基准规则组
基准托管规则组可针对多种常见威胁提供一般保护。请选择以下一个或多个规则组以便为您的资源建立基准保护。
注意
我们为 Amazon 托管规则组中的规则发布的信息旨在为您提供使用规则所需的足够信息,同时不会提供可供不法分子规避规则的信息。如果您需要本文档以外的信息,请联系 Amazon Web Services Support 中心
核心规则集 (CRS) 托管规则组
供应商名称:AWS
,名称:AWSManagedRulesCommonRuleSet
,WCU:700
核心规则集 (CRS) 规则组包含通常适用于 Web 应用程序的规则。该规则组有助于防止利用各种漏洞,包括 OWASP 出版物(如 OWASP Top 10
此托管规则组会为其评估的 Web 请求添加标签,这些标签可供 Web ACL 中在此规则组之后运行的规则使用。Amazon WAF 还记录与 Amazon CloudWatch 指标相关的标签。有关标签和标签指标的一般信息,请参阅 在 Web 请求上使用标签 和 标签指标和维度。
注意
下表描述了该规则组的最新静态版本。对于其他版本,请使用 API 命令 DescribeManagedRuleGroup。
Rule name(规则名称) | 描述和标签 |
---|---|
NoUserAgent_HEADER |
检查是否存在缺少 HTTP 规则操作:Block 标签: |
UserAgent_BadBots_HEADER |
检查是否存在表明请求是恶意机器人的常见 规则操作:Block 标签: |
SizeRestrictions_QUERYSTRING |
检查是否存在超过 2,048 字节的 URI 查询字符串。 规则操作:Block 标签: |
SizeRestrictions_Cookie_HEADER |
检查是否存在超过 10,240 字节的 Cookie 标头。 规则操作:Block 标签: |
SizeRestrictions_BODY |
检查是否存在超过 8 KB(8,192 字节)的请求正文。 规则操作:Block 标签: |
SizeRestrictions_URIPATH |
检查 URI 路径是否超过 1024 字节。 规则操作:Block 标签: |
EC2MetaDataSSRF_BODY |
检查是否存在恶意方试图从请求正文中泄漏 Amazon EC2 元数据。 警告此规则仅检查请求正文,但不得超过 Web ACL 和资源类型的正文大小限制。对于应用程序负载均衡器和 Amazon AppSync,固定限制为 8 KB。对于 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在 Web ACL 配置中将此限制提高至 64 KB。此规则使用 规则操作:Block 标签: |
EC2MetaDataSSRF_COOKIE |
检查是否存在恶意方试图从请求 Cookie 中泄漏 Amazon EC2 元数据。 规则操作:Block 标签: |
EC2MetaDataSSRF_URIPATH |
检查是否存在恶意方试图从请求 URI 路径中泄漏 Amazon EC2 元数据。 规则操作:Block 标签: |
EC2MetaDataSSRF_QUERYARGUMENTS |
检查是否存在恶意方试图从请求查询参数中泄漏 Amazon EC2 元数据。 规则操作:Block 标签: |
GenericLFI_QUERYARGUMENTS |
检查查询参数中是否存在本地文件包含 (LFI) 攻击。示例包括使用类似于 规则操作:Block 标签: |
GenericLFI_URIPATH |
检查 URI 路径中是否存在本地文件包含 (LFI) 攻击。示例包括使用类似于 规则操作:Block 标签: |
GenericLFI_BODY |
检查请求正文中是否存在本地文件包含 (LFI) 攻击。示例包括使用类似于 警告此规则仅检查请求正文,但不得超过 Web ACL 和资源类型的正文大小限制。对于应用程序负载均衡器和 Amazon AppSync,固定限制为 8 KB。对于 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在 Web ACL 配置中将此限制提高至 64 KB。此规则使用 规则操作:Block 标签: |
RestrictedExtensions_URIPATH |
检查是否存在 URI 路径中包含无法安全读取或运行的系统文件扩展名的请求。示例模式包括类似于 规则操作:Block 标签: |
RestrictedExtensions_QUERYARGUMENTS |
检查是否存在查询参数中包含无法安全读取或运行的系统文件扩展名的请求。示例模式包括类似于 规则操作:Block 标签: |
GenericRFI_QUERYARGUMENTS |
检查所有查询参数的值,以防有人试图通过嵌入包含 IPv4 地址的 URL 在 Web 应用程序中利用 RFI(远程文件包含)。例如,在利用尝试中包含 IPv4 主机标头的 规则操作:Block 标签: |
GenericRFI_BODY |
检查请求正文中是否有人试图通过嵌入包含 IPv4 地址的 URL 来利用 Web 应用程序中的 RFI(远程文件包含)。例如,在利用尝试中包含 IPv4 主机标头的 警告此规则仅检查请求正文,但不得超过 Web ACL 和资源类型的正文大小限制。对于应用程序负载均衡器和 Amazon AppSync,固定限制为 8 KB。对于 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在 Web ACL 配置中将此限制提高至 64 KB。此规则使用 规则操作:Block 标签: |
GenericRFI_URIPATH |
检查 URI 路径中是否有人试图通过嵌入包含 IPv4 地址的 URL 来利用 Web 应用程序中的 RFI(远程文件包含)。例如,在利用尝试中包含 IPv4 主机标头的 规则操作:Block 标签: |
CrossSiteScripting_COOKIE |
使用内置 Amazon WAF 跨站点脚本攻击规则语句 功能检查 Cookie 标头的值以了解常见的跨站脚本攻击(XSS)模式。示例模式包括类似于 注意该规则组的 2.0 版本未填充 Amazon WAF 日志中的规则匹配详细信息。 规则操作:Block 标签: |
CrossSiteScripting_QUERYARGUMENTS |
使用内置 Amazon WAF 跨站点脚本攻击规则语句 功能检查查询参数的值以了解常见的跨站脚本攻击(XSS)模式。示例模式包括类似于 注意该规则组的 2.0 版本未填充 Amazon WAF 日志中的规则匹配详细信息。 规则操作:Block 标签: |
CrossSiteScripting_BODY |
使用内置 Amazon WAF 跨站点脚本攻击规则语句 功能检查请求正文以了解常见的跨站脚本攻击(XSS)模式。示例模式包括类似于 注意该规则组的 2.0 版本未填充 Amazon WAF 日志中的规则匹配详细信息。 警告此规则仅检查请求正文,但不得超过 Web ACL 和资源类型的正文大小限制。对于应用程序负载均衡器和 Amazon AppSync,固定限制为 8 KB。对于 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在 Web ACL 配置中将此限制提高至 64 KB。此规则使用 规则操作:Block 标签: |
CrossSiteScripting_URIPATH |
使用内置 Amazon WAF 跨站点脚本攻击规则语句 功能检查 URI 路径的值以了解常见的跨站脚本攻击(XSS)模式。示例模式包括类似于 注意该规则组的 2.0 版本未填充 Amazon WAF 日志中的规则匹配详细信息。 规则操作:Block 标签: |
管理员保护托管规则组
供应商名称:AWS
,名称:AWSManagedRulesAdminProtectionRuleSet
,WCU:100
管理保护规则组包含允许您阻止对公开的管理页面进行外部访问的规则。如果您运行第三方软件,或者希望降低恶意人员获取您的应用程序的管理访问权限的风险,该规则组可能非常有用。
此托管规则组会为其评估的 Web 请求添加标签,这些标签可供 Web ACL 中在此规则组之后运行的规则使用。Amazon WAF 还记录与 Amazon CloudWatch 指标相关的标签。有关标签和标签指标的一般信息,请参阅 在 Web 请求上使用标签 和 标签指标和维度。
注意
下表描述了该规则组的最新静态版本。对于其他版本,请使用 API 命令 DescribeManagedRuleGroup。
Rule name(规则名称) | 描述和标签 |
---|---|
AdminProtection_URIPATH |
检查针对通常为管理 Web 服务器或应用程序而保留的 URI 路径。示例模式包括 规则操作:Block 标签: |
已知错误输入托管规则组
供应商名称:AWS
,名称:AWSManagedRulesKnownBadInputsRuleSet
,WCU:200
已知错误输入规则组包含用于阻止请求模式的规则,这些模式确认无效且与漏洞攻击或发现相关联。这有助于降低恶意人员发现易受攻击的应用程序的风险。
此托管规则组会为其评估的 Web 请求添加标签,这些标签可供 Web ACL 中在此规则组之后运行的规则使用。Amazon WAF 还记录与 Amazon CloudWatch 指标相关的标签。有关标签和标签指标的一般信息,请参阅 在 Web 请求上使用标签 和 标签指标和维度。
注意
下表描述了该规则组的最新静态版本。对于其他版本,请使用 API 命令 DescribeManagedRuleGroup。
Rule name(规则名称) | 描述和标签 |
---|---|
JavaDeserializationRCE_HEADER |
检查 HTTP 请求标头的键和值,寻找指示 Java 反序列化远程命令执行 (RCE) 尝试的模式,例如 Spring Core 和 Cloud Function RCE 漏洞(CVE-2022-22963、CVE-2022-22965)。示例模式包括 警告此规则仅检查请求标头的前 8 KB 或前 200 个标头(以先达到的限制为准),并且它使用 规则操作:Block 标签: |
JavaDeserializationRCE_BODY |
检查请求正文中是否存在指示 Java 反序列化远程命令执行 (RCE) 尝试的模式,例如 Spring Core 和 Cloud Function RCE 漏洞(CVE-2022-22963、CVE-2022-22965)。示例模式包括 警告此规则仅检查请求正文,但不得超过 Web ACL 和资源类型的正文大小限制。对于应用程序负载均衡器和 Amazon AppSync,固定限制为 8 KB。对于 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在 Web ACL 配置中将此限制提高至 64 KB。此规则使用 规则操作:Block 标签: |
JavaDeserializationRCE_URIPATH |
检查请求 URI 中是否存在指示 Java 反序列化远程命令执行 (RCE) 尝试的模式,例如 Spring Core 和 Cloud Function RCE 漏洞(CVE-2022-22963、CVE-2022-22965)。示例模式包括 规则操作:Block 标签: |
JavaDeserializationRCE_QUERYSTRING |
检查请求查询字符串中是否存在指示 Java 反序列化远程命令执行 (RCE) 尝试的模式,例如 Spring Core 和 Cloud Function RCE 漏洞(CVE-2022-22963、CVE-2022-22965)。示例模式包括 规则操作:Block 标签: |
Host_localhost_HEADER |
检查请求中的主机标头是否有指示本地主机的模式。示例模式包括 规则操作:Block 标签: |
PROPFIND_METHOD |
检查请求中用于 规则操作:Block 标签: |
ExploitablePaths_URIPATH |
检查 URI 路径中是否有恶意方试图访问可利用的 Web 应用程序路径。示例模式包括类似于 规则操作:Block 标签: |
Log4JRCE_HEADER |
检查请求标头的键和值是否存在 Log4j 漏洞(CVE-2021-44228 警告此规则仅检查请求标头的前 8 KB 或前 200 个标头(以先达到的限制为准),并且它使用 规则操作:Block 标签: |
Log4JRCE_QUERYSTRING |
检查查询字符串中是否存在 Log4j 漏洞(CVE-2021-44228 规则操作:Block 标签: |
Log4JRCE_BODY |
检查正文中是否存在 Log4j 漏洞(CVE-2021-44228 警告此规则仅检查请求正文,但不得超过 Web ACL 和资源类型的正文大小限制。对于应用程序负载均衡器和 Amazon AppSync,固定限制为 8 KB。对于 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在 Web ACL 配置中将此限制提高至 64 KB。此规则使用 规则操作:Block 标签: |
Log4JRCE_URIPATH |
检查 URI 路径中是否存在 Log4j 漏洞(CVE-2021-44228 规则操作:Block 标签: |