使用案例特定规则组 - AWS WAF、AWS Firewall Manager 和 AWS Shield Advanced
SQL 数据库Linux 操作系统POSIX 操作系统Windows 操作系统PHP 应用程序WordPress 应用程序

使用案例特定规则组

使用案例特定规则组为许多不同的 AWS WAF 使用案例提供增量保护。选择适用于您的应用程序的规则组。

注意

我们为 AWS 托管规则组中的规则发布的信息旨在为您提供使用规则所需的足够信息,同时不会提供可供不法分子规避规则的信息。如果您需要本文档以外的信息,请联系 AWS Support 中心

SQL 数据库托管规则组

供应商名称:AWS,名称:AWSManagedRulesSQLiRuleSet,WCU:200

SQL 数据库规则组包含阻止与 SQL 数据库攻击(如 SQL 注入攻击)相关的请求模式的规则。该规则组有助于防止远程注入未经授权的查询。如果应用程序与 SQL 数据库相连,请评估此规则组以便使用。

此托管规则组会为其评估的 Web 请求添加标签,这些标签可供 Web ACL 中在此规则组之后运行的规则使用。AWS WAF 还记录与 Amazon CloudWatch 指标相关的标签。有关标签和标签指标的一般信息,请参阅 在 Web 请求上使用标签标签指标和维度

注意

下表描述了该规则组的最新静态版本。对于其他版本,请使用 API 命令 DescribeManagedRuleGroup

Rule name(规则名称) 描述和标签
SQLi_QUERYARGUMENTS

使用内置 AWS WAF SQL 注入攻击规则语句(敏感度级别设置为 Low)检查所有查询参数的值中是否存在与恶意 SQL 代码匹配的模式。

规则操作:Block

标签:awswaf:managed:aws:sql-database:SQLi_QueryArguments
SQLiExtendedPatterns_QUERYARGUMENTS

检查所有查询参数的值,以查找与恶意 SQL 代码匹配的模式。该规则检查的模式不在规则 SQLi_QUERYARGUMENTS 的范围内。

规则操作:Block

标签:awswaf:managed:aws:sql-database:SQLiExtendedPatterns_QueryArguments
SQLi_BODY

使用内置 AWS WAF SQL 注入攻击规则语句(敏感度级别设置为 Low)检查请求正文中是否存在与恶意 SQL 代码匹配的模式。

警告

此规则仅检查请求正文,但不得超过 Web ACL 和资源类型的正文大小限制。对于应用程序负载均衡器和 AWS AppSync,固定限制为 8 KB。对于 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在 Web ACL 配置中将此限制提高至 64 KB。此规则使用 Continue 选项来处理超大内容。有关更多信息,请参阅 在 AWS WAF 中处理超大 Web 请求组件

规则操作:Block

标签:awswaf:managed:aws:sql-database:SQLi_Body
SQLiExtendedPatterns_BODY

检查请求正文中是否存在与恶意 SQL 代码匹配的模式。该规则检查的模式不在规则 SQLi_BODY 的范围内。

警告

此规则仅检查请求正文,但不得超过 Web ACL 和资源类型的正文大小限制。对于应用程序负载均衡器和 AWS AppSync,固定限制为 8 KB。对于 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在 Web ACL 配置中将此限制提高至 64 KB。此规则使用 Continue 选项来处理超大内容。有关更多信息,请参阅 在 AWS WAF 中处理超大 Web 请求组件

规则操作:Block

标签:awswaf:managed:aws:sql-database:SQLiExtendedPatterns_Body
SQLi_COOKIE

使用内置 AWS WAF SQL 注入攻击规则语句(敏感度级别设置为 Low)检查 Cookie 标头中是否存在与恶意 SQL 代码匹配的模式。

规则操作:Block

标签:awswaf:managed:aws:sql-database:SQLi_Cookie

Linux 操作系统托管规则组

供应商名称:AWS,名称:AWSManagedRulesLinuxRuleSet,WCU:200

Linux 操作系统规则组包含阻止请求模式的规则,这些请求模式与利用 Linux 特定漏洞(包括 Linux 特定的本地文件包含 (LFI) 攻击)相关。该规则组有助于防止暴露攻击者不应当访问的文件内容或执行代码的攻击。如果应用程序的任何部分在 Linux 上运行,则应评估此规则组。您应将此规则组与 POSIX 操作系统 规则组结合使用。

此托管规则组会为其评估的 Web 请求添加标签,这些标签可供 Web ACL 中在此规则组之后运行的规则使用。AWS WAF 还记录与 Amazon CloudWatch 指标相关的标签。有关标签和标签指标的一般信息,请参阅 在 Web 请求上使用标签标签指标和维度

注意

下表描述了该规则组的最新静态版本。对于其他版本,请使用 API 命令 DescribeManagedRuleGroup

Rule name(规则名称) 描述和标签
LFI_URIPATH

检查请求路径,以查找是否有恶意方试图利用 Web 应用程序中的本地文件包含 (LFI) 漏洞。示例模式包括类似于 /proc/version 的文件,它们可能向攻击者提供操作系统信息。

规则操作:Block

标签:awswaf:managed:aws:linux-os:LFI_URIPath
LFI_QUERYSTRING

检查查询字符串的值,以查找是否有恶意方试图利用 Web 应用程序中的本地文件包含 (LFI) 漏洞。示例模式包括类似于 /proc/version 的文件,它们可能向攻击者提供操作系统信息。

规则操作:Block

标签:awswaf:managed:aws:linux-os:LFI_QueryString
LFI_HEADER

检查请求标头,以查找是否有恶意方试图利用 Web 应用程序中的本地文件包含 (LFI) 漏洞。示例模式包括类似于 /proc/version 的文件,它们可能向攻击者提供操作系统信息。

警告

此规则仅检查请求标头的前 8 KB 或前 200 个标头(以先达到的限制为准),并且它使用 Continue 选项来处理超大内容。有关更多信息,请参阅 在 AWS WAF 中处理超大 Web 请求组件

规则操作:Block

标签:awswaf:managed:aws:linux-os:LFI_Header

POSIX 操作系统托管规则组

供应商名称:AWS,名称:AWSManagedRulesUnixRuleSet,WCU:100

POSIX 操作系统规则组包含的规则可阻止与利用 POSIX 和类似 POSIX 的操作系统特定漏洞(包括 Linux 特定的本地文件包含 (LFI) 攻击)相关的请求模式。该规则组有助于防止暴露攻击者不应当访问的文件内容或执行代码的攻击。如果应用程序的任何部分在 POSIX 或类似 POSIX 的操作系统(包括 Linux、AIX、HP-UX、macOS、Solaris、FreeBSD 和 OpenBSD)上运行,则应评估此规则组。

此托管规则组会为其评估的 Web 请求添加标签,这些标签可供 Web ACL 中在此规则组之后运行的规则使用。AWS WAF 还记录与 Amazon CloudWatch 指标相关的标签。有关标签和标签指标的一般信息,请参阅 在 Web 请求上使用标签标签指标和维度

注意

下表描述了该规则组的最新静态版本。对于其他版本,请使用 API 命令 DescribeManagedRuleGroup

Rule name(规则名称) 描述和标签
UNIXShellCommandsVariables_QUERYSTRING

检查查询字符串的值,以查找是否有恶意方试图利用在 Unix 系统上运行的 Web 应用程序中的命令注入、LFI 和路径遍历漏洞。示例包括类似于 echo $HOMEecho $PATH 的模式。

规则操作:Block

标签:awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_QueryString
UNIXShellCommandsVariables_BODY

检查请求正文,以查找是否有恶意方试图利用在 Unix 系统上运行的 Web 应用程序中的命令注入、LFI 和路径遍历漏洞。示例包括类似于 echo $HOMEecho $PATH 的模式。

警告

此规则仅检查请求正文,但不得超过 Web ACL 和资源类型的正文大小限制。对于应用程序负载均衡器和 AWS AppSync,固定限制为 8 KB。对于 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在 Web ACL 配置中将此限制提高至 64 KB。此规则使用 Continue 选项来处理超大内容。有关更多信息,请参阅 在 AWS WAF 中处理超大 Web 请求组件

规则操作:Block

标签:awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_Body
UNIXShellCommandsVariables_HEADER

检查所有请求标头,以查找是否有恶意方试图利用在 Unix 系统上运行的 Web 应用程序中的命令注入、LFI 和路径遍历漏洞。示例包括类似于 echo $HOMEecho $PATH 的模式。

警告

此规则仅检查请求标头的前 8 KB 或前 200 个标头(以先达到的限制为准),并且它使用 Continue 选项来处理超大内容。有关更多信息,请参阅 在 AWS WAF 中处理超大 Web 请求组件

规则操作:Block

标签:awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_Header

Windows 操作系统托管规则组

供应商名称:AWS,名称:AWSManagedRulesWindowsRuleSet,WCU:200

Windows 操作系统规则组包含的规则可阻止与利用 Windows 特定漏洞相关的请求模式,例如,远程执行 PowerShell 命令。该规则组有助于防止利用允许攻击者运行未经授权的命令或执行恶意代码的漏洞。如果应用程序的任何部分在 Windows 操作系统上运行,则应评估此规则组。

此托管规则组会为其评估的 Web 请求添加标签,这些标签可供 Web ACL 中在此规则组之后运行的规则使用。AWS WAF 还记录与 Amazon CloudWatch 指标相关的标签。有关标签和标签指标的一般信息,请参阅 在 Web 请求上使用标签标签指标和维度

注意

下表描述了该规则组的最新静态版本。对于其他版本,请使用 API 命令 DescribeManagedRuleGroup

Rule name(规则名称) 描述和标签
WindowsShellCommands_COOKIE

检查请求 Cookie 标头,以发现 Web 应用程序中的 WindowsShell 命令注入尝试。匹配模式代表 WindowsShell 命令。示例模式包括 ||nslookup;cmd

规则操作:Block

标签:awswaf:managed:aws:windows-os:WindowsShellCommands_Cookie
WindowsShellCommands_QUERYARGUMENTS

检查所有查询参数的值,以发现 Web 应用程序中的 WindowsShell 命令注入尝试。匹配模式代表 WindowsShell 命令。示例模式包括 ||nslookup;cmd

规则操作:Block

标签:awswaf:managed:aws:windows-os:WindowsShellCommands_QueryArguments
WindowsShellCommands_BODY

检查请求正文,以发现 Web 应用程序中的 WindowsShell 命令注入尝试。匹配模式代表 WindowsShell 命令。示例模式包括 ||nslookup;cmd

警告

此规则仅检查请求正文,但不得超过 Web ACL 和资源类型的正文大小限制。对于应用程序负载均衡器和 AWS AppSync,固定限制为 8 KB。对于 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在 Web ACL 配置中将此限制提高至 64 KB。此规则使用 Continue 选项来处理超大内容。有关更多信息,请参阅 在 AWS WAF 中处理超大 Web 请求组件

规则操作:Block

标签:awswaf:managed:aws:windows-os:WindowsShellCommands_Body
PowerShellCommands_COOKIE

检查请求 Cookie 标头,以发现 Web 应用程序中的 PowerShell 命令注入尝试。匹配模式代表 PowerShell 命令。例如,Invoke-Expression

规则操作:Block

标签:awswaf:managed:aws:windows-os:PowerShellCommands_Cookie
PowerShellCommands_QUERYARGUMENTS

检查所有查询参数的值,以发现 Web 应用程序中的 PowerShell 命令注入尝试。匹配模式代表 PowerShell 命令。例如,Invoke-Expression

规则操作:Block

标签:awswaf:managed:aws:windows-os:PowerShellCommands_QueryArguments
PowerShellCommands_BODY

检查请求正文,以发现 Web 应用程序中的 PowerShell 命令注入尝试。匹配模式代表 PowerShell 命令。例如,Invoke-Expression

警告

此规则仅检查请求正文,但不得超过 Web ACL 和资源类型的正文大小限制。对于应用程序负载均衡器和 AWS AppSync,固定限制为 8 KB。对于 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在 Web ACL 配置中将此限制提高至 64 KB。此规则使用 Continue 选项来处理超大内容。有关更多信息,请参阅 在 AWS WAF 中处理超大 Web 请求组件

规则操作:Block

标签:awswaf:managed:aws:windows-os:PowerShellCommands_Body

PHP 应用程序托管规则组

供应商名称:AWS,名称:AWSManagedRulesPHPRuleSet,WCU:100

PHP 应用程序规则组包含阻止请求模式的规则,这些请求模式与利用特定于 PHP 编程语言使用的漏洞相关,包括注入不安全的 PHP 函数。该规则组有助于防止利用允许攻击者远程执行未经授权的代码或命令的漏洞。如果 PHP 安装在与应用程序相连的任何服务器上,则评估此规则组。

此托管规则组会为其评估的 Web 请求添加标签,这些标签可供 Web ACL 中在此规则组之后运行的规则使用。AWS WAF 还记录与 Amazon CloudWatch 指标相关的标签。有关标签和标签指标的一般信息,请参阅 在 Web 请求上使用标签标签指标和维度

注意

下表描述了该规则组的最新静态版本。对于其他版本,请使用 API 命令 DescribeManagedRuleGroup

Rule name(规则名称) 描述和标签
PHPHighRiskMethodsVariables_HEADER

检查所有标头,以发现 PHP 脚本代码注入尝试。示例模式包括类似 fsockopen$_GET 超全局变量的函数。

警告

此规则仅检查请求标头的前 8 KB 或前 200 个标头(以先达到的限制为准),并且它使用 Continue 选项来处理超大内容。有关更多信息,请参阅 在 AWS WAF 中处理超大 Web 请求组件

规则操作:Block

标签:awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Header
PHPHighRiskMethodsVariables_QUERYSTRING

检查请求 URL 中第一个 ? 之后的所有内容,查找 PHP 脚本代码注入尝试。示例模式包括类似 fsockopen$_GET 超全局变量的函数。

规则操作:Block

标签:awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_QueryString
PHPHighRiskMethodsVariables_BODY

检查请求主体的值以查找 PHP 脚本代码注入尝试。示例模式包括类似 fsockopen$_GET 超全局变量的函数。

警告

此规则仅检查请求正文,但不得超过 Web ACL 和资源类型的正文大小限制。对于应用程序负载均衡器和 AWS AppSync,固定限制为 8 KB。对于 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在 Web ACL 配置中将此限制提高至 64 KB。此规则使用 Continue 选项来处理超大内容。有关更多信息,请参阅 在 AWS WAF 中处理超大 Web 请求组件

规则操作:Block

标签:awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Body

WordPress 应用程序托管规则组

供应商名称:AWS,名称:AWSManagedRulesWordPressRuleSet,WCU:100

WordPress 应用程序规则组包含阻止请求模式的规则,这些请求模式与利用 WordPress 网站特定漏洞相关。如果您正在运行 WordPress,则应评估此规则组。此规则组应与 SQL 数据库PHP 应用程序 规则组一起使用。

此托管规则组会为其评估的 Web 请求添加标签,这些标签可供 Web ACL 中在此规则组之后运行的规则使用。AWS WAF 还记录与 Amazon CloudWatch 指标相关的标签。有关标签和标签指标的一般信息,请参阅 在 Web 请求上使用标签标签指标和维度

注意

下表描述了该规则组的最新静态版本。对于其他版本,请使用 API 命令 DescribeManagedRuleGroup

Rule name(规则名称) 描述和标签
WordPressExploitableCommands_QUERYSTRING

检查请求查询字符串,以查找可能在易受攻击的安装或插件中被利用的高风险 WordPress 命令。示例模式包括类似于 do-reset-wordpress 的命令。

规则操作:Block

标签:awswaf:managed:aws:wordpress-app:WordPressExploitableCommands_QUERYSTRING
WordPressExploitablePaths_URIPATH

检查请求 URI 路径是否有类似于 xmlrpc.php 的 WordPress 文件,已知这些文件具有易被利用的漏洞。

规则操作:Block

标签:awswaf:managed:aws:wordpress-app:WordPressExploitablePaths_URIPATH