SQL 数据库 Linux 操作系统 POSIX 操作系统 Windows 操作系统 PHP 应用程序 WordPress 应用程序

使用案例特定规则组

使用案例特定规则组为许多不同的 Amazon WAF 使用案例提供增量保护。选择适用于您的应用程序的规则组。

SQL 数据库托管规则组

VendorName：AWS，姓名：AWSManagedRulesSQLiRuleSet，WCU：200

SQL 数据库规则组包含阻止与 SQL 数据库攻击（如 SQL 注入攻击）相关的请求模式的规则。该规则组有助于防止远程注入未经授权的查询。如果应用程序与 SQL 数据库相连，请评估此规则组以便使用。

注意

此表描述了该规则组的最新静态版本。对于其他版本，请使用 API 命令DescribeManagedRuleGroup.

规则名称	描述和标签
`SQLi_QUERYARGUMENTS`	使用内置命令Amazon WAF SQL 注入攻击规则语句，灵敏度级别设置为Low，检查所有查询参数的值，寻找与恶意 SQL 代码相匹配的模式。规则操作：`Block` 标签组`awswaf:managed:aws:sql-database:SQLi_QueryArguments`
`SQLiExtendedPatterns_QUERYARGUMENTS`	检查所有查询参数的值，以查找与恶意 SQL 代码匹配的模式。该规则所检查的模式不在规则的涵盖范围内`SQLi_QUERYARGUMENTS`. 规则操作：`Block` `awswaf:managed:aws:sql-database:SQLiExtendedPatterns_QueryArguments`
`SQLi_BODY`	使用内置命令Amazon WAF SQL 注入攻击规则语句，灵敏度级别设置为Low，检查请求正文中是否存在与恶意 SQL 代码匹配的模式。警告此规则仅检查请求正文的前 8 KB。有关信息，请参阅检查请求正文、标头和 Cookie。规则操作：`Block` 标签组`awswaf:managed:aws:sql-database:SQLi_Body`
`SQLiExtendedPatterns_BODY`	检查请求正文中是否有与恶意 SQL 代码匹配的模式。该规则所检查的模式不在规则的涵盖范围内`SQLi_BODY`. 警告此规则仅检查请求正文的前 8 KB。有关信息，请参阅检查请求正文、标头和 Cookie。规则操作：`Block` `awswaf:managed:aws:sql-database:SQLiExtendedPatterns_Body`
`SQLi_COOKIE`	使用内置命令Amazon WAF SQL 注入攻击规则语句，灵敏度级别设置为Low，检查请求 cookie 标头中是否有与恶意 SQL 代码匹配的模式。警告该规则仅检查请求 cookie 的前 8 KB 或前 200 个 cookie，以先达到的限制为准。有关信息，请参阅检查请求正文、标头和 Cookie。规则操作：`Block` 标签组`awswaf:managed:aws:sql-database:SQLi_Cookie`

Linux 操作系统托管规则组

VendorName：AWS，姓名：AWSManagedRulesLinuxRuleSet，WCU：200

Linux 操作系统规则组包含阻止请求模式的规则，这些请求模式与利用 Linux 特定漏洞（包括 Linux 特定的本地文件包含 (LFI) 攻击）相关。这有助于防止泄露文件内容或运行攻击者不应访问的代码的攻击。如果应用程序的任何部分在 Linux 上运行，则应评估此规则组。您应将此规则组与 POSIX 操作系统规则组结合使用。

注意

此表描述了该规则组的最新静态版本。对于其他版本，请使用 API 命令DescribeManagedRuleGroup.

规则名称描述和标签

规则名称	描述和标签
`LFI_URIPATH`	检查请求路径，以查找是否有恶意方试图利用 Web 应用程序中的本地文件包含 (LFI) 漏洞。示例模式包括类似于 `/proc/version` 的文件，它们可能向攻击者提供操作系统信息。规则操作：`Block` 标签组`awswaf:managed:aws:linux-os:LFI_URIPath`
`LFI_QUERYSTRING`	检查查询字符串的值是否有人试图利用 Web 应用程序中的本地文件包含 (LFI) 漏洞。示例模式包括类似于 `/proc/version` 的文件，它们可能向攻击者提供操作系统信息。规则操作：`Block` 标签组`awswaf:managed:aws:linux-os:LFI_QueryString`
`LFI_COOKIE`	检查请求 cookie 标头是否有人试图利用 Web 应用程序中的本地文件包含 (LFI) 漏洞。示例模式包括类似于 `/proc/version` 的文件，它们可能向攻击者提供操作系统信息。警告该规则仅检查请求 cookie 的前 8 KB 或前 200 个 cookie，以先达到的限制为准。有关信息，请参阅检查请求正文、标头和 Cookie。规则操作：`Block` 标签组`awswaf:managed:aws:linux-os:LFI_Cookie`

LFI_URIPATH

检查请求路径，以查找是否有恶意方试图利用 Web 应用程序中的本地文件包含 (LFI) 漏洞。示例模式包括类似于 /proc/version 的文件，它们可能向攻击者提供操作系统信息。

规则操作：Block

标签组awswaf:managed:aws:linux-os:LFI_URIPath

LFI_QUERYSTRING

检查查询字符串的值是否有人试图利用 Web 应用程序中的本地文件包含 (LFI) 漏洞。示例模式包括类似于 /proc/version 的文件，它们可能向攻击者提供操作系统信息。

规则操作：Block

标签组awswaf:managed:aws:linux-os:LFI_QueryString

LFI_COOKIE

检查请求 cookie 标头是否有人试图利用 Web 应用程序中的本地文件包含 (LFI) 漏洞。示例模式包括类似于 /proc/version 的文件，它们可能向攻击者提供操作系统信息。

警告

该规则仅检查请求 cookie 的前 8 KB 或前 200 个 cookie，以先达到的限制为准。有关信息，请参阅检查请求正文、标头和 Cookie。

规则操作：Block

标签组awswaf:managed:aws:linux-os:LFI_Cookie

POSIX 操作系统托管规则组

VendorName：AWS，姓名：AWSManagedRulesUnixRuleSet，WCU：100

POSIX 操作系统规则组包含的规则可阻止与利用 POSIX 和类似 POSIX 的操作系统特定漏洞（包括 Linux 特定的本地文件包含 (LFI) 攻击）相关的请求模式。这有助于防止泄露文件内容或运行攻击者不应访问的代码的攻击。如果应用程序的任何部分在 POSIX 或类似 POSIX 的操作系统（包括 Linux、AIX、HP-UX、macOS、Solaris、FreeBSD 和 OpenBSD）上运行，则应评估此规则组。

注意

此表描述了该规则组的最新静态版本。对于其他版本，请使用 API 命令DescribeManagedRuleGroup.

规则名称描述和标签

规则名称	描述和标签
`UNIXShellCommandsVariables_QUERYARGUMENTS`	检查所有查询参数的值，以查找是否有恶意方试图利用在 Unix 系统上运行的 Web 应用程序中的命令注入、LFI 和路径遍历漏洞。示例包括类似于 `echo $HOME` 和 `echo $PATH` 的模式。规则操作：`Block` 标签组`awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_QUERYARGUMENTS`
`UNIXShellCommandsVariables_BODY`	检查请求正文，以查找是否有恶意方试图利用在 Unix 系统上运行的 Web 应用程序中的命令注入、LFI 和路径遍历漏洞。示例包括类似于 `echo $HOME` 和 `echo $PATH` 的模式。警告此规则仅检查请求正文的前 8 KB。有关信息，请参阅检查请求正文、标头和 Cookie。规则操作：`Block` 标签组`awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_BODY`

UNIXShellCommandsVariables_QUERYARGUMENTS

检查所有查询参数的值，以查找是否有恶意方试图利用在 Unix 系统上运行的 Web 应用程序中的命令注入、LFI 和路径遍历漏洞。示例包括类似于 echo $HOME 和 echo $PATH 的模式。

规则操作：Block

标签组awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_QUERYARGUMENTS

UNIXShellCommandsVariables_BODY

检查请求正文，以查找是否有恶意方试图利用在 Unix 系统上运行的 Web 应用程序中的命令注入、LFI 和路径遍历漏洞。示例包括类似于 echo $HOME 和 echo $PATH 的模式。

警告

此规则仅检查请求正文的前 8 KB。有关信息，请参阅检查请求正文、标头和 Cookie。

规则操作：Block

标签组awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_BODY

Windows 操作系统托管规则组

VendorName：AWS，姓名：AWSManagedRulesWindowsRuleSet，WCU：200

Windows 操作系统规则组包含阻止与利用 Windows 特有漏洞相关的请求模式的规则，例如远程执行 PowerShell 命令。这有助于防止利用允许攻击者运行未经授权的命令或运行恶意代码的漏洞。如果应用程序的任何部分在 Windows 操作系统上运行，则应评估此规则组。

注意

此表描述了该规则组的最新静态版本。对于其他版本，请使用 API 命令DescribeManagedRuleGroup.

规则名称	描述和标签
`WindowsShellCommands_COOKIE`	检查请求 cookie 标头中是否有 WindowsShell Web 应用程序中的命令注入尝试。比赛模式代表WindowsShell 命令。示例模式包括`\|\|nslookup`和`;cmd`. 警告该规则仅检查请求 cookie 的前 8 KB 或前 200 个 cookie，以先达到的限制为准。有关信息，请参阅检查请求正文、标头和 Cookie。规则操作：`Block` 标签组`awswaf:managed:aws:windows-os:WindowsShellCommands_Cookie`
`WindowsShellCommands_QUERYARGUMENTS`	检查所有查询参数的值WindowsShell Web 应用程序中的命令注入尝试。比赛模式代表WindowsShell 命令。示例模式包括`\|\|nslookup`和`;cmd`. 规则操作：`Block` 标签组`awswaf:managed:aws:windows-os:WindowsShellCommands_QueryArguments`
`WindowsShellCommands_BODY`	检查请求正文 WindowsShell Web 应用程序中的命令注入尝试。比赛模式代表 WindowsShell 命令。示例模式包括`\|\|nslookup`和`;cmd`. 警告此规则仅检查请求正文的前 8 KB。有关信息，请参阅检查请求正文、标头和 Cookie。规则操作：`Block` 标签组`awswaf:managed:aws:windows-os:WindowsShellCommands_Body`
`PowerShellCommands_COOKIE`	检查请求 cookie 标头中是否有 PowerShell Web 应用程序中的命令注入尝试。比赛模式代表PowerShell 命令。例如，`Invoke-Expression`。警告该规则仅检查请求 cookie 的前 8 KB 或前 200 个 cookie，以先达到的限制为准。有关信息，请参阅检查请求正文、标头和 Cookie。规则操作：`Block` 标签组`awswaf:managed:aws:windows-os:PowerShellCommands_Cookie`
`PowerShellCommands_QUERYARGUMENTS`	检查所有查询参数的值PowerShell Web 应用程序中的命令注入尝试。比赛模式代表PowerShell 命令。例如，`Invoke-Expression`。规则操作：`Block` 标签组`awswaf:managed:aws:windows-os:PowerShellCommands_QueryArguments`
`PowerShellCommands_BODY`	检查请求正文 PowerShell Web 应用程序中的命令注入尝试。比赛模式代表 PowerShell 命令。例如，`Invoke-Expression`。警告此规则仅检查请求正文的前 8 KB。有关信息，请参阅检查请求正文、标头和 Cookie。规则操作：`Block` 标签组`awswaf:managed:aws:windows-os:PowerShellCommands_Body`

PHP 应用程序托管规则组

VendorName：AWS，姓名：AWSManagedRulesPHPRuleSet，WCU：100

PHP 应用程序规则组包含阻止请求模式的规则，这些请求模式与利用特定于 PHP 编程语言使用的漏洞相关，包括注入不安全的 PHP 函数。这有助于防止攻击者利用漏洞远程运行未经授权的代码或命令。如果 PHP 安装在与应用程序相连的任何服务器上，则评估此规则组。

注意

此表描述了该规则组的最新静态版本。对于其他版本，请使用 API 命令DescribeManagedRuleGroup.

规则名称描述和标签

规则名称	描述和标签
`PHPHighRiskMethodsVariables_QUERYARGUMENTS`	检查所有查询参数的值以查找 PHP 脚本代码注入尝试。示例模式包括类似 `fsockopen` 和 `$_GET` 超全局变量的函数。规则操作：`Block` 标签组`awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_QUERYARGUMENTS`
`PHPHighRiskMethodsVariables_BODY`	检查请求主体的值以查找 PHP 脚本代码注入尝试。示例模式包括类似 `fsockopen` 和 `$_GET` 超全局变量的函数。警告此规则仅检查请求正文的前 8 KB。有关信息，请参阅检查请求正文、标头和 Cookie。规则操作：`Block` 标签组`awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_BODY`

PHPHighRiskMethodsVariables_QUERYARGUMENTS

检查所有查询参数的值以查找 PHP 脚本代码注入尝试。示例模式包括类似 fsockopen 和 $_GET 超全局变量的函数。

规则操作：Block

标签组awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_QUERYARGUMENTS

PHPHighRiskMethodsVariables_BODY

检查请求主体的值以查找 PHP 脚本代码注入尝试。示例模式包括类似 fsockopen 和 $_GET 超全局变量的函数。

警告

此规则仅检查请求正文的前 8 KB。有关信息，请参阅检查请求正文、标头和 Cookie。

规则操作：Block

标签组awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_BODY

WordPress 应用程序托管规则组

VendorName：AWS，姓名：AWSManagedRulesWordPressRuleSet，WCU：100

这些区域有： WordPress 应用程序规则组包含阻止与利用特定漏洞相关的请求模式的规则WordPress spel。如果您正在运行，则应评估此规则组WordPress. 此规则组应与 SQL 数据库和 PHP 应用程序规则组一起使用。

注意

此表描述了该规则组的最新静态版本。对于其他版本，请使用 API 命令DescribeManagedRuleGroup.

规则名称描述和标签

规则名称	描述和标签
`WordPressExploitableCommands_QUERYSTRING`	检查请求查询字符串是否存在高风险WordPress 在有漏洞的安装或插件中可能被利用的命令。示例模式包括类似于 `do-reset-wordpress` 的命令。规则操作：`Block` 标签组`awswaf:managed:aws:wordpress-app:WordPressExploitableCommands_QUERYSTRING`
`WordPressExploitablePaths_URIPATH`	检查请求 URI 路径 WordPress 文件LIKE`xmlrpc.php`，众所周知，这些漏洞很容易被利用。规则操作：`Block` 标签组`awswaf:managed:aws:wordpress-app:WordPressExploitablePaths_URIPATH`

WordPressExploitableCommands_QUERYSTRING

检查请求查询字符串是否存在高风险WordPress 在有漏洞的安装或插件中可能被利用的命令。示例模式包括类似于 do-reset-wordpress 的命令。

规则操作：Block

标签组awswaf:managed:aws:wordpress-app:WordPressExploitableCommands_QUERYSTRING

WordPressExploitablePaths_URIPATH

检查请求 URI 路径 WordPress 文件LIKExmlrpc.php，众所周知，这些漏洞很容易被利用。

规则操作：Block

标签组awswaf:managed:aws:wordpress-app:WordPressExploitablePaths_URIPATH

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

基准规则组

IP 声誉规则组