使用案例特定的規則群組 - AWS WAF、 AWS Firewall Manager、和 AWS Shield Advanced
SQL 資料庫Linux 作業系統作業系統Windows 作業系統PHP 應用程式WordPress 應用

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用案例特定的規則群組

使用案例特定的規則群組可為許多不同的 AWS WAF 使用案例提供增量保護。選擇套用至應用程式的規則群組。

注意

我們針對 AWS Managed Rules 規則群組中的規則發佈的資訊旨在為您提供足夠的資訊來使用規則,同時不提供不良行為者可用來規避規則的資訊。如果您需要的資訊超過本文件中所找到的資訊,請聯絡本中AWS Support 心

SQL 資料庫管理的規則群組

VendorName:AWS, 名稱:AWSManagedRulesSQLiRuleSet, 中央大學:200

SQL 資料庫規則群組包含的規則,可封鎖與 SQL 資料庫利用相關的請求模式,例如 SQL Injection 攻擊。這有助於防止未經授權查詢的遠端注入。如果您的應用程式會與 SQL 資料庫互動,請評估此規則群組以供使用。

此受管規則群組會將標籤新增至其評估的 Web 要求,這些要求適用於在 Web ACL 中此規則群組之後執行的規則。 AWS WAF 還將標籤記錄到 Amazon CloudWatch 指標。如需有關標籤和標籤量度的一般資訊,請參閱網頁要求上的標籤標示量度和維度

注意

此表格說明此規則群組的最新靜態版本。對於其他版本,請使用 API 命令DescribeManagedRuleGroup

規則名稱 說明和標籤
SQLi_QUERYARGUMENTS

使用內建 AWS WAF SQL Injection 攻擊規則陳述式的敏感度層級設定為Low,檢查所有查詢參數的值是否符合惡意 SQL 程式碼的模式。

規則動作:Block

標籤:awswaf:managed:aws:sql-database:SQLi_QueryArguments
SQLiExtendedPatterns_QUERYARGUMENTS

檢查所有查詢參數的值是否有符合惡意 SQL 程式碼的模式。規則不涵蓋此規則檢查的模式。SQLi_QUERYARGUMENTS

規則動作:Block

標籤:awswaf:managed:aws:sql-database:SQLiExtendedPatterns_QueryArguments
SQLi_BODY

使用內建 AWS WAF SQL Injection 攻擊規則陳述式的敏感度層級設為Low,檢查要求主體是否符合惡意 SQL 程式碼的模式。

警告

此規則只會檢查要求主體,最多可達到 Web ACL 和資源類型的主體大小限制。對於 Application Load Balancer AWS AppSync,限制固定為 8 KB。對於 CloudFront API Gateway、Amazon Cognito、應用程式執行器和驗證存取,預設限制為 16 KB,您可以在 Web ACL 組態中將限制增加到 64 KB。此規則會使用超大內容處理Continue選項。如需詳細資訊,請參閱 處理超大請求組件 AWS WAF

規則動作:Block

標籤:awswaf:managed:aws:sql-database:SQLi_Body
SQLiExtendedPatterns_BODY

檢查要求主體是否有符合惡意 SQL 程式碼的模式。規則不涵蓋此規則檢查的模式。SQLi_BODY

警告

此規則只會檢查要求主體,最多可達到 Web ACL 和資源類型的主體大小限制。對於 Application Load Balancer AWS AppSync,限制固定為 8 KB。對於 CloudFront API Gateway、Amazon Cognito、應用程式執行器和驗證存取,預設限制為 16 KB,您可以在 Web ACL 組態中將限制增加到 64 KB。此規則會使用超大內容處理Continue選項。如需詳細資訊,請參閱 處理超大請求組件 AWS WAF

規則動作:Block

標籤:awswaf:managed:aws:sql-database:SQLiExtendedPatterns_Body
SQLi_COOKIE

使用內建 AWS WAF SQL Injection 攻擊規則陳述式的敏感度層級設為Low,檢查要求 Cookie 標頭是否符合惡意 SQL 程式碼的病毒碼。

規則動作:Block

標籤:awswaf:managed:aws:sql-database:SQLi_Cookie

Linux 作業系統管理規則群組

VendorName:AWS, 名稱:AWSManagedRulesLinuxRuleSet, 中央大學:200

Linux 作業系統規則群組包含的規則會封鎖與利用 Linux 特定漏洞攻擊相關的請求模式,包括 Linux 特定本機檔案包含 (LFI) 攻擊。這有助於防止攻擊暴露檔案內容,或執行攻擊者不應具有存取權限的程式碼。如果應用程式的任何部分在 Linux 上執行,則應該評估此規則群組。您應該使用此規則群組結合 作業系統 規則群組。

此受管規則群組會將標籤新增至其評估的 Web 要求,這些要求適用於在 Web ACL 中此規則群組之後執行的規則。 AWS WAF 還將標籤記錄到 Amazon CloudWatch 指標。如需有關標籤和標籤量度的一般資訊,請參閱網頁要求上的標籤標示量度和維度

注意

此表格說明此規則群組的最新靜態版本。對於其他版本,請使用 API 命令DescribeManagedRuleGroup

規則名稱 說明和標籤
LFI_URIPATH

檢查要求路徑是否有入侵 Web 應用程式中的本機檔案包含 (LFI) 弱點的嘗試。範例模式包括 /proc/version 之類的檔案,其可以對攻擊者提供作業系統訊息。

規則動作:Block

標籤:awswaf:managed:aws:linux-os:LFI_URIPath
LFI_QUERYSTRING

檢查查詢字串的值是否嘗試惡意利用 Web 應用程式中的本機檔案包含 (LFI) 弱點。範例模式包括 /proc/version 之類的檔案,其可以對攻擊者提供作業系統訊息。

規則動作:Block

標籤:awswaf:managed:aws:linux-os:LFI_QueryString
LFI_HEADER

檢查要求標頭是否嘗試惡意利用 Web 應用程式中的本機檔案包含 (LFI) 弱點。範例模式包括 /proc/version 之類的檔案,其可以對攻擊者提供作業系統訊息。

警告

此規則只會檢查要求標頭的前 8 KB 或前 200 個標頭 (以先達到限制為準),並使用Continue選項處理超大內容。如需詳細資訊,請參閱 處理超大請求組件 AWS WAF

規則動作:Block

標籤:awswaf:managed:aws:linux-os:LFI_Header

POSIX 作業系統受管規則群組

VendorName:AWS, 名稱:AWSManagedRulesUnixRuleSet, 中央大學:100

POSIX 作業系統規則群組包含的規則會封鎖與利用 POSIX 和類似 POSIX 作業系統特定漏洞相關的請求模式,包括本機檔案包含 (LFI) 攻擊。這有助於防止攻擊暴露檔案內容,或執行攻擊者不應具有存取權限的程式碼。如果應用程式的任何部分在類似 POSIX 或類似 POSIX 的作業系統,包括 Linux、AIX、HP-UX、macOS、Solaris、FreeBSD 和 OpenBSD 上執行,則應該評估此規則群組。

此受管規則群組會將標籤新增至其評估的 Web 要求,這些要求適用於在 Web ACL 中此規則群組之後執行的規則。 AWS WAF 還將標籤記錄到 Amazon CloudWatch 指標。如需有關標籤和標籤量度的一般資訊,請參閱網頁要求上的標籤標示量度和維度

注意

此表格說明此規則群組的最新靜態版本。對於其他版本,請使用 API 命令DescribeManagedRuleGroup

規則名稱 說明和標籤
UNIXShellCommandsVariables_QUERYSTRING

檢查查詢字串的值是否嘗試利用 Unix 系統上執行的 Web 應用程式中的命令插入、LFI 和路徑遊走弱點。範例包括 echo $HOMEecho $PATH 之類的模式。

規則動作:Block

標籤:awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_QueryString
UNIXShellCommandsVariables_BODY

檢查要求主體是否有入侵在 Unix 系統上執行之 Web 應用程式中的命令注入、LFI 和路徑遍訪弱點的嘗試。範例包括 echo $HOMEecho $PATH 之類的模式。

警告

此規則只會檢查要求主體,最多可達到 Web ACL 和資源類型的主體大小限制。對於 Application Load Balancer AWS AppSync,限制固定為 8 KB。對於 CloudFront API Gateway、Amazon Cognito、應用程式執行器和驗證存取,預設限制為 16 KB,您可以在 Web ACL 組態中將限制增加到 64 KB。此規則會使用超大內容處理Continue選項。如需詳細資訊,請參閱 處理超大請求組件 AWS WAF

規則動作:Block

標籤:awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_Body
UNIXShellCommandsVariables_HEADER

檢查所有請求標頭是否嘗試利用在 Unix 系統上運行的 Web 應用程序中的命令注入,LFI 和路徑遍歷漏洞。範例包括 echo $HOMEecho $PATH 之類的模式。

警告

此規則只會檢查要求標頭的前 8 KB 或前 200 個標頭 (以先達到限制為準),並使用Continue選項處理超大內容。如需詳細資訊,請參閱 處理超大請求組件 AWS WAF

規則動作:Block

標籤:awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_Header

Windows 作業系統受管理規則群組

VendorName:AWS, 名稱:AWSManagedRulesWindowsRuleSet, 中央大學:200

Windows 作業系統規則群組包含的規則會封鎖與 Windows 特定弱點 (例如遠端執行 PowerShell 命令) 相關聯的要求模式。這有助於防止惡意利用漏洞,這些漏洞允許攻擊者執行未經授權的命令或執行惡意程式碼。如果應用程式的任何部分在 Windows 作業系統上執行,請評估此規則群組。

此受管規則群組會將標籤新增至其評估的 Web 要求,這些要求適用於在 Web ACL 中此規則群組之後執行的規則。 AWS WAF 還將標籤記錄到 Amazon CloudWatch 指標。如需有關標籤和標籤量度的一般資訊,請參閱網頁要求上的標籤標示量度和維度

注意

此表格說明此規則群組的最新靜態版本。對於其他版本,請使用 API 命令DescribeManagedRuleGroup

規則名稱 說明和標籤
WindowsShellCommands_COOKIE

檢查 Web 應用程序中的 WindowsShell 命令注入嘗試的請求 cookie 標頭。符合樣式代表WindowsShell 指令。範例模式包括||nslookup;cmd

規則動作:Block

標籤:awswaf:managed:aws:windows-os:WindowsShellCommands_Cookie
WindowsShellCommands_QUERYARGUMENTS

檢查 Web 應用程式中WindowsShell 指令插入嘗試的所有查詢參數值。符合樣式代表WindowsShell 指令。範例模式包括||nslookup;cmd

規則動作:Block

標籤:awswaf:managed:aws:windows-os:WindowsShellCommands_QueryArguments
WindowsShellCommands_BODY

檢查 Web 應用程序中的 WindowsShell 命令注入嘗試的請求主體。符合樣式代表 WindowsShell 指令。範例模式包括||nslookup;cmd

警告

此規則只會檢查要求主體,最多可達到 Web ACL 和資源類型的主體大小限制。對於 Application Load Balancer AWS AppSync,限制固定為 8 KB。對於 CloudFront API Gateway、Amazon Cognito、應用程式執行器和驗證存取,預設限制為 16 KB,您可以在 Web ACL 組態中將限制增加到 64 KB。此規則會使用超大內容處理Continue選項。如需詳細資訊,請參閱 處理超大請求組件 AWS WAF

規則動作:Block

標籤:awswaf:managed:aws:windows-os:WindowsShellCommands_Body
PowerShellCommands_COOKIE

檢查 Web 應用程序中的 PowerShell 命令注入嘗試的請求 cookie 標頭。符合樣式代表PowerShell 指令。例如 Invoke-Expression

規則動作:Block

標籤:awswaf:managed:aws:windows-os:PowerShellCommands_Cookie
PowerShellCommands_QUERYARGUMENTS

檢查 Web 應用程式中PowerShell 指令插入嘗試的所有查詢參數值。符合樣式代表PowerShell 指令。例如 Invoke-Expression

規則動作:Block

標籤:awswaf:managed:aws:windows-os:PowerShellCommands_QueryArguments
PowerShellCommands_BODY

檢查 Web 應用程序中的 PowerShell 命令注入嘗試的請求主體。符合樣式代表 PowerShell 指令。例如 Invoke-Expression

警告

此規則只會檢查要求主體,最多可達到 Web ACL 和資源類型的主體大小限制。對於 Application Load Balancer AWS AppSync,限制固定為 8 KB。對於 CloudFront API Gateway、Amazon Cognito、應用程式執行器和驗證存取,預設限制為 16 KB,您可以在 Web ACL 組態中將限制增加到 64 KB。此規則會使用超大內容處理Continue選項。如需詳細資訊,請參閱 處理超大請求組件 AWS WAF

規則動作:Block

標籤:awswaf:managed:aws:windows-os:PowerShellCommands_Body

PHP 應用程式管理規則群組

VendorName:AWS, 名稱:AWSManagedRulesPHPRuleSet, 中央大學:100

PHP 應用程式規則群組包含的規則會封鎖與利用 PHP 程式設計語言特定漏洞相關的請求模式,包括注入不安全的 PHP 函數。這有助於防止惡意利用弱點,這些弱點允許攻擊者從遠端執行未獲授權的程式碼或命令。如果您的應用程式與其互動的任何伺服器上安裝 PHP,請評估此規則群組。

此受管規則群組會將標籤新增至其評估的 Web 要求,這些要求適用於在 Web ACL 中此規則群組之後執行的規則。 AWS WAF 還將標籤記錄到 Amazon CloudWatch 指標。如需有關標籤和標籤量度的一般資訊,請參閱網頁要求上的標籤標示量度和維度

注意

此表格說明此規則群組的最新靜態版本。對於其他版本,請使用 API 命令DescribeManagedRuleGroup

規則名稱 說明和標籤
PHPHighRiskMethodsVariables_HEADER

檢查 PHP 腳本代碼注入嘗試的所有頭文件。範例模式包括 fsockopen 之類的函數和 $_GET 超全域變數。

警告

此規則只會檢查要求標頭的前 8 KB 或前 200 個標頭 (以先達到限制為準),並使用Continue選項處理超大內容。如需詳細資訊,請參閱 處理超大請求組件 AWS WAF

規則動作:Block

標籤:awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Header
PHPHighRiskMethodsVariables_QUERYSTRING

檢查請求 URL 中的第一個?之後的所有內容,尋找 PHP 腳本代碼注入嘗試。範例模式包括 fsockopen 之類的函數和 $_GET 超全域變數。

規則動作:Block

標籤:awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_QueryString
PHPHighRiskMethodsVariables_BODY

檢查要求主體是否有 PHP 指令碼程式碼注入嘗試。範例模式包括 fsockopen 之類的函數和 $_GET 超全域變數。

警告

此規則只會檢查要求主體,最多可達到 Web ACL 和資源類型的主體大小限制。對於 Application Load Balancer AWS AppSync,限制固定為 8 KB。對於 CloudFront API Gateway、Amazon Cognito、應用程式執行器和驗證存取,預設限制為 16 KB,您可以在 Web ACL 組態中將限制增加到 64 KB。此規則會使用超大內容處理Continue選項。如需詳細資訊,請參閱 處理超大請求組件 AWS WAF

規則動作:Block

標籤:awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Body

WordPress 應用程式管理規則群

VendorName:AWS, 名稱:AWSManagedRulesWordPressRuleSet, 中央大學:100

WordPress 應用程式規則群組包含的規則會封鎖與惡意利用網站特定弱WordPress 點相關聯的要求模式。如果您正在執行,則應評估此規則群組WordPress。此規則群組應結合 SQL 資料庫PHP 應用程式 規則群組使用。

此受管規則群組會將標籤新增至其評估的 Web 要求,這些要求適用於在 Web ACL 中此規則群組之後執行的規則。 AWS WAF 還將標籤記錄到 Amazon CloudWatch 指標。如需有關標籤和標籤量度的一般資訊,請參閱網頁要求上的標籤標示量度和維度

注意

此表格說明此規則群組的最新靜態版本。對於其他版本,請使用 API 命令DescribeManagedRuleGroup

規則名稱 說明和標籤
WordPressExploitableCommands_QUERYSTRING

檢查請求查詢字串是否有可能在易受攻擊的安裝或外掛程式中利用的高風險WordPress 命令。範例模式包括 do-reset-wordpress 之類的命令。

規則動作:Block

標籤:awswaf:managed:aws:wordpress-app:WordPressExploitableCommands_QUERYSTRING
WordPressExploitablePaths_URIPATH

檢查請求 URI 路徑中的 WordPress 文件xmlrpc.php,例如,這些文件已知具有易於利用的漏洞。

規則動作:Block

標籤:awswaf:managed:aws:wordpress-app:WordPressExploitablePaths_URIPATH