Grupos de regras de linha de base - Administrador de segurança da rede do AWS WAF, AWS Firewall Manager, AWS Shield Advanced e AWS Shield
Conjunto de regras principais (CRS)Proteção do administradorEntradas nocivas conhecidas

Apresentação de uma nova experiência de console para o AWS WAF

Agora você pode usar a experiência atualizada para acessar a funcionalidade do AWS WAF em qualquer lugar no console. Consulte mais detalhes em Trabalhar com a experiência atualizada do console.

Grupos de regras de linha de base

Os grupos de regras gerenciadas de linha de base fornecem proteção geral contra uma grande variedade de ameaças comuns. Escolha um ou mais desses grupos de regras para estabelecer a proteção da linha de base para seus recursos.

Grupo de regras gerenciadas do conjunto de regras principais (CRS)

VendorName: AWS, Nome: AWSManagedRulesCommonRuleSet, WCU: 700

nota

Esta documentação abrange a versão estática mais recente desse grupo de regras gerenciadas. As alterações de versão são informadas no changelog em Log de alterações das regras gerenciadas da AWS. Para obter informações sobre outras versões, use o comando de API DescribeManagedRuleGroup.

As informações que publicamos sobre as regras dos grupos de regras das Regras Gerenciadas da AWS têm o objetivo de fornecer o que é necessário para você usar as regras sem fornecer a agentes mal-intencionados o que precisariam para contornar as regras.

Se precisar de mais informações, entre em contato com o AWS Support Center.

O grupo de regras do conjunto de regras principais (CRS) contém regras que são aplicáveis de modo geral a aplicativos web. Isso fornece proteção contra a exploração de uma ampla gama de vulnerabilidades, incluindo algumas das vulnerabilidades comuns e de alto risco descritas em publicações do OWASP, como OWASP Top 10.. Considere usar esse grupo de regras para qualquer caso de uso de AWS WAF.

Esse grupo de regras gerenciadas adiciona rótulos às solicitações da Web que avalia, os quais estão disponíveis para as regras executadas após esse grupo de regras no pacote de proteção (ACL da Web). O AWS WAF também registra os rótulos nas métricas do Amazon CloudWatch. Para obter informações gerais sobre rótulos e métricas de rótulos, consulte Rotulagem de solicitações da Web e Métricas e dimensões do rótulo.

Nome da regra Descrição e rótulo
NoUserAgent_HEADER

Inspeciona as solicitações sem o cabeçalho HTTP User-Agent.

Ação de regra: Block

Rótulo: awswaf:managed:aws:core-rule-set:NoUserAgent_Header
UserAgent_BadBots_HEADER

Inspeciona valores de cabeçalho User-Agent comuns que indicam que a solicitação é um bot inválido. Os padrões de exemplo incluem nessus e nmap. Para gerenciamento de bots, consulte também Grupo de regras do Controle de Bots do AWS WAF.

Ação de regra: Block

Rótulo: awswaf:managed:aws:core-rule-set:BadBots_Header
SizeRestrictions_QUERYSTRING

Inspeciona strings de consulta de URI com mais de 2.048 bytes.

Ação de regra: Block

Rótulo: awswaf:managed:aws:core-rule-set:SizeRestrictions_QueryString
SizeRestrictions_Cookie_HEADER

Inspeciona cabeçalhos de cookies com mais de 10.240 bytes.

Ação de regra: Block

Rótulo: awswaf:managed:aws:core-rule-set:SizeRestrictions_Cookie_Header
SizeRestrictions_BODY

Inspeciona corpos de solicitação com mais de 8 KB (8.192 bytes).

Ação de regra: Block

Rótulo: awswaf:managed:aws:core-rule-set:SizeRestrictions_Body
SizeRestrictions_URIPATH

Inspeciona paths de URI com mais de 1.024 bytes.

Ação de regra: Block

Rótulo: awswaf:managed:aws:core-rule-set:SizeRestrictions_URIPath
EC2MetaDataSSRF_BODY

Inspeciona tentativas de exfiltrar metadados Amazon EC2 do corpo da solicitação.

Atenção

Essa regra inspeciona apenas o corpo da solicitação até o limite de tamanho do corpo para o pacote de proteção (ACL da Web) e o tipo de recurso. Para o Application Load Balancer e o AWS AppSync, o limite é fixado em 8 KB. No CloudFront, API Gateway, Amazon Cognito, App Runner e Verified Access, o limite padrão é de 16 KB e você pode aumentar o limite para até 64 KB na configuração do pacote de proteção (ACL da Web). Essa regra usa a opção Continue para tratamento de conteúdo de tamanho grande. Para obter mais informações, consulte Componentes de solicitação da Web de tamanho grande no AWS WAF.

Ação de regra: Block

Rótulo: awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Body
EC2MetaDataSSRF_COOKIE

Inspeciona tentativas de exfiltrar metadados Amazon EC2 do cookie de solicitação.

Ação de regra: Block

Rótulo: awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Cookie
EC2MetaDataSSRF_URIPATH

Amazon EC2Inspeciona tentativas de exfiltrar metadados do path do URI de solicitação.

Ação de regra: Block

Rótulo: awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_URIPath
EC2MetaDataSSRF_QUERYARGUMENTS

Inspeciona tentativas de exfiltrar metadados do Amazon EC2 dos argumentos da consulta de solicitação.

Ação de regra: Block

Rótulo: awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_QueryArguments
GenericLFI_QUERYARGUMENTS

Inspeciona a presença de explorações de inclusão local de arquivos (LFI) nos argumentos de consulta. Exemplos incluem tentativas de path traversal usando técnicas como ../../.

Ação de regra: Block

Rótulo: awswaf:managed:aws:core-rule-set:GenericLFI_QueryArguments
GenericLFI_URIPATH

Inspeciona a presença de explorações de inclusão local de arquivos (LFI) no caminho do URI. Exemplos incluem tentativas de path traversal usando técnicas como ../../.

Ação de regra: Block

Rótulo: awswaf:managed:aws:core-rule-set:GenericLFI_URIPath
GenericLFI_BODY

Inspeciona a presença de explorações de inclusão local de arquivos (LFI) no corpo da solicitação. Exemplos incluem tentativas de path traversal usando técnicas como ../../.

Atenção

Essa regra inspeciona apenas o corpo da solicitação até o limite de tamanho do corpo para o pacote de proteção (ACL da Web) e o tipo de recurso. Para o Application Load Balancer e o AWS AppSync, o limite é fixado em 8 KB. No CloudFront, API Gateway, Amazon Cognito, App Runner e Verified Access, o limite padrão é de 16 KB e você pode aumentar o limite para até 64 KB na configuração do pacote de proteção (ACL da Web). Essa regra usa a opção Continue para tratamento de conteúdo de tamanho grande. Para obter mais informações, consulte Componentes de solicitação da Web de tamanho grande no AWS WAF.

Ação de regra: Block

Rótulo: awswaf:managed:aws:core-rule-set:GenericLFI_Body
RestrictedExtensions_URIPATH

Inspeciona as solicitações cujos caminhos de URI contêm extensões de arquivos do sistema que não são seguras para leitura ou execução. Os padrões de exemplo incluem extensões como .log e .ini.

Ação de regra: Block

Rótulo: awswaf:managed:aws:core-rule-set:RestrictedExtensions_URIPath
RestrictedExtensions_QUERYARGUMENTS

Inspeciona as solicitações cujos argumentos de consulta contêm extensões de arquivos do sistema que não são seguras para leitura ou execução. Os padrões de exemplo incluem extensões como .log e .ini.

Ação de regra: Block

Rótulo: awswaf:managed:aws:core-rule-set:RestrictedExtensions_QueryArguments
GenericRFI_QUERYARGUMENTS

Inspeciona os valores de todos os parâmetros de consulta em busca de tentativas de explorar a RFI (inclusão remota de arquivos) em aplicativos da web incorporando URLs que contêm endereços IPv4. Os exemplos incluem padrões como http://, https://, ftp://, ftps:// e file://, com um cabeçalho de host IPv4 na tentativa de exploração.

Ação de regra: Block

Rótulo: awswaf:managed:aws:core-rule-set:GenericRFI_QueryArguments
GenericRFI_BODY

Inspeciona o corpo da solicitação em busca de tentativas de explorar a RFI (inclusão remota de arquivos) em aplicativos da web incorporando URLs que contêm endereços IPv4. Os exemplos incluem padrões como http://, https://, ftp://, ftps:// e file://, com um cabeçalho de host IPv4 na tentativa de exploração.

Atenção

Essa regra inspeciona apenas o corpo da solicitação até o limite de tamanho do corpo para o pacote de proteção (ACL da Web) e o tipo de recurso. Para o Application Load Balancer e o AWS AppSync, o limite é fixado em 8 KB. No CloudFront, API Gateway, Amazon Cognito, App Runner e Verified Access, o limite padrão é de 16 KB e você pode aumentar o limite para até 64 KB na configuração do pacote de proteção (ACL da Web). Essa regra usa a opção Continue para tratamento de conteúdo de tamanho grande. Para obter mais informações, consulte Componentes de solicitação da Web de tamanho grande no AWS WAF.

Ação de regra: Block

Rótulo: awswaf:managed:aws:core-rule-set:GenericRFI_Body
GenericRFI_URIPATH

Inspeciona o caminho da URI em busca de tentativas de explorar a RFI (inclusão remota de arquivos) em aplicativos da web incorporando URLs que contêm endereços IPv4. Os exemplos incluem padrões como http://, https://, ftp://, ftps:// e file://, com um cabeçalho de host IPv4 na tentativa de exploração.

Ação de regra: Block

Rótulo: awswaf:managed:aws:core-rule-set:GenericRFI_URIPath
CrossSiteScripting_COOKIE

Inspeciona o valor dos cabeçalhos de cookies para padrões de cross-site scripting (XSS) que usam AWS WAF Instrução de regra de ataque de script entre sites integrado. Os padrões de exemplo incluem scripts como <script>alert("hello")</script>.

nota

Os detalhes da correspondência de regras nos logs do AWS WAF não são preenchidos para a versão 2.0 desse grupo de regras.

Ação de regra: Block

Rótulo: awswaf:managed:aws:core-rule-set:CrossSiteScripting_Cookie
CrossSiteScripting_QUERYARGUMENTS

Inspeciona o valor dos argumentos de consulta para padrões de cross-site scripting (XSS) que usam AWS WAF Instrução de regra de ataque de script entre sites integrado. Os padrões de exemplo incluem scripts como <script>alert("hello")</script>.

nota

Os detalhes da correspondência de regras nos logs do AWS WAF não são preenchidos para a versão 2.0 desse grupo de regras.

Ação de regra: Block

Rótulo: awswaf:managed:aws:core-rule-set:CrossSiteScripting_QueryArguments
CrossSiteScripting_BODY

Inspeciona o corpo da solicitação em busca de padrões comuns de cross-site scripting (XSS) usando o Instrução de regra de ataque de script entre sites do AWS WAF integrado. Os padrões de exemplo incluem scripts como <script>alert("hello")</script>.

nota

Os detalhes da correspondência de regras nos logs do AWS WAF não são preenchidos para a versão 2.0 desse grupo de regras.

Atenção

Essa regra inspeciona apenas o corpo da solicitação até o limite de tamanho do corpo para o pacote de proteção (ACL da Web) e o tipo de recurso. Para o Application Load Balancer e o AWS AppSync, o limite é fixado em 8 KB. No CloudFront, API Gateway, Amazon Cognito, App Runner e Verified Access, o limite padrão é de 16 KB e você pode aumentar o limite para até 64 KB na configuração do pacote de proteção (ACL da Web). Essa regra usa a opção Continue para tratamento de conteúdo de tamanho grande. Para obter mais informações, consulte Componentes de solicitação da Web de tamanho grande no AWS WAF.

Ação de regra: Block

Rótulo: awswaf:managed:aws:core-rule-set:CrossSiteScripting_Body
CrossSiteScripting_URIPATH

Inspeciona o valor do caminho de URI para padrões de cross-site scripting (XSS) que usam AWS WAF Instrução de regra de ataque de script entre sites integrado. Os padrões de exemplo incluem scripts como <script>alert("hello")</script>.

nota

Os detalhes da correspondência de regras nos logs do AWS WAF não são preenchidos para a versão 2.0 desse grupo de regras.

Ação de regra: Block

Rótulo: awswaf:managed:aws:core-rule-set:CrossSiteScripting_URIPath

Grupo de regras gerenciadas de proteção administrativa

VendorName: AWS, Nome: AWSManagedRulesAdminProtectionRuleSet, WCU: 100

nota

Esta documentação abrange a versão estática mais recente desse grupo de regras gerenciadas. As alterações de versão são informadas no changelog em Log de alterações das regras gerenciadas da AWS. Para obter informações sobre outras versões, use o comando de API DescribeManagedRuleGroup.

As informações que publicamos sobre as regras dos grupos de regras das Regras Gerenciadas da AWS têm o objetivo de fornecer o que é necessário para você usar as regras sem fornecer a agentes mal-intencionados o que precisariam para contornar as regras.

Se precisar de mais informações, entre em contato com o AWS Support Center.

O grupo de regras de proteção de administrador contém regras que permitem bloquear o acesso externo a páginas administrativas expostas. Isso poderá ser útil se você executar software de terceiros ou quiser reduzir o risco de um agente mal-intencionado obter acesso administrativo ao aplicativo.

Esse grupo de regras gerenciadas adiciona rótulos às solicitações da Web que avalia, os quais estão disponíveis para as regras executadas após esse grupo de regras no pacote de proteção (ACL da Web). O AWS WAF também registra os rótulos nas métricas do Amazon CloudWatch. Para obter informações gerais sobre rótulos e métricas de rótulos, consulte Rotulagem de solicitações da Web e Métricas e dimensões do rótulo.

Nome da regra Descrição e rótulo
AdminProtection_URIPATH

Inspeciona caminhos de URI que geralmente são reservados para a administração de um aplicativo ou servidor web. Os padrões de exemplo incluem sqlmanager.

Ação de regra: Block

Rótulo: awswaf:managed:aws:admin-protection:AdminProtection_URIPath

Grupo de regras gerenciadas de entradas nocivas conhecidas

VendorName: AWS, Nome: AWSManagedRulesKnownBadInputsRuleSet, WCU: 200

nota

Esta documentação abrange a versão estática mais recente desse grupo de regras gerenciadas. As alterações de versão são informadas no changelog em Log de alterações das regras gerenciadas da AWS. Para obter informações sobre outras versões, use o comando de API DescribeManagedRuleGroup.

As informações que publicamos sobre as regras dos grupos de regras das Regras Gerenciadas da AWS têm o objetivo de fornecer o que é necessário para você usar as regras sem fornecer a agentes mal-intencionados o que precisariam para contornar as regras.

Se precisar de mais informações, entre em contato com o AWS Support Center.

O grupo de regras de entradas nocivas conhecidas contém regras para bloquear padrões de solicitação conhecidos como inválidos e associados à exploração ou à descoberta de vulnerabilidades. Isso pode ajudar a reduzir o risco de um agente mal-intencionado descobrir um aplicativo vulnerável.

Esse grupo de regras gerenciadas adiciona rótulos às solicitações da Web que avalia, os quais estão disponíveis para as regras executadas após esse grupo de regras no pacote de proteção (ACL da Web). O AWS WAF também registra os rótulos nas métricas do Amazon CloudWatch. Para obter informações gerais sobre rótulos e métricas de rótulos, consulte Rotulagem de solicitações da Web e Métricas e dimensões do rótulo.

Nome da regra Descrição e rótulo
JavaDeserializationRCE_HEADER

Inspeciona as chaves e os valores dos cabeçalhos de solicitação HTTP em busca de padrões que indiquem tentativas de execução remota de comando (RCE) de desserialização de Java, como as vulnerabilidades do Spring Core e Cloud Function RCE (CVE-2022-22963, CVE-2022-22965). Os padrões de exemplo incluem (java.lang.Runtime).getRuntime().exec("whoami").

Atenção

Essa regra inspeciona somente os primeiros 8 KB dos cabeçalhos da solicitação ou os primeiros 200 cabeçalhos, qualquer que seja o limite atingido primeiro, e usa a opção Continue para tratamento de conteúdo de tamanho grande. Para obter mais informações, consulte Componentes de solicitação da Web de tamanho grande no AWS WAF.

Ação de regra: Block

Rótulo: awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Header

JavaDeserializationRCE_BODY

Inspeciona o corpo da solicitação em busca de padrões que indiquem tentativas de execução remota de comando (RCE) de desserialização de Java, como as vulnerabilidades do Spring Core e Cloud Function RCE (CVE-2022-22963, CVE-2022-22965). Os padrões de exemplo incluem (java.lang.Runtime).getRuntime().exec("whoami").

Atenção

Essa regra inspeciona apenas o corpo da solicitação até o limite de tamanho do corpo para o pacote de proteção (ACL da Web) e o tipo de recurso. Para o Application Load Balancer e o AWS AppSync, o limite é fixado em 8 KB. No CloudFront, API Gateway, Amazon Cognito, App Runner e Verified Access, o limite padrão é de 16 KB e você pode aumentar o limite para até 64 KB na configuração do pacote de proteção (ACL da Web). Essa regra usa a opção Continue para tratamento de conteúdo de tamanho grande. Para obter mais informações, consulte Componentes de solicitação da Web de tamanho grande no AWS WAF.

Ação de regra: Block

Rótulo: awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Body
JavaDeserializationRCE_URIPATH

Inspeciona o URI da solicitação em busca de padrões que indiquem tentativas de execução remota de comando (RCE) de desserialização de Java, como as vulnerabilidades do Spring Core e Cloud Function RCE (CVE-2022-22963, CVE-2022-22965). Os padrões de exemplo incluem (java.lang.Runtime).getRuntime().exec("whoami").

Ação de regra: Block

Rótulo: awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_URIPath
JavaDeserializationRCE_QUERYSTRING

Inspeciona a string de consulta da solicitação em busca de padrões que indiquem tentativas de execução remota de comando (RCE) de desserialização de Java, como as vulnerabilidades do Spring Core e Cloud Function RCE (CVE-2022-22963, CVE-2022-22965). Os padrões de exemplo incluem (java.lang.Runtime).getRuntime().exec("whoami").

Ação de regra: Block

Rótulo: awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_QueryString
Host_localhost_HEADER

Inspeciona o cabeçalho do host na solicitação buscando padrões que indicam localhost. Os padrões de exemplo incluem localhost.

Ação de regra: Block

Rótulo: awswaf:managed:aws:known-bad-inputs:Host_Localhost_Header
PROPFIND_METHOD

Inspeciona o método HTTP na solicitação buscando PROPFIND, que é um método semelhante ao HEAD, mas com a intenção adicional de exfiltrar objetos XML.

Ação de regra: Block

Rótulo: awswaf:managed:aws:known-bad-inputs:Propfind_Method
ExploitablePaths_URIPATH

Inspeciona o caminho do URI buscando tentativas de acessar caminhos de aplicativos web exploráveis. Os padrões de exemplo incluem caminhos como web-inf.

Ação de regra: Block

Rótulo: awswaf:managed:aws:known-bad-inputs:ExploitablePaths_URIPath
Log4JRCE_HEADER

Inspeciona as chaves e os valores dos cabeçalhos de solicitação quanto à presença da vulnerabilidade do Log4j (CVE-2021-44228, CVE-2021-45046, CVE-2021-45105) e protege contra tentativas de execução remota de código (RCE). Os padrões de exemplo incluem ${jndi:ldap://example.com/}.

Atenção

Essa regra inspeciona somente os primeiros 8 KB dos cabeçalhos da solicitação ou os primeiros 200 cabeçalhos, qualquer que seja o limite atingido primeiro, e usa a opção Continue para tratamento de conteúdo de tamanho grande. Para obter mais informações, consulte Componentes de solicitação da Web de tamanho grande no AWS WAF.

Ação de regra: Block

Rótulo: awswaf:managed:aws:known-bad-inputs:Log4JRCE_Header
Log4JRCE_QUERYSTRING

Inspeciona as strings de consulta quanto à presença da vulnerabilidade do Log4j (CVE-2021-44228, CVE-2021-45046, CVE-2021-45105) e protege contra tentativas de execução remota de código (RCE). Os padrões de exemplo incluem ${jndi:ldap://example.com/}.

Ação de regra: Block

Rótulo: awswaf:managed:aws:known-bad-inputs:Log4JRCE_QueryString
Log4JRCE_BODY

Inspeciona o corpo quanto à presença da vulnerabilidade do Log4j (CVE-2021-44228, CVE-2021-45046, CVE-2021-45105) e protege contra tentativas de execução remota de código (RCE). Os padrões de exemplo incluem ${jndi:ldap://example.com/}.

Atenção

Essa regra inspeciona apenas o corpo da solicitação até o limite de tamanho do corpo para o pacote de proteção (ACL da Web) e o tipo de recurso. Para o Application Load Balancer e o AWS AppSync, o limite é fixado em 8 KB. No CloudFront, API Gateway, Amazon Cognito, App Runner e Verified Access, o limite padrão é de 16 KB e você pode aumentar o limite para até 64 KB na configuração do pacote de proteção (ACL da Web). Essa regra usa a opção Continue para tratamento de conteúdo de tamanho grande. Para obter mais informações, consulte Componentes de solicitação da Web de tamanho grande no AWS WAF.

Ação de regra: Block

Rótulo: awswaf:managed:aws:known-bad-inputs:Log4JRCE_Body
Log4JRCE_URIPATH

Inspeciona o caminho do URI quanto à presença da vulnerabilidade do Log4j (CVE-2021-44228, CVE-2021-45046, CVE-2021-45105) e protege contra tentativas de execução remota de código (RCE). Os padrões de exemplo incluem ${jndi:ldap://example.com/}.

Ação de regra: Block

Rótulo: awswaf:managed:aws:known-bad-inputs:Log4JRCE_URIPath