AWS 托管规则变更日志 - AWS WAF、AWS Firewall Manager、AWS Shield Advanced 和 AWS Shield 网络安全分析器

介绍 AWS WAF 的全新控制台体验

现在,您可以使用更新后的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅 使用更新的控制台体验

AWS 托管规则变更日志

本部分列出自 2019 年 11 月发布以来对适用于 AWS WAF 的 AWS 托管规则的更改。

注意

此变更日志报告了对适用于 AWS WAF 的 AWS 托管规则中的规则和规则组的更改。

对于 IP 声誉规则组,此更改日志报告规则和规则组进行了更改,并报告规则使用的 IP 地址列表的来源产生了重大更改。但未报告 IP 地址列表本身的更改,这是因为 IP 地址列表是动态的。如果对 IP 地址列表有疑问,请联系您的客户经理或在 AWS 支持 Center 开启一个案例。

规则组和规则 描述 日期
核心规则集(CRS)托管规则组

  • EC2MetaDataSSRF_BODY

  • EC2MetaDataSSRF_COOKIE

  • EC2MetaDataSSRF_URIPATH

  • EC2MetaDataSSRF_QUERYARGUMENTS

发布了此规则组的静态版本 1.20。

改进了服务器端请求伪造(SSRF)规则的检测签名。

 2025-10-02
核心规则集(CRS)托管规则组

  • CrossSiteScripting_BODY

  • CrossSiteScripting_COOKIE

  • CrossSiteScripting_QUERYARGUMENTS

  • CrossSiteScripting_URIPATH

发布了此规则组的静态版本 1.19。

改进了跨站点脚本规则的检测签名。

 2025-08-14
核心规则集(CRS)托管规则组

  • CrossSiteScripting_BODY

  • CrossSiteScripting_COOKIE

  • CrossSiteScripting_QUERYARGUMENTS

  • CrossSiteScripting_URIPATH

发布了此规则组的静态版本 1.18。

改进了跨站点脚本规则的检测签名。

 2025-06-18
AWS WAF 机器人控制功能规则组

新标签:

  • 搜索引擎机器人:

    • awswaf:managed:aws:bot-control:bot:name:evensi

    • awswaf:managed:aws:bot-control:bot:name:yisouspider

  • AI 机器人:

    • awswaf:managed:aws:bot-control:bot:name:searchbot

    • awswaf:managed:aws:bot-control:bot:name:nova_act

  • AI 机器人的组织标签:

    • awswaf:managed:aws:bot-control:bot:organization:openai

    • awswaf:managed:aws:bot-control:bot:organization:marfeel

    • awswaf:managed:aws:bot-control:bot:organization:facebook

    • awswaf:managed:aws:bot-control:bot:organization:metaexternalagent

    • awswaf:managed:aws:bot-control:bot:organization:amazon

  • 内容提取机器人:

    • awswaf:managed:aws:bot-control:bot:name:google_cloud_vertex_bot

  • 云服务提供商信号:

    • awswaf:managed:aws:bot-control:signal:cloud_service_provider:alibaba

发布了此规则组的静态版本 3.2。

添加了列出的新标签。

 2025-05-29
核心规则集(CRS)托管规则组

  • CrossSiteScripting_BODY

  • CrossSiteScripting_COOKIE

  • CrossSiteScripting_QUERYARGUMENTS

  • CrossSiteScripting_URIPATH

发布了此规则组的静态版本 1.17。

改进了跨站点脚本规则的检测签名。

 2025-03-03
AWS WAF 机器人控制功能规则组

新标签:

  • 搜索引擎机器人:

    • awswaf:managed:aws:bot-control:bot:name:evensi

    • awswaf:managed:aws:bot-control:bot:name:yisouspider

  • AI 机器人:

    • awswaf:managed:aws:bot-control:bot:name:searchbot

    • awswaf:managed:aws:bot-control:bot:name:nova_act

  • AI 机器人的组织标签:

    • awswaf:managed:aws:bot-control:bot:organization:openai

    • awswaf:managed:aws:bot-control:bot:organization:marfeel

    • awswaf:managed:aws:bot-control:bot:organization:facebook

    • awswaf:managed:aws:bot-control:bot:organization:metaexternalagent

    • awswaf:managed:aws:bot-control:bot:organization:amazon

  • 内容提取机器人:

    • awswaf:managed:aws:bot-control:bot:name:google_cloud_vertex_bot

  • 云服务提供商信号:

    • awswaf:managed:aws:bot-control:signal:cloud_service_provider:alibaba

发布了此规则组的静态版本 3.2。

添加了列出的新标签。

 2025-05-29
核心规则集(CRS)托管规则组

  • CrossSiteScripting_BODY

  • CrossSiteScripting_COOKIE

  • CrossSiteScripting_QUERYARGUMENTS

  • CrossSiteScripting_URIPATH

发布了此规则组的静态版本 1.17。

改进了跨站点脚本规则的检测签名。

 2025-03-03
SQL 数据库托管规则组

  • SQLi_COOKIE

  • SQLi_URIPATH

  • SQLi_QUERYARGUMENTS

  • SQLi_BODY

发布了此规则组的静态版本 1.3。

向列出的规则添加了双 URL_DECODE_UNI 文本转换。

 2025-01-24
Linux 操作系统托管规则组

  • LFI_HEADER

  • LFI_URIPATH

  • LFI_QUERYSTRING

发布了此规则组的静态版本 2.6。

添加了签名,以改进检测。

 2025-01-24
AWS WAF 机器人控制功能规则组

机器人控制功能标签中的新机器人名称标签:awswaf:managed:aws:bot-control:bot::name:nytimes

发布了此规则组的静态版本 3.1。

向机器人名称标签的列表添加了《纽约时报》标签。

 2024-11-07
核心规则集(CRS)托管规则组

  • CrossSiteScripting_BODY

  • CrossSiteScripting_COOKIE

  • CrossSiteScripting_QUERYARGUMENTS

  • CrossSiteScripting_URIPATH

发布了此规则组的静态版本 1.16。

改进了跨站点脚本规则的检测签名。

 2024-10-16
AWS WAF 机器人控制功能规则组

新规则:

  • TGT_TokenAbsent

  • TGT_VolumetricSessionMaximum

  • TGT_SignalBrowserAutomationExtension

  • TGT_ML_CoordinatedActivityLowTGT_ML_CoordinatedActivityMediumTGT_ML_CoordinatedActivityHigh

  • TGT_TokenReuseIpLowTGT_TokenReuseIpMediumTGT_TokenReuseIpHigh

  • TGT_TokenReuseAsnLowTGT_TokenReuseAsnMediumTGT_TokenReuseAsnHigh

  • TGT_TokenReuseCountryLowTGT_TokenReuseCountryMediumTGT_TokenReuseCountryHigh

已删除规则:

  • TGT_TokenReuseIp 替换为相应的低、中和高等新规则。

新标签:

  • HTTP 库机器人:

    • awswaf:managed:aws:bot-control:bot:name:fasthttp

  • AI 机器人:

    • awswaf:managed:aws:bot-control:bot:name:bedrockbot

    • awswaf:managed:aws:bot-control:bot:name:claudebot

    • awswaf:managed:aws:bot-control:bot:name:anthropic

    • awswaf:managed:aws:bot-control:bot:name:metaexternalagent

    • awswaf:managed:aws:bot-control:bot:name:bytespider

    • awswaf:managed:aws:bot-control:bot:name:omgili

    • awswaf:managed:aws:bot-control:bot:name:diffbot

    • awswaf:managed:aws:bot-control:bot:name:perplexitybot

    • awswaf:managed:aws:bot-control:bot:name:timpibot

    • awswaf:managed:aws:bot-control:bot:name:cohere

  • 搜索引擎机器人:

    • awswaf:managed:aws:bot-control:bot:name:naver

  • 广告机器人:

    • awswaf:managed:aws:bot-control:bot:name:naver_ads

  • 社交媒体机器人:

    • awswaf:managed:aws:bot-control:bot:name:snapchat

  • 内容提取机器人:

    • awswaf:managed:aws:bot-control:bot:name:naver_preview

    • awswaf:managed:aws:bot-control:bot:name:censys

    • awswaf:managed:aws:bot-control:bot:name:imessage_preview

    • awswaf:managed:aws:bot-control:bot:name:imagesift

  • 云服务提供商信号:

    • awswaf:managed:aws:bot-control:signal:cloud_service_provider:aws

    • awswaf:managed:aws:bot-control:signal:cloud_service_provider:azure

    • awswaf:managed:aws:bot-control:signal:cloud_service_provider:gcp

    • awswaf:managed:aws:bot-control:signal:cloud_service_provider:oracle

    • awswaf:managed:aws:bot-control:signal:cloud_service_provider:digital_ocean

    • awswaf:managed:aws:bot-control:signal:cloud_service_provider:akamai

    • awswaf:managed:aws:bot-control:signal:cloud_service_provider:cloudflare

    • awswaf:managed:aws:bot-control:signal:cloud_service_provider:ibm_cloud

现有规则中的附加标签。

发布了此规则组的静态版本 2.0 和 3.0。版本 2.0 与版本 3.0 相同,但所有新规则的规则操作都设为 Count。本指南列明了每个规则组的最新版本。

添加了列出的新规则。

更新了标签,以便所有规则都能应用带 awswaf:managed:aws:bot-control:<RuleName> 模式的标签。

在机器人控制功能信号标签中添加了云服务提供商标签。

添加了新的机器人名称标签,可通过机器人类别规则进行检查。

 2024-09-13
AWS WAF 欺诈控制账户盗用防护(ATP)规则组

所有规则

发布了此规则组的静态版本 1.1。

更新了标签,以便所有规则都能应用带 awswaf:managed:aws:atp:<RuleName> 模式的标签。

 2024-09-13
AWS WAF 欺诈控制账户创建欺诈预防(ACFP)规则组

所有规则

发布了此规则组的静态版本 1.1。

更新了标签,以便所有规则都能应用带 awswaf:managed:aws:acfp:<RuleName> 模式的标签。

 2024-09-13
Linux 操作系统托管规则组

所有规则

发布了此规则组的静态版本 2.5。

添加了签名,以改进检测。

 2024-09-02
核心规则集(CRS)托管规则组

  • GenericLFI_QUERYARGUMENTS

  • GenericLFI_URIPATH

  • GenericLFI_BODY

发布了此规则组的静态版本 1.15。

改进了通用 LFI 规则的检测签名。

 2024-08-30
Windows 操作系统托管规则组

  • WindowsShellCommands_QUERYARGUMENTS

  • WindowsShellCommands_BODY

  • WindowsShellCommands_COOKIE

发布了此规则组的静态版本 2.3。

调整了列示规则的检测签名,以减少误报。

 2024-08-28
WordPress 应用程序托管规则组

  • WordPressExploitableCommands_QUERYSTRING

发布了此规则组的静态版本 1.3。

向列示规则添加了 JS_DECODE 文本转换。

 2024-07-15
Linux 操作系统托管规则组

  • LFI_QUERYSTRING

发布了此规则组的静态版本 2.4。

向列示规则添加了 JS_DECODE 文本转换。

 2024-07-12
核心规则集(CRS)托管规则组

  • EC2MetaDataSSRF_BODY

  • EC2MetaDataSSRF_QUERYARGUMENTS

  • GenericLFI_QUERYARGUMENTS

  • GenericLFI_BODY

  • RestrictedExtensions_QUERYARGUMENTS

  • GenericRFI_QUERYARGUMENTS

  • GenericRFI_BODY

  • CrossSiteScripting_QUERYARGUMENTS

  • CrossSiteScripting_BODY

  • CrossSiteScripting_COOKIE

  • CrossSiteScripting_URIPATH

发布了此规则组的静态版本 1.14。

向列示规则添加了 JS_DECODE 文本转换。

 2024-07-09
PHP 应用程序托管规则组

  • PHPHighRiskMethodsVariables_BODY

  • PHPHighRiskMethodsVariables_QUERYSTRING

发布了此规则组的静态版本 2.1。

向列示规则添加了 JS_DECODE 文本转换。

 2024-07-03
Windows 操作系统托管规则组

  • WindowsShellCommands_QUERYARGUMENTS

  • WindowsShellCommands_BODY

  • PowerShellCommands_QUERYARGUMENTS

  • PowerShellCommands_BODY

发布了此规则组的静态版本 2.2。

向列示规则添加了 JS_DECODE 文本转换。

 2024-07-03
Linux 操作系统托管规则组

所有规则

发布了此规则组的静态版本 2.3。

添加了签名,以改进检测。

 2024-06-06

AWS WAF 机器人控制功能规则组

AWS WAF 欺诈控制账户盗用防护(ATP)规则组

AWS WAF 欺诈控制账户创建欺诈预防(ACFP)规则组

机器人和欺诈规则组现已采用版本控制。如果您使用其中任何一个规则组,则此更新不会改变规则组处理 Web 流量的方式。

此更新将当前规则组版本设为静态 1.0 版,并将默认版本设为指向此版本。

有关版本管控规则的更多信息,请参阅以下内容:

 2024-05-29
POSIX 操作系统托管规则组

  • UNIXShellCommandsVariables_QUERYARGUMENTS

  • UNIXShellCommandsVariables_QUERYSTRING

  • UNIXShellCommandsVariables_HEADER

  • UNIXShellCommandsVariables_BODY

发布了此规则组的静态版本 3.0。

已删除 UNIXShellCommandsVariables_QUERYARGUMENTS 并替换为 UNIXShellCommandsVariables_QUERYSTRING。如果您的规则匹配 UNIXShellCommandsVariables_QUERYARGUMENTS 的标签,则在使用此版本时,请将其切换为匹配 UNIXShellCommandsVariables_QUERYSTRING 上的标签。新标签为 awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_QueryString

添加了匹配所有标题的规则 UNIXShellCommandsVariables_HEADER

使用改进的检测逻辑,更新了托管规则组中的所有规则。

更正了所记录的 UNIXShellCommandsVariables_BODY 标签的大小写。

 2024-05-28
核心规则集(CRS)托管规则组

  • CrossSiteScripting*

发布了此规则组的静态版本 1.12。

将签名添加到所有跨站点脚本规则中,以改进检测并减少误报。

 2024-05-21
SQL 数据库托管规则组

  • SQLi_BODY

  • SQLi_QUERYARGUMENTS

  • SQLiExtendedPatterns_QUERYARGUMENTS

发布了此规则组的静态版本 1.2。

向列示规则添加了 JS_DECODE 文本转换。

 2024-05-14
已知错误输入托管规则组

  • JavaDeserializationRCE_BODY

  • JavaDeserializationRCE_QUERYSTRING

  • Log4JRCE_QUERYSTRING

  • Log4JRCE_BODY

  • Log4JRCE_HEADER

发布了此规则组的静态版本 1.22。

向列示规则添加了 JS_DECODE 文本转换。

 2024-05-08
POSIX 操作系统托管规则组

发布了此规则组的静态版本 2.2。

为两条规则新增了 JS_DECODE 文本转换。

 2024-05-08
Windows 操作系统托管规则组

  • PowerShellCommands_BODY

发布了此规则组的静态版本 2.1。

PowerShellCommands_BODY 添加了签名,以改进检测。

 2024-05-03
Amazon IP 声誉列表托管规则组

  • AWSManagedIPReputationList

更新了 IP 声誉列表的来源,以加强对主动参与恶意活动的地址的识别并减少误报。

此次更新不涉及新版本,因为此规则组未采用版本控制。

 2024-03-13
已知错误输入托管规则组

发布了此规则组的静态版本 1.21。

添加了签名以改进检测并减少误报。

 2023-12-16
已知错误输入托管规则组

  • ExploitablePaths_URIPATH

发布了此规则组的静态版本 1.20。

更新了 ExploitablePaths_URIPATH 规则,以增加对与“Atlassian Confluence CVE-2023-22518 授权不当”漏洞相匹配的请求的检测。此漏洞会影响所有版本的 Confluence 数据中心和服务器。有关更多信息,请参阅 NIST:国家漏洞数据库:CVE-2023-22518 详细信息

 2023-12-14
核心规则集(CRS)托管规则组

  • CrossSiteScripting*

发布了此规则组的静态版本 1.11。

将签名添加到所有跨站点脚本规则中,以改进检测并减少误报。

 2023-12-06
AWS WAF 机器人控制功能规则组

  • 新标签:awswaf:managed:aws:bot-control:targeted:aggregate:coordinated_activity:low

将协调活动低标签添加到规则组的目标保护级别标签中。此标签未与任何规则关联。此标签是对中高级规则和标签的补充。

 2023-12-05
机器人控制功能标签

  • 标签:awswaf:managed:aws:bot-control:targeted:signal:browser_automation_extension

向规则组添加了一个信号标签,指示检测到有助于自动化的浏览器扩展。此标签并非特定于单个规则。

 2023-11-14
核心规则集(CRS)托管规则组

  • EC2MetaDataSSRF_QUERYARGUMENTS

发布了此规则组的静态版本 1.10。

更新了一条规则,以改进检测并减少误报。

 2023-11-02
核心规则集(CRS)托管规则组

  • EC2MetaDataSSRF_BODY

  • EC2MetaDataSSRF_COOKIE

  • EC2MetaDataSSRF_URIPATH

  • EC2MetaDataSSRF_QUERYARGUMENTS

发布了此规则组的静态版本 1.9。

更新了规则,以改进检测并减少误报。

 2023-10-30
POSIX 操作系统托管规则组

  • UNIXShellCommandsVariables_QUERYARGUMENTS

发布了此规则组的静态版本 2.1。

更新了查询参数规则,以改进检测。

 2023-10-12
核心规则集(CRS)托管规则组

  • GenericLFI_QUERYARGUMENTS

  • GenericLFI_URIPATH

  • RestrictedExtensions_URIPATH

  • RestrictedExtensions_QUERYARGUMENTS

发布了此规则组的静态版本 1.8。

更新了规则,以改进检测。

 2023-10-11
已知错误输入托管规则组

  • ExploitablePaths_URIPATH

异常部署:发布了此规则组的静态版本 1.19。更新了默认版本,以使用 1.19。

更新了 ExploitablePaths_URIPATH 规则,以增加对与 Atlassian Confluence CVE-2023-22515 权限升级漏洞相匹配的请求的检测。此漏洞会影响某些版本的 Atlassian Confluence。有关更多信息,请参阅 NIST:国家漏洞数据库:CVE-2023-22515 详细信息Atlassian Support:CVE-2023-22515 常见问题解答

有关部署类型的信息,请参阅 AWS 托管规则的异常部署

 2023-10-04
已知错误输入托管规则组

  • Host_localhost_HEADER

  • Log4J*

  • JavaDeserialization*

异常部署:发布了此规则组的静态版本 1.18。这是此静态版本的快速推出,以适应版本 1.19 的创建和推出。

更新了 Host_localhost_HEADER 规则以及所有 Log4J 和 Java 反序列化规则,以改进检测。

有关部署类型的信息,请参阅 AWS 托管规则的异常部署

 2023-10-04
AWS WAF 机器人控制功能规则组

  • TGT_TokenReuseIp

  • TGT_ML_CoordinatedActivityMedium

  • TGT_ML_CoordinatedActivityHigh

向规则组添加了带有 Count 操作的规则。

令牌重用 IP 规则可检测并计算通过 IP 地址共享的令牌。

协调活动规则使用对网站流量的自动机器学习 (ML) 分析来检测与机器人相关的活动。在规则组配置中,您可以选择退出使用 ML。在此版本中,当前使用目标保护级别的客户可以选择使用机器学习。选择退出将禁用协调活动规则。

 2023-09-06
AWS WAF 机器人控制功能规则组

  • CategoryAI

已将规则 CategoryAI 添加到规则组中。

 2023-08-30
核心规则集(CRS)托管规则组

  • RestrictedExtensions_URIPATH

  • RestrictedExtensions_QUERYARGUMENTS

  • EC2MetaDataSSRF_COOKIE

  • EC2MetaDataSSRF_QUERYARGUMENTS

  • EC2MetaDataSSRF_BODY

  • EC2MetaDataSSRF_URIPATH

发布了此规则组的静态版本 1.7。

更新了受限扩展和 EC2 元数据 SSRF 规则,以改进检测并减少误报。

 2023-07-26
AWS WAF 欺诈控制账户创建欺诈预防(ACFP)规则组

新规则组中的所有规则

 添加了规则组 AWSManagedRulesACFPRuleSet 2023-06-13
Linux 操作系统托管规则组

  • LFI_HEADER

  • LFI_URIPATH

  • LFI_QUERYSTRING

发布了此规则组的静态版本 2.2。

添加了签名,以改进检测。

 2023-05-22
核心规则集(CRS)托管规则组

  • RestrictedExtensions_URIPATH

  • RestrictedExtensions_QUERYARGUMENTS

  • CrossSiteScripting_COOKIE

  • CrossSiteScripting_QUERYARGUMENTS

  • CrossSiteScripting_BODY

  • CrossSiteScripting_URIPATH

发布了此规则组的静态版本 1.6。

更新了跨站脚本攻击(XSS)和受限扩展规则,以改进检测并减少误报。

 2023-04-28
PHP 应用程序托管规则组

  • 更新了 PHPHighRiskMethodsVariables_BODY

  • 删除了 PHPHighRiskMethodsVariables_QUERYARGUMENTS

  • 添加了 PHPHighRiskMethodsVariables_QUERYSTRING

  • 添加了 PHPHighRiskMethodsVariables_HEADER

发布了此规则组的静态版本 2.0。

添加了签名,以改进所有规则中的检测。

已将规则 PHPHighRiskMethodsVariables_QUERYARGUMENTS 替换为 PHPHighRiskMethodsVariables_QUERYSTRING,它会检查整个查询字符串,而不仅仅是查询参数。

添加了规则 PHPHighRiskMethodsVariables_HEADER,以扩大覆盖范围,纳入所有标头。

更新了以下标签,使其与标准 AWS 托管规则标签保持一致:

  • 旧名称:PHPHighRiskMethodsVariables_BODY 新名称:PHPHighRiskMethodsVariables_Body

  • 旧名称:PHPHighRiskMethodsVariables_QUERYARGUMENTS 新名称:PHPHighRiskMethodsVariables_QueryString

 2023-02-27
AWS WAF 欺诈控制账户盗用防护(ATP)规则组

  • VolumetricIpFailedLoginResponseHigh

  • VolumetricSessionFailedLoginResponseHigh

添加了登录响应检查规则,用于受保护的 Amazon CloudFront 分配。这些规则可以阻止来自 IP 地址和客户端会话的新登录尝试,这些地址和客户端会话最近导致的登录尝试失败次数过多。

 2023-02-15
核心规则集(CRS)托管规则组

  • NoUserAgent_HEADER

  • CrossSiteScripting_COOKIE

  • CrossSiteScripting_QUERYARGUMENTS

  • CrossSiteScripting_BODY

  • CrossSiteScripting_URIPATH

发布了此规则组的静态版本 1.5。

更新了跨站脚本攻击(XSS)筛选器,以改进检测。

 2023-01-25
Linux 操作系统托管规则组

  • LFI_COOKIE:已删除

  • LFI_HEADER:已添加

  • LFI_URIPATH

  • LFI_QUERYSTRING

发布了此规则组的静态版本 2.1。

删除了规则 LFI_COOKIE 及其标签 awswaf:managed:aws:linux-os:LFI_Cookie,并替换为新规则 LFI_HEADER 及其标签 awswaf:managed:aws:linux-os:LFI_Header。此更改将检查范围扩展到多个标头。

已为所有规则添加文本转换和签名,以改进检测。

 2022-12-15
核心规则集(CRS)托管规则组

  • NoUserAgent_HEADER

  • CrossSiteScripting_COOKIE

  • CrossSiteScripting_QUERYARGUMENTS

  • CrossSiteScripting_BODY

  • CrossSiteScripting_URIPATH

发布了此规则组的静态版本 1.4。

已在 NoUserAgent_HEADER 中添加文本转换,以删除所有空字节。更新了跨站点脚本规则中的筛选器,以改进检测。

 2022-12-05
已知错误输入托管规则组

  • JavaDeserializationRCE_BODY

  • JavaDeserializationRCE_URIPATH

  • JavaDeserializationRCE_HEADER

  • JavaDeserializationRCE_QUERYSTRING

  • Host_localhost_HEADER

发布了此规则组的静态版本 1.17。

更新了 Java 反序列化规则,并增加了对与 Apache CVE-2022-42889 匹配的请求的检测,它是 1.10.0 之前的 Apache Commons Text 版本中的远程代码执行 (RCE) 漏洞。有关更多信息,请参阅 NIST:国家漏洞数据库:CVE-2022-42889 详细信息CVE-2022-42889:由于不安全的插值默认设置,1.10.0 之前的 Apache Commons Text 在应用于不受信任的输入时允许 RCE

改进了 Host_localhost_HEADER 中的检测。

 2022-10-20
已知错误输入托管规则组

  • Log4JRCE_HEADER

  • Log4JRCE_QUERYSTRING

  • Log4JRCE_URIPATH

  • Log4JRCE_BODY

发布了此规则组的静态版本 1.16。

删除了 AWS 在 1.15 版本中识别的误报。

 2022-10-05

POSIX 操作系统托管规则组

PHP 应用程序托管规则组

WordPress 应用程序托管规则组

更正了记录在案的标签名称。

 2022-09-19
IP 声誉规则组

  • AWSManagedIPDDoSList

此更改不会改变规则组处理 Web 流量的方式。

根据 Amazon 威胁情报,添加了一项新规则,其中包含检查积极参与 DDoS 活动的 IP 地址的 Count 行动。

 2022-08-30
已知错误输入托管规则组

  • Log4JRCE

  • Log4JRCE_HEADER

  • Log4JRCE_QUERYSTRING

  • Log4JRCE_URIPATH

  • Log4JRCE_BODY

  • JavaDeserializationRCE_HEADER

  • JavaDeserializationRCE_BODY

  • JavaDeserializationRCE_URIPATH

  • JavaDeserializationRCE_QUERYSTRING

  • Host_localhost_HEADER

  • PROPFIND_METHOD

发布了此规则组的静态版本 1.15。

删除了 Log4JRCE,并将其替换为 Log4JRCE_HEADERLog4JRCE_QUERYSTRINGLog4JRCE_URILog4JRCE_BODY,以便对误报进行更精细的监控和管理。

添加了签名,以改进对 PROPFIND_METHOD 和所有 JavaDeserializationRCE*Log4JRCE* 规则的检测和阻止。

更新了标签,以更正 Host_localhost_HEADER 和所有 JavaDeserializationRCE* 规则中的大小写。

更正了的 JavaDeserializationRCE_HEADER 描述。

 2022-08-22
AWS WAF 欺诈控制账户盗用防护(ATP)规则组

  • UnsupportedCognitoIDP

添加了一条规则,禁止对 Amazon Cognito 用户群体 Web 流量使用账户防盗托管规则组。

 2022-08-11
核心规则集(CRS)托管规则组

AWS 已为规则组的版本 Version_1.2Version_2.0 计划到期。这些版本将于 2022 年 9 月 9 日到期。有关版本到期的信息,请参阅 在 AWS WAF 中使用受版本控制的托管规则组

 2022-06-09
核心规则集(CRS)托管规则组

  • GenericLFI_URIPATH

    GenericRFI_URIPATH

发布了此规则组的版本 1.3。此版本更新了规则 GenericLFI_URIPATHGenericRFI_URIPATH 中的匹配签名,以改进检测。

 2022-05-24
AWS WAF 机器人控制功能规则组

  • CategoryEmailClient

已将规则 CategoryEmailClient 添加到规则组中。

 2022-04-06
已知错误输入托管规则组

  • JavaDeserializationRCE_HEADER

  • JavaDeserializationRCE_BODY

  • JavaDeserializationRCE_URI

  • JavaDeserializationRCE_QUERYSTRING

发布了此规则组的版本 1.14。四条 JavaDeserializtionRCE 规则已移至 Block 模式。

 2022-03-31
已知错误输入托管规则组

  • JavaDeserializationRCE_HEADER_RC_COUNT

  • JavaDeserializationRCE_BODY_RC_COUNT

  • JavaDeserializationRCE_URI_RC_COUNT

  • JavaDeserializationRCE_QUERYSTRING_RC_COUNT

发布了此规则组的版本 1.13。更新了 Spring Core 和云函数 RCE 漏洞的文本转换。这些规则处于计数模式,用于收集指标并评估匹配的模式。该标签可用于阻止自定义规则中的请求。后续版本将在区块模式下使用这些规则进行部署。

 2022-03-31
已知错误输入托管规则组

  • JavaDeserializationRCE_HEADER_RC_COUNT

  • JavaDeserializationRCE_BODY_RC_COUNT

  • JavaDeserializationRCE_URI_RC_COUNT

  • JavaDeserializationRCE_QUERYSTRING_RC_COUNT

  • Log4JRCE_HEADER

  • Log4JRCE_QUERYSTRING

  • Log4JRCE_URI

  • Log4JRCE_BODY

  • Log4JRCE

发布了此规则组的版本 1.12。已为 Spring Core 和云函数 RCE 漏洞添加签名。这些规则处于计数模式,用于收集指标并评估匹配的模式。该标签可用于阻止自定义规则中的请求。后续版本将在区块模式下使用这些规则进行部署。

删除了规则Log4JRCE_HEADERLog4JRCE_QUERYSTRINGLog4JRCE_URILog4JRCE_BODY,并将其替换为规则 Log4JRCE

 2022-03-30
IP 声誉规则组

  • AWSManagedReconnaissanceList

 更新了 AWSManagedReconnaissanceList 规则,将操作从计数改为阻止。 2022-02-15
AWS WAF 欺诈控制账户盗用防护(ATP)规则组

新规则组中的所有规则

 添加了规则组 AWSManagedRulesATPRuleSet 2022-02-11
已知错误输入托管规则组

  • Log4JRCE

  • Log4JRCE_HEADER

  • Log4JRCE_QUERYSTRING

  • Log4JRCE_URI

  • Log4JRCE_BODY

发布了此规则组的版本 1.9。为了灵活使用此功能,删除了规则 Log4JRCE,并将其替换为规则 Log4JRCE_HEADERLog4JRCE_QUERYSTRINGLog4JRCE_URILog4JRCE_BODY。添加了签名,以改进检测和阻止。

 2022-01-28
核心规则集(CRS)

  • CrossSiteScripting_URIPATH

  • CrossSiteScripting_BODY

  • CrossSiteScripting_QUERYARGUMENTS

  • CrossSiteScripting_COOKIE

发布了此规则组的版本 2.0。对于这些规则,调整了检测签名,以减少误报。将 URL_DECODE 文本转换替换为双 URL_DECODE_UNI 文本转换。新增了 HTML_ENTITY_DECODE 文本转换。

 2022-01-10
核心规则集(CRS)

  • RestrictedExtensions_URIPATH

  • RestrictedExtensions_QUERYARGUMENTS

作为该规则组版本 2.0 的一部分,新增了 URL_DECODE_UNI 文本转换。已从 URL_DECODE 文本转换中移除 RestrictedExtensions_URIPATH

 2022-01-10
SQL 数据库

  • SQLi_BODY

  • SQLi_QUERYARGUMENTS

  • SQLi_COOKIE

  • SQLi_URIPATH

  • SQLiExtendedPatterns_BODY

  • SQLiExtendedPatterns_QUERYARGUMENTS

发布了此规则组的版本 2.0。将 URL_DECODE 文本转换替换为双 URL_DECODE_UNI 文本转换,并新增了 COMPRESS_WHITE_SPACE 文本转换。

SQLiExtendedPatterns_QUERYARGUMENTS 中添加了更多检测签名。

SQLi_BODY 中添加了 JSON 检查。

添加了规则 SQLiExtendedPatterns_BODY

删除了规则 SQLi_URIPATH

 2022-01-10
已知错误输入

  • Log4JRCE

发布了规则 Log4JRCE 的 1.8 版,以改进标头检查和匹配条件。

 2021-12-17
已知错误输入

  • Log4JRCE

发布了规则 Log4JRCE 的 1.4 版,用于调整匹配条件并检查其他标头。发布了版本 1.5,以调整匹配条件。

 2021-12-11
已知错误输入

  • Log4JRCE

  • BadAuthToken_COOKIE_AUTHORIZATION

为回应 Log4j 中最近披露的安全问题,添加了规则 Log4JRCE 版本 1.2。有关信息,请参阅 CVE-2021-44228 此规则用于检查常用 URI 路径、查询字符串、请求正文的前 8KB 和常用标头。该规则使用双 URL_DECODE_UNI 文本转换。发布了 Log4JRCE 的 1.3 版,以调整匹配条件并检查其他标头。

删除了规则 BadAuthToken_COOKIE_AUTHORIZATION

 2021-12-10

下表列出了 2021 年 12 月之前的变更。

规则组和规则 描述 日期
Amazon IP 声誉列表

AWSManagedReconnaissanceList

 在监控/计数模式下添加了 AWSManagedReconnaissanceList 规则。此规则包含正在对 AWS 资源进行侦察的 IP 地址。 2021-11-23
Windows 操作系统

WindowsShellCommands

PowerShellCommands

为 WindowsShell 命令添加了三条新规则:WindowsShellCommands_COOKIEWindowsShellCommands_QUERYARGUMENTSWindowsShellCommands_BODY

添加了新的 PowerShell 规则:PowerShellCommands_COOKIE

通过删除字符串 _Set1 和 _Set2 重构了 PowerShellComands 规则命名。

PowerShellRules 中添加了更全面的检测签名。

为所有 Windows 操作系统规则添加了 URL_DECODE_UNI 文本转换。

 2021-11-23
Linux 操作系统

LFI_URIPATH

LFI_QUERYSTRING

LFI_BODY

LFI_COOKIE

将双 URL_DECODE 文本转换替换为双 URL_DECODE_UNI

添加了 NORMALIZE_PATH_WIN 作为第二个文本转换。

LFI_BODY 规则替换为 LFI_COOKIE 规则。

为所有 LFI 规则添加了更全面的检测签名。

 2021-11-23
核心规则集(CRS)

SizeRestrictions_BODY

 降低了大小限制,以阻止正文有效负载大于 8 KB 的 Web 请求。以前,该限制为 10 KB。 2021-10-27
核心规则集(CRS)

EC2MetaDataSSRF_BODY

EC2MetaDataSSRF_COOKIE

EC2MetaDataSSRF_URIPATH

EC2MetaDataSSRF_QUERYARGUMENTS

 添加了更多检测签名。添加了双 Unicode 网址解码,以改善阻止效果。 2021-10-27
核心规则集(CRS)

GenericLFI_QUERYARGUMENTS

GenericLFI_URIPATH

RestrictedExtensions_URIPATH

RestrictedExtensions_QUERYARGUMENTS

 添加了双 Unicode 网址解码,以改善阻止效果。 2021-10-27
核心规则集(CRS)

GenericRFI_QUERYARGUMENTS

GenericRFI_BODY

GenericRFI_URIPATH

 根据客户反馈更新了规则签名以减少误报。添加了双 Unicode 网址解码,以改善阻止效果。 2021-10-27
全部

所有规则

 为所有尚不支持标签的规则添加了对 AWS WAF 标签的支持。 2021-10-25
Amazon IP 声誉列表

AWSManagedIPReputationList_xxxx

 重组了 IP 声誉列表,删除了规则名称中的后缀,并增加了对 AWS WAF 标签的支持。 2021-05-04
匿名 IP 列表

AnonymousIPList

HostingProviderList

 增加了对 AWS WAF 标签 的支持。 2021-05-04
机器人控制功能 全部 添加了机器人控制功能规则集。 2021-04-01
核心规则集(CRS)

GenericRFI_QUERYARGUMENTS

 添加了双重 URL 解码。 2021-03-03
核心规则集(CRS)

RestrictedExtensions_URIPATH

 改进了规则的配置并添加了额外的 URL 解码。 2021-03-03
管理保护

AdminProtection_URIPATH

 添加了双重 URL 解码。 2021-03-03
已知错误输入

ExploitablePaths_URIPATH

 改进了规则的配置并添加了额外的 URL 解码。 2021-03-03
Linux 操作系统

LFI_QUERYARGUMENTS

 改进了规则的配置并添加了额外的 URL 解码。 2021-03-03
Windows 操作系统 全部 改进了规则的配置。 2020-09-23
PHP 应用程序

PHPHighRiskMethodsVariables_QUERYARGUMENTS

PHPHighRiskMethodsVariables_BODY

 将文本转换从 HTML 解码更改为 URL 解码,以改善阻止。 2020-09-16
POSIX 操作系统

UNIXShellCommandsVariables_QUERYARGUMENTS

UNIXShellCommandsVariables_BODY

 将文本转换从 HTML 解码更改为 URL 解码,以改善阻止。 2020-09-16
核心规则集

GenericLFI_QUERYARGUMENTS

GenericLFI_URIPATH

GenericLFI 正文

 将文本转换从 HTML 解码更改为 URL 解码,以改善阻止。 2020-08-07
Linux 操作系统

LFI_URIPATH

LFI_QUERYARGUMENTS

LFI_BODY

 将文本转换从 HTML 实体解码更改为 URL 解码,以改善检测和阻止。 2020-05-19
匿名 IP 列表 全部 IP 声誉规则组 中新的规则组可阻止来自以下这些服务的请求:这些服务允许对查看者身份进行模糊处理,以帮助缓解自动程序和规避地理限制的情况。 2020-03-06
WordPress 应用程序

WordPressExploitableCommands_QUERYSTRING

 用于检查查询字符串中是否存在可利用的命令的新规则。 2020-03-03
核心规则集(CRS)

SizeRestrictions_QUERYSTRING

SizeRestrictions_Cookie_HEADER

SizeRestrictions_BODY

SizeRestrictions_URIPATH

 调整了大小值约束以提高准确性。 2020-03-03
SQL 数据库

SQLi_URIPATH

 这些规则现在会检查消息 URI。 2020-01-23
SQL 数据库

SQLi_BODY

SQLi_QUERYARGUMENTS

SQLi_COOKIE

 更新了文本转换。 2019-12-20
核心规则集(CRS)

CrossSiteScripting_URIPATH

CrossSiteScripting_BODY

CrossSiteScripting_QUERYARGUMENTS

CrossSiteScripting_COOKIE

 更新了文本转换。 2019-12-20