XML 外部エンティティ (XXE) 攻撃防止
XML 外部エンティティ (XXE) 攻撃保護は、Web アプリケーションが存在する信頼されたドメイン外のエンティティに関して、受信ペイロードに許可されていない XML 入力があるかどうかを検査します。XXE 攻撃は、外部エンティティへの参照を含む入力を含む XML ペイロードを解析する弱い XML パーサーがある場合に発生します。
Citrix ADCアプライアンスでは,XMLパーサーが正しく構成されていない場合,この脆弱性を悪用した影響は危険です。これにより、攻撃者は Web サーバー上の機密データを読み取ることができます。サービス拒否攻撃などを実行します。したがって、XXE 攻撃からアプライアンスを保護することが重要です。Web アプリケーションファイアウォールは、コンテンツタイプが XML として識別される限り、XXE 攻撃からアプライアンスを保護できます。悪意のあるユーザーがこの保護メカニズムをバイパスするのを防ぐため、HTTP ヘッダーの「推論」コンテンツタイプが本文のコンテンツタイプと一致しない場合、WAF は受信要求をブロックします。このメカニズムにより、ホワイトリストに登録されたデフォルトまたはデフォルト以外のコンテンツタイプが使用されるときに XXE 攻撃保護バイパスが回避されます。
Citrix ADCアプライアンスに影響を与える可能性のあるXXE脅威には、次のようなものがあります。
- 機密データ漏洩
- サービス拒否(DOS)攻撃
- サーバー側の偽造要求
- ポートスキャン
XML 外部エンティティ (XXE) インジェクション保護を構成する
コマンドインターフェイスを使用して XML 外部エンティティ (XXE) チェックを構成するには: コマンドラインインターフェイスで、Application fireall profile コマンドを追加または変更してXXE設定を構成できます。 ブロック、ログ、および統計アクションを有効にすることができます。
コマンドプロンプトで入力します。
set appfw profile
注:
デフォルトでは、XXE アクションは「none」に設定されています。
例:
set appfw profile profile1 -inferContentTypeXmlPayloadAction Block
ここで、アクションタイプは次のとおりです。
ブロック:リクエストは,リクエスト内のURLの例外なくブロックされます。
ログ:HTTP要求ヘッダーの content-type とペイロードの間に不一致が発生した場合は、違反する要求に関する情報をログメッセージに含める必要があります。
統計:コンテンツタイプの不一致が検出されると、この違反タイプの対応する統計値が増加します。
なし:コンテンツタイプの不一致が検出された場合、アクションは実行されません。[なし] は、他のアクションタイプと組み合わせることはできません。デフォルトのアクションは [なし] に設定されています。
Citrix ADC GUIを使用してXXEインジェクションチェックを構成する
XXE インジェクションチェックを設定するには、次の手順を実行します。
- Security > Citrix Web App Firewall > Profilesに移動します。
- [プロファイル] ページで、プロファイルを選択し、[編集] をクリックします。
Citrix Web App Firewall プロファイルページで、[詳細設定]セクションに移動し、[セキュリティチェック]をクリックします。
- 「セキュリティチェック」セクションで、「コンテンツタイプの XML ペイロードを推定」を選択し、「アクション設定」をクリックします。
[コンテンツタイプ XML ペイロードの設定] ページで、次のパラメータを設定します。
- アクション。XXE インジェクションセキュリティチェックに対して実行するアクションを 1 つ以上選択します。
[OK]をクリックします。
XXE インジェクショントラフィックおよび違反統計情報の表示
Citrix Web App Firewall統計 ページには、セキュリティトラフィックとセキュリティ違反の詳細が表形式またはグラフ形式で表示されます。
コマンドインターフェイスを使用してセキュリティの統計情報を表示するには。
コマンドプロンプトで入力します。
stat appfw profile profile1
Citrix ADC GUIを使用したXXEインジェクションの統計情報の表示
XXE 射出統計を表示するには、次の手順を実行します。
- Security > Citrix Web App Firewall > Profilesに移動します。
- 詳細ウィンドウで、Web App Firewall プロファイルを選択し、[統計] をクリックします。
- Citrix Web App Firewall 統計ページに、XXEコマンドインジェクショントラフィックと違反の詳細が表示されます。
- 表形式ビューを選択するか、グラフィカルビューに切り替えて、データを表形式またはグラフィック形式で表示できます。