XML 外部实体 (XXE) 攻击保护
XML 外部实体 (XXE) 攻击保护检查传入有效负载是否有关 Web 应用程序所在的受信任域以外的实体的任何未经授权的 XML 输入。如果您具有较弱的 XML 解析器,该解析器使用包含对外部实体的引用的输入解析 XML 负载,则会发生 XXE 攻击。
在 Citrix ADC 设备中,如果 XML 解析器配置不正确,利用该漏洞的影响可能是危险的。它允许攻击者读取 Web 服务器上的敏感数据。执行拒绝服务攻击等等。因此,保护设备免受 XXE 攻击非常重要。只要内容类型被标识为 XML,Web 应用程序防火墙就能够保护设备免受 XXE 攻击。为防止恶意用户绕过此保护机制,如果 HTTP 标头中的 “推断” 内容类型与正文的内容类型不匹配,WAF 会阻止传入请求。当使用白名单的默认或非默认内容类型时,此机制可防止绕过 XXE 攻击防护。
影响 Citrix ADC 设备的一些潜在 XXE 威胁包括:
- 机密数据泄漏
- 拒绝服务 (DOS) 攻击
- 服务器端伪造请求
- 端口扫描
配置 XML 外部实体 (XXE) 注入保护
要使用命令界面配置 XML 外部实体 (XXE) 检查: 在命令行界面中,可以添加或修改应用程序防火墙配置文件命令以配置XXE设置。 您可以启用阻止、记录和统计操作。
在命令提示符下,键入:
set appfw profile [-inferContentTypeXmlPayloadAction ]
注意:
默认情况下,XXE 操作设置为 “无”。“
示例:
set appfw profile profile1 -inferContentTypeXmlPayloadAction Block
其中,操作类型为:
阻止:请求被阻止,请求中的 URL 没有任何例外。
日志:如果 HTTP 请求标头中的内容类型与有效负载之间发生不匹配,则日志消息中必须包含有关违规请求的信息。
统计信息:如果检测到内容类型不匹配,则此违规类型的相应统计信息将递增。
无:如果检测到内容类型不匹配,则不会执行任何操作。无不能与任何其他操作类型结合使用。默认操作设置为“无”。
使用 Citrix ADC GUI 配置 XXE 注入检查
完成以下步骤以配置 XXE 注入检查。
- 导航到安全 > Citrix Web App Firewall > 配置文件。
- 在配置文件页面上,选择一个配置文件,然后单击编辑。
在Citrix Web App Firewall 配置文件页面上,转到“高级设置”部分,然后单击“安全检查”。
- 在“安全检查”部分中,选择“推断内容类型 XML 有效负载”,然后单击操作设置。
在“推断内容类型 XML 有效负载设置”页中,设置以下参数:
- 操作。为 XXE 注入安全检查选择一个或多个要执行的操作。
单击OK(确定)。
查看 XXE 注入流量和违规统计信息
“Citrix Web App Firewall 统计 信息”页以表格或图形格式显示安全通信和安全违规详细信息。
使用命令界面查看安全统计信息。
在命令提示符下,键入:
stat appfw profile profile1
使用 Citrix ADC GUI 查看 XXE 注入统计信息
完成以下步骤以查看 XXE 注入统计信息:
- 导航到安全 > Citrix Web App Firewall > 配置文件。
- 在详细信息窗格中,选择 Web App Firewall 配置文件并单击统计信息。
- “Citrix Web App Firewall 统计信息”页显示 XXE 命令注入流量和违规详细信息。
- 您可以选择“表格视图”或切换到“图形视图”以表格或图形格式显示数据。
本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译,仅供您参考。Cloud Software Group 无法控制机器翻译的内容,这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性,或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容,我们均不作任何明示或暗示的保证,并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议(产品或服务与已进行机器翻译的任何文档保持一致)下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题,Cloud Software Group 不承担任何责任。
DIESER DIENST KANN ÜBERSETZUNGEN ENTHALTEN, DIE VON GOOGLE BEREITGESTELLT WERDEN. GOOGLE LEHNT JEDE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GEWÄHRLEISTUNG IN BEZUG AUF DIE ÜBERSETZUNGEN AB, EINSCHLIESSLICH JEGLICHER GEWÄHRLEISTUNG DER GENAUIGKEIT, ZUVERLÄSSIGKEIT UND JEGLICHER STILLSCHWEIGENDEN GEWÄHRLEISTUNG DER MARKTGÄNGIGKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK UND DER NICHTVERLETZUNG VON RECHTEN DRITTER.
CE SERVICE PEUT CONTENIR DES TRADUCTIONS FOURNIES PAR GOOGLE. GOOGLE EXCLUT TOUTE GARANTIE RELATIVE AUX TRADUCTIONS, EXPRESSE OU IMPLICITE, Y COMPRIS TOUTE GARANTIE D'EXACTITUDE, DE FIABILITÉ ET TOUTE GARANTIE IMPLICITE DE QUALITÉ MARCHANDE, D'ADÉQUATION À UN USAGE PARTICULIER ET D'ABSENCE DE CONTREFAÇON.
ESTE SERVICIO PUEDE CONTENER TRADUCCIONES CON TECNOLOGÍA DE GOOGLE. GOOGLE RENUNCIA A TODAS LAS GARANTÍAS RELACIONADAS CON LAS TRADUCCIONES, TANTO IMPLÍCITAS COMO EXPLÍCITAS, INCLUIDAS LAS GARANTÍAS DE EXACTITUD, FIABILIDAD Y OTRAS GARANTÍAS IMPLÍCITAS DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN EN PARTICULAR Y AUSENCIA DE INFRACCIÓN DE DERECHOS.
本服务可能包含由 Google 提供技术支持的翻译。Google 对这些翻译内容不做任何明示或暗示的保证,包括对准确性、可靠性的任何保证以及对适销性、特定用途的适用性和非侵权性的任何暗示保证。
このサービスには、Google が提供する翻訳が含まれている可能性があります。Google は翻訳について、明示的か黙示的かを問わず、精度と信頼性に関するあらゆる保証、および商品性、特定目的への適合性、第三者の権利を侵害しないことに関するあらゆる黙示的保証を含め、一切保証しません。
ESTE SERVIÇO PODE CONTER TRADUÇÕES FORNECIDAS PELO GOOGLE. O GOOGLE SE EXIME DE TODAS AS GARANTIAS RELACIONADAS COM AS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA DE PRECISÃO, CONFIABILIDADE E QUALQUER GARANTIA IMPLÍCITA DE COMERCIALIZAÇÃO, ADEQUAÇÃO A UM PROPÓSITO ESPECÍFICO E NÃO INFRAÇÃO.