ベースラインルールグループ - AWS WAF、AWS Firewall Manager、および AWS Shield Advanced

ベースラインルールグループ

ベースラインマネージドルールグループは、さまざまな一般的な脅威に対する一般的な保護を提供します。これらのルールグループを 1 つ以上選択して、リソースのベースライン保護を確立します。

コアルールセット (CRS) マネージドルールグループ

VendorName: AWS、名前: AWSManagedRulesCommonRuleSet、WCU: 700

コアルールセット (CRS) ルールグループには、ウェブアプリケーションに一般的に適用可能なルールが含まれています。これにより、OWASP Top 10 などの OWASP の出版物に記載されている、リスクが高く一般的に発生するいくつかの脆弱性を含む、さまざまな脆弱性の悪用に対する保護が提供されます。すべての AWS WAF ユースケースでこのルールグループを使用することを検討してください。

注記

この表には、このルールグループの最新の静的バージョンが示されています。他のバージョンでは、API コマンド DescribeManagedRuleGroup を使用してください。

ルール名 説明とラベル
NoUserAgent_HEADER

HTTP User-Agent ヘッダーが欠落しているリクエストを検査します。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:NoUserAgent_Header

UserAgent_BadBots_HEADER

リクエストが不正なボットであることを示す一般的な User-Agent ヘッダー値を検査します。パターンの例には、nessusnmap などがあります。ボット管理については、「AWS WAF Bot Control ルールグループ」も参照してください。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:BadBots_Header

SizeRestrictions_QUERYSTRING

2,048 バイトを超える URI クエリ文字列を検査します。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:SizeRestrictions_QueryString

SizeRestrictions_Cookie_HEADER

10,240 バイトを超える cookie ヘッダーを検査します。

警告

このルールは、リクエスト Cookie の最初の 8 KB または最初の 200 個の Cookie のうち、いずれかの制限に達した方のみを検査します。詳細については、リクエストボディ、ヘッダー、cookie の検査 を参照してください。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:SizeRestrictions_Cookie_Header

SizeRestrictions_BODY

8 KB (8,192 バイト) を超えるリクエストボディを検査します。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:SizeRestrictions_Body

SizeRestrictions_URIPATH

1,024 バイトを超える URI パスを検査します。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:SizeRestrictions_URIPath

EC2MetaDataSSRF_BODY

リクエストボディから Amazon EC2 メタデータを盗み出す試みがないかを検査します。

警告

このルールは、リクエストボディの最初の 8 KB のみを検査します。詳細については、リクエストボディ、ヘッダー、cookie の検査 を参照してください。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Body

EC2MetaDataSSRF_COOKIE

リクエスト cookie から Amazon EC2 メタデータを盗み出す試みがないかを検査します。

警告

このルールは、リクエスト Cookie の最初の 8 KB または最初の 200 個の Cookie のうち、いずれかの制限に達した方のみを検査します。詳細については、リクエストボディ、ヘッダー、cookie の検査 を参照してください。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Cookie

EC2MetaDataSSRF_URIPATH

リクエスト URI パスから Amazon EC2 メタデータを盗み出す試みがないかを検査します。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_URIPath

EC2MetaDataSSRF_QUERYARGUMENTS

リクエストクエリ引数から Amazon EC2 メタデータを盗み出す試みがないかを検査します。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_QueryArguments

GenericLFI_QUERYARGUMENTS

クエリ引数に、ローカルファイルインクルージョン (LFI) を悪用する形跡がないかを検査します。例には、../../ などの手法を使用したパストラバーサルの試行があります。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:GenericLFI_QueryArguments

GenericLFI_URIPATH

URI パスに、ローカルファイルインクルージョン (LFI) を悪用する形跡がないかを検査します。例には、../../ などの手法を使用したパストラバーサルの試行があります。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:GenericLFI_URIPath

GenericLFI_BODY

リクエストボディに、ローカルファイルインクルージョン (LFI) を悪用する形跡がないかを検査します。例には、../../ などの手法を使用したパストラバーサルの試行があります。

警告

このルールは、リクエストボディの最初の 8 KB のみを検査します。詳細については、リクエストボディ、ヘッダー、cookie の検査 を参照してください。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:GenericLFI_Body

RestrictedExtensions_URIPATH

読み取りや実行が安全でないシステムファイルの拡張子が URI パスに含まれているリクエストを検査します。パターンの例には、.log.ini などの拡張子があります。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:RestrictedExtensions_URIPath

RestrictedExtensions_QUERYARGUMENTS

クエリ引数に、読み取りや実行が安全でないシステムファイル拡張子が含まれているリクエストを検査します。パターンの例には、.log.ini などの拡張子があります。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:RestrictedExtensions_QueryArguments

GenericRFI_QUERYARGUMENTS

IPv4 アドレスを含む URL を埋め込むことにより、Web アプリケーションでRFI (リモートファイルインクルード) を悪用しようとする試みに対して、すべてのクエリパラメーターの値を検査します。例としては、http://https://ftp://ftps://file:// などのパターンがあり、悪用の試みに IPv4 ホストヘッダーが含まれています。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:GenericRFI_QueryArguments

GenericRFI_BODY

IPv4 アドレスを含む URL を埋め込むことにより、ウェブアプリケーションの RFI (リモートファイルインクルージョン) を悪用しようとする試行に対してリクエストボディを検査します。例としては、http://https://ftp://ftps://file:// などのパターンがあり、悪用の試みに IPv4 ホストヘッダーが含まれています。

警告

このルールは、リクエストボディの最初の 8 KB のみを検査します。詳細については、リクエストボディ、ヘッダー、cookie の検査 を参照してください。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:GenericRFI_Body

GenericRFI_URIPATH

IPv4 アドレスを含む URL を埋め込むことにより、ウェブアプリケーションの RFI (リモートファイルインクルージョン) を悪用しようとする試行に対してURI パスを検査します。例としては、http://https://ftp://ftps://file:// などのパターンがあり、悪用の試みに IPv4 ホストヘッダーが含まれています。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:GenericRFI_URIPath

CrossSiteScripting_COOKIE

組み込み AWS WAF クロスサイトスクリプティング攻撃ルールステートメント を使用して、一般的なクロスサイトスクリプティング (XSS) パターンの cookie ヘッダーの値を検査します。パターンの例には、<script>alert("hello")</script> などのスクリプトあります。

警告

このルールは、リクエスト Cookie の最初の 8 KB または最初の 200 個の Cookie のうち、いずれかの制限に達した方のみを検査します。詳細については、リクエストボディ、ヘッダー、cookie の検査 を参照してください。

注記

このルールグループのバージョン 2.0 では、AWS WAF ログのルール一致の詳細は入力されません。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:CrossSiteScripting_Cookie

CrossSiteScripting_QUERYARGUMENTS

組み込み AWS WAF クロスサイトスクリプティング攻撃ルールステートメント を使用して、一般的なクロスサイトスクリプティング (XSS) パターンのkクエリ引数の値を検査します。パターンの例には、<script>alert("hello")</script> などのスクリプトあります。

注記

このルールグループのバージョン 2.0 では、AWS WAF ログのルール一致の詳細は入力されません。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:CrossSiteScripting_QueryArguments

CrossSiteScripting_BODY

組み込み AWS WAF クロスサイトスクリプティング攻撃ルールステートメント を使用して、一般的なクロスサイトスクリプティング (XSS) パターンのリクエスト本文を検査します。パターンの例には、<script>alert("hello")</script> などのスクリプトあります。

注記

このルールグループのバージョン 2.0 では、AWS WAF ログのルール一致の詳細は入力されません。

警告

このルールは、リクエストボディの最初の 8 KB のみを検査します。詳細については、リクエストボディ、ヘッダー、cookie の検査 を参照してください。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:CrossSiteScripting_Body

CrossSiteScripting_URIPATH

組み込み AWS WAF クロスサイトスクリプティング攻撃ルールステートメント を使用して、一般的なクロスサイトスクリプティング (XSS) パターンの URI パスの値を検査します。パターンの例には、<script>alert("hello")</script> などのスクリプトあります。

注記

このルールグループのバージョン 2.0 では、AWS WAF ログのルール一致の詳細は入力されません。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:CrossSiteScripting_URIPath

管理者保護マネージドルールグループ

VendorName: AWS、名前: AWSManagedRulesAdminProtectionRuleSet、WCU: 100

管理者保護ルールグループには、公開されている管理ページへの外部アクセスをブロックするためのルールが含まれています。これは、サードパーティーのソフトウェアを実行している場合や、悪意のあるアクターがアプリケーションへの管理アクセスを得るリスクを緩和したい場合に便利です。

注記

この表には、このルールグループの最新の静的バージョンが示されています。他のバージョンでは、API コマンド DescribeManagedRuleGroup を使用してください。

ルール名 説明とラベル
AdminProtection_URIPATH

一般的にウェブサーバーまたはアプリケーションの管理用に確保されている URI パスの有無を検査します。パターンの例には、sqlmanager などがあります。

ルールアクション: Block

ラベル: awswaf:managed:aws:admin-protection:AdminProtection_URIPath

既知の不正な入力マネージドルールグループ

VendorName: AWS、名前: AWSManagedRulesKnownBadInputsRuleSet、WCU: 200

既知の不正な入力ルールグループには、無効であることがわかっており脆弱性の悪用または発見に関連するリクエストパターンをブロックするルールが含まれています。これにより、悪意のあるアクターが脆弱なアプリケーションを発見するリスクを緩和できます。

注記

この表には、このルールグループの最新の静的バージョンが示されています。他のバージョンでは、API コマンド DescribeManagedRuleGroup を使用してください。

ルール名 説明とラベル
JavaDeserializationRCE_HEADER

HTTP リクエストヘッダーのキーと値に、Spring Core と Cloud Function RCE の脆弱性 (CVE-2022-22963、CVE-2022-22965) など、Java デシリアライゼーション Remote Command Execution (RCE) の試行を示すパターンの有無を検査します。パターンの例には、(java.lang.Runtime).getRuntime().exec("whoami") などがあります。

警告

このルールは、リクエストヘッダーの最初の 8 KB または最初の 200 ヘッダーのうち、いずれかの制限に達した方のみを検査します。詳細については、リクエストボディ、ヘッダー、cookie の検査 を参照してください。

ルールアクション: Block

ラベル: awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Header

JavaDeserializationRCE_BODY

リクエストボディで、Spring Core および Cloud Function RCE の脆弱性 (CVE-2022-22963、CVE-2022-22965) などの Java デシリアライゼーション Remote Command Execution (RCE) の試行を示すパターンがないか検査します。パターンの例には、(java.lang.Runtime).getRuntime().exec("whoami") などがあります。

警告

このルールは、リクエストボディの最初の 8 KB のみを検査します。詳細については、リクエストボディ、ヘッダー、cookie の検査 を参照してください。

ルールアクション: Block

ラベル: awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Body

JavaDeserializationRCE_URIPATH

リクエスト URI で、Spring Core および Cloud Function RCE の脆弱性 (CVE-2022-22963、CVE-2022-22965) などの Java デシリアライゼーション Remote Command Execution (RCE) の試行を示すパターンがないか検査します。パターンの例には、(java.lang.Runtime).getRuntime().exec("whoami") などがあります。

ルールアクション: Block

ラベル: awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_URIPath

JavaDeserializationRCE_QUERYSTRING

リクエストのクエリ文字列で、Spring Core および Cloud Function RCE の脆弱性 (CVE-2022-22963、CVE-2022-22965) などの Java デシリアライゼーション Remote Command Execution (RCE) の試行を示すパターンがないか検査します。パターンの例には、(java.lang.Runtime).getRuntime().exec("whoami") などがあります。

ルールアクション: Block

ラベル: awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_QueryString

Host_localhost_HEADER

リクエストのホストヘッダーに、localhost を示すパターンがないかを検査します。パターンの例には、localhost などがあります。

ルールアクション: Block

ラベル: awswaf:managed:aws:known-bad-inputs:Host_Localhost_Header

PROPFIND_METHOD

リクエストの HTTP メソッドに、PROPFIND がないかを検査します。このメソッドは HEAD と同様ですが、XML オブジェクトを抽出しようとする点が異なります。

ルールアクション: Block

ラベル: awswaf:managed:aws:known-bad-inputs:Propfind_Method

ExploitablePaths_URIPATH

URI パスに、悪用可能なウェブアプリケーションパスにアクセスする試みがないかを検査します。パターンの例には、web-inf などのパスがあります。

ルールアクション: Block

ラベル: awswaf:managed:aws:known-bad-inputs:ExploitablePaths_URIPath

Log4JRCE_HEADER

リクエストヘッダーのキーと値に Log4j の脆弱性 (CVE-2021-44228CVE-2021-45046CVE-2021-45105) の存在の有無を検査し、Remote Code Execution (RCE) の試行から保護します。パターンの例には、${jndi:ldap://example.com/} などがあります。

警告

このルールは、リクエストヘッダーの最初の 8 KB または最初の 200 ヘッダーのうち、いずれかの制限に達した方のみを検査します。詳細については、リクエストボディ、ヘッダー、cookie の検査 を参照してください。

ルールアクション: Block

ラベル: awswaf:managed:aws:known-bad-inputs:Log4JRCE_Header

Log4JRCE_QUERYSTRING

クエリ文字列に Log4j の脆弱性 (CVE-2021-44228CVE-2021-45046CVE-2021-45105) の存在の有無を検査し、Remote Code Execution (RCE) の試行から保護します。パターンの例には、${jndi:ldap://example.com/} などがあります。

ルールアクション: Block

ラベル: awswaf:managed:aws:known-bad-inputs:Log4JRCE_QueryString

Log4JRCE_BODY

本文に Log4j の脆弱性 (CVE-2021-44228CVE-2021-45046CVE-2021-45105) の存在の有無を検査し、Remote Code Execution (RCE) の試行から保護します。パターンの例には、${jndi:ldap://example.com/} などがあります。

警告

このルールは、リクエストボディの最初の 8 KB のみを検査します。詳細については、リクエストボディ、ヘッダー、cookie の検査 を参照してください。

ルールアクション: Block

ラベル: awswaf:managed:aws:known-bad-inputs:Log4JRCE_Body

Log4JRCE_URIPATH

URI パスに Log4j の脆弱性 (CVE-2021-44228CVE-2021-45046CVE-2021-45105) の存在の有無を検査し、Remote Code Execution (RCE) の試行から保護します。パターンの例には、${jndi:ldap://example.com/} などがあります。

ルールアクション: Block

ラベル: awswaf:managed:aws:known-bad-inputs:Log4JRCE_URIPath