Amazon托管规则变更日志 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon托管规则变更日志

本节列出了自 2019 年 11 月发布Amazon托管规则Amazon WAF以来对其所做的更改。

注意

此变更日志报告了 Managed Rules 中对的规则Amazon和规则组的更改Amazon WAF。

对于IP 声誉规则组,此变更日志会报告规则和规则组的更改,但由于这些列表的动态性质,它不报告规则所使用的 IP 地址列表的更改。

规则组和规则 说明 日期
PHP 应用程序管理规则组

  • 更新了 PHPHighRiskMethodsVariables_BODY

  • 已移除PHPHighRiskMethodsVariables_QUERYARGUMENTS

  • 添加了 PHPHighRiskMethodsVariables_QUERYSTRING

  • 添加了 PHPHighRiskMethodsVariables_HEADER

发布了该规则组的静态版本 2.0。

添加了签名以改善所有规则的检测。

将规则PHPHighRiskMethodsVariables_QUERYARGUMENTS替换为PHPHighRiskMethodsVariables_QUERYSTRING,它检查整个查询字符串,而不仅仅是查询参数。

添加了规则PHPHighRiskMethodsVariables_HEADER,以扩大覆盖范围以包括所有标题。

更新了以下标签,使其与标准Amazon托管规则标签保持一致:

  • 旧名称:PHPHighRiskMethodsVariables_BODY新名称:PHPHighRiskMethodsVariables_Body

  • 旧名称:PHPHighRiskMethodsVariables_QUERYARGUMENTS新名称:PHPHighRiskMethodsVariables_QueryString

 2023-02-27
Amazon WAF欺诈控制账户收购预防 (ATP) 规则组

  • VolumetricIpFailedLoginResponseHigh

  • VolumetricSessionFailedLoginResponseHigh

添加了用于受保护的亚马逊 CloudFront 发行版的登录响应检查规则。这些规则可以阻止来自 IP 地址和客户端会话的新登录尝试,而这些地址和会话是最近多次登录尝试失败的根源。

 2023 年 2 月 15 日
核心规则集 (CRS) 托管规则组

  • NoUserAgent_HEADER

  • CrossSiteScripting_COOKIE

  • CrossSiteScripting_QUERYARGUMENTS

  • CrossSiteScripting_BODY

  • CrossSiteScripting_URIPATH

发布了该规则组的静态版本 1.5。

更新了跨站点脚本 (XSS) 过滤器以改善检测。

 2023 年 01 月 25 日
Linux 操作系统托管规则组

  • LFI_COOKIE-已删除

  • LFI_HEADER-已添加

  • LFI_URIPATH

  • LFI_QUERYSTRING

  • LFI_BODY

发布了该规则组的静态版本 2.1。

删除了规则LFI_COOKIE及其标签awswaf:managed:aws:linux-os:LFI_Cookie,并将其替换为新规则LFI_HEADER及其标签awswaf:managed:aws:linux-os:LFI_Header。此更改将检查范围扩展到多个标题。

为所有规则添加了文本转换和签名以改善检测。

 2022-12-15
核心规则集 (CRS) 托管规则组

  • NoUserAgent_HEADER

  • CrossSiteScripting_COOKIE

  • CrossSiteScripting_QUERYARGUMENTS

  • CrossSiteScripting_BODY

  • CrossSiteScripting_URIPATH

发布了该规则组的静态版本 1.4。

添加了文本转换NoUserAgent_HEADER以删除所有空字节。更新了跨站点脚本规则中的过滤器以改善检测。

 2022-12-05
已知的错误输入管理规则组

  • JavaDeserializationRCE_BODY

  • JavaDeserializationRCE_URIPATH

  • JavaDeserializationRCE_HEADER

  • JavaDeserializationRCE_QUERYSTRING

  • Host_localhost_HEADER

发布了该规则组的静态版本 1.17。

更新了 Java 反序列化规则,增加了对与 Apache CVE-2022-42889 匹配的请求的检测,Apache 是 1.10.0 之前的 Apache Commons Text 版本中的远程代码执行 (RCE) 漏洞。有关更多信息,请参阅 NIST:国家漏洞数据库:CVE-2022-42889 详细信息和 CVE-2022-42889:1.10.0 之前的 Apache Commons Text 在应用于不可信输入时允许 RCE,这是因为插值默认值不安全

改进了中的检测Host_localhost_HEADER

 2022 年 10 月 20 日
已知的错误输入管理规则组

  • Log4JRCE_HEADER

  • Log4JRCE_QUERYSTRING

  • Log4JRCE_URIPATH

  • Log4JRCE_BODY

发布了该规则组的静态版本 1.16。

删除了版本 1.15 中Amazon发现的误报。

 2022 年 10 月 5 日

POSIX 操作系统管理的规则组

PHP 应用程序管理规则组

WordPress 应用程序管理规则组

更正了记录在案的标签名称。

 2022 年 09 月 19 日
IP 声誉规则组

  • AWSManagedIPDDoSList

此更改不会改变规则组处理您的网络流量的方式。

根据亚马逊威胁情报,添加了一项包含Count检查积极参与DDoS活动的IP地址的新规则。

 2022 年 8 月 30 日
已知的错误输入管理规则组

  • Log4JRCE

  • Log4JRCE_HEADER

  • Log4JRCE_QUERYSTRING

  • Log4JRCE_URIPATH

  • Log4JRCE_BODY

  • JavaDeserializationRCE_HEADER

  • JavaDeserializationRCE_BODY

  • JavaDeserializationRCE_URIPATH

  • JavaDeserializationRCE_QUERYSTRING

  • Host_localhost_HEADER

  • PROPFIND_METHOD

发布了该规则组的静态版本 1.15。

将其移除Log4JRCE并替换为Log4JRCE_HEADERLog4JRCE_QUERYSTRINGLog4JRCE_URILog4JRCE_BODY、和,以便对误报进行更精细的监控和管理。

添加了签名以改进对所有PROPFIND_METHODLog4JRCE*规则的检测JavaDeserializationRCE*和阻止。

更新了标签以更正所有JavaDeserializationRCE*规则中的Host_localhost_HEADER大小写。

更正了的描述JavaDeserializationRCE_HEADER

 2022 年 8 月 22 日
Amazon WAF欺诈控制账户收购预防 (ATP) 规则组

  • UnsupportedCognitoIDP

添加了一条规则,以防止对 Amazon Cognito 用户池网络流量使用账户防盗托管规则组。

 2022 年 8 月 11 日
核心规则集 (CRS) 托管规则组

Amazon已为版本Version_1.2Version_2.0规则组预定过期。这些版本将于 2022 年 9 月 9 日到期。有关版本过期的信息,请参阅使用托管规则组进行版本管理

 2022 年 6 月 9 日
核心规则集 (CRS) 托管规则组

  • GenericLFI_URIPATH

    GenericRFI_URIPATH

已发布此规则组的版本 1.3。此版本更新了规则GenericLFI_URIPATH和中的匹配签名GenericRFI_URIPATH,以改善检测。

 2022 年 5 月 24 日
Amazon WAF机器人控制规则组

  • CategoryEmailClient

将规则CategoryEmailClient添加到规则组。

 2022 年 4 月 6 日
已知的错误输入管理规则组

  • JavaDeserializationRCE_HEADER

  • JavaDeserializationRCE_BODY

  • JavaDeserializationRCE_URI

  • JavaDeserializationRCE_QUERYSTRING

已发布此规则组的 1.14 版本。这四JavaDeserializtionRCE条规则已移至BLOCK模式。

 2022 年 3 月 31 日
已知的错误输入管理规则组

  • JavaDeserializationRCE_HEADER_RC_COUNT

  • JavaDeserializationRCE_BODY_RC_COUNT

  • JavaDeserializationRCE_URI_RC_COUNT

  • JavaDeserializationRCE_QUERYSTRING_RC_COUNT

已发布此规则组的 1.13 版本。更新了 Spring Core 和 Cloud Function RCE 漏洞的文本转换。这些规则处于计数模式,用于收集指标和评估匹配的模式。该标签可用于阻止自定义规则中的请求。后续版本将在块模式下使用这些规则进行部署。

 2022 年 3 月 31 日
已知的错误输入管理规则组

  • JavaDeserializationRCE_HEADER_RC_COUNT

  • JavaDeserializationRCE_BODY_RC_COUNT

  • JavaDeserializationRCE_URI_RC_COUNT

  • JavaDeserializationRCE_QUERYSTRING_RC_COUNT

  • Log4JRCE_HEADER

  • Log4JRCE_QUERYSTRING

  • Log4JRCE_URI

  • Log4JRCE_BODY

  • Log4JRCE

已发布此规则组的 1.12 版本。添加了 Spring 核心和云函数 RCE 漏洞的签名。这些规则处于计数模式,用于收集指标和评估匹配的模式。该标签可用于阻止自定义规则中的请求。后续版本将在块模式下使用这些规则进行部署。

删除了规则Log4JRCE_HEADERLog4JRCE_QUERYSTRINGLog4JRCE_URI、和,Log4JRCE_BODY并将其替换为规则Log4JRCE

 2022 年 3 月 30 日
IP 声誉规则组

  • AWSManagedReconnaissanceList

 更新了AWSManagedReconnaissanceList规则,将操作从计数更改为阻止。 2022 年 2 月 15 日
Amazon WAF欺诈控制账户收购预防 (ATP) 规则组

新规则组中的所有规则

 添加了规则组AWSManagedRulesATPRuleSet 2022 年 2 月 11 日
已知的错误输入管理规则组

  • Log4JRCE

  • Log4JRCE_HEADER

  • Log4JRCE_QUERYSTRING

  • Log4JRCE_URI

  • Log4JRCE_BODY

已发布此规则组的版本 1.9。删除了规则Log4JRCE,将其替换为规则Log4JRCE_HEADERLog4JRCE_QUERYSTRINGLog4JRCE_URILog4JRCE_BODY、和,以便灵活地使用此功能。添加了签名以改善检测和阻止。

 2022 年 01 月 28 日
核心规则集 (CRS)

  • CrossSiteScripting_URIPATH

  • CrossSiteScripting_BODY

  • CrossSiteScripting_QUERYARGUMENTS

  • CrossSiteScripting_COOKIE

已发布此规则组的 2.0 版。对于这些规则,调整了检测签名以减少误报。将URL_DECODE文本转换替换为双URL_DECODE_UNI文本转换。添加了HTML_ENTITY_DECODE文本转换。

 2022 年 01-10
核心规则集 (CRS)

  • RestrictedExtensions_URIPATH

  • RestrictedExtensions_QUERYARGUMENTS

作为该规则组版本 2.0 版本的一部分,添加了URL_DECODE_UNI文本转换。从中删除了URL_DECODE文本转换RestrictedExtensions_URIPATH

 2022 年 01-10
SQL 数据库

  • SQLi_BODY

  • SQLi_QUERYARGUMENTS

  • SQLi_COOKIE

  • SQLi_URIPATH

  • SQLiExtendedPatterns_BODY

  • SQLiExtendedPatterns_QUERYARGUMENTS

已发布此规则组的 2.0 版。将URL_DECODE文本转换替换为双URL_DECODE_UNI文本转换,并添加了COMPRESS_WHITE_SPACE文本转换。

向中添加了更多检测签名SQLiExtendedPatterns_QUERYARGUMENTS

添加了 JSON 检查SQLi_BODY

添加了规则SQLiExtendedPatterns_BODY

删除了规则SQLi_URIPATH

 2022 年 01-10
已知错误输入

  • Log4JRCE

发布了该规则的 1.8 版Log4JRCE,以改进标题检查和匹配标准。

 2021-12-17
已知错误输入

  • Log4JRCE

发布了该规则的版本 1.4,Log4JRCE以调整匹配标准并检查其他标题。发布了版本 1.5 以调整匹配标准。

 2021-12-11
已知错误输入

  • Log4JRCE

  • BadAuthToken_COOKIE_AUTHORIZATION

添加了规则Log4JRCE版本 1.2 以回应最近在 Log4j 中披露的安全问题。有关信息,请参阅 CVE-2021-44228。该规则检查常见的 URI 路径、查询字符串、请求正文的前 8KB 和常见标头。该规则使用双重URL_DECODE_UNI文本转换。发布了 1.3 版Log4JRCE,以调整匹配标准并检查其他标头。

删除了规则BadAuthToken_COOKIE_AUTHORIZATION

 2021-12-10

下表列出了 2021 年 12 月之前的变化。

规则组和规则 说明 日期
Amazon IP 声誉列表

AWSManagedReconnaissanceList

 在监控/计数模式下添加了AWSManagedReconnaissanceList规则。此规则包含正在对Amazon资源进行侦测的 IP 地址。 2021-11-23
Windows 操作系统

WindowsShellCommands

PowerShellCommands

为 WindowsShell 命令添加了三条新规则:WindowsShellCommands_COOKIEWindowsShellCommands_QUERYARGUMENTS、和WindowsShellCommands_BODY

添加了新 PowerShell 规则:PowerShellCommands_COOKIE.

通过删除字符串 _Set1 和 _Set2 重构了PowerShellComands规则命名。

向添加了更全面的检测签名PowerShellRules

为所有 Windows 操作系统规则添加了URL_DECODE_UNI文本转换。

 2021-11-23
Linux 操作系统

LFI_URIPATH

LFI_QUERYSTRING

LFI_BODY

LFI_COOKIE

将双重URL_DECODE文本转换替换为双重文本转换URL_DECODE_UNI

NORMALIZE_PATH_WIN作为第二个文本转换添加。

LFI_BODY规则替换了LFI_COOKIE规则。

为所有LFI规则添加了更全面的检测签名。

 2021-11-23
核心规则集 (CRS)

SizeRestrictions_BODY

 降低了阻止正文有效负载大于 8 KB 的 Web 请求的大小限制。以前,限制为 10 KB。 2021-10-27
核心规则集 (CRS)

EC2MetaDataSSRF_BODY

EC2MetaDataSSRF_COOKIE

EC2MetaDataSSRF_URIPATH

EC2MetaDataSSRF_QUERYARGUMENTS

 添加了更多检测签名。添加了双重 unicode URL 解码以改善屏蔽效果。 2021-10-27
核心规则集 (CRS)

GenericLFI_QUERYARGUMENTS

GenericLFI_URIPATH

RestrictedExtensions_URIPATH

RestrictedExtensions_QUERYARGUMENTS

 添加了双重 unicode URL 解码以改善屏蔽效果。 2021-10-27
核心规则集 (CRS)

GenericRFI_QUERYARGUMENTS

GenericRFI_BODY

GenericRFI_URIPATH

 根据客户反馈更新了规则签名以减少误报。添加了双重 unicode URL 解码以改善屏蔽效果。 2021-10-27
全部

所有规则

 为所有尚未支持Amazon WAF标签的规则添加了对标签的支持。 2021-10-25
Amazon IP 声誉列表

AWSManagedIPReputationList_xxxx

 重构了 IP 信誉列表,删除了规则名称的后缀,并添加了对Amazon WAF标签的支持。 2021 年 5 月 4 日
匿名 IP 列表

AnonymousIPList

HostingProviderList

 增加了对Amazon WAF标签的支持。 2021 年 5 月 4 日
机器人控制 全部 添加了机器人控制规则集。 2021 年 4 月 1 日
核心规则集 (CRS)

GenericRFI_QUERYARGUMENTS

 添加了双重 URL 解码。 2021 年 3 月 3 日
核心规则集 (CRS)

RestrictedExtensions_URIPATH

 改进了规则的配置并添加了额外的 URL 解码。 2021 年 3 月 3 日
管理保护

AdminProtection_URIPATH

 添加了双重 URL 解码。 2021 年 3 月 3 日
已知错误输入

ExploitablePaths_URIPATH

 改进了规则的配置并添加了额外的 URL 解码。 2021 年 3 月 3 日
Linux 操作系统

LFI_QUERYARGUMENTS

 改进了规则的配置并添加了额外的 URL 解码。 2021 年 3 月 3 日
Windows 操作系统 全部 改进了规则的配置。 2020-09-23
PHP 应用程序

PHPHighRiskMethodsVariables_QUERYARGUMENTS

PHPHighRiskMethodsVariables_BODY

 将文本转换从 HTML 解码更改为 URL 解码,以改善阻止。 2020-09-16
POSX 操作系统

UNIXShellCommandsVariables_QUERYARGUMENTS

UNIXShellCommandsVariables_BODY

 将文本转换从 HTML 解码更改为 URL 解码,以改善阻止。 2020-09-16
核心规则集

GenericLFI_QUERYARGUMENTS

GenericLFI_URIPATH

GenericLFI_BODY

 将文本转换从 HTML 解码更改为 URL 解码,以改善阻止。 2020-08-07
Linux 操作系统

LFI_URIPATH

LFI_QUERYARGUMENTS

LFI_BODY

 将文本转换从 HTML 实体解码更改为 URL 解码,以改善检测和阻止。 2020-05-19
匿名 IP 列表 全部 加入了新的规则组,IP 声誉规则组以阻止来自允许模糊处理查看者身份的服务的请求,以帮助缓解机器人和规避地理限制的情况。 2020-03-06
WordPress 应用程序

WordPressExploitableCommands_QUERYSTRING

 用于检查查询字符串中是否存在可利用的命令的新规则。 2020-03-03
核心规则集 (CRS)

SizeRestrictions_QUERYSTRING

SizeRestrictions_Cookie_HEADER

SizeRestrictions_BODY

SizeRestrictions_URIPATH

 调整了大小值约束以提高准确性。 2020-03-03
SQL 数据库

SQLi_URIPATH

 这些规则现在会检查消息 URI。 2020-01-23
SQL 数据库

SQLi_BODY

SQLi_QUERYARGUMENTS

SQLi_COOKIE

 更新了文本转换。 2019-12-20
核心规则集 (CRS)

CrossSiteScripting_URIPATH

CrossSiteScripting_BODY

CrossSiteScripting_QUERYARGUMENTS

CrossSiteScripting_COOKIE

 更新了文本转换。 2019-12-20