基準規則群組 - AWS WAFAWS Firewall Manager、 和 AWS Shield Advanced
核心規則集 (CRS)管理員保護已知錯誤輸入

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

基準規則群組

基準管理的規則群組可針對各種常見威脅提供一般防護。選擇這些規則群組中的一或多個,以建立資源的基準保護。

核心規則集 (CRS) 受管規則群組

VendorName:AWS,Name:AWSManagedRulesCommonRuleSet,WCU:700

注意

本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更AWS 受管規則變更日誌。如需其他版本的相關資訊,請使用 API 命令 DescribeManagedRuleGroup

我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的資訊,而不會給予不法份子規避規則所需的資訊。

如果您需要超過此處的詳細資訊,請聯絡 AWS 支援 中心

核心規則集 (CRS) 規則群組包含通常適用於 Web 應用程式的規則。這可提供保護,防止各種漏洞遭到利用,包括 OWASP 出版物中所述的一些高風險和常見漏洞,例如 OWASP 前 10 名。考慮將此規則群組用於任何 AWS WAF 使用案例。

此受管規則群組會將標籤新增至其評估的 Web 請求,這些請求可供 Web ACL 中在此規則群組之後執行的規則使用。 AWS WAF 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊,請參閱 Web 請求標籤標籤指標和維度

規則名稱 描述和標籤
NoUserAgent_HEADER

檢查是否有缺少 HTTP User-Agent標頭的請求。

規則動作:Block

標籤: awswaf:managed:aws:core-rule-set:NoUserAgent_Header
UserAgent_BadBots_HEADER

檢查指出請求是錯誤機器人的常見User-Agent標頭值。範例模式包括 nessusnmap。如需機器人管理,另請參閱 AWS WAF Bot Control 規則群組

規則動作:Block

標籤: awswaf:managed:aws:core-rule-set:BadBots_Header
SizeRestrictions_QUERYSTRING

檢查是否有超過 2,048 個位元組的 URI 查詢字串。

規則動作:Block

標籤: awswaf:managed:aws:core-rule-set:SizeRestrictions_QueryString
SizeRestrictions_Cookie_HEADER

檢查超過 10,240 個位元組的 Cookie 標頭。

規則動作:Block

標籤: awswaf:managed:aws:core-rule-set:SizeRestrictions_Cookie_Header
SizeRestrictions_BODY

檢查請求主體是否超過 8 KB (8,192 位元組)。

規則動作:Block

標籤: awswaf:managed:aws:core-rule-set:SizeRestrictions_Body
SizeRestrictions_URIPATH

檢查是否有超過 1,024 個位元組的 URI 路徑。

規則動作:Block

標籤: awswaf:managed:aws:core-rule-set:SizeRestrictions_URIPath
EC2MetaDataSSRF_BODY

檢查是否有嘗試從請求內文竊取 Amazon EC2 中繼資料。

警告

此規則只會檢查請求內文,直到 Web ACL 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync,限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,預設限制為 16 KB,您可以在 Web ACL 組態中將限制增加到 64 KB。此規則使用 Continue選項來處理超大內容。如需詳細資訊,請參閱中的超大 Web 請求元件 AWS WAF

規則動作:Block

標籤: awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Body
EC2MetaDataSSRF_COOKIE

檢查 是否嘗試從請求 Cookie 竊取 Amazon EC2 中繼資料。

規則動作:Block

標籤: awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Cookie
EC2MetaDataSSRF_URIPATH

檢查 是否嘗試從請求 URI 路徑竊取 Amazon EC2 中繼資料。

規則動作:Block

標籤: awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_URIPath
EC2MetaDataSSRF_QUERYARGUMENTS

檢查是否有嘗試從請求查詢引數中竊取 Amazon EC2 中繼資料。

規則動作:Block

標籤: awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_QueryArguments
GenericLFI_QUERYARGUMENTS

檢查查詢引數中是否存在本機檔案包含 (LFI) 漏洞。範例包括使用 ../../ 之類技術的路徑遍訪嘗試。

規則動作:Block

標籤: awswaf:managed:aws:core-rule-set:GenericLFI_QueryArguments
GenericLFI_URIPATH

檢查 URI 路徑中是否存在本機檔案包含 (LFI) 漏洞。範例包括使用 ../../ 之類技術的路徑遍訪嘗試。

規則動作:Block

標籤: awswaf:managed:aws:core-rule-set:GenericLFI_URIPath
GenericLFI_BODY

檢查要求主體中是否存在本機檔案包含 (LFI) 漏洞。範例包括使用 ../../ 之類技術的路徑遍訪嘗試。

警告

此規則只會檢查請求內文,直到 Web ACL 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync,限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,預設限制為 16 KB,您可以在 Web ACL 組態中將限制增加到 64 KB。此規則使用 Continue選項來處理超大內容。如需詳細資訊,請參閱中的超大 Web 請求元件 AWS WAF

規則動作:Block

標籤: awswaf:managed:aws:core-rule-set:GenericLFI_Body
RestrictedExtensions_URIPATH

檢查 URI 路徑是否包含不安全讀取或執行之系統副檔名的請求。範例模式包括 .log.ini 之類的副檔名。

規則動作:Block

標籤: awswaf:managed:aws:core-rule-set:RestrictedExtensions_URIPath
RestrictedExtensions_QUERYARGUMENTS

檢查查詢引數是否包含不安全讀取或執行之系統副檔名的請求。範例模式包括 .log.ini 之類的副檔名。

規則動作:Block

標籤: awswaf:managed:aws:core-rule-set:RestrictedExtensions_QueryArguments
GenericRFI_QUERYARGUMENTS

透過嵌入包含 IPv4 地址的 URLs (遠端檔案包含)。範例包括模式,例如 http://https://ftps://ftp://file://,在嘗試入侵時具有 IPv4 主機標頭。

規則動作:Block

標籤: awswaf:managed:aws:core-rule-set:GenericRFI_QueryArguments
GenericRFI_BODY

透過內嵌包含 IPv4 地址URLs,檢查請求內文是否有嘗試在 Web 應用程式中利用 RFI (遠端檔案包含) 的行為。範例包括模式,例如 http://https://ftps://ftp://file://,在嘗試入侵時具有 IPv4 主機標頭。

警告

此規則只會檢查請求內文,直到 Web ACL 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync,限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,預設限制為 16 KB,您可以在 Web ACL 組態中將限制增加到 64 KB。此規則使用 Continue選項來處理超大內容。如需詳細資訊,請參閱中的超大 Web 請求元件 AWS WAF

規則動作:Block

標籤: awswaf:managed:aws:core-rule-set:GenericRFI_Body
GenericRFI_URIPATH

透過內嵌包含 IPv4 地址URLs,檢查 URI 路徑是否有嘗試在 Web 應用程式中利用 RFI (遠端檔案包含) 的嘗試。範例包括模式,例如 http://https://ftps://ftp://file://,在嘗試入侵時具有 IPv4 主機標頭。

規則動作:Block

標籤: awswaf:managed:aws:core-rule-set:GenericRFI_URIPath
CrossSiteScripting_COOKIE

使用內建 檢查 Cookie 標頭的值是否有常見的跨網站指令碼 (XSS) 模式 AWS WAF 跨網站指令碼攻擊規則陳述式。範例模式包括 <script>alert("hello")</script> 之類的指令碼。

注意

此規則群組的 2.0 版不會填入 AWS WAF 日誌中的規則比對詳細資訊。

規則動作:Block

標籤: awswaf:managed:aws:core-rule-set:CrossSiteScripting_Cookie
CrossSiteScripting_QUERYARGUMENTS

使用內建 檢查查詢引數的值是否有常見的跨網站指令碼 (XSS) 模式 AWS WAF 跨網站指令碼攻擊規則陳述式。範例模式包括 <script>alert("hello")</script> 之類的指令碼。

注意

此規則群組的 2.0 版不會填入 AWS WAF 日誌中的規則比對詳細資訊。

規則動作:Block

標籤: awswaf:managed:aws:core-rule-set:CrossSiteScripting_QueryArguments
CrossSiteScripting_BODY

使用內建 檢查請求內文是否有常見的跨網站指令碼 (XSS) 模式 AWS WAF 跨網站指令碼攻擊規則陳述式。範例模式包括 <script>alert("hello")</script> 之類的指令碼。

注意

此規則群組的 2.0 版不會填入 AWS WAF 日誌中的規則比對詳細資訊。

警告

此規則只會檢查請求內文,直到 Web ACL 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync,限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,預設限制為 16 KB,您可以在 Web ACL 組態中將限制增加到 64 KB。此規則使用 Continue選項來處理超大內容。如需詳細資訊,請參閱中的超大 Web 請求元件 AWS WAF

規則動作:Block

標籤: awswaf:managed:aws:core-rule-set:CrossSiteScripting_Body
CrossSiteScripting_URIPATH

使用內建 檢查 URI 路徑的值,查看是否有常見的跨網站指令碼 (XSS) 模式 AWS WAF 跨網站指令碼攻擊規則陳述式。範例模式包括 <script>alert("hello")</script> 之類的指令碼。

注意

此規則群組的 2.0 版不會填入 AWS WAF 日誌中的規則比對詳細資訊。

規則動作:Block

標籤: awswaf:managed:aws:core-rule-set:CrossSiteScripting_URIPath

管理員保護受管規則群組

VendorName:AWS,Name:AWSManagedRulesAdminProtectionRuleSet,WCU:100

注意

本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更AWS 受管規則變更日誌。如需其他版本的資訊,請使用 API 命令 DescribeManagedRuleGroup

我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的資訊,而不會給予不法份子規避規則所需的資訊。

如果您需要超過此處的詳細資訊,請聯絡 AWS 支援 中心

管理員保護規則群組包含的規則可讓您封鎖對公開的管理頁面的外部存取。如果您執行第三方軟體,或想要降低惡意行為者取得應用程式系統管理存取權的風險,這可能會很有用。

此受管規則群組會將標籤新增至其評估的 Web 請求,這些請求可供 Web ACL 中在此規則群組之後執行的規則使用。 AWS WAF 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊,請參閱 Web 請求標籤標籤指標和維度

規則名稱 描述和標籤
AdminProtection_URIPATH

檢查通常保留用於管理 Web 伺服器或應用程式的 URI 路徑。範例模式包括 sqlmanager

規則動作:Block

標籤: awswaf:managed:aws:admin-protection:AdminProtection_URIPath

已知的錯誤輸入受管規則群組

VendorName:AWS,Name:AWSManagedRulesKnownBadInputsRuleSet,WCU:200

注意

本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更AWS 受管規則變更日誌。如需其他版本的資訊,請使用 API 命令 DescribeManagedRuleGroup

我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的資訊,而不會給予不法份子規避規則所需的資訊。

如果您需要超過此處的詳細資訊,請聯絡 AWS 支援 中心

已知錯誤輸入規則群組包含的規則可封鎖已知無效且與利用或發現的漏洞相關的請求模式。這有助於降低惡意行為者發現易受攻擊應用程式的風險。

此受管規則群組會將標籤新增至其評估的 Web 請求,這些請求可供 Web ACL 中在此規則群組之後執行的規則使用。 AWS WAF 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊,請參閱 Web 請求標籤標籤指標和維度

規則名稱 描述和標籤
JavaDeserializationRCE_HEADER

檢查 HTTP 請求標頭的索引鍵和值是否有表示 Java 還原序列化遠端命令執行 (RCE) 嘗試的模式,例如 Spring Core 和 Cloud Function RCE 漏洞 (CVE-2022-22963、CVE-2022-22965)。範例模式包括 (java.lang.Runtime).getRuntime().exec("whoami")

警告

此規則只會檢查請求標頭的前 8 KB 或前 200 個標頭,以先達到限制為準,並使用 Continue選項來處理超大內容。如需詳細資訊,請參閱中的超大 Web 請求元件 AWS WAF

規則動作:Block

標籤: awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Header
JavaDeserializationRCE_BODY

檢查請求內文是否有表示 Java 還原序列化遠端命令執行 (RCE) 嘗試的模式,例如 Spring Core 和 Cloud Function RCE 漏洞 (CVE-2022-22963、CVE-2022-22965)。範例模式包括 (java.lang.Runtime).getRuntime().exec("whoami")

警告

此規則只會檢查請求內文,直到 Web ACL 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync,限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,預設限制為 16 KB,您可以在 Web ACL 組態中將限制增加到 64 KB。此規則使用 Continue選項來處理超大內容。如需詳細資訊,請參閱中的超大 Web 請求元件 AWS WAF

規則動作:Block

標籤: awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Body
JavaDeserializationRCE_URIPATH

檢查請求 URI 是否有表示 Java 還原序列化遠端命令執行 (RCE) 嘗試的模式,例如 Spring Core 和 Cloud Function RCE 漏洞 (CVE-2022-22963、CVE-2022-22965)。範例模式包括 (java.lang.Runtime).getRuntime().exec("whoami")

規則動作:Block

標籤: awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_URIPath
JavaDeserializationRCE_QUERYSTRING

檢查請求查詢字串是否有表示 Java 還原序列化遠端命令執行 (RCE) 嘗試的模式,例如 Spring Core 和 Cloud Function RCE 漏洞 (CVE-2022-22963、CVE-2022-22965)。範例模式包括 (java.lang.Runtime).getRuntime().exec("whoami")

規則動作:Block

標籤: awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_QueryString
Host_localhost_HEADER

檢查要求中的主機標頭是否有模式指出 localhost。範例模式包括 localhost

規則動作:Block

標籤: awswaf:managed:aws:known-bad-inputs:Host_Localhost_Header
PROPFIND_METHOD

檢查要求中的 HTTP 方法是否有 PROPFIND,這是類似 HEAD 的方法,但有滲透 XML 物件的額外意圖。

規則動作:Block

標籤: awswaf:managed:aws:known-bad-inputs:Propfind_Method
ExploitablePaths_URIPATH

檢查 URI 路徑是否有存取可利用 Web 應用程式路徑的嘗試。範例模式包括 web-inf 之類的路徑。

規則動作:Block

標籤: awswaf:managed:aws:known-bad-inputs:ExploitablePaths_URIPath
Log4JRCE_HEADER

檢查請求標頭的金鑰和值是否有 Log4j 漏洞 (CVE-2021-44228CVE-2021-45046CVE-2021-45105),並防止遠端程式碼執行 (RCE) 嘗試。範例模式包括 ${jndi:ldap://example.com/}

警告

此規則只會檢查請求標頭的前 8 KB 或前 200 個標頭,以先達到限制為準,並使用 Continue選項來處理超大內容。如需詳細資訊,請參閱中的超大 Web 請求元件 AWS WAF

規則動作:Block

標籤: awswaf:managed:aws:known-bad-inputs:Log4JRCE_Header
Log4JRCE_QUERYSTRING

檢查查詢字串是否有 Log4j 漏洞 (CVE-2021-44228CVE-2021-45046CVE-2021-45105),並防止遠端程式碼執行 (RCE) 嘗試。範例模式包括 ${jndi:ldap://example.com/}

規則動作:Block

標籤: awswaf:managed:aws:known-bad-inputs:Log4JRCE_QueryString
Log4JRCE_BODY

檢查內文是否有 Log4j 漏洞 (CVE-2021-44228CVE-2021-45046CVE-2021-45105),並防止遠端程式碼執行 (RCE) 嘗試。範例模式包括 ${jndi:ldap://example.com/}

警告

此規則只會檢查請求內文,直到 Web ACL 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync,限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,預設限制為 16 KB,您可以在 Web ACL 組態中將限制增加到 64 KB。此規則使用 Continue選項來處理超大內容。如需詳細資訊,請參閱中的超大 Web 請求元件 AWS WAF

規則動作:Block

標籤: awswaf:managed:aws:known-bad-inputs:Log4JRCE_Body
Log4JRCE_URIPATH

檢查 URI 路徑是否存在 Log4j 漏洞 (CVE-2021-44228CVE-2021-45046CVE-2021-45105),並防止遠端程式碼執行 (RCE) 嘗試。範例模式包括 ${jndi:ldap://example.com/}

規則動作:Block

標籤: awswaf:managed:aws:known-bad-inputs:Log4JRCE_URIPath