Groupes de règles de référence - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced
Ensemble de règles de base (CRS)Protection de l'administrateurEntrées erronées connues

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Groupes de règles de référence

Les groupes de règles gérées de base offrent une protection générale contre une grande variété de menaces courantes. Choisissez un ou plusieurs de ces groupes de règles pour établir une protection de base pour vos ressources.

Note

Les informations que nous publions concernant les règles des groupes de règles AWS gérées sont destinées à vous fournir suffisamment d'informations pour utiliser les règles, sans fournir d'informations que des acteurs malveillants pourraient utiliser pour contourner les règles. Si vous avez besoin de plus d'informations que celles que vous trouverez dans cette documentation, contactez le AWS Support Centre.

Groupe de règles géré par un ensemble de règles de base (CRS)

VendorName:AWS, Nom :AWSManagedRulesCommonRuleSet, WCU : 700

Le groupe de règles de base (CRS) contient des règles généralement applicables aux applications Web. Cela fournit une protection contre l'exploitation d'un large éventail de vulnérabilités, y compris certaines des vulnérabilités à haut risque et fréquentes décrites dans les publications de l'OWASP telles que le Top 10 de l'OWASP. Envisagez d'utiliser ce groupe de règles pour tous les cas AWS WAF d'utilisation.

Ce groupe de règles géré ajoute des libellés aux requêtes Web qu'il évalue, qui sont disponibles pour les règles exécutées après ce groupe de règles dans votre ACL Web. AWS WAF enregistre également les étiquettes selon les CloudWatch statistiques d'Amazon. Pour obtenir des informations générales sur les étiquettes et les mesures relatives aux étiquettes, reportez-vous Étiquettes sur les requêtes Web aux sections etMétriques et dimensions des étiquettes.

Note

Ce tableau décrit la dernière version statique de ce groupe de règles. Pour les autres versions, utilisez la commande API DescribeManagedRuleGroup.

Nom de la règle Description et étiquette
NoUserAgent_HEADER

Vérifie les requêtes pour lesquelles il manque l'User-Agenten-tête HTTP.

Action de la règle Block

Libellé : awswaf:managed:aws:core-rule-set:NoUserAgent_Header
UserAgent_BadBots_HEADER

Vérifie les valeurs User-Agent d'en-tête communes qui indiquent que la demande est un robot défectueux. Les exemples de modèles incluent nessus et nmap. Pour la gestion des bots, voir égalementAWS WAF Groupe de règles Bot Control.

Action de la règle Block

Libellé : awswaf:managed:aws:core-rule-set:BadBots_Header
SizeRestrictions_QUERYSTRING

Inspecte les chaînes de requête d'URI de plus de 2 048 octets.

Action de la règle Block

Libellé : awswaf:managed:aws:core-rule-set:SizeRestrictions_QueryString
SizeRestrictions_Cookie_HEADER

Vérifie la présence d'en-têtes de cookies de plus de 10 240 octets.

Action de la règle Block

Libellé : awswaf:managed:aws:core-rule-set:SizeRestrictions_Cookie_Header
SizeRestrictions_BODY

Vérifie les corps de demande dont la taille est supérieure à 8 Ko (8 192 octets).

Action de la règle Block

Libellé : awswaf:managed:aws:core-rule-set:SizeRestrictions_Body
SizeRestrictions_URIPATH

Inspecte les chemins d'URI de plus de 1 024 octets.

Action de la règle Block

Libellé : awswaf:managed:aws:core-rule-set:SizeRestrictions_URIPath
EC2MetaDataSSRF_BODY

Inspecte les tentatives d'exfiltration des métadonnées Amazon EC2 du corps de la demande.

Avertissement

Cette règle inspecte uniquement le corps de la demande jusqu'à la limite de taille limite pour l'ACL Web et le type de ressource. Pour Application Load Balancer et AWS AppSync, la limite est fixée à 8 Ko. Pour CloudFront API Gateway, Amazon Cognito, App Runner et Verified Access, la limite par défaut est de 16 Ko et vous pouvez l'augmenter jusqu'à 64 Ko dans votre configuration ACL Web. Cette règle utilise l'Continueoption de gestion du contenu surdimensionné. Pour plus d’informations, consultez Gestion des composants de demande surdimensionnés dans AWS WAF.

Action de la règle Block

Libellé : awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Body
EC2MetaDataSSRF_COOKIE

Détecte les tentatives d'exfiltration des métadonnées Amazon EC2 du cookie de demande.

Action de la règle Block

Libellé : awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Cookie
EC2MetaDataSSRF_URIPATH

Inspecte les tentatives d'exfiltration des métadonnées Amazon EC2 depuis le chemin de l'URI de la demande.

Action de la règle Block

Libellé : awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_URIPath
EC2MetaDataSSRF_QUERYARGUMENTS

Inspecte les tentatives d'exfiltration des métadonnées Amazon EC2 à partir des arguments de requête.

Action de la règle Block

Libellé : awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_QueryArguments
GenericLFI_QUERYARGUMENTS

Inspecte la présence d'exploits LFI (Local File Inclusion) dans les arguments de la demande. Les exemples incluent les tentatives de traversée de chemin en utilisant des techniques comme ../../.

Action de la règle Block

Libellé : awswaf:managed:aws:core-rule-set:GenericLFI_QueryArguments
GenericLFI_URIPATH

Inspecte la présence d'exploits LFI (Local File Inclusion) dans le chemin d'URI. Les exemples incluent les tentatives de traversée de chemin en utilisant des techniques comme ../../.

Action de la règle Block

Libellé : awswaf:managed:aws:core-rule-set:GenericLFI_URIPath
GenericLFI_BODY

Inspecte la présence d'exploits LFI (Local File Inclusion) dans le corps de la demande. Les exemples incluent les tentatives de traversée de chemin en utilisant des techniques comme ../../.

Avertissement

Cette règle inspecte uniquement le corps de la demande jusqu'à la limite de taille limite pour l'ACL Web et le type de ressource. Pour Application Load Balancer et AWS AppSync, la limite est fixée à 8 Ko. Pour CloudFront API Gateway, Amazon Cognito, App Runner et Verified Access, la limite par défaut est de 16 Ko et vous pouvez l'augmenter jusqu'à 64 Ko dans votre configuration ACL Web. Cette règle utilise l'Continueoption de gestion du contenu surdimensionné. Pour plus d’informations, consultez Gestion des composants de demande surdimensionnés dans AWS WAF.

Action de la règle Block

Libellé : awswaf:managed:aws:core-rule-set:GenericLFI_Body
RestrictedExtensions_URIPATH

Vérifie les demandes dont les chemins d'URI contiennent des extensions de fichiers système dont la lecture ou l'exécution ne sont pas sûres. Les exemples de modèles incluent des extensions comme .log et .ini.

Action de la règle Block

Libellé : awswaf:managed:aws:core-rule-set:RestrictedExtensions_URIPath
RestrictedExtensions_QUERYARGUMENTS

Vérifie les demandes dont les arguments de requête contiennent des extensions de fichiers système dont la lecture ou l'exécution ne sont pas sûres. Les exemples de modèles incluent des extensions comme .log et .ini.

Action de la règle Block

Libellé : awswaf:managed:aws:core-rule-set:RestrictedExtensions_QueryArguments
GenericRFI_QUERYARGUMENTS

Inspecte les valeurs de tous les paramètres de requête pour détecter les tentatives d'exploitation de RFI (Remote File Inclusion) dans les applications Web en incorporant des URL contenant des adresses IPv4. Les exemples incluent des modèles tels que http://https://,ftp://,ftps://, etfile://, avec un en-tête d'hôte IPv4 dans la tentative d'exploitation.

Action de la règle Block

Libellé : awswaf:managed:aws:core-rule-set:GenericRFI_QueryArguments
GenericRFI_BODY

Inspecte le corps de la demande pour détecter toute tentative d'exploitation de RFI (Remote File Inclusion) dans les applications Web en incorporant des URL contenant des adresses IPv4. Les exemples incluent des modèles tels que http://https://,ftp://,ftps://, etfile://, avec un en-tête d'hôte IPv4 dans la tentative d'exploitation.

Avertissement

Cette règle inspecte uniquement le corps de la demande jusqu'à la limite de taille limite pour l'ACL Web et le type de ressource. Pour Application Load Balancer et AWS AppSync, la limite est fixée à 8 Ko. Pour CloudFront API Gateway, Amazon Cognito, App Runner et Verified Access, la limite par défaut est de 16 Ko et vous pouvez l'augmenter jusqu'à 64 Ko dans votre configuration ACL Web. Cette règle utilise l'Continueoption de gestion du contenu surdimensionné. Pour plus d’informations, consultez Gestion des composants de demande surdimensionnés dans AWS WAF.

Action de la règle Block

Libellé : awswaf:managed:aws:core-rule-set:GenericRFI_Body
GenericRFI_URIPATH

Inspecte le chemin de l'URI pour détecter les tentatives d'exploitation de RFI (Remote File Inclusion) dans les applications Web en incorporant des URL contenant des adresses IPv4. Les exemples incluent des modèles tels que http://https://,ftp://,ftps://, etfile://, avec un en-tête d'hôte IPv4 dans la tentative d'exploitation.

Action de la règle Block

Libellé : awswaf:managed:aws:core-rule-set:GenericRFI_URIPath
CrossSiteScripting_COOKIE

Inspecte les valeurs des en-têtes de cookies pour détecter les modèles courants de script intersite (XSS) à l'aide de la fonction intégrée. AWS WAF Instruction d'attaque par scripts inter-site de règle Les exemples de modèles incluent des scripts comme <script>alert("hello")</script>.

Note

Les détails de correspondance des règles dans les AWS WAF journaux ne sont pas renseignés pour la version 2.0 de ce groupe de règles.

Action de la règle Block

Libellé : awswaf:managed:aws:core-rule-set:CrossSiteScripting_Cookie
CrossSiteScripting_QUERYARGUMENTS

Inspecte les valeurs des arguments de requête pour détecter les modèles de script intersite (XSS) courants à l'aide de la fonction intégrée. AWS WAF Instruction d'attaque par scripts inter-site de règle Les exemples de modèles incluent des scripts comme <script>alert("hello")</script>.

Note

Les détails de correspondance des règles dans les AWS WAF journaux ne sont pas renseignés pour la version 2.0 de ce groupe de règles.

Action de la règle Block

Libellé : awswaf:managed:aws:core-rule-set:CrossSiteScripting_QueryArguments
CrossSiteScripting_BODY

Inspecte le corps de la requête à la recherche de modèles de script intersite (XSS) courants à l'aide de la fonction intégrée. AWS WAF Instruction d'attaque par scripts inter-site de règle Les exemples de modèles incluent des scripts comme <script>alert("hello")</script>.

Note

Les détails de correspondance des règles dans les AWS WAF journaux ne sont pas renseignés pour la version 2.0 de ce groupe de règles.

Avertissement

Cette règle inspecte uniquement le corps de la demande jusqu'à la limite de taille limite pour l'ACL Web et le type de ressource. Pour Application Load Balancer et AWS AppSync, la limite est fixée à 8 Ko. Pour CloudFront API Gateway, Amazon Cognito, App Runner et Verified Access, la limite par défaut est de 16 Ko et vous pouvez l'augmenter jusqu'à 64 Ko dans votre configuration ACL Web. Cette règle utilise l'Continueoption de gestion du contenu surdimensionné. Pour plus d’informations, consultez Gestion des composants de demande surdimensionnés dans AWS WAF.

Action de la règle Block

Libellé : awswaf:managed:aws:core-rule-set:CrossSiteScripting_Body
CrossSiteScripting_URIPATH

Inspecte la valeur du chemin d'URI pour détecter les modèles de script intersite (XSS) courants à l'aide de la fonction intégrée. AWS WAF Instruction d'attaque par scripts inter-site de règle Les exemples de modèles incluent des scripts comme <script>alert("hello")</script>.

Note

Les détails de correspondance des règles dans les AWS WAF journaux ne sont pas renseignés pour la version 2.0 de ce groupe de règles.

Action de la règle Block

Libellé : awswaf:managed:aws:core-rule-set:CrossSiteScripting_URIPath

Groupe de règles géré par la protection des administrateurs

VendorName:AWS, Nom :AWSManagedRulesAdminProtectionRuleSet, WCU : 100

Le groupe de règles Protection administrateur contient des règles qui vous permettent de bloquer l'accès externe aux pages administratives exposées. Cela peut être utile si vous exécutez un logiciel tiers ou si vous souhaitez réduire le risque qu'un acteur malveillant accède à votre application comme administrateur.

Ce groupe de règles géré ajoute des libellés aux requêtes Web qu'il évalue, qui sont disponibles pour les règles exécutées après ce groupe de règles dans votre ACL Web. AWS WAF enregistre également les étiquettes selon les CloudWatch statistiques d'Amazon. Pour obtenir des informations générales sur les étiquettes et les mesures relatives aux étiquettes, reportez-vous Étiquettes sur les requêtes Web aux sections etMétriques et dimensions des étiquettes.

Note

Ce tableau décrit la dernière version statique de ce groupe de règles. Pour les autres versions, utilisez la commande API DescribeManagedRuleGroup.

Nom de la règle Description et étiquette
AdminProtection_URIPATH

Inspecte les chemins d'URI qui sont généralement réservés à l'administration d'un serveur Web ou d'une application. Les exemples de modèles incluent sqlmanager.

Action de la règle Block

Libellé : awswaf:managed:aws:admin-protection:AdminProtection_URIPath

Groupe de règles géré pour les entrées erronées connues

VendorName:AWS, Nom :AWSManagedRulesKnownBadInputsRuleSet, WCU : 200

Le groupe de règles Known Bad Inputs (Entrées défectueuses connues) contient des règles permettant de bloquer les modèles de demande connus comme non valides et associés à l'exploitation ou à la découverte de vulnérabilités. Cela peut aider à réduire le risque qu'un acteur malveillant ne découvre une application vulnérable.

Ce groupe de règles géré ajoute des libellés aux requêtes Web qu'il évalue, qui sont disponibles pour les règles exécutées après ce groupe de règles dans votre ACL Web. AWS WAF enregistre également les étiquettes selon les CloudWatch statistiques d'Amazon. Pour obtenir des informations générales sur les étiquettes et les mesures relatives aux étiquettes, reportez-vous Étiquettes sur les requêtes Web aux sections etMétriques et dimensions des étiquettes.

Note

Ce tableau décrit la dernière version statique de ce groupe de règles. Pour les autres versions, utilisez la commande API DescribeManagedRuleGroup.

Nom de la règle Description et étiquette
JavaDeserializationRCE_HEADER

Inspecte les clés et les valeurs des en-têtes de requêtes HTTP pour détecter des modèles indiquant des tentatives d'exécution de commandes à distance (RCE) de Java, tels que les vulnérabilités Spring Core et Cloud Function RCE (CVE-22963, CVE-22965). Les exemples de modèles incluent (java.lang.Runtime).getRuntime().exec("whoami").

Avertissement

Cette règle inspecte uniquement les 8 premiers Ko des en-têtes de demande ou les 200 premiers en-têtes, selon la première limite atteinte, et utilise l'Continueoption de gestion du contenu surdimensionné. Pour plus d’informations, consultez Gestion des composants de demande surdimensionnés dans AWS WAF.

Action de la règle Block

Libellé : awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Header

JavaDeserializationRCE_BODY

Inspecte le corps de la demande pour détecter des modèles indiquant des tentatives d'exécution de commandes à distance (RCE) de Java, tels que les vulnérabilités Spring Core et Cloud Function RCE (CVE-22963, CVE-22965). Les exemples de modèles incluent (java.lang.Runtime).getRuntime().exec("whoami").

Avertissement

Cette règle inspecte uniquement le corps de la demande jusqu'à la limite de taille limite pour l'ACL Web et le type de ressource. Pour Application Load Balancer et AWS AppSync, la limite est fixée à 8 Ko. Pour CloudFront API Gateway, Amazon Cognito, App Runner et Verified Access, la limite par défaut est de 16 Ko et vous pouvez l'augmenter jusqu'à 64 Ko dans votre configuration ACL Web. Cette règle utilise l'Continueoption de gestion du contenu surdimensionné. Pour plus d’informations, consultez Gestion des composants de demande surdimensionnés dans AWS WAF.

Action de la règle Block

Libellé : awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Body
JavaDeserializationRCE_URIPATH

Inspecte l'URI de la demande pour détecter des modèles indiquant des tentatives d'exécution de commandes à distance (RCE) de désérialisation en Java, tels que les vulnérabilités Spring Core et Cloud Function RCE (CVE-22963, CVE-22965). Les exemples de modèles incluent (java.lang.Runtime).getRuntime().exec("whoami").

Action de la règle Block

Libellé : awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_URIPath
JavaDeserializationRCE_QUERYSTRING

Inspecte la chaîne de requête à la recherche de modèles indiquant des tentatives d'exécution à distance (RCE) de désérialisation en Java, tels que les vulnérabilités Spring Core et Cloud Function RCE (CVE-22963, CVE-22965). Les exemples de modèles incluent (java.lang.Runtime).getRuntime().exec("whoami").

Action de la règle Block

Libellé : awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_QueryString
Host_localhost_HEADER

Inspecte l'en-tête de l'hôte dans la demande pour les modèles indiquant localhost. Les exemples de modèles incluent localhost.

Action de la règle Block

Libellé : awswaf:managed:aws:known-bad-inputs:Host_Localhost_Header
PROPFIND_METHOD

Inspecte la méthode HTTP dans la requête pour PROPFIND, qui est une méthode similaire à HEAD, mais avec l'intention supplémentaire d'exfiltrer des objets XML.

Action de la règle Block

Libellé : awswaf:managed:aws:known-bad-inputs:Propfind_Method
ExploitablePaths_URIPATH

Inspecte le chemin URI pour les tentatives d'accès aux chemins d'application Web exploitables. Les exemples de modèles incluent des chemins comme web-inf.

Action de la règle Block

Libellé : awswaf:managed:aws:known-bad-inputs:ExploitablePaths_URIPath
Log4JRCE_HEADER

Inspecte les clés et les valeurs des en-têtes de requête pour détecter la présence de la vulnérabilité Log4j (CVE-2021-44228, CVE-2021-45046, CVE-2021-45105) et protège contre les tentatives d'exécution de code à distance (RCE). Les exemples de modèles incluent ${jndi:ldap://example.com/}.

Avertissement

Cette règle inspecte uniquement les 8 premiers Ko des en-têtes de demande ou les 200 premiers en-têtes, selon la première limite atteinte, et utilise l'Continueoption de gestion du contenu surdimensionné. Pour plus d’informations, consultez Gestion des composants de demande surdimensionnés dans AWS WAF.

Action de la règle Block

Libellé : awswaf:managed:aws:known-bad-inputs:Log4JRCE_Header
Log4JRCE_QUERYSTRING

Inspecte la chaîne de requête pour détecter la présence de la vulnérabilité Log4j (CVE-2021-44228, CVE-2021-45046, CVE-2021-45105) et protège contre les tentatives d'exécution de code à distance (RCE). Les exemples de modèles incluent ${jndi:ldap://example.com/}.

Action de la règle Block

Libellé : awswaf:managed:aws:known-bad-inputs:Log4JRCE_QueryString
Log4JRCE_BODY

Inspecte le corps pour détecter la présence de la vulnérabilité Log4j (CVE-2021-44228, CVE-2021-45046, CVE-2021-45105) et protège contre les tentatives d'exécution de code à distance (RCE). Les exemples de modèles incluent ${jndi:ldap://example.com/}.

Avertissement

Cette règle inspecte uniquement le corps de la demande jusqu'à la limite de taille limite pour l'ACL Web et le type de ressource. Pour Application Load Balancer et AWS AppSync, la limite est fixée à 8 Ko. Pour CloudFront API Gateway, Amazon Cognito, App Runner et Verified Access, la limite par défaut est de 16 Ko et vous pouvez l'augmenter jusqu'à 64 Ko dans votre configuration ACL Web. Cette règle utilise l'Continueoption de gestion du contenu surdimensionné. Pour plus d’informations, consultez Gestion des composants de demande surdimensionnés dans AWS WAF.

Action de la règle Block

Libellé : awswaf:managed:aws:known-bad-inputs:Log4JRCE_Body
Log4JRCE_URIPATH

Inspecte le chemin de l'URI pour détecter la présence de la vulnérabilité Log4j (CVE-2021-44228, CVE-2021-45046, CVE-2021-45105) et protège contre les tentatives d'exécution de code à distance (RCE). Les exemples de modèles incluent ${jndi:ldap://example.com/}.

Action de la règle Block

Libellé : awswaf:managed:aws:known-bad-inputs:Log4JRCE_URIPath