基准规则组 - Amazon WAFAmazon Firewall Manager、和 Amazon Shield Advanced
核心规则集 (CRS)管理保护已知错误输入
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

基准规则组

基准托管规则组可针对多种常见威胁提供一般保护。请选择以下一个或多个规则组以便为您的资源建立基准保护。

注意

我们为 Amazon 托管规则组中的规则发布的信息旨在为您提供使用规则所需的足够信息,同时不提供不良行为者可能用来规避规则的信息。如果您需要本文档以外的信息,请联系 Amazon Web Services Support 中心

核心规则集 (CRS) 托管规则组

VendorName:AWS,名称:AWSManagedRulesCommonRuleSet,WCU:700

核心规则集 (CRS) 规则组包含通常适用于 Web 应用程序的规则。该规则组有助于防止利用各种漏洞,包括 OWASP 出版物(如 OWASP Top 10)中描述的一些高风险和经常发生的漏洞。考虑将此规则组用于任何 Amazon WAF 用例。

此托管规则组会为其评估的 Web 请求添加标签,这些标签可用于在 Web ACL 中在此规则组之后运行的规则。 Amazon WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息,请参阅 Web 请求上的标签标签指标和维度

注意

下表描述了该规则组的最新静态版本。对于其他版本,请使用 API 命令DescribeManagedRuleGroup

Rule name(规则名称) 描述和标签
NoUserAgent_HEADER

检查是否存在缺少 HTTP User-Agent 标头的请求。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:NoUserAgent_Header
UserAgent_BadBots_HEADER

检查是否存在表明请求是恶意机器人的常见 User-Agent 标头值。示例模式包括 nessusnmap。有关机器人管理的信息,另请参阅 Amazon WAF 机器人控制规则组

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:BadBots_Header
SizeRestrictions_QUERYSTRING

检查是否存在超过 2,048 字节的 URI 查询字符串。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:SizeRestrictions_QueryString
SizeRestrictions_Cookie_HEADER

检查是否存在超过 10,240 字节的 Cookie 标头。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:SizeRestrictions_Cookie_Header
SizeRestrictions_BODY

检查是否存在超过 8 KB(8,192 字节)的请求正文。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:SizeRestrictions_Body
SizeRestrictions_URIPATH

检查 URI 路径是否超过 1024 字节。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:SizeRestrictions_URIPath
EC2MetaDataSSRF_BODY

检查是否存在恶意方试图从请求正文中泄漏 Amazon EC2 元数据。

警告

此规则仅检查请求正文,但不得超过 Web ACL 和资源类型的正文大小限制。对于 Application Load Balancer 和 Amazon AppSync,限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和已验证访问权限,默认限制为 16 KB,您可以在网页 ACL 配置中将限制提高到 64 KB。此规则使用 Continue 选项来处理超大内容。有关更多信息,请参阅 在中处理超大的 Web 请求组件 Amazon WAF

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Body
EC2MetaDataSSRF_COOKIE

检查是否存在恶意方试图从请求 Cookie 中泄漏 Amazon EC2 元数据。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Cookie
EC2MetaDataSSRF_URIPATH

检查是否存在恶意方试图从请求 URI 路径中泄漏 Amazon EC2 元数据。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_URIPath
EC2MetaDataSSRF_QUERYARGUMENTS

检查是否存在恶意方试图从请求查询参数中泄漏 Amazon EC2 元数据。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_QueryArguments
GenericLFI_QUERYARGUMENTS

检查查询参数中是否存在本地文件包含 (LFI) 攻击。示例包括使用类似于 ../../ 的技术尝试遍历路径。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:GenericLFI_QueryArguments
GenericLFI_URIPATH

检查 URI 路径中是否存在本地文件包含 (LFI) 攻击。示例包括使用类似于 ../../ 的技术尝试遍历路径。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:GenericLFI_URIPath
GenericLFI_BODY

检查请求正文中是否存在本地文件包含 (LFI) 攻击。示例包括使用类似于 ../../ 的技术尝试遍历路径。

警告

此规则仅检查请求正文,但不得超过 Web ACL 和资源类型的正文大小限制。对于 Application Load Balancer 和 Amazon AppSync,限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和已验证访问权限,默认限制为 16 KB,您可以在网页 ACL 配置中将限制提高到 64 KB。此规则使用 Continue 选项来处理超大内容。有关更多信息,请参阅 在中处理超大的 Web 请求组件 Amazon WAF

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:GenericLFI_Body
RestrictedExtensions_URIPATH

检查是否存在 URI 路径中包含无法安全读取或运行的系统文件扩展名的请求。示例模式包括类似于 .log.ini 的扩展名。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:RestrictedExtensions_URIPath
RestrictedExtensions_QUERYARGUMENTS

检查是否存在查询参数中包含无法安全读取或运行的系统文件扩展名的请求。示例模式包括类似于 .log.ini 的扩展名。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:RestrictedExtensions_QueryArguments
GenericRFI_QUERYARGUMENTS

检查所有查询参数的值,以防有人试图通过嵌入包含 IPv4 地址的 URL 在 Web 应用程序中利用 RFI(远程文件包含)。例如,在利用尝试中包含 IPv4 主机标头的 http://https://ftp://ftps://file:// 等模式。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:GenericRFI_QueryArguments
GenericRFI_BODY

检查请求正文中是否有人试图通过嵌入包含 IPv4 地址的 URL 来利用 Web 应用程序中的 RFI(远程文件包含)。例如,在利用尝试中包含 IPv4 主机标头的 http://https://ftp://ftps://file:// 等模式。

警告

此规则仅检查请求正文,但不得超过 Web ACL 和资源类型的正文大小限制。对于 Application Load Balancer 和 Amazon AppSync,限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和已验证访问权限,默认限制为 16 KB,您可以在网页 ACL 配置中将限制提高到 64 KB。此规则使用 Continue 选项来处理超大内容。有关更多信息,请参阅 在中处理超大的 Web 请求组件 Amazon WAF

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:GenericRFI_Body
GenericRFI_URIPATH

检查 URI 路径中是否有人试图通过嵌入包含 IPv4 地址的 URL 来利用 Web 应用程序中的 RFI(远程文件包含)。例如,在利用尝试中包含 IPv4 主机标头的 http://https://ftp://ftps://file:// 等模式。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:GenericRFI_URIPath
CrossSiteScripting_COOKIE

使用内置功能检查 Cookie 标头的值以了解常见的跨站点脚本 (XSS) 模式。 Amazon WAF 跨站点脚本攻击规则语句示例模式包括类似于 <script>alert("hello")</script> 的脚本。

注意

该规则组的 2.0 版本未填充 Amazon WAF 日志中的规则匹配详细信息。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:CrossSiteScripting_Cookie
CrossSiteScripting_QUERYARGUMENTS

使用内置检查常见跨站点脚本 (XSS) 模式的查询参数值。 Amazon WAF 跨站点脚本攻击规则语句示例模式包括类似于 <script>alert("hello")</script> 的脚本。

注意

该规则组的 2.0 版本未填充 Amazon WAF 日志中的规则匹配详细信息。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:CrossSiteScripting_QueryArguments
CrossSiteScripting_BODY

使用内置检查请求正文中常见的跨站脚本 (XSS) 模式。 Amazon WAF 跨站点脚本攻击规则语句示例模式包括类似于 <script>alert("hello")</script> 的脚本。

注意

该规则组的 2.0 版本未填充 Amazon WAF 日志中的规则匹配详细信息。

警告

此规则仅检查请求正文,但不得超过 Web ACL 和资源类型的正文大小限制。对于 Application Load Balancer 和 Amazon AppSync,限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和已验证访问权限,默认限制为 16 KB,您可以在网页 ACL 配置中将限制提高到 64 KB。此规则使用 Continue 选项来处理超大内容。有关更多信息,请参阅 在中处理超大的 Web 请求组件 Amazon WAF

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:CrossSiteScripting_Body
CrossSiteScripting_URIPATH

使用内置检查常见跨站脚本 (XSS) 模式的 URI 路径值。 Amazon WAF 跨站点脚本攻击规则语句示例模式包括类似于 <script>alert("hello")</script> 的脚本。

注意

该规则组的 2.0 版本未填充 Amazon WAF 日志中的规则匹配详细信息。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:CrossSiteScripting_URIPath

管理员保护托管规则组

VendorName:AWS,名称:AWSManagedRulesAdminProtectionRuleSet,WCU:100

管理保护规则组包含允许您阻止对公开的管理页面进行外部访问的规则。如果您运行第三方软件,或者希望降低恶意人员获取您的应用程序的管理访问权限的风险,该规则组可能非常有用。

此托管规则组会为其评估的 Web 请求添加标签,这些标签可用于在 Web ACL 中在此规则组之后运行的规则。 Amazon WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息,请参阅 Web 请求上的标签标签指标和维度

注意

下表描述了该规则组的最新静态版本。对于其他版本,请使用 API 命令DescribeManagedRuleGroup

Rule name(规则名称) 描述和标签
AdminProtection_URIPATH

检查针对通常为管理 Web 服务器或应用程序而保留的 URI 路径。示例模式包括 sqlmanager

规则操作:Block

标签:awswaf:managed:aws:admin-protection:AdminProtection_URIPath

已知错误输入托管规则组

VendorName:AWS,名称:AWSManagedRulesKnownBadInputsRuleSet,WCU:200

已知错误输入规则组包含用于阻止请求模式的规则,这些模式确认无效且与漏洞攻击或发现相关联。这有助于降低恶意人员发现易受攻击的应用程序的风险。

此托管规则组会为其评估的 Web 请求添加标签,这些标签可用于在 Web ACL 中在此规则组之后运行的规则。 Amazon WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息,请参阅 Web 请求上的标签标签指标和维度

注意

下表描述了该规则组的最新静态版本。对于其他版本,请使用 API 命令DescribeManagedRuleGroup

Rule name(规则名称) 描述和标签
JavaDeserializationRCE_HEADER

检查 HTTP 请求标头的键和值,寻找指示 Java 反序列化远程命令执行 (RCE) 尝试的模式,例如 Spring Core 和 Cloud Function RCE 漏洞(CVE-2022-22963、CVE-2022-22965)。示例模式包括 (java.lang.Runtime).getRuntime().exec("whoami")

警告

此规则仅检查请求标头的前 8 KB 或前 200 个标头(以先达到的限制为准),并且它使用 Continue 选项来处理超大内容。有关更多信息,请参阅 在中处理超大的 Web 请求组件 Amazon WAF

规则操作:Block

标签:awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Header
JavaDeserializationRCE_BODY

检查请求正文中是否存在指示 Java 反序列化远程命令执行 (RCE) 尝试的模式,例如 Spring Core 和 Cloud Function RCE 漏洞(CVE-2022-22963、CVE-2022-22965)。示例模式包括 (java.lang.Runtime).getRuntime().exec("whoami")

警告

此规则仅检查请求正文,但不得超过 Web ACL 和资源类型的正文大小限制。对于 Application Load Balancer 和 Amazon AppSync,限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和已验证访问权限,默认限制为 16 KB,您可以在网页 ACL 配置中将限制提高到 64 KB。此规则使用 Continue 选项来处理超大内容。有关更多信息,请参阅 在中处理超大的 Web 请求组件 Amazon WAF

规则操作:Block

标签:awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Body
JavaDeserializationRCE_URIPATH

检查请求 URI 中是否存在指示 Java 反序列化远程命令执行 (RCE) 尝试的模式,例如 Spring Core 和 Cloud Function RCE 漏洞(CVE-2022-22963、CVE-2022-22965)。示例模式包括 (java.lang.Runtime).getRuntime().exec("whoami")

规则操作:Block

标签:awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_URIPath
JavaDeserializationRCE_QUERYSTRING

检查请求查询字符串中是否存在指示 Java 反序列化远程命令执行 (RCE) 尝试的模式,例如 Spring Core 和 Cloud Function RCE 漏洞(CVE-2022-22963、CVE-2022-22965)。示例模式包括 (java.lang.Runtime).getRuntime().exec("whoami")

规则操作:Block

标签:awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_QueryString
Host_localhost_HEADER

检查请求中的主机标头是否有指示本地主机的模式。示例模式包括 localhost

规则操作:Block

标签:awswaf:managed:aws:known-bad-inputs:Host_Localhost_Header
PROPFIND_METHOD

检查请求中用于 PROPFIND 的 HTTP 方法,这是一种类似于 HEAD 的方法,但具有泄漏 XML 对象的额外意图。

规则操作:Block

标签:awswaf:managed:aws:known-bad-inputs:Propfind_Method
ExploitablePaths_URIPATH

检查 URI 路径中是否有恶意方试图访问可利用的 Web 应用程序路径。示例模式包括类似于 web-inf 的路径。

规则操作:Block

标签:awswaf:managed:aws:known-bad-inputs:ExploitablePaths_URIPath
Log4JRCE_HEADER

检查请求标头的键和值是否存在 Log4j 漏洞(CVE-2021-44228CVE-2021-45046CVE-2021-45105),并防止远程代码执行 (RCE) 尝试。示例模式包括 ${jndi:ldap://example.com/}

警告

此规则仅检查请求标头的前 8 KB 或前 200 个标头(以先达到的限制为准),并且它使用 Continue 选项来处理超大内容。有关更多信息,请参阅 在中处理超大的 Web 请求组件 Amazon WAF

规则操作:Block

标签:awswaf:managed:aws:known-bad-inputs:Log4JRCE_Header
Log4JRCE_QUERYSTRING

检查查询字符串中是否存在 Log4j 漏洞(CVE-2021-44228CVE-2021-45046CVE-2021-45105),并防止远程代码执行 (RCE) 尝试。示例模式包括 ${jndi:ldap://example.com/}

规则操作:Block

标签:awswaf:managed:aws:known-bad-inputs:Log4JRCE_QueryString
Log4JRCE_BODY

检查正文中是否存在 Log4j 漏洞(CVE-2021-44228CVE-2021-45046CVE-2021-45105),并防止远程代码执行 (RCE) 尝试。示例模式包括 ${jndi:ldap://example.com/}

警告

此规则仅检查请求正文,但不得超过 Web ACL 和资源类型的正文大小限制。对于 Application Load Balancer 和 Amazon AppSync,限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和已验证访问权限,默认限制为 16 KB,您可以在网页 ACL 配置中将限制提高到 64 KB。此规则使用 Continue 选项来处理超大内容。有关更多信息,请参阅 在中处理超大的 Web 请求组件 Amazon WAF

规则操作:Block

标签:awswaf:managed:aws:known-bad-inputs:Log4JRCE_Body
Log4JRCE_URIPATH

检查 URI 路径中是否存在 Log4j 漏洞(CVE-2021-44228CVE-2021-45046CVE-2021-45105),并防止远程代码执行 (RCE) 尝试。示例模式包括 ${jndi:ldap://example.com/}

规则操作:Block

标签:awswaf:managed:aws:known-bad-inputs:Log4JRCE_URIPath