핵심 규칙 집합(CRS, Core rule set)관리 보호 알려진 잘못된 입력

기준 규칙 그룹

기준 관리형 규칙 그룹은 다양한 일반적인 위협에 대한 일반적인 보호 기능을 제공합니다. 이러한 규칙 그룹 중 하나 이상을 선택하여 리소스에 대한 기준 보호를 설정합니다.

참고

AWS 관리형 규칙 규칙 그룹의 규칙에 대해 게시하는 정보는 규칙을 사용하기에 충분한 정보를 제공하는 동시에 악의적인 공격자가 규칙을 우회하는 데 사용할 수 있는 정보는 제공하지 않기 위한 것입니다. 이 설명서의 내용 외에 더 많은 정보가 필요한 경우 AWS Support 센터에 문의하십시오.

핵심 규칙 세트(CRS) 관리형 규칙 그룹

VendorName:AWS, 이름:AWSManagedRulesCommonRuleSet, WCU: 700

핵심 규칙 집합(CRS, Core rule set) 규칙 그룹에는 일반적으로 웹 애플리케이션에 적용할 수 있는 규칙이 포함되어 있습니다. 이를 통해 OWASP Top 10과 같은 OWASP 게시물에 설명된 자주 발생하고 위험성 높은 일부 취약성을 비롯한 광범위한 취약성 도용을 막을 수 있습니다. 모든 사용 사례에 이 규칙 그룹을 AWS WAF 사용하는 것을 고려해 보세요.

이 관리형 규칙 그룹은 평가하는 웹 요청에 레이블을 추가합니다. 이 레이블은 웹 ACL에서 이 규칙 그룹 이후에 실행되는 규칙에 사용할 수 있습니다. AWS WAF 또한 레이블을 Amazon CloudWatch 메트릭에 기록합니다. 레이블 및 레이블 지표에 대한 일반적인 내용은 웹 요청의 레이블 및 레이블 지표 및 차원 섹션을 참조하세요.

참고

이 표는 이 규칙 그룹의 최신 정적 버전을 설명합니다. 다른 버전의 경우 API 명령을 사용하십시오 DescribeManagedRuleGroup.

규칙 이름	설명 및 레이블
`NoUserAgent_HEADER`	HTTP `User-Agent` 헤더가 누락된 요청을 검사합니다. 규칙 작업: Block Label(레이블): `awswaf:managed:aws:core-rule-set:NoUserAgent_Header`
`UserAgent_BadBots_HEADER`	요청이 불량 봇임을 나타내는 공통 `User-Agent` 헤더 값이 있는지 검사합니다. 예제 패턴에는 `nessus` 및 `nmap`이 포함되어 있습니다. 봇 관리에 대한 자세한 내용은 AWS WAF 봇 컨트롤 규칙 그룹 섹션을 참조하세요. 규칙 작업: Block Label(레이블): `awswaf:managed:aws:core-rule-set:BadBots_Header`
`SizeRestrictions_QUERYSTRING`	URI 쿼리 문자열이 2,048바이트를 초과하는지 검사합니다. 규칙 작업: Block Label(레이블): `awswaf:managed:aws:core-rule-set:SizeRestrictions_QueryString`
`SizeRestrictions_Cookie_HEADER`	쿠키 헤더가 10,240바이트를 초과하늕 검사합니다. 규칙 작업: Block Label(레이블): `awswaf:managed:aws:core-rule-set:SizeRestrictions_Cookie_Header`
`SizeRestrictions_BODY`	요청 본문이 8KB(8,192바이트)를 초과하는지 검사합니다. 규칙 작업: Block Label(레이블): `awswaf:managed:aws:core-rule-set:SizeRestrictions_Body`
`SizeRestrictions_URIPATH`	URI 경로가 1,024바이트를 초과하는지 검사합니다. 규칙 작업: Block Label(레이블): `awswaf:managed:aws:core-rule-set:SizeRestrictions_URIPath`
`EC2MetaDataSSRF_BODY`	요청 본문에서 Amazon EC2 메타데이터를 빼내려는 시도가 있는지 검사합니다. 주의 이 규칙은 웹 ACL 및 리소스 유형에 대한 본문 크기 제한까지만 요청 본문을 검사합니다. Application Load Balancer 및 의 AWS AppSync경우 제한은 8KB로 고정되어 있습니다. API Gateway, Amazon Cognito, 앱 러너 및 검증된 액세스의 경우 기본 한도는 16KB이며 웹 ACL 구성에서 제한을 최대 64KB까지 늘릴 수 있습니다. CloudFront 이 규칙은 과대 콘텐츠 처리에 대해 `Continue` 옵션을 사용합니다. 자세한 정보는 에서 크기가 큰 웹 요청 구성 요소 처리 AWS WAF을 참조하세요. 규칙 작업: Block Label(레이블): `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Body`
`EC2MetaDataSSRF_COOKIE`	요청 쿠키에서 Amazon EC2 메타데이터를 빼내려는 시도가 있는지 검사합니다. 규칙 작업: Block Label(레이블): `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Cookie`
`EC2MetaDataSSRF_URIPATH`	요청 URI 경로에서 Amazon EC2 메타데이터를 빼내려는 시도가 있는지 검사합니다. 규칙 작업: Block Label(레이블): `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_URIPath`
`EC2MetaDataSSRF_QUERYARGUMENTS`	요청 쿼리 인수에서 Amazon EC2 메타데이터를 빼내려는 시도가 있는지 검사합니다. 규칙 작업: Block Label(레이블): `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_QueryArguments`
`GenericLFI_QUERYARGUMENTS`	쿼리 인수에 로컬 파일 포함(LFI, Local File Inclusion) 도용이 있는지 검사합니다. 예를 들면 `../../` 같은 기술을 사용한 경로 탐색 시도가 있을 수 있습니다. 규칙 작업: Block Label(레이블): `awswaf:managed:aws:core-rule-set:GenericLFI_QueryArguments`
`GenericLFI_URIPATH`	URI 경로에 로컬 파일 포함(LFI, Local File Inclusion) 도용이 있는지 검사합니다. 예를 들면 `../../` 같은 기술을 사용한 경로 탐색 시도가 있을 수 있습니다. 규칙 작업: Block Label(레이블): `awswaf:managed:aws:core-rule-set:GenericLFI_URIPath`
`GenericLFI_BODY`	요청 본문에 로컬 파일 포함(LFI, Local File Inclusion) 도용이 있는지 검사합니다. 예를 들면 `../../` 같은 기술을 사용한 경로 탐색 시도가 있을 수 있습니다. 주의 이 규칙은 웹 ACL 및 리소스 유형에 대한 본문 크기 제한까지만 요청 본문을 검사합니다. Application Load Balancer 및 의 AWS AppSync경우 제한은 8KB로 고정되어 있습니다. API Gateway, Amazon Cognito, 앱 러너 및 검증된 액세스의 경우 기본 한도는 16KB이며 웹 ACL 구성에서 제한을 최대 64KB까지 늘릴 수 있습니다. CloudFront 이 규칙은 과대 콘텐츠 처리에 대해 `Continue` 옵션을 사용합니다. 자세한 정보는 에서 크기가 큰 웹 요청 구성 요소 처리 AWS WAF을 참조하세요. 규칙 작업: Block Label(레이블): `awswaf:managed:aws:core-rule-set:GenericLFI_Body`
`RestrictedExtensions_URIPATH`	URI 경로에 읽거나 실행하기에 안전하지 않은 시스템 파일 확장자가 포함된 요청이 있는지 검사합니다. 예제 패턴에는 `.log` 및 `.ini` 같은 확장명이 포함됩니다. 규칙 작업: Block Label(레이블): `awswaf:managed:aws:core-rule-set:RestrictedExtensions_URIPath`
`RestrictedExtensions_QUERYARGUMENTS`	쿼리 인수가 클라이언트가 읽거나 실행하기에 안전하지 않은 시스템 파일 확장명인 요청을 검사합니다. 예제 패턴에는 `.log` 및 `.ini` 같은 확장명이 포함됩니다. 규칙 작업: Block Label(레이블): `awswaf:managed:aws:core-rule-set:RestrictedExtensions_QueryArguments`
`GenericRFI_QUERYARGUMENTS`	모든 쿼리 매개 변수의 값을 검사하여 IPv4 주소가 포함된 URL을 포함하여 웹 애플리케이션에서 RFI(Remote File Inclusion)를 악용하려는 시도가 있는지 확인합니다. 예를 들면, 악용 시도에는 IPv4 호스트 헤더가 있는 `http://`, `https://`,`ftp://`,`ftps://` 및 `file://` 등의 패턴이 있습니다. 규칙 작업: Block Label(레이블): `awswaf:managed:aws:core-rule-set:GenericRFI_QueryArguments`
`GenericRFI_BODY`	IPv4 주소가 포함된 URL을 포함하여 웹 애플리케이션에서 RFI(Remote File Inclusion)를 악용하려는 시도가 있는지 알아보기 위해 요청 본문을 검사합니다. 예를 들면, 악용 시도에는 IPv4 호스트 헤더가 있는 `http://`, `https://`,`ftp://`,`ftps://` 및 `file://` 등의 패턴이 있습니다. 주의 이 규칙은 웹 ACL 및 리소스 유형에 대한 본문 크기 제한까지만 요청 본문을 검사합니다. Application Load Balancer 및 의 AWS AppSync경우 제한은 8KB로 고정되어 있습니다. API Gateway, Amazon Cognito, 앱 러너 및 검증된 액세스의 경우 기본 한도는 16KB이며 웹 ACL 구성에서 제한을 최대 64KB까지 늘릴 수 있습니다. CloudFront 이 규칙은 과대 콘텐츠 처리에 대해 `Continue` 옵션을 사용합니다. 자세한 정보는 에서 크기가 큰 웹 요청 구성 요소 처리 AWS WAF을 참조하세요. 규칙 작업: Block Label(레이블): `awswaf:managed:aws:core-rule-set:GenericRFI_Body`
`GenericRFI_URIPATH`	IPv4 주소가 포함된 URL을 포함하여 웹 애플리케이션에서 RFI(Remote File Inclusion)를 악용하려는 시도가 있는지 알아보기 위해 URI 경로를 검사합니다. 예를 들면, 악용 시도에는 IPv4 호스트 헤더가 있는 `http://`, `https://`,`ftp://`,`ftps://` 및 `file://` 등의 패턴이 있습니다. 규칙 작업: Block Label(레이블): `awswaf:managed:aws:core-rule-set:GenericRFI_URIPath`
`CrossSiteScripting_COOKIE`	내장 기능을 사용하여 쿠키 헤더의 값에 일반적인 XSS (크로스 사이트 스크립팅) 패턴이 있는지 검사합니다. AWS WAF 교차 사이트 스크립팅 공격 규칙 문 예제 패턴에는 `<script>alert("hello")</script>` 같은 스크립트가 포함됩니다. 참고 AWS WAF 로그의 규칙 일치 세부 정보는 이 규칙 그룹의 버전 2.0에 대해 채워지지 않았습니다. 규칙 작업: Block Label(레이블): `awswaf:managed:aws:core-rule-set:CrossSiteScripting_Cookie`
`CrossSiteScripting_QUERYARGUMENTS`	내장 기능을 사용하여 일반적인 크로스 사이트 스크립팅 (XSS) 패턴에 대한 쿼리 인수 값을 검사합니다. AWS WAF 교차 사이트 스크립팅 공격 규칙 문 예제 패턴에는 `<script>alert("hello")</script>` 같은 스크립트가 포함됩니다. 참고 AWS WAF 로그의 규칙 일치 세부 정보는 이 규칙 그룹의 버전 2.0에 대해 채워지지 않았습니다. 규칙 작업: Block Label(레이블): `awswaf:managed:aws:core-rule-set:CrossSiteScripting_QueryArguments`
`CrossSiteScripting_BODY`	기본 제공을 사용하여 요청 본문에서 일반적인 XSS (사이트 간 스크립팅) 패턴을 검사합니다. AWS WAF 교차 사이트 스크립팅 공격 규칙 문 예제 패턴에는 `<script>alert("hello")</script>` 같은 스크립트가 포함됩니다. 참고 AWS WAF 로그의 규칙 일치 세부 정보는 이 규칙 그룹의 버전 2.0에 대해 채워지지 않았습니다. 주의 이 규칙은 웹 ACL 및 리소스 유형에 대한 본문 크기 제한까지만 요청 본문을 검사합니다. Application Load Balancer 및 의 AWS AppSync경우 제한은 8KB로 고정되어 있습니다. API Gateway, Amazon Cognito, 앱 러너 및 검증된 액세스의 경우 기본 한도는 16KB이며 웹 ACL 구성에서 제한을 최대 64KB까지 늘릴 수 있습니다. CloudFront 이 규칙은 과대 콘텐츠 처리에 대해 `Continue` 옵션을 사용합니다. 자세한 정보는 에서 크기가 큰 웹 요청 구성 요소 처리 AWS WAF을 참조하세요. 규칙 작업: Block Label(레이블): `awswaf:managed:aws:core-rule-set:CrossSiteScripting_Body`
`CrossSiteScripting_URIPATH`	내장 기능을 사용하여 일반적인 XSS (크로스 사이트 스크립팅) 패턴의 URI 경로 값을 검사합니다. AWS WAF 교차 사이트 스크립팅 공격 규칙 문 예제 패턴에는 `<script>alert("hello")</script>` 같은 스크립트가 포함됩니다. 참고 AWS WAF 로그의 규칙 일치 세부 정보는 이 규칙 그룹의 버전 2.0에 대해 채워지지 않았습니다. 규칙 작업: Block Label(레이블): `awswaf:managed:aws:core-rule-set:CrossSiteScripting_URIPath`

관리 보호 관리형 규칙 그룹

VendorName:AWS, 이름:AWSManagedRulesAdminProtectionRuleSet, WCU: 100

관리 보호 규칙 그룹에는 노출된 관리 페이지에 대한 외부 액세스를 차단할 수 있는 규칙이 포함되어 있습니다. 서드 파티 소프트웨어를 실행 중이거나, 악성 액터가 애플리케이션에 대한 관리 액세스 권한을 얻게 되는 위험을 줄이려면 이 방법이 유용할 수 있습니다.

참고

이 표는 이 규칙 그룹의 최신 정적 버전을 설명합니다. 다른 버전의 경우 API 명령을 사용하십시오 DescribeManagedRuleGroup.

규칙 이름 설명 및 레이블

규칙 이름	설명 및 레이블
`AdminProtection_URIPATH`	일반적으로 웹 서버 또는 애플리케이션의 관리를 위해 예약되어 있는 URI 경로가 있는지 검사합니다. 예제 패턴에는 `sqlmanager`가 포함됩니다. 규칙 작업: Block Label(레이블): `awswaf:managed:aws:admin-protection:AdminProtection_URIPath`

AdminProtection_URIPATH

일반적으로 웹 서버 또는 애플리케이션의 관리를 위해 예약되어 있는 URI 경로가 있는지 검사합니다. 예제 패턴에는 sqlmanager가 포함됩니다.

규칙 작업: Block

Label(레이블): awswaf:managed:aws:admin-protection:AdminProtection_URIPath

관리형 규칙 그룹의 알려진 잘못된 입력

VendorName:AWS, 이름:AWSManagedRulesKnownBadInputsRuleSet, WCU: 200

알려진 잘못된 입력 규칙 그룹에는 유효하지 않은 것으로 알려져 있으며 취약성의 도용 또는 발견과 관련된 요청 패턴을 차단하는 규칙이 포함되어 있습니다. 이렇게 하면 악성 액터가 취약한 애플리케이션을 발견하는 위험을 줄일 수 있습니다.

참고

이 표는 이 규칙 그룹의 최신 정적 버전을 설명합니다. 다른 버전의 경우 API 명령을 사용하십시오 DescribeManagedRuleGroup.

규칙 이름	설명 및 레이블
`JavaDeserializationRCE_HEADER`	Spring Core and Cloud Function RCE 취약점(CVE-2022-22963, CVE-2022-22965)과 같은 Java 역직렬화 원격 명령 실행(RCE) 시도를 나타내는 패턴이 있는지 HTTP 요청 헤더의 키와 값을 검사합니다. 예제 패턴에는 `(java.lang.Runtime).getRuntime().exec("whoami")`가 포함됩니다. 주의 이 규칙은 요청 헤더의 처음 8KB 또는 처음 200개 헤더(둘 중 먼저 도달하는 제한)만 검사하며 과대 콘텐츠 처리에 대해 `Continue` 옵션을 사용합니다. 자세한 정보는 에서 크기가 큰 웹 요청 구성 요소 처리 AWS WAF을 참조하세요. 규칙 작업: Block Label(레이블): `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Header`
`JavaDeserializationRCE_BODY`	Spring Core and Cloud Function RCE 취약성(CVE-2022-22963, CVE-2022-22965)과 같은 Java 역직렬화 원격 명령 실행(RCE) 시도를 나타내는 패턴이 있는지 요청 본문을 검사합니다. 예제 패턴에는 `(java.lang.Runtime).getRuntime().exec("whoami")`가 포함됩니다. 주의 이 규칙은 웹 ACL 및 리소스 유형에 대한 본문 크기 제한까지만 요청 본문을 검사합니다. Application Load Balancer 및 의 AWS AppSync경우 제한은 8KB로 고정되어 있습니다. API Gateway, Amazon Cognito, 앱 러너 및 검증된 액세스의 경우 기본 한도는 16KB이며 웹 ACL 구성에서 제한을 최대 64KB까지 늘릴 수 있습니다. CloudFront 이 규칙은 과대 콘텐츠 처리에 대해 `Continue` 옵션을 사용합니다. 자세한 정보는 에서 크기가 큰 웹 요청 구성 요소 처리 AWS WAF을 참조하세요. 규칙 작업: Block Label(레이블): `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Body`
`JavaDeserializationRCE_URIPATH`	Spring Core and Cloud Function RCE 취약성(CVE-2022-22963, CVE-2022-22965)과 같은 Java 역직렬화 원격 명령 실행(RCE) 시도를 나타내는 패턴이 있는지 요청 URI를 검사합니다. 예제 패턴에는 `(java.lang.Runtime).getRuntime().exec("whoami")`가 포함됩니다. 규칙 작업: Block Label(레이블): `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_URIPath`
`JavaDeserializationRCE_QUERYSTRING`	Spring Core and Cloud Function RCE 취약성(CVE-2022-22963, CVE-2022-22965)과 같은 Java 역직렬화 원격 명령 실행(RCE) 시도를 나타내는 패턴이 있는지 요청 쿼리 문자열을 검사합니다. 예제 패턴에는 `(java.lang.Runtime).getRuntime().exec("whoami")`가 포함됩니다. 규칙 작업: Block Label(레이블): `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_QueryString`
`Host_localhost_HEADER`	로컬 호스트를 나타내는 패턴에 대한 요청의 호스트 헤더를 검사합니다. 예제 패턴에는 `localhost`가 포함됩니다. 규칙 작업: Block Label(레이블): `awswaf:managed:aws:known-bad-inputs:Host_Localhost_Header`
`PROPFIND_METHOD`	`HEAD`와 유사하지만 XML 객체를 빼내려는 의도가 추가된 `PROPFIND`에 대한 요청의 HTTP 메서드를 검사합니다. 규칙 작업: Block Label(레이블): `awswaf:managed:aws:known-bad-inputs:Propfind_Method`
`ExploitablePaths_URIPATH`	URI 경로에서 도용 가능한 웹 애플리케이션 경로에 대한 액세스 시도를 검사합니다. 예제 패턴에는 `web-inf`와 같은 경로가 포함됩니다. 규칙 작업: Block Label(레이블): `awswaf:managed:aws:known-bad-inputs:ExploitablePaths_URIPath`
`Log4JRCE_HEADER`	요청 헤더의 키와 값을 검사하여 Log4j 취약점(CVE-2021-44228, CVE-2021-45046, CVE-2021-45105)이 있는지 확인하고 원격 코드 실행(RCE) 시도로부터 보호합니다. 예제 패턴에는 `${jndi:ldap://example.com/}`가 포함됩니다. 주의 이 규칙은 요청 헤더의 처음 8KB 또는 처음 200개 헤더(둘 중 먼저 도달하는 제한)만 검사하며 과대 콘텐츠 처리에 대해 `Continue` 옵션을 사용합니다. 자세한 정보는 에서 크기가 큰 웹 요청 구성 요소 처리 AWS WAF을 참조하세요. 규칙 작업: Block Label(레이블): `awswaf:managed:aws:known-bad-inputs:Log4JRCE_Header`
`Log4JRCE_QUERYSTRING`	쿼리 문자열을 검사하여 Log4j 취약성(CVE-2021-44228, CVE-2021-45046, CVE-2021-45105)이 있는지 확인하고 원격 코드 실행(RCE) 시도로부터 보호합니다. 예제 패턴에는 `${jndi:ldap://example.com/}`가 포함됩니다. 규칙 작업: Block Label(레이블): `awswaf:managed:aws:known-bad-inputs:Log4JRCE_QueryString`
`Log4JRCE_BODY`	본문을 검사하여 Log4j 취약성(CVE-2021-44228, CVE-2021-45046, CVE-2021-45105)이 있는지 확인하고 원격 코드 실행(RCE) 시도로부터 보호합니다. 예제 패턴에는 `${jndi:ldap://example.com/}`가 포함됩니다. 주의 이 규칙은 웹 ACL 및 리소스 유형에 대한 본문 크기 제한까지만 요청 본문을 검사합니다. Application Load Balancer 및 의 AWS AppSync경우 제한은 8KB로 고정되어 있습니다. API Gateway, Amazon Cognito, 앱 러너 및 검증된 액세스의 경우 기본 한도는 16KB이며 웹 ACL 구성에서 제한을 최대 64KB까지 늘릴 수 있습니다. CloudFront 이 규칙은 과대 콘텐츠 처리에 대해 `Continue` 옵션을 사용합니다. 자세한 정보는 에서 크기가 큰 웹 요청 구성 요소 처리 AWS WAF을 참조하세요. 규칙 작업: Block Label(레이블): `awswaf:managed:aws:known-bad-inputs:Log4JRCE_Body`
`Log4JRCE_URIPATH`	URI 경로를 검사하여 Log4j 취약성(CVE-2021-44228, CVE-2021-45046, CVE-2021-45105)이 있는지 확인하고 원격 코드 실행(RCE) 시도로부터 보호합니다. 예제 패턴에는 `${jndi:ldap://example.com/}`가 포함됩니다. 규칙 작업: Block Label(레이블): `awswaf:managed:aws:known-bad-inputs:Log4JRCE_URIPath`

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

AWS 관리형 규칙 규칙 그룹 목록

사용 사례별 규칙 그룹

기준 규칙 그룹

참고

핵심 규칙 세트(CRS) 관리형 규칙 그룹

참고

주의

주의

주의

참고

참고

참고

주의

참고

관리 보호 관리형 규칙 그룹

참고

관리형 규칙 그룹의 알려진 잘못된 입력

참고

주의

주의

주의

주의