑Triage (5 Minuten)

  • Was ist exponiert (Ports, Admin, Webhooks, Origins, Buckets)?
  • Sind gerade Anomalien sichtbar (Spikes, 4xx/5xx, Login‑Fehler, Bot‑Traffic)?
  • Sind Secrets/Keys kompromittiert (Repo, CI, Logs, Chat)?
Ziel
WebSocket Origin Hardening: Origin whitelist, Auth, Rate-Limits, sichere Headers.

Origin-Check (Nginx Snippet)

# Block wildcard origins, allow only your domain
if ($http_origin !~* ^https://(www.)?deine-domain.com$) { return 403; }

Fix‑Schritte (Copy/Paste‑fähig)

  • Origin strikt whitelisten (kein * / wildcard).
  • Auth auf WS Handshake (token/cookie) erzwingen.
  • Rate limits: connect rate + msg rate + concurrent connections.
  • Proxy/WAF: Upgrade headers + timeouts korrekt setzen.
  • Verifikation: disallowed Origin → 403, allowed Origin → OK.

Verifikation

aws sts get-caller-identity
aws ec2 describe-security-groups --max-items 5
aws cloudtrail lookup-events --max-results 10

Prävention / Guardrails

  • CloudTrail aktiv + Alerts auf IAM-Key-Erstellung & Policy-Änderungen
  • Security Groups: default-deny, nur benötigte Ports/Quellen
  • Keys in Secrets Manager statt .env / Git

Warnungen

  • Keys zuerst rotieren, dann forensisch arbeiten (Stop the bleeding).
Steps
  1. Origin strikt whitelisten (kein * / wildcard).
  2. Auth auf WS Handshake (token/cookie) erzwingen.
  3. Rate limits: connect rate + msg rate + concurrent connections.
  4. Proxy/WAF: Upgrade headers + timeouts korrekt setzen.
  5. Verifikation: disallowed Origin → 403, allowed Origin → OK.
Re-Check starten →Copilot Runbook Builder →
provider:lightsailtopic:ws-origin-hardeninglightsailrunbookops
Related Runbooks
Firewall Baseline auf Hetzner
Default deny, minimal offene Ports, sichere Defaults. (Operator Guide für Hetzner).
Öffnen →
SSH Hardening auf Hetzner
Key-only, Root aus, Rate-Limits, sichere Admin-Zugänge. (Operator Guide für Hetzner).
Öffnen →
WebSocket Origin Hardening auf Hetzner
Origin whitelist, Auth, Rate-Limits, sichere Headers. (Operator Guide für Hetzner).
Öffnen →
Reverse Proxy Baseline auf Hetzner
TLS, headers, caching, upstream health, timeouts. (Operator Guide für Hetzner).
Öffnen →
Rate Limit Baseline auf Hetzner
Edge + App Limits gegen Abuse und Cost-Spikes. (Operator Guide für Hetzner).
Öffnen →
DDoS First Response auf Hetzner
Blocken, absorbieren, recovern – ohne Panik. (Operator Guide für Hetzner).
Öffnen →
Hinweis: Diese Inhalte sind für Ops/Security gedacht. Keine „Namen-Datenbank“, keine Anschuldigungen – nur Runbooks, Tools und verifizierbare Checks.
CheckCopilotPro KitsVault