Conjunto de reglas básicas (CRS)Protección de administración Entradas incorrectas conocidas

Grupos de reglas de base de referencia

Los grupos de reglas administrados de base de referencia proporcionan protección general contra una amplia variedad de amenazas comunes. Elija uno o varios de estos grupos de reglas para establecer la protección de base de referencia para los recursos.

nota

La información que publicamos sobre las reglas de los grupos de reglas AWS administradas tiene por objeto proporcionarle suficiente información para utilizarlas, pero no proporciona información que los delincuentes puedan utilizar para eludir las reglas. Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el centro de AWS Support.

Grupo de reglas administrado del conjunto de reglas básicas (CRS)

VendorName:AWS, Nombre:AWSManagedRulesCommonRuleSet, WCU: 700

Este grupo de reglas del conjunto de reglas básicas (CRS) contiene reglas que son generalmente aplicables a las aplicaciones web. Este brinda protección contra la explotación de una amplia gama de vulnerabilidades, incluyendo algunas de las vulnerabilidades de alto riesgo y más comunes descritas en publicaciones de OWASP tales como OWASP Top 10. Considere la posibilidad de utilizar este grupo de reglas para cualquier caso de AWS WAF uso.

Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su ACL web. AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte Etiquetas en las solicitudes web y Etiquetar métricas y dimensiones.

nota

En esta tabla, se describe la versión estática más reciente de este grupo de reglas. Para otras versiones, usa el comando API DescribeManagedRuleGroup.

Nombre de la regla	Descripción y etiqueta
`NoUserAgent_HEADER`	Inspecciona las solicitudes a las que les falta el encabezado HTTP `User-Agent`. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:NoUserAgent_Header`
`UserAgent_BadBots_HEADER`	Comprueba si hay valores de encabezado `User-Agent` comunes que indiquen que la solicitud es un badbot. Los patrones de ejemplo incluyen `nessus` y `nmap`. Para obtener información sobre la administración de bots, consulte también AWS WAF Grupo de reglas de control de bots. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:BadBots_Header`
`SizeRestrictions_QUERYSTRING`	Inspecciona las cadenas de consulta de URI que superen los 2048 bytes. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:SizeRestrictions_QueryString`
`SizeRestrictions_Cookie_HEADER`	Comprueba si los encabezados de las cookies tienen más de 10 240 bytes. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:SizeRestrictions_Cookie_Header`
`SizeRestrictions_BODY`	Inspecciona los cuerpos de las solicitudes que pesen más de 8 KB (8192 bytes). Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:SizeRestrictions_Body`
`SizeRestrictions_URIPATH`	Inspeccione las rutas de URI que superen los 1024 bytes. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:SizeRestrictions_URIPath`
`EC2MetaDataSSRF_BODY`	Inspecciona los intentos de sustraer metadatos de Amazon EC2 del cuerpo de la solicitud. aviso Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño del cuerpo para la ACL web y el tipo de recurso. Para Application Load Balancer y AWS AppSync, el límite se ha fijado en 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en su configuración de ACL web. Esta regla utiliza la opción `Continue` para gestionar contenido sobredimensionado. Para obtener más información, consulte Manejo de componentes de solicitudes sobredimensionadas en AWS WAF. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Body`
`EC2MetaDataSSRF_COOKIE`	Inspecciona los intentos de sustraer metadatos de Amazon EC2 de la cookie de la solicitud. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Cookie`
`EC2MetaDataSSRF_URIPATH`	Inspecciona los intentos de sustraer metadatos de Amazon EC2 de la ruta del URI de la solicitud. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_URIPath`
`EC2MetaDataSSRF_QUERYARGUMENTS`	Inspecciona los intentos de sustraer metadatos de a de los argumentos de consulta de la solicitud. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_QueryArguments`
`GenericLFI_QUERYARGUMENTS`	Inspecciona la presencia de vulnerabilidades Local File Inclusion (LFI, Inclusión Local de Archivos) en los argumentos de la consulta. Los ejemplos incluyen los intentos de recorrido de ruta utilizando técnicas como `../../`. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:GenericLFI_QueryArguments`
`GenericLFI_URIPATH`	Inspecciona la presencia de vulnerabilidades Local File Inclusion (LFI, Inclusión Local de Archivos) en la ruta del URI. Los ejemplos incluyen los intentos de recorrido de ruta utilizando técnicas como `../../`. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:GenericLFI_URIPath`
`GenericLFI_BODY`	Inspecciona la presencia de vulnerabilidades Local File Inclusion (LFI, Inclusión Local de Archivos) en el cuerpo de la solicitud. Los ejemplos incluyen los intentos de recorrido de ruta utilizando técnicas como `../../`. aviso Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño del cuerpo para la ACL web y el tipo de recurso. Para Application Load Balancer y AWS AppSync, el límite se ha fijado en 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en su configuración de ACL web. Esta regla utiliza la opción `Continue` para gestionar contenido sobredimensionado. Para obtener más información, consulte Manejo de componentes de solicitudes sobredimensionadas en AWS WAF. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:GenericLFI_Body`
`RestrictedExtensions_URIPATH`	Comprueba si hay solicitudes cuyas rutas de URI contengan extensiones de archivos del sistema que no sean seguras de leer o ejecutar. Los patrones de ejemplo incluyen extensiones como `.log` y `.ini`. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:RestrictedExtensions_URIPath`
`RestrictedExtensions_QUERYARGUMENTS`	Inspecciona las solicitudes cuyos argumentos de consulta contienen extensiones de archivo cuya lectura es insegura. Los patrones de ejemplo incluyen extensiones como `.log` y `.ini`. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:RestrictedExtensions_QueryArguments`
`GenericRFI_QUERYARGUMENTS`	Inspecciona los valores de todos los parámetros de consulta para detectar intentos de aprovechar la RFI (Inclusión Remota de Archivos) en aplicaciones web mediante la incrustación de direcciones URL que contienen direcciones IPv4. Los ejemplos incluyen patrones como `http://`, `https://`, `ftp://`, `ftps://` y `file://`, con un encabezado de host IPv4 en el intento de explotación. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:GenericRFI_QueryArguments`
`GenericRFI_BODY`	Inspecciona el cuerpo de las solicitudes para detectar intentos de aprovechar la RFI (Inclusión Remota de Archivos) en aplicaciones web mediante la incrustación de direcciones URL que contienen direcciones IPv4. Los ejemplos incluyen patrones como `http://`, `https://`, `ftp://`, `ftps://` y `file://`, con un encabezado de host IPv4 en el intento de explotación. aviso Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño del cuerpo para la ACL web y el tipo de recurso. Para Application Load Balancer y AWS AppSync, el límite se ha fijado en 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en su configuración de ACL web. Esta regla utiliza la opción `Continue` para gestionar contenido sobredimensionado. Para obtener más información, consulte Manejo de componentes de solicitudes sobredimensionadas en AWS WAF. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:GenericRFI_Body`
`GenericRFI_URIPATH`	Inspecciona la ruta de URI para detectar intentos de aprovechar la RFI (Inclusión Remota de Archivos) en aplicaciones web mediante la incrustación de direcciones URL que contienen direcciones IPv4. Los ejemplos incluyen patrones como `http://`, `https://`, `ftp://`, `ftps://` y `file://`, con un encabezado de host IPv4 en el intento de explotación. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:GenericRFI_URIPath`
`CrossSiteScripting_COOKIE`	Inspecciona los valores de los encabezados de las cookies para detectar patrones comunes de secuencias de comandos entre sitios (XSS) mediante la función integrada. AWS WAF Instrucción de regla de ataques de scripting entre sitios Los patrones de ejemplo incluyen scripts como `<script>alert("hello")</script>`. nota Los detalles de coincidencia de reglas de los AWS WAF registros no se rellenan en la versión 2.0 de este grupo de reglas. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_Cookie`
`CrossSiteScripting_QUERYARGUMENTS`	Inspecciona los valores de los argumentos de consulta para detectar patrones comunes de secuencias de comandos entre sitios (XSS) mediante la función integrada. AWS WAF Instrucción de regla de ataques de scripting entre sitios Los patrones de ejemplo incluyen scripts como `<script>alert("hello")</script>`. nota Los detalles de coincidencia de reglas de los AWS WAF registros no se rellenan en la versión 2.0 de este grupo de reglas. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_QueryArguments`
`CrossSiteScripting_BODY`	Inspecciona el cuerpo de la solicitud para detectar patrones comunes de secuencias de comandos entre sitios (XSS) mediante la función integrada. AWS WAF Instrucción de regla de ataques de scripting entre sitios Los patrones de ejemplo incluyen scripts como `<script>alert("hello")</script>`. nota Los detalles de coincidencia de reglas de los AWS WAF registros no se rellenan en la versión 2.0 de este grupo de reglas. aviso Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño del cuerpo para la ACL web y el tipo de recurso. Para Application Load Balancer y AWS AppSync, el límite se ha fijado en 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en su configuración de ACL web. Esta regla utiliza la opción `Continue` para gestionar contenido sobredimensionado. Para obtener más información, consulte Manejo de componentes de solicitudes sobredimensionadas en AWS WAF. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_Body`
`CrossSiteScripting_URIPATH`	Inspecciona el valor de la ruta del URI en busca de patrones comunes de secuencias de comandos entre sitios (XSS) mediante la función integrada. AWS WAF Instrucción de regla de ataques de scripting entre sitios Los patrones de ejemplo incluyen scripts como `<script>alert("hello")</script>`. nota Los detalles de coincidencia de reglas de los AWS WAF registros no se rellenan en la versión 2.0 de este grupo de reglas. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_URIPath`

Grupo de reglas administrado de protección de la administración

VendorName:AWS, Nombre:AWSManagedRulesAdminProtectionRuleSet, WCU: 100

Este grupo contiene reglas que permiten bloquear el acceso externo a las páginas administrativas expuestas. Esto puede resultar útil si ejecuta software de terceros o si quiere reducir el riesgo de que un actor malintencionado obtenga acceso administrativo a la aplicación.

nota

En esta tabla, se describe la versión estática más reciente de este grupo de reglas. Para otras versiones, usa el comando API DescribeManagedRuleGroup.

Nombre de la regla Descripción y etiqueta

Nombre de la regla	Descripción y etiqueta
`AdminProtection_URIPATH`	Inspecciona las rutas del URI que generalmente están reservadas para la administración de un servidor web o una aplicación. Entre los patrones de ejemplo se incluye `sqlmanager`. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:admin-protection:AdminProtection_URIPath`

AdminProtection_URIPATH

Inspecciona las rutas del URI que generalmente están reservadas para la administración de un servidor web o una aplicación. Entre los patrones de ejemplo se incluye sqlmanager.

Acción de la regla: Block

Etiqueta: awswaf:managed:aws:admin-protection:AdminProtection_URIPath

Grupo de reglas administrado de entradas incorrectas conocidas

VendorName:AWS, Nombre:AWSManagedRulesKnownBadInputsRuleSet, WCU: 200

Este grupo contiene reglas para bloquear los patrones de solicitud que se conocen por no ser válidos y que están asociados a la explotación o el descubrimiento de vulnerabilidades. Esto puede ayudar a reducir el riesgo de que un actor malintencionado descubra una aplicación vulnerable.

nota

En esta tabla, se describe la versión estática más reciente de este grupo de reglas. Para otras versiones, usa el comando API DescribeManagedRuleGroup.

Nombre de la regla	Descripción y etiqueta
`JavaDeserializationRCE_HEADER`	Inspecciona las claves y los valores de los encabezados de las solicitudes HTTP para detectar patrones que indiquen intentos de ejecución remota de comandos (RCE) de deserialización en Java, como las vulnerabilidades RCE de Spring Core y Cloud Function (CVE-202222963, CVE-202222965). Entre los patrones de ejemplo se incluye `(java.lang.Runtime).getRuntime().exec("whoami")`. aviso Esta regla solo inspecciona los primeros 8 KB de encabezados de solicitudes o los primeros 200 encabezados, el límite que se alcance primero, y utiliza la opción `Continue` para gestionar contenido de gran tamaño. Para obtener más información, consulte Manejo de componentes de solicitudes sobredimensionadas en AWS WAF. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Header`
`JavaDeserializationRCE_BODY`	Inspecciona los cuerpos de la solicitud para detectar patrones que indiquen intentos de ejecución remota de comandos (RCE) de deserialización en Java, como las vulnerabilidades de RCE de Spring Core y Cloud Function (CVE-202222963, CVE-202222965). Entre los patrones de ejemplo se incluye `(java.lang.Runtime).getRuntime().exec("whoami")`. aviso Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño del cuerpo para la ACL web y el tipo de recurso. Para Application Load Balancer y AWS AppSync, el límite se ha fijado en 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en su configuración de ACL web. Esta regla utiliza la opción `Continue` para gestionar contenido sobredimensionado. Para obtener más información, consulte Manejo de componentes de solicitudes sobredimensionadas en AWS WAF. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Body`
`JavaDeserializationRCE_URIPATH`	Inspecciona el URI de la solicitud para detectar patrones que indiquen intentos de ejecución remota de comandos (RCE) de deserialización en Java, como las vulnerabilidades de RCE de Spring Core y Cloud Function (CVE-202222963, CVE-202222965). Entre los patrones de ejemplo se incluye `(java.lang.Runtime).getRuntime().exec("whoami")`. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_URIPath`
`JavaDeserializationRCE_QUERYSTRING`	Inspecciona la cadena de la solicitud para detectar patrones que indiquen intentos de ejecución remota de comandos (RCE) de deserialización en Java, como las vulnerabilidades de RCE de Spring Core y Cloud Function (CVE-202222963, CVE-202222965). Entre los patrones de ejemplo se incluye `(java.lang.Runtime).getRuntime().exec("whoami")`. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_QueryString`
`Host_localhost_HEADER`	Inspecciona el encabezado del host en la solicitud de patrones que indican localhost. Entre los patrones de ejemplo se incluye `localhost`. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:Host_Localhost_Header`
`PROPFIND_METHOD`	Inspecciona el método HTTP en la solicitud de `PROPFIND`, que es un método similar a `HEAD`, pero con la intención adicional de sustraer objetos XML. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:Propfind_Method`
`ExploitablePaths_URIPATH`	Inspecciona la ruta del URI en busca de intentos de acceder a rutas de aplicaciones web vulnerables. Los patrones de ejemplo incluyen rutas como `web-inf`. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:ExploitablePaths_URIPath`
`Log4JRCE_HEADER`	Inspecciona las claves y los valores de los encabezados de las solicitudes para detectar la presencia de la vulnerabilidad Log4j (CVE-2021-44228, CVE-2021-45046, CVE-2021-45105) y protege contra los intentos de ejecución remota de código (RCE). Entre los patrones de ejemplo se incluye `${jndi:ldap://example.com/}`. aviso Esta regla solo inspecciona los primeros 8 KB de encabezados de solicitudes o los primeros 200 encabezados, el límite que se alcance primero, y utiliza la opción `Continue` para gestionar contenido de gran tamaño. Para obtener más información, consulte Manejo de componentes de solicitudes sobredimensionadas en AWS WAF. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_Header`
`Log4JRCE_QUERYSTRING`	Inspecciona la cadena de consulta para detectar la presencia de la vulnerabilidad Log4j (CVE-2021-44228, CVE-2021-45046, CVE-2021-45105) y la protege contra los intentos de ejecución remota de códigos (RCE). Entre los patrones de ejemplo se incluye `${jndi:ldap://example.com/}`. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_QueryString`
`Log4JRCE_BODY`	Inspecciona el cuerpo para detectar la presencia de la vulnerabilidad Log4j (CVE-2021-44228, CVE-2021-45046, CVE-2021-45105) y la protege contra los intentos de ejecución remota de códigos (RCE). Entre los patrones de ejemplo se incluye `${jndi:ldap://example.com/}`. aviso Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño del cuerpo para la ACL web y el tipo de recurso. Para Application Load Balancer y AWS AppSync, el límite se ha fijado en 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en su configuración de ACL web. Esta regla utiliza la opción `Continue` para gestionar contenido sobredimensionado. Para obtener más información, consulte Manejo de componentes de solicitudes sobredimensionadas en AWS WAF. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_Body`
`Log4JRCE_URIPATH`	Inspecciona la ruta del URI cuerpo para detectar la presencia de la vulnerabilidad Log4j (CVE-2021-44228, CVE-2021-45046, CVE-2021-45105) y la protege contra los intentos de ejecución remota de códigos (RCE). Entre los patrones de ejemplo se incluye `${jndi:ldap://example.com/}`. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_URIPath`

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

AWS Lista de grupos de reglas de Managed Rules

Grupos de reglas específicos de casos de uso

Grupos de reglas de base de referencia

nota

Grupo de reglas administrado del conjunto de reglas básicas (CRS)

nota

aviso

aviso

aviso

nota

nota

nota

aviso

nota

Grupo de reglas administrado de protección de la administración

nota

Grupo de reglas administrado de entradas incorrectas conocidas

nota

aviso

aviso

aviso

aviso