본문 바로가기
[AWS-FRF]/WAF&Shield

[중요2][AWS] WAF 기준 규칙 그룹!!

by METAVERSE STORY 2024. 9. 19.
반응형
728x170

 

 

 

## GITLAB 에서 An error occurred editing the blob 에러시 WAF 확인 할 것!!

 

 

## WAF 적용룰 참고!!

 

 

 

 

기준 관리형 규칙 그룹은 다양한 일반적인 위협에 대한 일반적인 보호 기능을 제공합니다. 이러한 규칙 그룹 중 하나 이상을 선택하여 리소스에 대한 기준 보호를 설정합니다.

참고

 

AWS 관리형 규칙 규칙 그룹의 규칙에 대해 게시하는 정보는 규칙을 사용하기에 충분한 정보를 제공하는 동시에 악의적인 공격자가 규칙을 우회하는 데 사용할 수 있는 정보는 제공하지 않기 위한 것입니다. 이 설명서의 내용 외에 더 많은 정보가 필요한 경우 AWS Support 센터에 문의하십시오.

핵심 규칙 세트(CRS) 관리형 규칙 그룹

 

VendorName:AWS, 이름:AWSManagedRulesCommonRuleSet, WCU: 700

핵심 규칙 집합(CRS, Core rule set) 규칙 그룹에는 일반적으로 웹 애플리케이션에 적용할 수 있는 규칙이 포함되어 있습니다. 이를 통해 OWASP Top 10과 같은 OWASP 게시물에 설명된 자주 발생하고 위험성 높은 일부 취약성을 비롯한 광범위한 취약성 도용을 막을 수 있습니다. 모든 사용 사례에 이 규칙 그룹을 AWS WAF 사용하는 것을 고려해 보세요.

이 관리형 규칙 그룹은 평가하는 웹 요청에 레이블을 추가합니다. 이 레이블은 웹 ACL에서 이 규칙 그룹 이후에 실행되는 규칙에 사용할 수 있습니다. AWS WAF 또한 레이블을 Amazon CloudWatch 메트릭에 기록합니다. 레이블 및 레이블 지표에 대한 일반적인 내용은 웹 요청의 레이블  레이블 지표 및 차원 섹션을 참조하세요.

참고

이 표는 이 규칙 그룹의 최신 정적 버전을 설명합니다. 다른 버전의 경우 API 명령을 사용하십시오 DescribeManagedRuleGroup.

규칙 이름설명 및 레이블
NoUserAgent_HEADER HTTP User-Agent 헤더가 누락된 요청을 검사합니다.
규칙 작업: Block
Label(레이블): awswaf:managed:aws:core-rule-set:NoUserAgent_Header
UserAgent_BadBots_HEADER 요청이 불량 봇임을 나타내는 공통 User-Agent 헤더 값이 있는지 검사합니다. 예제 패턴에는 nessus  nmap이 포함되어 있습니다. 봇 관리에 대한 자세한 내용은 AWS WAF 봇 컨트롤 규칙 그룹 섹션을 참조하세요.
규칙 작업: Block
Label(레이블): awswaf:managed:aws:core-rule-set:BadBots_Header
SizeRestrictions_QUERYSTRING URI 쿼리 문자열이 2,048바이트를 초과하는지 검사합니다.
규칙 작업: Block
Label(레이블): awswaf:managed:aws:core-rule-set:SizeRestrictions_QueryString
SizeRestrictions_Cookie_HEADER 쿠키 헤더가 10,240바이트를 초과하늕 검사합니다.
규칙 작업: Block
Label(레이블): awswaf:managed:aws:core-rule-set:SizeRestrictions_Cookie_Header
SizeRestrictions_BODY 요청 본문이 8KB(8,192바이트)를 초과하는지 검사합니다.
규칙 작업: Block
Label(레이블): awswaf:managed:aws:core-rule-set:SizeRestrictions_Body
SizeRestrictions_URIPATH URI 경로가 1,024바이트를 초과하는지 검사합니다.
규칙 작업: Block
Label(레이블): awswaf:managed:aws:core-rule-set:SizeRestrictions_URIPath
EC2MetaDataSSRF_BODY 요청 본문에서 Amazon EC2 메타데이터를 빼내려는 시도가 있는지 검사합니다.
주의
이 규칙은 웹 ACL 및 리소스 유형에 대한 본문 크기 제한까지만 요청 본문을 검사합니다. Application Load Balancer 및 의 AWS AppSync경우 제한은 8KB로 고정되어 있습니다. API Gateway, Amazon Cognito, 앱 러너 및 검증된 액세스의 경우 기본 한도는 16KB이며 웹 ACL 구성에서 제한을 최대 64KB까지 늘릴 수 있습니다. CloudFront 이 규칙은 과대 콘텐츠 처리에 대해 Continue 옵션을 사용합니다. 자세한 정보는 에서 크기 초과 요청 구성 요소 처리 AWS WAF을 참조하세요.
규칙 작업: Block
Label(레이블): awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Body
EC2MetaDataSSRF_COOKIE 요청 쿠키에서 Amazon EC2 메타데이터를 빼내려는 시도가 있는지 검사합니다.
규칙 작업: Block
Label(레이블): awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Cookie
EC2MetaDataSSRF_URIPATH 요청 URI 경로에서 Amazon EC2 메타데이터를 빼내려는 시도가 있는지 검사합니다.
규칙 작업: Block
Label(레이블): awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_URIPath
EC2MetaDataSSRF_QUERYARGUMENTS 요청 쿼리 인수에서 Amazon EC2 메타데이터를 빼내려는 시도가 있는지 검사합니다.
규칙 작업: Block
Label(레이블): awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_QueryArguments
GenericLFI_QUERYARGUMENTS 쿼리 인수에 로컬 파일 포함(LFI, Local File Inclusion) 도용이 있는지 검사합니다. 예를 들면 ../../ 같은 기술을 사용한 경로 탐색 시도가 있을 수 있습니다.
규칙 작업: Block
Label(레이블): awswaf:managed:aws:core-rule-set:GenericLFI_QueryArguments
GenericLFI_URIPATH URI 경로에 로컬 파일 포함(LFI, Local File Inclusion) 도용이 있는지 검사합니다. 예를 들면 ../../ 같은 기술을 사용한 경로 탐색 시도가 있을 수 있습니다.
규칙 작업: Block
Label(레이블): awswaf:managed:aws:core-rule-set:GenericLFI_URIPath
GenericLFI_BODY 요청 본문에 로컬 파일 포함(LFI, Local File Inclusion) 도용이 있는지 검사합니다. 예를 들면 ../../ 같은 기술을 사용한 경로 탐색 시도가 있을 수 있습니다.
주의
이 규칙은 웹 ACL 및 리소스 유형에 대한 본문 크기 제한까지만 요청 본문을 검사합니다. Application Load Balancer 및 의 AWS AppSync경우 제한은 8KB로 고정되어 있습니다. API Gateway, Amazon Cognito, 앱 러너 및 검증된 액세스의 경우 기본 한도는 16KB이며 웹 ACL 구성에서 제한을 최대 64KB까지 늘릴 수 있습니다. CloudFront 이 규칙은 과대 콘텐츠 처리에 대해 Continue 옵션을 사용합니다. 자세한 정보는 에서 크기 초과 요청 구성 요소 처리 AWS WAF을 참조하세요.
규칙 작업: Block
Label(레이블): awswaf:managed:aws:core-rule-set:GenericLFI_Body
RestrictedExtensions_URIPATH URI 경로에 읽거나 실행하기에 안전하지 않은 시스템 파일 확장자가 포함된 요청이 있는지 검사합니다. 예제 패턴에는 .log  .ini 같은 확장명이 포함됩니다.
규칙 작업: Block
Label(레이블): awswaf:managed:aws:core-rule-set:RestrictedExtensions_URIPath
RestrictedExtensions_QUERYARGUMENTS 쿼리 인수가 클라이언트가 읽거나 실행하기에 안전하지 않은 시스템 파일 확장명인 요청을 검사합니다. 예제 패턴에는 .log  .ini 같은 확장명이 포함됩니다.
규칙 작업: Block
Label(레이블): awswaf:managed:aws:core-rule-set:RestrictedExtensions_QueryArguments
GenericRFI_QUERYARGUMENTS 모든 쿼리 매개 변수의 값을 검사하여 IPv4 주소가 포함된 URL을 포함하여 웹 애플리케이션에서 RFI(Remote File Inclusion)를 악용하려는 시도가 있는지 확인합니다. 예를 들면, 악용 시도에는 IPv4 호스트 헤더가 있는 http://, https://,ftp://,ftps://  file:// 등의 패턴이 있습니다.
규칙 작업: Block
Label(레이블): awswaf:managed:aws:core-rule-set:GenericRFI_QueryArguments
GenericRFI_BODY IPv4 주소가 포함된 URL을 포함하여 웹 애플리케이션에서 RFI(Remote File Inclusion)를 악용하려는 시도가 있는지 알아보기 위해 요청 본문을 검사합니다. 예를 들면, 악용 시도에는 IPv4 호스트 헤더가 있는 http://, https://,ftp://,ftps://  file:// 등의 패턴이 있습니다.
주의
이 규칙은 웹 ACL 및 리소스 유형에 대한 본문 크기 제한까지만 요청 본문을 검사합니다. Application Load Balancer 및 의 AWS AppSync경우 제한은 8KB로 고정되어 있습니다. API Gateway, Amazon Cognito, 앱 러너 및 검증된 액세스의 경우 기본 한도는 16KB이며 웹 ACL 구성에서 제한을 최대 64KB까지 늘릴 수 있습니다. CloudFront 이 규칙은 과대 콘텐츠 처리에 대해 Continue 옵션을 사용합니다. 자세한 정보는 에서 크기 초과 요청 구성 요소 처리 AWS WAF을 참조하세요.
규칙 작업: Block
Label(레이블): awswaf:managed:aws:core-rule-set:GenericRFI_Body
GenericRFI_URIPATH IPv4 주소가 포함된 URL을 포함하여 웹 애플리케이션에서 RFI(Remote File Inclusion)를 악용하려는 시도가 있는지 알아보기 위해 URI 경로를 검사합니다. 예를 들면, 악용 시도에는 IPv4 호스트 헤더가 있는 http://, https://,ftp://,ftps://  file:// 등의 패턴이 있습니다.
규칙 작업: Block
Label(레이블): awswaf:managed:aws:core-rule-set:GenericRFI_URIPath
CrossSiteScripting_COOKIE 내장 기능을 사용하여 쿠키 헤더의 값에 일반적인 XSS (크로스 사이트 스크립팅) 패턴이 있는지 검사합니다. AWS WAF 교차 사이트 스크립팅 공격 규칙 문 예제 패턴에는 <script>alert("hello")</script> 같은 스크립트가 포함됩니다.
참고
AWS WAF 로그의 규칙 일치 세부 정보는 이 규칙 그룹의 버전 2.0에 대해 채워지지 않았습니다.
규칙 작업: Block
Label(레이블): awswaf:managed:aws:core-rule-set:CrossSiteScripting_Cookie
CrossSiteScripting_QUERYARGUMENTS 내장 기능을 사용하여 일반적인 크로스 사이트 스크립팅 (XSS) 패턴에 대한 쿼리 인수 값을 검사합니다. AWS WAF 교차 사이트 스크립팅 공격 규칙 문 예제 패턴에는 <script>alert("hello")</script> 같은 스크립트가 포함됩니다.
참고
AWS WAF 로그의 규칙 일치 세부 정보는 이 규칙 그룹의 버전 2.0에 대해 채워지지 않았습니다.
규칙 작업: Block
Label(레이블): awswaf:managed:aws:core-rule-set:CrossSiteScripting_QueryArguments
CrossSiteScripting_BODY 기본 제공을 사용하여 요청 본문에서 일반적인 XSS (사이트 간 스크립팅) 패턴을 검사합니다. AWS WAF 교차 사이트 스크립팅 공격 규칙 문 예제 패턴에는 <script>alert("hello")</script> 같은 스크립트가 포함됩니다.
참고
AWS WAF 로그의 규칙 일치 세부 정보는 이 규칙 그룹의 버전 2.0에 대해 채워지지 않았습니다.
주의
이 규칙은 웹 ACL 및 리소스 유형에 대한 본문 크기 제한까지만 요청 본문을 검사합니다. Application Load Balancer 및 의 AWS AppSync경우 제한은 8KB로 고정되어 있습니다. API Gateway, Amazon Cognito, 앱 러너 및 검증된 액세스의 경우 기본 한도는 16KB이며 웹 ACL 구성에서 제한을 최대 64KB까지 늘릴 수 있습니다. CloudFront 이 규칙은 과대 콘텐츠 처리에 대해 Continue 옵션을 사용합니다. 자세한 정보는 에서 크기 초과 요청 구성 요소 처리 AWS WAF을 참조하세요.
규칙 작업: Block
Label(레이블): awswaf:managed:aws:core-rule-set:CrossSiteScripting_Body
CrossSiteScripting_URIPATH 내장 기능을 사용하여 일반적인 XSS (크로스 사이트 스크립팅) 패턴의 URI 경로 값을 검사합니다. AWS WAF 교차 사이트 스크립팅 공격 규칙 문 예제 패턴에는 <script>alert("hello")</script> 같은 스크립트가 포함됩니다.
참고
AWS WAF 로그의 규칙 일치 세부 정보는 이 규칙 그룹의 버전 2.0에 대해 채워지지 않았습니다.
규칙 작업: Block
Label(레이블): awswaf:managed:aws:core-rule-set:CrossSiteScripting_URIPath

관리 보호 관리형 규칙 그룹

 

VendorName:AWS, 이름:AWSManagedRulesAdminProtectionRuleSet, WCU: 100

관리 보호 규칙 그룹에는 노출된 관리 페이지에 대한 외부 액세스를 차단할 수 있는 규칙이 포함되어 있습니다. 서드 파티 소프트웨어를 실행 중이거나, 악성 액터가 애플리케이션에 대한 관리 액세스 권한을 얻게 되는 위험을 줄이려면 이 방법이 유용할 수 있습니다.

이 관리형 규칙 그룹은 평가하는 웹 요청에 레이블을 추가합니다. 이 레이블은 웹 ACL에서 이 규칙 그룹 이후에 실행되는 규칙에 사용할 수 있습니다. AWS WAF 또한 레이블을 Amazon CloudWatch 메트릭에 기록합니다. 레이블 및 레이블 지표에 대한 일반적인 내용은 웹 요청의 레이블  레이블 지표 및 차원 섹션을 참조하세요.

참고

이 표는 이 규칙 그룹의 최신 정적 버전을 설명합니다. 다른 버전의 경우 API 명령을 사용하십시오 DescribeManagedRuleGroup.

규칙 이름설명 및 레이블
AdminProtection_URIPATH 일반적으로 웹 서버 또는 애플리케이션의 관리를 위해 예약되어 있는 URI 경로가 있는지 검사합니다. 예제 패턴에는 sqlmanager가 포함됩니다.
규칙 작업: Block
Label(레이블): awswaf:managed:aws:admin-protection:AdminProtection_URIPath

관리형 규칙 그룹의 알려진 잘못된 입력

 

VendorName:AWS, 이름:AWSManagedRulesKnownBadInputsRuleSet, WCU: 200

알려진 잘못된 입력 규칙 그룹에는 유효하지 않은 것으로 알려져 있으며 취약성의 도용 또는 발견과 관련된 요청 패턴을 차단하는 규칙이 포함되어 있습니다. 이렇게 하면 악성 액터가 취약한 애플리케이션을 발견하는 위험을 줄일 수 있습니다.

이 관리형 규칙 그룹은 평가하는 웹 요청에 레이블을 추가합니다. 이 레이블은 웹 ACL에서 이 규칙 그룹 이후에 실행되는 규칙에 사용할 수 있습니다. AWS WAF 또한 레이블을 Amazon CloudWatch 메트릭에 기록합니다. 레이블 및 레이블 지표에 대한 일반적인 내용은 웹 요청의 레이블  레이블 지표 및 차원 섹션을 참조하세요.

참고

이 표는 이 규칙 그룹의 최신 정적 버전을 설명합니다. 다른 버전의 경우 API 명령을 사용하십시오 DescribeManagedRuleGroup.

규칙 이름설명 및 레이블
JavaDeserializationRCE_HEADER Spring Core and Cloud Function RCE 취약점(CVE-2022-22963, CVE-2022-22965)과 같은 Java 역직렬화 원격 명령 실행(RCE) 시도를 나타내는 패턴이 있는지 HTTP 요청 헤더의 키와 값을 검사합니다. 예제 패턴에는 (java.lang.Runtime).getRuntime().exec("whoami")가 포함됩니다.
주의
이 규칙은 요청 헤더의 처음 8KB 또는 처음 200개 헤더(둘 중 먼저 도달하는 제한)만 검사하며 과대 콘텐츠 처리에 대해 Continue 옵션을 사용합니다. 자세한 정보는 에서 크기 초과 요청 구성 요소 처리 AWS WAF을 참조하세요.
규칙 작업: Block
Label(레이블): awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Header
JavaDeserializationRCE_BODY Spring Core and Cloud Function RCE 취약성(CVE-2022-22963, CVE-2022-22965)과 같은 Java 역직렬화 원격 명령 실행(RCE) 시도를 나타내는 패턴이 있는지 요청 본문을 검사합니다. 예제 패턴에는 (java.lang.Runtime).getRuntime().exec("whoami")가 포함됩니다.
주의
이 규칙은 웹 ACL 및 리소스 유형에 대한 본문 크기 제한까지만 요청 본문을 검사합니다. Application Load Balancer 및 의 AWS AppSync경우 제한은 8KB로 고정되어 있습니다. API Gateway, Amazon Cognito, 앱 러너 및 검증된 액세스의 경우 기본 한도는 16KB이며 웹 ACL 구성에서 제한을 최대 64KB까지 늘릴 수 있습니다. CloudFront 이 규칙은 과대 콘텐츠 처리에 대해 Continue 옵션을 사용합니다. 자세한 정보는 에서 크기 초과 요청 구성 요소 처리 AWS WAF을 참조하세요.
규칙 작업: Block
Label(레이블): awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Body
JavaDeserializationRCE_URIPATH Spring Core and Cloud Function RCE 취약성(CVE-2022-22963, CVE-2022-22965)과 같은 Java 역직렬화 원격 명령 실행(RCE) 시도를 나타내는 패턴이 있는지 요청 URI를 검사합니다. 예제 패턴에는 (java.lang.Runtime).getRuntime().exec("whoami")가 포함됩니다.
규칙 작업: Block
Label(레이블): awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_URIPath
JavaDeserializationRCE_QUERYSTRING Spring Core and Cloud Function RCE 취약성(CVE-2022-22963, CVE-2022-22965)과 같은 Java 역직렬화 원격 명령 실행(RCE) 시도를 나타내는 패턴이 있는지 요청 쿼리 문자열을 검사합니다. 예제 패턴에는 (java.lang.Runtime).getRuntime().exec("whoami")가 포함됩니다.
규칙 작업: Block
Label(레이블): awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_QueryString
Host_localhost_HEADER 로컬 호스트를 나타내는 패턴에 대한 요청의 호스트 헤더를 검사합니다. 예제 패턴에는 localhost가 포함됩니다.
규칙 작업: Block
Label(레이블): awswaf:managed:aws:known-bad-inputs:Host_Localhost_Header
PROPFIND_METHOD HEAD와 유사하지만 XML 객체를 빼내려는 의도가 추가된 PROPFIND에 대한 요청의 HTTP 메서드를 검사합니다.
규칙 작업: Block
Label(레이블): awswaf:managed:aws:known-bad-inputs:Propfind_Method
ExploitablePaths_URIPATH URI 경로에서 도용 가능한 웹 애플리케이션 경로에 대한 액세스 시도를 검사합니다. 예제 패턴에는 web-inf와 같은 경로가 포함됩니다.
규칙 작업: Block
Label(레이블): awswaf:managed:aws:known-bad-inputs:ExploitablePaths_URIPath
Log4JRCE_HEADER 요청 헤더의 키와 값을 검사하여 Log4j 취약점(CVE-2021-44228, CVE-2021-45046, CVE-2021-45105)이 있는지 확인하고 원격 코드 실행(RCE) 시도로부터 보호합니다. 예제 패턴에는 ${jndi:ldap://example.com/}가 포함됩니다.
주의
이 규칙은 요청 헤더의 처음 8KB 또는 처음 200개 헤더(둘 중 먼저 도달하는 제한)만 검사하며 과대 콘텐츠 처리에 대해 Continue 옵션을 사용합니다. 자세한 정보는 에서 크기 초과 요청 구성 요소 처리 AWS WAF을 참조하세요.
규칙 작업: Block
Label(레이블): awswaf:managed:aws:known-bad-inputs:Log4JRCE_Header
Log4JRCE_QUERYSTRING 쿼리 문자열을 검사하여 Log4j 취약성(CVE-2021-44228, CVE-2021-45046, CVE-2021-45105)이 있는지 확인하고 원격 코드 실행(RCE) 시도로부터 보호합니다. 예제 패턴에는 ${jndi:ldap://example.com/}가 포함됩니다.
규칙 작업: Block
Label(레이블): awswaf:managed:aws:known-bad-inputs:Log4JRCE_QueryString
Log4JRCE_BODY 본문을 검사하여 Log4j 취약성(CVE-2021-44228, CVE-2021-45046, CVE-2021-45105)이 있는지 확인하고 원격 코드 실행(RCE) 시도로부터 보호합니다. 예제 패턴에는 ${jndi:ldap://example.com/}가 포함됩니다.
주의
이 규칙은 웹 ACL 및 리소스 유형에 대한 본문 크기 제한까지만 요청 본문을 검사합니다. Application Load Balancer 및 의 AWS AppSync경우 제한은 8KB로 고정되어 있습니다. API Gateway, Amazon Cognito, 앱 러너 및 검증된 액세스의 경우 기본 한도는 16KB이며 웹 ACL 구성에서 제한을 최대 64KB까지 늘릴 수 있습니다. CloudFront 이 규칙은 과대 콘텐츠 처리에 대해 Continue 옵션을 사용합니다. 자세한 정보는 에서 크기 초과 요청 구성 요소 처리 AWS WAF을 참조하세요.
규칙 작업: Block
Label(레이블): awswaf:managed:aws:known-bad-inputs:Log4JRCE_Body
Log4JRCE_URIPATH URI 경로를 검사하여 Log4j 취약성(CVE-2021-44228, CVE-2021-45046, CVE-2021-45105)이 있는지 확인하고 원격 코드 실행(RCE) 시도로부터 보호합니다. 예제 패턴에는 ${jndi:ldap://example.com/}가 포함됩니다.
규칙 작업: Block
Label(레이블): awswaf:managed:aws:known-bad-inputs:Log4JRCE_URIPath

 

 

 

기준 규칙 그룹 - AWS WAF, AWS Firewall Manager, 및 AWS Shield Advanced (amazon.com)

 

기준 규칙 그룹 - AWS WAF, AWS Firewall Manager, 및 AWS Shield Advanced

이 규칙은 웹 ACL 및 리소스 유형에 대한 본문 크기 제한까지만 요청 본문을 검사합니다. Application Load Balancer 및 의 AWS AppSync경우 제한은 8KB로 고정되어 있습니다. API Gateway, Amazon Cognito, 앱 러너 및

docs.aws.amazon.com

 

반응형
그리드형

'[AWS-FRF] > WAF&Shield' 카테고리의 다른 글

[중요][WAF] 실습으로 살펴보는 AWS WAF !!  (12) 2024.09.19
[참고][AWS] Shield vs WAF !!  (88) 2024.08.08

댓글