SQL 数据库 Linux 操作系统 POSX 操作系统 Windows 操作系统 PHP 应用程序 WordPress 应用程序

使用案例特定规则组

使用案例特定规则组为许多不同的 Amazon WAF 使用案例提供增量保护。选择适用于您的应用程序的规则组。

SQL 数据库管理规则组

VendorName:AWS, 名称:AWSManagedRulesSQLiRuleSet, WCU: 200

SQL 数据库规则组包含阻止与 SQL 数据库攻击（如 SQL 注入攻击）相关的请求模式的规则。该规则组有助于防止远程注入未经授权的查询。如果应用程序与 SQL 数据库相连，请评估此规则组以便使用。

注意

下表描述了该规则组的最新静态版本。对于其他版本，请使用 API 命令DescribeManagedRuleGroup。

Rule name（规则名称）	描述和标注分类
`SQLi_QUERYARGUMENTS`	使用内置Amazon WAFSQL 注入攻击规则语句的（敏感度级别设置为Low）检查所有查询参数的值，寻找与恶意 SQL 代码匹配的模式。规则操作：Block 标签：`awswaf:managed:aws:sql-database:SQLi_QueryArguments`
`SQLiExtendedPatterns_QUERYARGUMENTS`	检查所有查询参数的值，以查找与恶意 SQL 代码匹配的模式。该规则检查的模式不在规则的涵盖范围内`SQLi_QUERYARGUMENTS`。规则操作：Block `awswaf:managed:aws:sql-database:SQLiExtendedPatterns_QueryArguments`
`SQLi_BODY`	使用内置Amazon WAFSQL 注入攻击规则语句的（敏感度级别设置为Low）检查请求正文中是否存在与恶意 SQL 代码匹配的模式。警告此规则仅检查请求正文的前 8 KB，并使用该`Continue`选项处理超大内容。有关更多信息，请参阅请求组件的超大处理：规则操作：Block 标签：`awswaf:managed:aws:sql-database:SQLi_Body`
`SQLiExtendedPatterns_BODY`	检查请求正文中是否存在与恶意 SQL 代码匹配的模式。该规则检查的模式不在规则的涵盖范围内`SQLi_BODY`。警告此规则仅检查请求正文的前 8 KB，并使用该`Continue`选项处理超大内容。有关更多信息，请参阅请求组件的超大处理：规则操作：Block `awswaf:managed:aws:sql-database:SQLiExtendedPatterns_Body`
`SQLi_COOKIE`	使用内置Amazon WAFSQL 注入攻击规则语句的（敏感度级别设置为）检查请求 Cookie 标头中是否存在与恶意 SQL 代码匹配的模式。Low 警告此规则仅检查请求 cookie 的前 8 KB 或前 200 个 Cookie，以先达到的限制为准，并使用该`Continue`选项处理超大内容。有关更多信息，请参阅请求组件的超大处理：规则操作：Block 标签：`awswaf:managed:aws:sql-database:SQLi_Cookie`

Linux 操作系统托管规则组

VendorName:AWS, 名称:AWSManagedRulesLinuxRuleSet, WCU: 200

Linux 操作系统规则组包含阻止请求模式的规则，这些请求模式与利用 Linux 特定漏洞（包括 Linux 特定的本地文件包含 (LFI) 攻击）相关。这可以帮助防止泄露文件内容或运行攻击者本不应有权访问的代码的攻击。如果应用程序的任何部分在 Linux 上运行，则应评估此规则组。您应将此规则组与 POSX 操作系统规则组结合使用。

注意

下表描述了该规则组的最新静态版本。对于其他版本，请使用 API 命令DescribeManagedRuleGroup。

Rule name（规则名称）描述和标注分类

Rule name（规则名称）	描述和标注分类
`LFI_URIPATH`	检查请求路径，以查找是否有恶意方试图利用 Web 应用程序中的本地文件包含 (LFI) 漏洞。示例模式包括类似于 `/proc/version` 的文件，它们可能向攻击者提供操作系统信息。规则操作：Block 标签：`awswaf:managed:aws:linux-os:LFI_URIPath`
`LFI_QUERYSTRING`	检查 querystring 的值是否有人企图利用 Web 应用程序中的本地文件包含 (LFI) 漏洞。示例模式包括类似于 `/proc/version` 的文件，它们可能向攻击者提供操作系统信息。规则操作：Block 标签：`awswaf:managed:aws:linux-os:LFI_QueryString`
`LFI_HEADER`	检查请求标头是否有人企图利用 Web 应用程序中的本地文件包含 (LFI) 漏洞。示例模式包括类似于 `/proc/version` 的文件，它们可能向攻击者提供操作系统信息。警告此规则仅检查请求标头的前 8 KB 或前 200 个标头，以先达到限制为准，并使用该`Continue`选项处理超大内容。有关更多信息，请参阅请求组件的超大处理：规则操作：Block 标签：`awswaf:managed:aws:linux-os:LFI_Header`

LFI_URIPATH

检查请求路径，以查找是否有恶意方试图利用 Web 应用程序中的本地文件包含 (LFI) 漏洞。示例模式包括类似于 /proc/version 的文件，它们可能向攻击者提供操作系统信息。

规则操作：Block

标签：awswaf:managed:aws:linux-os:LFI_URIPath

LFI_QUERYSTRING

检查 querystring 的值是否有人企图利用 Web 应用程序中的本地文件包含 (LFI) 漏洞。示例模式包括类似于 /proc/version 的文件，它们可能向攻击者提供操作系统信息。

规则操作：Block

标签：awswaf:managed:aws:linux-os:LFI_QueryString

LFI_HEADER

检查请求标头是否有人企图利用 Web 应用程序中的本地文件包含 (LFI) 漏洞。示例模式包括类似于 /proc/version 的文件，它们可能向攻击者提供操作系统信息。

警告

此规则仅检查请求标头的前 8 KB 或前 200 个标头，以先达到限制为准，并使用该Continue选项处理超大内容。有关更多信息，请参阅请求组件的超大处理：

规则操作：Block

标签：awswaf:managed:aws:linux-os:LFI_Header

POSIX 操作系统管理的规则组

VendorName:AWS, 名称:AWSManagedRulesUnixRuleSet, WCU: 100

POSIX 操作系统规则组包含的规则可阻止与利用 POSIX 和类似 POSIX 的操作系统特定漏洞（包括 Linux 特定的本地文件包含 (LFI) 攻击）相关的请求模式。这可以帮助防止泄露文件内容或运行攻击者本不应有权访问的代码的攻击。如果应用程序的任何部分在 POSIX 或类似 POSIX 的操作系统（包括 Linux、AIX、HP-UX、macOS、Solaris、FreeBSD 和 OpenBSD）上运行，则应评估此规则组。

注意

下表描述了该规则组的最新静态版本。对于其他版本，请使用 API 命令DescribeManagedRuleGroup。

Rule name（规则名称）描述和标注分类

Rule name（规则名称）	描述和标注分类
`UNIXShellCommandsVariables_QUERYARGUMENTS`	检查所有查询参数的值，以查找是否有恶意方试图利用在 Unix 系统上运行的 Web 应用程序中的命令注入、LFI 和路径遍历漏洞。示例包括类似于 `echo $HOME` 和 `echo $PATH` 的模式。规则操作：Block 标签：`awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_QUERYARGUMENTS`
`UNIXShellCommandsVariables_BODY`	检查请求正文，以查找是否有恶意方试图利用在 Unix 系统上运行的 Web 应用程序中的命令注入、LFI 和路径遍历漏洞。示例包括类似于 `echo $HOME` 和 `echo $PATH` 的模式。警告此规则仅检查请求正文的前 8 KB，并使用该`Continue`选项处理超大内容。有关更多信息，请参阅请求组件的超大处理：规则操作：Block 标签：`awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_BODY`

UNIXShellCommandsVariables_QUERYARGUMENTS

检查所有查询参数的值，以查找是否有恶意方试图利用在 Unix 系统上运行的 Web 应用程序中的命令注入、LFI 和路径遍历漏洞。示例包括类似于 echo $HOME 和 echo $PATH 的模式。

规则操作：Block

标签：awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_QUERYARGUMENTS

UNIXShellCommandsVariables_BODY

检查请求正文，以查找是否有恶意方试图利用在 Unix 系统上运行的 Web 应用程序中的命令注入、LFI 和路径遍历漏洞。示例包括类似于 echo $HOME 和 echo $PATH 的模式。

警告

此规则仅检查请求正文的前 8 KB，并使用该Continue选项处理超大内容。有关更多信息，请参阅请求组件的超大处理：

规则操作：Block

标签：awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_BODY

Windows 操作系统托管规则组

VendorName:AWS, 名称:AWSManagedRulesWindowsRuleSet, WCU: 200

Windows 操作系统规则组包含阻止与利用 Windows 特定漏洞（例如远程执行 PowerShell 命令）相关的请求模式的规则。这有助于防止利用允许攻击者运行未经授权的命令或运行恶意代码的漏洞。如果应用程序的任何部分在 Windows 操作系统上运行，则应评估此规则组。

注意

下表描述了该规则组的最新静态版本。对于其他版本，请使用 API 命令DescribeManagedRuleGroup。

Rule name（规则名称）	描述和标注分类
`WindowsShellCommands_COOKIE`	检查 Web 应用程序中请求的 cookie 标头中是否有 WindowsShell 命令注入尝试。匹配模式代表WindowsShell 命令。示例模式包括`\|\|nslookup`和`;cmd`。警告此规则仅检查请求 cookie 的前 8 KB 或前 200 个 Cookie，以先达到的限制为准，并使用该`Continue`选项处理超大内容。有关更多信息，请参阅请求组件的超大处理：规则操作：Block 标签：`awswaf:managed:aws:windows-os:WindowsShellCommands_Cookie`
`WindowsShellCommands_QUERYARGUMENTS`	检查 Web 应用程序中所有查询参数的值，以进行WindowsShell 命令注入尝试。匹配模式代表WindowsShell 命令。示例模式包括`\|\|nslookup`和`;cmd`。规则操作：Block 标签：`awswaf:managed:aws:windows-os:WindowsShellCommands_QueryArguments`
`WindowsShellCommands_BODY`	检查请求正文中是否有 Web 应用程序中的 WindowsShell 命令注入尝试。匹配模式代表 WindowsShell 命令。示例模式包括`\|\|nslookup`和`;cmd`。警告此规则仅检查请求正文的前 8 KB，并使用该`Continue`选项处理超大内容。有关更多信息，请参阅请求组件的超大处理：规则操作：Block 标签：`awswaf:managed:aws:windows-os:WindowsShellCommands_Body`
`PowerShellCommands_COOKIE`	检查 Web 应用程序中请求的 cookie 标头中是否有 PowerShell 命令注入尝试。匹配模式代表PowerShell 命令。例如，`Invoke-Expression`。警告此规则仅检查请求 cookie 的前 8 KB 或前 200 个 Cookie，以先达到的限制为准，并使用该`Continue`选项处理超大内容。有关更多信息，请参阅请求组件的超大处理：规则操作：Block 标签：`awswaf:managed:aws:windows-os:PowerShellCommands_Cookie`
`PowerShellCommands_QUERYARGUMENTS`	检查 Web 应用程序中所有查询参数的值，以进行PowerShell 命令注入尝试。匹配模式代表PowerShell 命令。例如，`Invoke-Expression`。规则操作：Block 标签：`awswaf:managed:aws:windows-os:PowerShellCommands_QueryArguments`
`PowerShellCommands_BODY`	检查请求正文中是否有 Web 应用程序中的 PowerShell 命令注入尝试。匹配模式代表 PowerShell 命令。例如，`Invoke-Expression`。警告此规则仅检查请求正文的前 8 KB，并使用该`Continue`选项处理超大内容。有关更多信息，请参阅请求组件的超大处理：规则操作：Block 标签：`awswaf:managed:aws:windows-os:PowerShellCommands_Body`

PHP 应用程序管理规则组

VendorName:AWS, 名称:AWSManagedRulesPHPRuleSet, WCU: 100

PHP 应用程序规则组包含阻止请求模式的规则，这些请求模式与利用特定于 PHP 编程语言使用的漏洞相关，包括注入不安全的 PHP 函数。这有助于防止利用允许攻击者远程运行未经授权的代码或命令的漏洞。如果 PHP 安装在与应用程序相连的任何服务器上，则评估此规则组。

注意

下表描述了该规则组的最新静态版本。对于其他版本，请使用 API 命令DescribeManagedRuleGroup。

Rule name（规则名称）描述和标注分类

Rule name（规则名称）	描述和标注分类
`PHPHighRiskMethodsVariables_HEADER`	检查所有标头中是否有 PHP 脚本代码注入尝试。示例模式包括类似 `fsockopen` 和 `$_GET` 超全局变量的函数。警告此规则仅检查请求标头的前 8 KB 或前 200 个标头，以先达到限制为准，并使用该`Continue`选项处理超大内容。有关更多信息，请参阅请求组件的超大处理：规则操作：Block 标签：`awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Header`
`PHPHighRiskMethodsVariables_QUERYSTRING`	检查请求 URL`?` 中第一个之后的所有内容，查找 PHP 脚本代码注入尝试。示例模式包括类似 `fsockopen` 和 `$_GET` 超全局变量的函数。规则操作：Block 标签：`awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_QueryString`
`PHPHighRiskMethodsVariables_BODY`	检查请求主体的值以查找 PHP 脚本代码注入尝试。示例模式包括类似 `fsockopen` 和 `$_GET` 超全局变量的函数。警告此规则仅检查请求正文的前 8 KB，并使用该`Continue`选项处理超大内容。有关更多信息，请参阅请求组件的超大处理：规则操作：Block 标签：`awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Body`

PHPHighRiskMethodsVariables_HEADER

检查所有标头中是否有 PHP 脚本代码注入尝试。示例模式包括类似 fsockopen 和 $_GET 超全局变量的函数。

警告

规则操作：Block

标签：awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Header

PHPHighRiskMethodsVariables_QUERYSTRING

检查请求 URL? 中第一个之后的所有内容，查找 PHP 脚本代码注入尝试。示例模式包括类似 fsockopen 和 $_GET 超全局变量的函数。

规则操作：Block

标签：awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_QueryString

PHPHighRiskMethodsVariables_BODY

检查请求主体的值以查找 PHP 脚本代码注入尝试。示例模式包括类似 fsockopen 和 $_GET 超全局变量的函数。

警告

此规则仅检查请求正文的前 8 KB，并使用该Continue选项处理超大内容。有关更多信息，请参阅请求组件的超大处理：

规则操作：Block

标签：awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Body

WordPress 应用程序管理规则组

VendorName:AWS, 名称:AWSManagedRulesWordPressRuleSet, WCU: 100

WordPress 应用程序规则组包含阻止与利用特定于WordPress 站点的漏洞相关的请求模式的规则。如果您正在运行，则应评估此规则组WordPress。此规则组应与 SQL 数据库和 PHP 应用程序规则组一起使用。

注意

下表描述了该规则组的最新静态版本。对于其他版本，请使用 API 命令DescribeManagedRuleGroup。

Rule name（规则名称）描述和标注分类

Rule name（规则名称）	描述和标注分类
`WordPressExploitableCommands_QUERYSTRING`	检查请求查询字符串中是否存在可在有漏洞的安装或插件中利用的高风险WordPress 命令。示例模式包括类似于 `do-reset-wordpress` 的命令。规则操作：Block 标签：`awswaf:managed:aws:wordpress-app:WordPressExploitableCommands_QUERYSTRING`
`WordPressExploitablePaths_URIPATH`	检查诸如此类的 WordPress 文件的请求 URI 路径`xmlrpc.php`，这些文件已知存在可轻松利用的漏洞。规则操作：Block 标签：`awswaf:managed:aws:wordpress-app:WordPressExploitablePaths_URIPATH`

WordPressExploitableCommands_QUERYSTRING

检查请求查询字符串中是否存在可在有漏洞的安装或插件中利用的高风险WordPress 命令。示例模式包括类似于 do-reset-wordpress 的命令。

规则操作：Block

标签：awswaf:managed:aws:wordpress-app:WordPressExploitableCommands_QUERYSTRING

WordPressExploitablePaths_URIPATH

检查诸如此类的 WordPress 文件的请求 URI 路径xmlrpc.php，这些文件已知存在可轻松利用的漏洞。

规则操作：Block

标签：awswaf:managed:aws:wordpress-app:WordPressExploitablePaths_URIPATH

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

基准规则组

IP 声誉规则组