本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
基準規則群組
基準管理的規則群組可針對各種常見威脅提供一般防護。選擇這些規則群組中的一或多個,以建立資源的基準保護。
注意
我們針對 AWS Managed Rules 規則群組中的規則發佈的資訊旨在為您提供足夠的資訊來使用規則,同時不提供不良行為者可用來規避規則的資訊。如果您需要的資訊超過本文件中所找到的資訊,請聯絡本中AWS Support 心
核心規則集 (CRS) 受管規則群組
VendorName:AWS, 名稱:AWSManagedRulesCommonRuleSet, 中央大學:700
核心規則集 (CRS) 規則群組包含通常適用於 Web 應用程式的規則。這提供了防止利用各種漏洞的保護,包括 OWASP 出版物中描述的一些高風險和常見漏洞,例如 O
此受管規則群組會將標籤新增至其評估的 Web 要求,這些要求適用於在 Web ACL 中此規則群組之後執行的規則。 AWS WAF 還將標籤記錄到 Amazon CloudWatch 指標。如需有關標籤和標籤量度的一般資訊,請參閱網頁要求上的標籤和標示量度和維度。
注意
此表格說明此規則群組的最新靜態版本。對於其他版本,請使用 API 命令DescribeManagedRuleGroup。
| 規則名稱 | 說明和標籤 |
|---|---|
NoUserAgent_HEADER |
檢查是否有遺漏 HTTP 規則動作:Block 標籤: |
UserAgent_BadBots_HEADER |
檢查是否有常見的 規則動作:Block 標籤: |
SizeRestrictions_QUERYSTRING |
檢查超過 2,048 個位元組的 URI 查詢字串。 規則動作:Block 標籤: |
SizeRestrictions_Cookie_HEADER |
檢查是否有超過 10,240 個位元組的 Cookie 標頭。 規則動作:Block 標籤: |
SizeRestrictions_BODY |
檢查超過 8 KB (8,192 位元組) 的要求主體。 規則動作:Block 標籤: |
SizeRestrictions_URIPATH |
檢查超過 1,024 個位元組的 URI 路徑。 規則動作:Block 標籤: |
EC2MetaDataSSRF_BODY |
檢查是否嘗試從請求主體洩漏 Amazon EC2 中繼資料。 警告此規則只會檢查要求主體,最多可達到 Web ACL 和資源類型的主體大小限制。對於 Application Load Balancer AWS AppSync,限制固定為 8 KB。對於 CloudFront API Gateway、Amazon Cognito、應用程式執行器和驗證存取,預設限制為 16 KB,您可以在 Web ACL 組態中將限制增加到 64 KB。此規則會使用超大內容處理 規則動作:Block 標籤: |
EC2MetaDataSSRF_COOKIE |
檢查是否嘗試從請求 Cookie 洩漏 Amazon EC2 中繼資料。 規則動作:Block 標籤: |
EC2MetaDataSSRF_URIPATH |
檢查是否嘗試從請求 URI 路徑洩漏 Amazon EC2 中繼資料。 規則動作:Block 標籤: |
EC2MetaDataSSRF_QUERYARGUMENTS |
檢查是否嘗試從請求查詢引數洩漏 Amazon EC2 中繼資料。 規則動作:Block 標籤: |
GenericLFI_QUERYARGUMENTS |
檢查查詢引數中是否存在本機檔案包含 (LFI) 漏洞。範例包括使用 規則動作:Block 標籤: |
GenericLFI_URIPATH |
檢查 URI 路徑中是否存在本機檔案包含 (LFI) 漏洞。範例包括使用 規則動作:Block 標籤: |
GenericLFI_BODY |
檢查要求主體中是否存在本機檔案包含 (LFI) 漏洞。範例包括使用 警告此規則只會檢查要求主體,最多可達到 Web ACL 和資源類型的主體大小限制。對於 Application Load Balancer AWS AppSync,限制固定為 8 KB。對於 CloudFront API Gateway、Amazon Cognito、應用程式執行器和驗證存取,預設限制為 16 KB,您可以在 Web ACL 組態中將限制增加到 64 KB。此規則會使用超大內容處理 規則動作:Block 標籤: |
RestrictedExtensions_URIPATH |
檢查 URI 路徑包含不安全讀取或執行的系統檔案副檔名的要求。範例模式包括 規則動作:Block 標籤: |
RestrictedExtensions_QUERYARGUMENTS |
檢查查詢引數包含不安全讀取或執行的系統副檔名的要求。範例模式包括 規則動作:Block 標籤: |
GenericRFI_QUERYARGUMENTS |
透過內嵌包含 IPv4 位址的 URL,檢查所有查詢參數的值是否嘗試在 Web 應用程式中利用 RFI (遠端檔案包含)。範例包括惡意利用嘗試中具有 IPv4 主機標頭的模式 規則動作:Block 標籤: |
GenericRFI_BODY |
透過內嵌包含 IPv4 位址的 URL,檢查要求內文是否嘗試在 Web 應用程式中利用 RFI (遠端檔案包含)。範例包括惡意利用嘗試中具有 IPv4 主機標頭的模式 警告此規則只會檢查要求主體,最多可達到 Web ACL 和資源類型的主體大小限制。對於 Application Load Balancer AWS AppSync,限制固定為 8 KB。對於 CloudFront API Gateway、Amazon Cognito、應用程式執行器和驗證存取,預設限制為 16 KB,您可以在 Web ACL 組態中將限制增加到 64 KB。此規則會使用超大內容處理 規則動作:Block 標籤: |
GenericRFI_URIPATH |
透過內嵌包含 IPv4 位址的 URL,檢查 URI 路徑是否嘗試在 Web 應用程式中利用 RFI (遠端檔案包含)。範例包括惡意利用嘗試中具有 IPv4 主機標頭的模式 規則動作:Block 標籤: |
CrossSiteScripting_COOKIE |
使用內建功能檢查 Cookie 標頭的值是否有常見的跨網站指令碼 (XSS) 模式。 AWS WAF 跨網站指令碼攻擊規則陳述式範例模式包括 注意此規則群組的 2.0 版不會填入 AWS WAF 記錄檔中的規則符合詳細資料。 規則動作:Block 標籤: |
CrossSiteScripting_QUERYARGUMENTS |
檢查查詢引數的值是否有使用內建的常見跨網站指令碼 (XSS) 模式。 AWS WAF 跨網站指令碼攻擊規則陳述式範例模式包括 注意此規則群組的 2.0 版不會填入 AWS WAF 記錄檔中的規則符合詳細資料。 規則動作:Block 標籤: |
CrossSiteScripting_BODY |
使用內建的檢查要求主體是否有常見的跨網站指令碼 (XSS) 模式。 AWS WAF 跨網站指令碼攻擊規則陳述式範例模式包括 注意此規則群組的 2.0 版不會填入 AWS WAF 記錄檔中的規則符合詳細資料。 警告此規則只會檢查要求主體,最多可達到 Web ACL 和資源類型的主體大小限制。對於 Application Load Balancer AWS AppSync,限制固定為 8 KB。對於 CloudFront API Gateway、Amazon Cognito、應用程式執行器和驗證存取,預設限制為 16 KB,您可以在 Web ACL 組態中將限制增加到 64 KB。此規則會使用超大內容處理 規則動作:Block 標籤: |
CrossSiteScripting_URIPATH |
檢查 URI 路徑的值是否有使用內建的常見跨網站指令碼 (XSS) 模式。 AWS WAF 跨網站指令碼攻擊規則陳述式範例模式包括 注意此規則群組的 2.0 版不會填入 AWS WAF 記錄檔中的規則符合詳細資料。 規則動作:Block 標籤: |
管理員保護受管規則群組
VendorName:AWS, 名稱:AWSManagedRulesAdminProtectionRuleSet, 中央大學:100
管理員保護規則群組包含的規則可讓您封鎖對公開的管理頁面的外部存取。如果您執行第三方軟體,或想要降低惡意行為者取得應用程式系統管理存取權的風險,這可能會很有用。
此受管規則群組會將標籤新增至其評估的 Web 要求,這些要求適用於在 Web ACL 中此規則群組之後執行的規則。 AWS WAF 還將標籤記錄到 Amazon CloudWatch 指標。如需有關標籤和標籤量度的一般資訊,請參閱網頁要求上的標籤和標示量度和維度。
注意
此表格說明此規則群組的最新靜態版本。對於其他版本,請使用 API 命令DescribeManagedRuleGroup。
| 規則名稱 | 說明和標籤 |
|---|---|
AdminProtection_URIPATH |
檢查通常保留用於管理 Web 伺服器或應用程式的 URI 路徑。範例模式包括 規則動作:Block 標籤: |
已知錯誤輸入受管規則群組
VendorName:AWS, 名稱:AWSManagedRulesKnownBadInputsRuleSet, 中央大學:200
已知錯誤輸入規則群組包含的規則可封鎖已知無效且與利用或發現的漏洞相關的請求模式。這有助於降低惡意行為者發現易受攻擊應用程式的風險。
此受管規則群組會將標籤新增至其評估的 Web 要求,這些要求適用於在 Web ACL 中此規則群組之後執行的規則。 AWS WAF 還將標籤記錄到 Amazon CloudWatch 指標。如需有關標籤和標籤量度的一般資訊,請參閱網頁要求上的標籤和標示量度和維度。
注意
此表格說明此規則群組的最新靜態版本。對於其他版本,請使用 API 命令DescribeManagedRuleGroup。
| 規則名稱 | 說明和標籤 |
|---|---|
JavaDeserializationRCE_HEADER |
檢查 HTTP 請求標頭的鍵和值是否有指示 Java 還原序列化遠程命令執行(RCE)嘗試的模式,例如彈簧核心和雲功能 RCE 漏洞(CVE-2022-22963,CVE-2022-22965)。範例模式包括 警告此規則只會檢查要求標頭的前 8 KB 或前 200 個標頭 (以先達到限制為準),並使用 規則動作:Block 標籤: |
JavaDeserializationRCE_BODY |
檢查請求主體是否有指示 Java 還原序列化遠程命令執行(RCE)嘗試的模式,例如彈簧核心和雲功能 RCE 漏洞(CVE-2022-22963,CVE-2022-22965)。範例模式包括 警告此規則只會檢查要求主體,最多可達到 Web ACL 和資源類型的主體大小限制。對於 Application Load Balancer AWS AppSync,限制固定為 8 KB。對於 CloudFront API Gateway、Amazon Cognito、應用程式執行器和驗證存取,預設限制為 16 KB,您可以在 Web ACL 組態中將限制增加到 64 KB。此規則會使用超大內容處理 規則動作:Block 標籤: |
JavaDeserializationRCE_URIPATH |
檢查請求 URI 中是否有指示 Java 還原序列化遠程命令執行(RCE)嘗試的模式,例如彈簧核心和雲功能 RCE 漏洞(CVE-2022-22963,CVE-2022-22965)。範例模式包括 規則動作:Block 標籤: |
JavaDeserializationRCE_QUERYSTRING |
檢查請求查詢字串中是否有指示 Java 還原序列化遠端命令執行 (RCE) 嘗試的模式,例如彈簧核心和雲端功能 RCE 弱點 (CVE-2022-22963, CVE-2022-22965)。範例模式包括 規則動作:Block 標籤: |
Host_localhost_HEADER |
檢查要求中的主機標頭是否有模式指出 localhost。範例模式包括 規則動作:Block 標籤: |
PROPFIND_METHOD |
檢查要求中的 HTTP 方法是否有 規則動作:Block 標籤: |
ExploitablePaths_URIPATH |
檢查 URI 路徑是否有存取可利用 Web 應用程式路徑的嘗試。範例模式包括 規則動作:Block 標籤: |
Log4JRCE_HEADER |
檢查要求標頭的索引鍵和值是否存在 Log4j 弱點 (CVE-2021-44228 警告此規則只會檢查要求標頭的前 8 KB 或前 200 個標頭 (以先達到限制為準),並使用 規則動作:Block 標籤: |
Log4JRCE_QUERYSTRING |
檢查查詢字串是否存在 Log4j 弱點 (CVE-2021-44228 規則動作:Block 標籤: |
Log4JRCE_BODY |
檢查主體是否存在 Log4j 弱點 (CVE-2021-44228 警告此規則只會檢查要求主體,最多可達到 Web ACL 和資源類型的主體大小限制。對於 Application Load Balancer AWS AppSync,限制固定為 8 KB。對於 CloudFront API Gateway、Amazon Cognito、應用程式執行器和驗證存取,預設限制為 16 KB,您可以在 Web ACL 組態中將限制增加到 64 KB。此規則會使用超大內容處理 規則動作:Block 標籤: |
Log4JRCE_URIPATH |
檢查 URI 路徑是否存在邏輯漏洞(CVE-2021-44228 規則動作:Block 標籤: |
