基准规则组 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
核心规则集 (CRS)管理保护已知错误输入
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

基准规则组

基准托管规则组可针对多种常见威胁提供一般保护。请选择以下一个或多个规则组以便为您的资源建立基准保护。

核心规则集 (CRS) 托管规则组

VendorName:AWS,姓名:AWSManagedRulesCommonRuleSet,WCU:700

核心规则集 (CRS) 规则组包含通常适用于 Web 应用程序的规则。这可以防止利用各种漏洞,包括 OWASP 出版物中描述的一些高风险和常见漏洞,例如OWASP 前 10. 请考虑将此规则组用于任何 Amazon WAF 使用案例。

注意

此表描述了该规则组的最新静态版本。对于其他版本,请使用 API 命令DescribeManagedRuleGroup.

规则名称 描述和标签
NoUserAgent_HEADER

检查是否有缺少 HTTP 的请求User-Agent标头。

规则操作:Block

Label:awswaf:managed:aws:core-rule-set:NoUserAgent_Header
UserAgent_BadBots_HEADER

检查是否有常见问题User-Agent标头值表示请求是错误的机器人。示例模式包括 nessusnmap。有关机器人管理的信息,另请参阅Amazon WAF机器人控制规则组.

规则操作:Block

Label:awswaf:managed:aws:core-rule-set:BadBots_Header
SizeRestrictions_QUERYSTRING

检查是否有超过 2,048 字节的 URI 查询字符串。

规则操作:Block

Label:awswaf:managed:aws:core-rule-set:SizeRestrictions_QueryString
SizeRestrictions_Cookie_HEADER

检查是否有超过 10,240 字节的 cookie 标头。

警告

该规则仅检查请求 cookie 的前 8 KB 或前 200 个 cookie,以先达到的限制为准。有关信息,请参阅检查请求正文、标头和 Cookie

规则操作:Block

Label:awswaf:managed:aws:core-rule-set:SizeRestrictions_Cookie_Header
SizeRestrictions_BODY

检查是否有超过 8 KB(8,192 字节)的请求正文。

规则操作:Block

Label:awswaf:managed:aws:core-rule-set:SizeRestrictions_Body
SizeRestrictions_URIPATH

检查是否有超过 1024 字节的 URI 路径。

规则操作:Block

Label:awswaf:managed:aws:core-rule-set:SizeRestrictions_URIPath
EC2MetaDataSSRF_BODY

检查是否有人试图从请求正文中窃取 Amazon EC2 元数据。

警告

此规则仅检查请求正文的前 8 KB。有关信息,请参阅检查请求正文、标头和 Cookie

规则操作:Block

Label:awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Body
EC2MetaDataSSRF_COOKIE

检查是否有人试图从请求 cookie 中窃取 Amazon EC2 元数据。

警告

该规则仅检查请求 cookie 的前 8 KB 或前 200 个 cookie,以先达到的限制为准。有关信息,请参阅检查请求正文、标头和 Cookie

规则操作:Block

Label:awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Cookie
EC2MetaDataSSRF_URIPATH

检查是否有人试图从请求 URI 路径中窃取 Amazon EC2 元数据。

规则操作:Block

Label:awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_URIPath
EC2MetaDataSSRF_QUERYARGUMENTS

检查是否有人试图从请求查询参数中窃取 Amazon EC2 元数据。

规则操作:Block

Label:awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_QueryArguments
GenericLFI_QUERYARGUMENTS

检查查询参数中是否存在本地文件包含 (LFI) 攻击。示例包括使用类似于 ../../ 的技术尝试遍历路径。

规则操作:Block

Label:awswaf:managed:aws:core-rule-set:GenericLFI_QueryArguments
GenericLFI_URIPATH

检查 URI 路径中是否存在本地文件包含 (LFI) 攻击。示例包括使用类似于 ../../ 的技术尝试遍历路径。

规则操作:Block

Label:awswaf:managed:aws:core-rule-set:GenericLFI_URIPath
GenericLFI_BODY

检查请求正文中是否存在本地文件包含 (LFI) 攻击。示例包括使用类似于 ../../ 的技术尝试遍历路径。

警告

此规则仅检查请求正文的前 8 KB。有关信息,请参阅检查请求正文、标头和 Cookie

规则操作:Block

Label:awswaf:managed:aws:core-rule-set:GenericLFI_Body
RestrictedExtensions_URIPATH

检查其 URI 路径包含不安全读取或运行的系统文件扩展名的请求。示例模式包括类似于 .log.ini 的扩展名。

规则操作:Block

Label:awswaf:managed:aws:core-rule-set:RestrictedExtensions_URIPath
RestrictedExtensions_QUERYARGUMENTS

检查其查询参数包含不安全读取或运行的系统文件扩展名的请求。示例模式包括类似于 .log.ini 的扩展名。

规则操作:Block

Label:awswaf:managed:aws:core-rule-set:RestrictedExtensions_QueryArguments
GenericRFI_QUERYARGUMENTS

检查所有查询参数的值,以防有人试图通过嵌入包含 IPv4 地址的 URL 来利用 Web 应用程序中的 RFI(远程文件包含)。示例包括以下模式http://,https://,ftp://,ftps://,以及file://,漏洞尝试中有 IPv4 主机标头。

规则操作:Block

Label:awswaf:managed:aws:core-rule-set:GenericRFI_QueryArguments
GenericRFI_BODY

通过嵌入包含 IPv4 地址的 URL 来检查请求正文是否有人企图利用 Web 应用程序中的 RFI(远程文件包含)。示例包括以下模式http://,https://,ftp://,ftps://,以及file://,漏洞尝试中有 IPv4 主机标头。

警告

此规则仅检查请求正文的前 8 KB。有关信息,请参阅检查请求正文、标头和 Cookie

规则操作:Block

Label:awswaf:managed:aws:core-rule-set:GenericRFI_Body
GenericRFI_URIPATH

检查 URI 路径是否有人试图通过嵌入包含 IPv4 地址的 URL 来利用 Web 应用程序中的 RFI(远程文件包含)。示例包括以下模式http://,https://,ftp://,ftps://,以及file://,漏洞尝试中有 IPv4 主机标头。

规则操作:Block

Label:awswaf:managed:aws:core-rule-set:GenericRFI_URIPath
CrossSiteScripting_COOKIE

使用内置的 cookie 标头检查常见的跨站脚本 (XSS) 模式的值Amazon WAF 跨站点脚本攻击规则语句. 示例模式包括类似于 <script>alert("hello")</script> 的脚本。

警告

该规则仅检查请求 cookie 的前 8 KB 或前 200 个 cookie,以先达到的限制为准。有关信息,请参阅检查请求正文、标头和 Cookie

注意

规则与中的详细信息匹配Amazon WAF未填充此规则组版本 2.0 的日志。

规则操作:Block

Label:awswaf:managed:aws:core-rule-set:CrossSiteScripting_Cookie
CrossSiteScripting_QUERYARGUMENTS

使用内置模式检查常见跨站脚本 (XSS) 模式的查询参数值Amazon WAF 跨站点脚本攻击规则语句. 示例模式包括类似于 <script>alert("hello")</script> 的脚本。

注意

规则与中的详细信息匹配Amazon WAF未填充此规则组版本 2.0 的日志。

规则操作:Block

Label:awswaf:managed:aws:core-rule-set:CrossSiteScripting_QueryArguments
CrossSiteScripting_BODY

使用内置模式检查请求正文中是否存在常见的跨站脚本 (XSS) 模式Amazon WAF 跨站点脚本攻击规则语句. 示例模式包括类似于 <script>alert("hello")</script> 的脚本。

注意

规则与中的详细信息匹配Amazon WAF未填充此规则组版本 2.0 的日志。

警告

此规则仅检查请求正文的前 8 KB。有关信息,请参阅检查请求正文、标头和 Cookie

规则操作:Block

Label:awswaf:managed:aws:core-rule-set:CrossSiteScripting_Body
CrossSiteScripting_URIPATH

使用内置的 URI 路径检查常见跨站脚本 (XSS) 模式的值Amazon WAF 跨站点脚本攻击规则语句. 示例模式包括类似于 <script>alert("hello")</script> 的脚本。

注意

规则与中的详细信息匹配Amazon WAF未填充此规则组版本 2.0 的日志。

规则操作:Block

Label:awswaf:managed:aws:core-rule-set:CrossSiteScripting_URIPath

管理员保护托管规则组

VendorName:AWS,姓名:AWSManagedRulesAdminProtectionRuleSet,WCU:100

管理保护规则组包含允许您阻止对公开的管理页面进行外部访问的规则。如果您运行第三方软件,或者希望降低恶意人员获取您的应用程序的管理访问权限的风险,该规则组可能非常有用。

注意

此表描述了该规则组的最新静态版本。对于其他版本,请使用 API 命令DescribeManagedRuleGroup.

规则名称 描述和标签
AdminProtection_URIPATH

检查通常为管理 Web 服务器或应用程序而保留的 URI 路径。示例模式包括 sqlmanager

规则操作:Block

标签组awswaf:managed:aws:admin-protection:AdminProtection_URIPath

已知的错误输入管理规则组

VendorName:AWS,姓名:AWSManagedRulesKnownBadInputsRuleSet,WCU:200

已知错误输入规则组包含用于阻止请求模式的规则,这些模式确认无效且与漏洞攻击或发现相关联。这有助于降低恶意行为者发现有漏洞的应用程序的风险。

注意

此表描述了该规则组的最新静态版本。对于其他版本,请使用 API 命令DescribeManagedRuleGroup.

规则名称 描述和标签
JavaDeserializationRCE_HEADER

检查 HTTP 请求标头的键和值,寻找表示 Java 反序列化远程命令执行 (RCE) 尝试的模式,例如 Spring Core 和 Cloud Function RCE 漏洞(CVE-2022-22963、CVE-2022-22965)。示例模式包括 (java.lang.Runtime).getRuntime().exec("whoami")

警告

此规则仅检查请求标头的前 8 KB 或前 200 个标头,以先达到的限制为准。有关信息,请参阅检查请求正文、标头和 Cookie

规则操作:Block

标签组awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Header

JavaDeserializationRCE_BODY

检查请求正文中是否有指示 Java 反序列化远程命令执行 (RCE) 尝试的模式,例如 Spring Core 和 Cloud Function RCE 漏洞(CVE-2022-22963、CVE-2022-22965)。示例模式包括 (java.lang.Runtime).getRuntime().exec("whoami")

警告

此规则仅检查请求正文的前 8 KB。有关信息,请参阅检查请求正文、标头和 Cookie

规则操作:Block

标签组awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Body
JavaDeserializationRCE_URIPATH

检查请求 URI 中是否有指示 Java 反序列化远程命令执行 (RCE) 尝试的模式,例如 Spring Core 和 Cloud Function RCE 漏洞(CVE-2022-22963、CVE-2022-22965)。示例模式包括 (java.lang.Runtime).getRuntime().exec("whoami")

规则操作:Block

标签组awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_URIPath
JavaDeserializationRCE_QUERYSTRING

检查请求查询字符串中是否有指示 Java 反序列化远程命令执行 (RCE) 尝试的模式,例如 Spring Core 和 Cloud Function RCE 漏洞(CVE-2022-22963、CVE-2022-22965)。示例模式包括 (java.lang.Runtime).getRuntime().exec("whoami")

规则操作:Block

标签组awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_QueryString
Host_localhost_HEADER

检查请求中的主机标头是否有指示本地主机的模式。示例模式包括 localhost

规则操作:Block

标签组awswaf:managed:aws:known-bad-inputs:Host_Localhost_Header
PROPFIND_METHOD

检查请求中用于 PROPFIND 的 HTTP 方法,这是一种类似于 HEAD 的方法,但具有泄漏 XML 对象的额外意图。

规则操作:Block

标签组awswaf:managed:aws:known-bad-inputs:Propfind_Method
ExploitablePaths_URIPATH

检查 URI 路径中是否有恶意方试图访问可利用的 Web 应用程序路径。示例模式包括类似于 web-inf 的路径。

规则操作:Block

标签组awswaf:managed:aws:known-bad-inputs:ExploitablePaths_URIPath
Log4JRCE_HEADER

检查请求标头的密钥和值是否存在 Log4j 漏洞 (CVE-2021-44228,CVE-2021-45046,CVE-2021-45105)并防止远程代码执行 (RCE) 尝试。示例模式包括 ${jndi:ldap://example.com/}

警告

此规则仅检查请求标头的前 8 KB 或前 200 个标头,以先达到的限制为准。有关信息,请参阅检查请求正文、标头和 Cookie

规则操作:Block

标签组awswaf:managed:aws:known-bad-inputs:Log4JRCE_Header
Log4JRCE_QUERYSTRING

检查查询字符串中是否存在 Log4j 漏洞 (CVE-2021-44228,CVE-2021-45046,CVE-2021-45105)并防止远程代码执行 (RCE) 尝试。示例模式包括 ${jndi:ldap://example.com/}

规则操作:Block

标签组awswaf:managed:aws:known-bad-inputs:Log4JRCE_QueryString
Log4JRCE_BODY

检查身体是否存在 Log4j 漏洞 (CVE-2021-44228,CVE-2021-45046,CVE-2021-45105)并防止远程代码执行 (RCE) 尝试。示例模式包括 ${jndi:ldap://example.com/}

警告

此规则仅检查请求正文的前 8 KB。有关信息,请参阅检查请求正文、标头和 Cookie

规则操作:Block

标签组awswaf:managed:aws:known-bad-inputs:Log4JRCE_Body
Log4JRCE_URIPATH

检查 URI 路径是否存在 Log4j 漏洞 (CVE-2021-44228,CVE-2021-45046,CVE-2021-45105)并防止远程代码执行 (RCE) 尝试。示例模式包括 ${jndi:ldap://example.com/}

规则操作:Block

标签组awswaf:managed:aws:known-bad-inputs:Log4JRCE_URIPath