Grupos de reglas de base de referencia - AWS WAF, AWS Firewall Manager, AWS Shield Advanced y director de seguridad de red AWS Shield
Conjunto de reglas básicas (CRS)Protección de administraciónEntradas incorrectas conocidas

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las funciones de AWS WAF desde cualquier parte de la consola. Para obtener más información, consulta Trabajo con la experiencia de consola actualizada.

Grupos de reglas de base de referencia

Los grupos de reglas administradas de base de referencia proporcionan protección general contra una amplia variedad de amenazas comunes. Elija uno o varios de estos grupos de reglas para establecer la protección de base de referencia para los recursos.

Grupo de reglas administradas del conjunto de reglas básicas (CRS)

Nombre del proveedor: AWS, nombre: AWSManagedRulesCommonRuleSet, WCU: 700

nota

Esta documentación cubre la versión estática más reciente de este grupo de reglas administrado. Reportamos los cambios de versión en el registro de cambios en Registro de cambios de las reglas administradas de AWS. Para obtener información acerca de otras versiones, use el comando de API DescribeManagedRuleGroup.

La información que publicamos sobre las reglas en los grupos de reglas administradas de AWS tiene por objeto proporcionarle información suficiente para usarlas, pero no proporciona información que los actores malintencionados puedan usar para eludirlas.

Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el Centro de AWS Support.

Este grupo de reglas del conjunto de reglas básicas (CRS) contiene reglas que son generalmente aplicables a las aplicaciones web. Este brinda protección contra la explotación de una amplia gama de vulnerabilidades, incluyendo algunas de las vulnerabilidades de alto riesgo y más comunes descritas en publicaciones de OWASP tales como OWASP Top 10. Considere usar este grupo de reglas para cualquier caso de uso de AWS WAF.

Este grupo de reglas administradas agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección (ACL web). AWS WAF también registra las etiquetas de las métricas de Amazon CloudWatch. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte Etiquetado de solicitudes web y Etiquetar métricas y dimensiones.

Nombre de la regla Descripción y etiqueta
NoUserAgent_HEADER

Inspecciona las solicitudes a las que les falta el encabezado HTTP User-Agent.

Acción de la regla: Block

Etiqueta: awswaf:managed:aws:core-rule-set:NoUserAgent_Header
UserAgent_BadBots_HEADER

Comprueba si hay valores de encabezado User-Agent comunes que indiquen que la solicitud es un badbot. Los patrones de ejemplo incluyen nessus y nmap. Para obtener información sobre la administración de bots, consulte también Grupo de reglas de control de bots de AWS WAF.

Acción de la regla: Block

Etiqueta: awswaf:managed:aws:core-rule-set:BadBots_Header
SizeRestrictions_QUERYSTRING

Inspecciona las cadenas de consulta de URI que superen los 2048 bytes.

Acción de la regla: Block

Etiqueta: awswaf:managed:aws:core-rule-set:SizeRestrictions_QueryString
SizeRestrictions_Cookie_HEADER

Comprueba si los encabezados de las cookies tienen más de 10 240 bytes.

Acción de la regla: Block

Etiqueta: awswaf:managed:aws:core-rule-set:SizeRestrictions_Cookie_Header
SizeRestrictions_BODY

Inspecciona los cuerpos de las solicitudes que pesen más de 8 KB (8192 bytes).

Acción de la regla: Block

Etiqueta: awswaf:managed:aws:core-rule-set:SizeRestrictions_Body
SizeRestrictions_URIPATH

Inspeccione las rutas de URI que superen los 1024 bytes.

Acción de la regla: Block

Etiqueta: awswaf:managed:aws:core-rule-set:SizeRestrictions_URIPath
EC2MetaDataSSRF_BODY

Inspecciona los intentos de sustraer metadatos de Amazon EC2 del cuerpo de la solicitud.

aviso

Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño de cuerpo del paquete de protección (ACL web) y el tipo de recurso. Para el Equilibrador de carga de aplicación y AWS AppSync, el límite se estableció en 8 KB. En el caso de CloudFront, API Gateway, Amazon Cognito, App Runner y el acceso verificado, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en su configuración del paquete de protección (ACL web). Esta regla utiliza la opción Continue para administrar contenido sobredimensionado. Para obtener más información, consulte Componentes de solicitudes web con tamaño excesivo en AWS WAF.

Acción de la regla: Block

Etiqueta: awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Body
EC2MetaDataSSRF_COOKIE

Inspecciona los intentos de sustraer metadatos de Amazon EC2 de la cookie de la solicitud.

Acción de la regla: Block

Etiqueta: awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Cookie
EC2MetaDataSSRF_URIPATH

Inspecciona los intentos de sustraer metadatos de Amazon EC2 de la ruta del URI de la solicitud.

Acción de la regla: Block

Etiqueta: awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_URIPath
EC2MetaDataSSRF_QUERYARGUMENTS

Inspecciona los intentos de sustraer metadatos de Amazon EC2 de los argumentos de consulta de la solicitud.

Acción de la regla: Block

Etiqueta: awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_QueryArguments
GenericLFI_QUERYARGUMENTS

Inspecciona la presencia de vulnerabilidades Local File Inclusion (LFI, Inclusión Local de Archivos) en los argumentos de la consulta. Los ejemplos incluyen los intentos de recorrido de ruta utilizando técnicas como ../../.

Acción de la regla: Block

Etiqueta: awswaf:managed:aws:core-rule-set:GenericLFI_QueryArguments
GenericLFI_URIPATH

Inspecciona la presencia de vulnerabilidades Local File Inclusion (LFI, Inclusión Local de Archivos) en la ruta del URI. Los ejemplos incluyen los intentos de recorrido de ruta utilizando técnicas como ../../.

Acción de la regla: Block

Etiqueta: awswaf:managed:aws:core-rule-set:GenericLFI_URIPath
GenericLFI_BODY

Inspecciona la presencia de vulnerabilidades Local File Inclusion (LFI, Inclusión Local de Archivos) en el cuerpo de la solicitud. Los ejemplos incluyen los intentos de recorrido de ruta utilizando técnicas como ../../.

aviso

Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño de cuerpo del paquete de protección (ACL web) y el tipo de recurso. Para el Equilibrador de carga de aplicación y AWS AppSync, el límite se estableció en 8 KB. En el caso de CloudFront, API Gateway, Amazon Cognito, App Runner y el acceso verificado, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en su configuración del paquete de protección (ACL web). Esta regla utiliza la opción Continue para administrar contenido sobredimensionado. Para obtener más información, consulte Componentes de solicitudes web con tamaño excesivo en AWS WAF.

Acción de la regla: Block

Etiqueta: awswaf:managed:aws:core-rule-set:GenericLFI_Body
RestrictedExtensions_URIPATH

Comprueba si hay solicitudes cuyas rutas de URI contengan extensiones de archivos del sistema que no sean seguras de leer o ejecutar. Los patrones de ejemplo incluyen extensiones como .log y .ini.

Acción de la regla: Block

Etiqueta: awswaf:managed:aws:core-rule-set:RestrictedExtensions_URIPath
RestrictedExtensions_QUERYARGUMENTS

Inspecciona las solicitudes cuyos argumentos de consulta contienen extensiones de archivo cuya lectura es insegura. Los patrones de ejemplo incluyen extensiones como .log y .ini.

Acción de la regla: Block

Etiqueta: awswaf:managed:aws:core-rule-set:RestrictedExtensions_QueryArguments
GenericRFI_QUERYARGUMENTS

Inspecciona los valores de todos los parámetros de consulta para detectar intentos de aprovechar la RFI (Inclusión Remota de Archivos) en aplicaciones web mediante la incrustación de direcciones URL que contienen direcciones IPv4. Los ejemplos incluyen patrones como http://, https://, ftp://, ftps:// y file://, con un encabezado de host IPv4 en el intento de explotación.

Acción de la regla: Block

Etiqueta: awswaf:managed:aws:core-rule-set:GenericRFI_QueryArguments
GenericRFI_BODY

Inspecciona el cuerpo de las solicitudes para detectar intentos de aprovechar la RFI (Inclusión Remota de Archivos) en aplicaciones web mediante la incrustación de direcciones URL que contienen direcciones IPv4. Los ejemplos incluyen patrones como http://, https://, ftp://, ftps:// y file://, con un encabezado de host IPv4 en el intento de explotación.

aviso

Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño de cuerpo del paquete de protección (ACL web) y el tipo de recurso. Para el Equilibrador de carga de aplicación y AWS AppSync, el límite se estableció en 8 KB. En el caso de CloudFront, API Gateway, Amazon Cognito, App Runner y el acceso verificado, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en su configuración del paquete de protección (ACL web). Esta regla utiliza la opción Continue para administrar contenido sobredimensionado. Para obtener más información, consulte Componentes de solicitudes web con tamaño excesivo en AWS WAF.

Acción de la regla: Block

Etiqueta: awswaf:managed:aws:core-rule-set:GenericRFI_Body
GenericRFI_URIPATH

Inspecciona la ruta de URI para detectar intentos de aprovechar la RFI (Inclusión Remota de Archivos) en aplicaciones web mediante la incrustación de direcciones URL que contienen direcciones IPv4. Los ejemplos incluyen patrones como http://, https://, ftp://, ftps:// y file://, con un encabezado de host IPv4 en el intento de explotación.

Acción de la regla: Block

Etiqueta: awswaf:managed:aws:core-rule-set:GenericRFI_URIPath
CrossSiteScripting_COOKIE

Inspecciona los valores de los encabezados de cookies para detectar patrones comunes de scripting entre sitios (XSS) mediante la AWS WAF integrada en Instrucción de regla de ataques de scripting entre sitios. Los patrones de ejemplo incluyen scripts como <script>alert("hello")</script>.

nota

Los detalles de coincidencia de las reglas de los registros de AWS WAF no se rellenan en la versión 2.0 de este grupo de reglas.

Acción de la regla: Block

Etiqueta: awswaf:managed:aws:core-rule-set:CrossSiteScripting_Cookie
CrossSiteScripting_QUERYARGUMENTS

Inspecciona los valores de los argumentos de interrogación para detectar patrones comunes de scripting entre sitios (XSS) mediante la AWS WAF integrada en Instrucción de regla de ataques de scripting entre sitios. Los patrones de ejemplo incluyen scripts como <script>alert("hello")</script>.

nota

Los detalles de coincidencia de las reglas de los registros de AWS WAF no se rellenan en la versión 2.0 de este grupo de reglas.

Acción de la regla: Block

Etiqueta: awswaf:managed:aws:core-rule-set:CrossSiteScripting_QueryArguments
CrossSiteScripting_BODY

Inspecciona el cuerpo de la solicitud para detectar patrones comunes de scripting entre sitios (XSS) mediante la AWS WAF integrada en Instrucción de regla de ataques de scripting entre sitios. Los patrones de ejemplo incluyen scripts como <script>alert("hello")</script>.

nota

Los detalles de coincidencia de las reglas de los registros de AWS WAF no se rellenan en la versión 2.0 de este grupo de reglas.

aviso

Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño de cuerpo del paquete de protección (ACL web) y el tipo de recurso. Para el Equilibrador de carga de aplicación y AWS AppSync, el límite se estableció en 8 KB. En el caso de CloudFront, API Gateway, Amazon Cognito, App Runner y el acceso verificado, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en su configuración del paquete de protección (ACL web). Esta regla utiliza la opción Continue para administrar contenido sobredimensionado. Para obtener más información, consulte Componentes de solicitudes web con tamaño excesivo en AWS WAF.

Acción de la regla: Block

Etiqueta: awswaf:managed:aws:core-rule-set:CrossSiteScripting_Body
CrossSiteScripting_URIPATH

Inspecciona el valor de la ruta de URI para detectar patrones comunes de scripting entre sitios (XSS) mediante la AWS WAF integrada en Instrucción de regla de ataques de scripting entre sitios. Los patrones de ejemplo incluyen scripts como <script>alert("hello")</script>.

nota

Los detalles de coincidencia de las reglas de los registros de AWS WAF no se rellenan en la versión 2.0 de este grupo de reglas.

Acción de la regla: Block

Etiqueta: awswaf:managed:aws:core-rule-set:CrossSiteScripting_URIPath

Grupo de reglas administradas de protección de la administración

Nombre del proveedor: AWS, nombre: AWSManagedRulesAdminProtectionRuleSet, WCU: 100

nota

Esta documentación cubre la versión estática más reciente de este grupo de reglas administrado. Reportamos los cambios de versión en el registro de cambios en Registro de cambios de las reglas administradas de AWS. Para obtener información acerca de otras versiones, use el comando de API DescribeManagedRuleGroup.

La información que publicamos sobre las reglas en los grupos de reglas administradas de AWS tiene por objeto proporcionarle información suficiente para usarlas, pero no proporciona información que los actores malintencionados puedan usar para eludirlas.

Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el Centro de AWS Support.

Este grupo contiene reglas que permiten bloquear el acceso externo a las páginas administrativas expuestas. Esto puede resultar útil si ejecuta software de terceros o si quiere reducir el riesgo de que un actor malintencionado obtenga acceso administrativo a la aplicación.

Este grupo de reglas administradas agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección (ACL web). AWS WAF también registra las etiquetas de las métricas de Amazon CloudWatch. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte Etiquetado de solicitudes web y Etiquetar métricas y dimensiones.

Nombre de la regla Descripción y etiqueta
AdminProtection_URIPATH

Inspecciona las rutas del URI que generalmente están reservadas para la administración de un servidor web o una aplicación. Entre los patrones de ejemplo se incluye sqlmanager.

Acción de la regla: Block

Etiqueta: awswaf:managed:aws:admin-protection:AdminProtection_URIPath

Grupo de reglas administradas de entradas incorrectas conocidas

Nombre del proveedor: AWS, nombre: AWSManagedRulesKnownBadInputsRuleSet, WCU: 200

nota

Esta documentación cubre la versión estática más reciente de este grupo de reglas administrado. Reportamos los cambios de versión en el registro de cambios en Registro de cambios de las reglas administradas de AWS. Para obtener información acerca de otras versiones, use el comando de API DescribeManagedRuleGroup.

La información que publicamos sobre las reglas en los grupos de reglas administradas de AWS tiene por objeto proporcionarle información suficiente para usarlas, pero no proporciona información que los actores malintencionados puedan usar para eludirlas.

Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el Centro de AWS Support.

Este grupo contiene reglas para bloquear los patrones de solicitud que se conocen por no ser válidos y que están asociados a la explotación o el descubrimiento de vulnerabilidades. Esto puede ayudar a reducir el riesgo de que un actor malintencionado descubra una aplicación vulnerable.

Este grupo de reglas administradas agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección (ACL web). AWS WAF también registra las etiquetas de las métricas de Amazon CloudWatch. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte Etiquetado de solicitudes web y Etiquetar métricas y dimensiones.

Nombre de la regla Descripción y etiqueta
JavaDeserializationRCE_HEADER

Inspecciona las claves y los valores de los encabezados de las solicitudes HTTP para detectar patrones que indiquen intentos de ejecución remota de comandos (RCE) de deserialización en Java, como las vulnerabilidades RCE de Spring Core y Cloud Function (CVE-202222963, CVE-202222965). Entre los patrones de ejemplo se incluye (java.lang.Runtime).getRuntime().exec("whoami").

aviso

Esta regla solo inspecciona los primeros 8 KB de encabezados de solicitudes o los primeros 200 encabezados, el límite que se alcance primero, y utiliza la opción Continue para administrar contenido de gran tamaño. Para obtener más información, consulte Componentes de solicitudes web con tamaño excesivo en AWS WAF.

Acción de la regla: Block

Etiqueta: awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Header

JavaDeserializationRCE_BODY

Inspecciona los cuerpos de la solicitud para detectar patrones que indiquen intentos de ejecución remota de comandos (RCE) de deserialización en Java, como las vulnerabilidades de RCE de Spring Core y Cloud Function (CVE-202222963, CVE-202222965). Entre los patrones de ejemplo se incluye (java.lang.Runtime).getRuntime().exec("whoami").

aviso

Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño de cuerpo del paquete de protección (ACL web) y el tipo de recurso. Para el Equilibrador de carga de aplicación y AWS AppSync, el límite se estableció en 8 KB. En el caso de CloudFront, API Gateway, Amazon Cognito, App Runner y el acceso verificado, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en su configuración del paquete de protección (ACL web). Esta regla utiliza la opción Continue para administrar contenido sobredimensionado. Para obtener más información, consulte Componentes de solicitudes web con tamaño excesivo en AWS WAF.

Acción de la regla: Block

Etiqueta: awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Body
JavaDeserializationRCE_URIPATH

Inspecciona el URI de la solicitud para detectar patrones que indiquen intentos de ejecución remota de comandos (RCE) de deserialización en Java, como las vulnerabilidades de RCE de Spring Core y Cloud Function (CVE-202222963, CVE-202222965). Entre los patrones de ejemplo se incluye (java.lang.Runtime).getRuntime().exec("whoami").

Acción de la regla: Block

Etiqueta: awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_URIPath
JavaDeserializationRCE_QUERYSTRING

Inspecciona la cadena de la solicitud para detectar patrones que indiquen intentos de ejecución remota de comandos (RCE) de deserialización en Java, como las vulnerabilidades de RCE de Spring Core y Cloud Function (CVE-202222963, CVE-202222965). Entre los patrones de ejemplo se incluye (java.lang.Runtime).getRuntime().exec("whoami").

Acción de la regla: Block

Etiqueta: awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_QueryString
Host_localhost_HEADER

Inspecciona el encabezado del host en la solicitud de patrones que indican localhost. Entre los patrones de ejemplo se incluye localhost.

Acción de la regla: Block

Etiqueta: awswaf:managed:aws:known-bad-inputs:Host_Localhost_Header
PROPFIND_METHOD

Inspecciona el método HTTP en la solicitud de PROPFIND, que es un método similar a HEAD, pero con la intención adicional de sustraer objetos XML.

Acción de la regla: Block

Etiqueta: awswaf:managed:aws:known-bad-inputs:Propfind_Method
ExploitablePaths_URIPATH

Inspecciona la ruta del URI en busca de intentos de acceder a rutas de aplicaciones web vulnerables. Los patrones de ejemplo incluyen rutas como web-inf.

Acción de la regla: Block

Etiqueta: awswaf:managed:aws:known-bad-inputs:ExploitablePaths_URIPath
Log4JRCE_HEADER

Inspecciona las claves y los valores de los encabezados de las solicitudes para detectar la presencia de la vulnerabilidad Log4j (CVE-2021-44228, CVE-2021-45046, CVE-2021-45105) y protege contra los intentos de ejecución remota de código (RCE). Entre los patrones de ejemplo se incluye ${jndi:ldap://example.com/}.

aviso

Esta regla solo inspecciona los primeros 8 KB de encabezados de solicitudes o los primeros 200 encabezados, el límite que se alcance primero, y utiliza la opción Continue para administrar contenido de gran tamaño. Para obtener más información, consulte Componentes de solicitudes web con tamaño excesivo en AWS WAF.

Acción de la regla: Block

Etiqueta: awswaf:managed:aws:known-bad-inputs:Log4JRCE_Header
Log4JRCE_QUERYSTRING

Inspecciona la cadena de consulta para detectar la presencia de la vulnerabilidad Log4j (CVE-2021-44228, CVE-2021-45046, CVE-2021-45105) y la protege contra los intentos de ejecución remota de códigos (RCE). Entre los patrones de ejemplo se incluye ${jndi:ldap://example.com/}.

Acción de la regla: Block

Etiqueta: awswaf:managed:aws:known-bad-inputs:Log4JRCE_QueryString
Log4JRCE_BODY

Inspecciona el cuerpo para detectar la presencia de la vulnerabilidad Log4j (CVE-2021-44228, CVE-2021-45046, CVE-2021-45105) y la protege contra los intentos de ejecución remota de códigos (RCE). Entre los patrones de ejemplo se incluye ${jndi:ldap://example.com/}.

aviso

Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño de cuerpo del paquete de protección (ACL web) y el tipo de recurso. Para el Equilibrador de carga de aplicación y AWS AppSync, el límite se estableció en 8 KB. En el caso de CloudFront, API Gateway, Amazon Cognito, App Runner y el acceso verificado, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en su configuración del paquete de protección (ACL web). Esta regla utiliza la opción Continue para administrar contenido sobredimensionado. Para obtener más información, consulte Componentes de solicitudes web con tamaño excesivo en AWS WAF.

Acción de la regla: Block

Etiqueta: awswaf:managed:aws:known-bad-inputs:Log4JRCE_Body
Log4JRCE_URIPATH

Inspecciona la ruta del URI cuerpo para detectar la presencia de la vulnerabilidad Log4j (CVE-2021-44228, CVE-2021-45046, CVE-2021-45105) y la protege contra los intentos de ejecución remota de códigos (RCE). Entre los patrones de ejemplo se incluye ${jndi:ldap://example.com/}.

Acción de la regla: Block

Etiqueta: awswaf:managed:aws:known-bad-inputs:Log4JRCE_URIPath