AWS WAF で使える AWS マネージドルールの詳細な仕様を教えてください

2021.07.23

困っていた内容

AWS WAF で使える AWS マネージドルールの詳細な仕様を知りたいです。

マネージドルールの上記箇所に書いてある説明以上の詳細な仕様は公開されていますでしょうか?

詳細な仕様は公開されているの?

Core rule set のようなルールでは、OWASP Top Ten Web Application Security Risks | OWASPに記載された高リスクの脆弱性や一般的な脆弱性などから保護されますので、OWASP Top 10 を公開ドキュメントとして参考にすることはできます。

それ以外のルールでは、基本的にドキュメントや WAF コンソールに記載されたルールの説明以上の仕様は公開されていません。

マネージドルールはどうやってテストするの?

ルールの編集で「Rule action」を「Count」にすることで、実際にブロックされたリクエストをカウントできます。
ルールに合致したリクエストがカウントされると、マネージドルールに合致する(ブロックされる)リクエストだったことが推定できます。

よくある質問 - AWS WAF | AWSにテスト方法が記載されています。

マネージドルールをテストするにはどうすればよいですか?

AWS WAF ではマネージドルールの「カウント」アクションを設定できます。このアクションでは、マネージドルール内のルールと一致するウェブリクエストの数をカウントします。マネージドルールを有効にすると、カウントされたウェブリクエストの数からブロックされるウェブリクエストの数を推定することができます。

ちなみに、Count モードに設定しておけば、誤ってリクエストがブロックされることはないので、サービスに影響なく確認できます。

メリットは管理を AWS へおまかせできること

マネージドルールの仕様を詳細に公開することで、その仕様に脆弱性が見つかった場合、攻撃対象として狙われることが想像できます。
変更管理も含めて AWS へ任せられることが AWS マネージドルールのメリットです。

マネージドルール起因で何か問題が起きたように見える場合は、問題が把握できる AWS WAF のログを添えて AWS サポートへ調査依頼を行いましょう。

参考資料