XML外部实体(xxe)攻击保护
XML外部实体(XXE)攻击保护检查传入有效负载是否有关网络应用程序所在的受信任域以外的实体的任何未经授权的XML输入。如果您具有较弱的XML解析器,该解析器使用包含对外部实体的引用的输入解析XML负载,则会发生XXE攻击。
在Citrix ADC设备中,如果XML解析器配置不正确,利用该漏洞的影响可能是危险的。它允许攻击者读取Web服务器上的敏感数据。执行拒绝服务攻击等等。因此,保护设备免受xxe攻击非常重要。只要内容类型被标识为XML,Web应用程序防火墙就能够保护设备免受XXE攻击。为防止恶意用户绕过此保护机制,如果HTTP标头中的“推”断内容类型与正文的内容类型不匹配,WAF会阻止传入请求。当使用白名单的默认或非默认内容类型时,此机制可防止绕过xxe攻击防护。
影响Citrix ADC设备的一些潜在XXE威胁包括:
- 机密数据泄漏
- 拒绝服务(dos)攻击
- 服务器端伪造请求
- 端口扫描
配置XML外部实体(xxe)注入保护
要使用命令界面配置XML外部实体(XXE)检查:在命令行界面中,可以添加或修改应用程序防火墙配置文件命令以配置XXE设置。您可以启用阻止、记录和统计操作。
在命令提示符下,键入:
set appfw profile [-inferContentTypeXmlPayloadAction ]
注意:
默认情况下,xxe操作设置为"无"。”
示例:
设置appfw profile profile1 -inferContentTypeXmlPayloadAction Block
其中,操作类型为:
阻止:请求被阻止,请求中的url没有任何例外。
日志:如果HTTP请求标头中的内容类型与有效负载之间发生不匹配,则日志消息中必须包含有关违规请求的信息。
统计信息:如果检测到内容类型不匹配,则此违规类型的相应统计信息将递增。
无:如果检测到内容类型不匹配,则不会执行任何操作。无不能与任何其他操作类型结合使用。默认操作设置为"无"。
使用Citrix ADC GUI配置XXE注入检查
完成以下步骤以配置xxe注入检查。
- 导航到安全> Citrix Web App Firewall >配置文件。
- 在配置文件页面上,选择一个配置文件,然后单击编辑。
在Citrix Web应用程序防火墙配置文件页面上,转到”高级设置“部分,然后单击”安全检查”。
![XML外部实体检查部分](//m.giftsix.com/docs/en-us/citrix-adc/media/waf-security-protection-xml-external-entity-attack-gui-section.png)
- 在“安全检查“部分中,选择”推断内容类型XML有效负载,然后单击操作设置。
在"推断内容类型XML有效负载设置"页中,设置以下参数:
- 操作。为xxe注入安全检查选择一个或多个要执行的操作。
单击好吧(确定)。
![配置XML外部实体检查设置](//m.giftsix.com/docs/en-us/citrix-adc/media/waf-security-protection-xml-external-entity-attack-gui-configuration.png)
查看xxe注入流量和违规统计信息
“Citrix Web应用防火墙统计信息”页以表格或图形格式显示安全通信和安全违规详细信息。
使用命令界面查看安全统计信息。
在命令提示符下,键入:
统计appfw配置文件profile1
使用Citrix ADC GUI查看XXE注入统计信息
完成以下步骤以查看xxe注入统计信息:
- 导航到安全> Citrix Web App Firewall >配置文件。
- 在详细信息窗格中,选择Web应用防火墙配置文件并单击统计信息。
- ”Citrix Web应用程序防火墙统计信息"页显示xxe命令注入流量和违规详细信息。
- 您可以选择”表格视图“或切换到”图形视图以表格或图形格式显示数据。
![XML外部实体检查违规统计信息](//m.giftsix.com/docs/en-us/citrix-adc/media/waf-security-protection-xml-enternal-entity-check-violation-statistics.png)
本内容的正式版本为英文版。部分思杰文档内容采用了机器翻译,仅供您参考。Citrix 无法控制机器翻译的内容,这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性,或者您的 Citrix 产品或服务沿用了任何机器翻译的内容,我们均不作任何明示或暗示的保证,并且适用的最终用户许可协议或服务条款或者与 Citrix 签订的任何其他协议(产品或服务与已进行机器翻译的任何文档保持一致)下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题,Citrix 不承担任何责任。
Dieser dienst kann Übersetzungen enthalten, die von谷歌beritgestellt werden。谷歌lehnt jede ausdrÜckliche oder stillschweigende gewÄhrleistung in bezug auf die Übersetzungen ab, einschliesslich jeglicher gewÄhrleistung der genauigkeit, zuverlÄssigkeit und jeglicher stillschweigende gewÄhrleistung der marktgÄngigkeit, der eignung fÜr einen beestimmten zweck und der nichtverletzung von rechten dritter。
我们的服务是平等的。谷歌排除相对的,隐含的,确切的,确切的,fiabilitÉ和隐含的qualitÉ marchande, 'adÉquation À unusage particulier et d '缺席的contrefaÇon。
Este servicio puede contener traducciones con tecnologÍa de谷歌。谷歌renuncia a todas las garantÍas relacionadas con las traducciones, tanto implÍcitas como explÍcitas,包括iduidas las garantÍas de精确,fiabilidad y otras garantÍas implÍcitas de comerciabilidad, idoneidad para UN fin en特别y ausencia de infracciÓn de derechos。
本服务可能包含由谷歌提供技术支持的翻译。谷歌对这些翻译内容不做任何明示或暗示的保证,包括对准确性、可靠性的任何保证以及对适销性,特定用途的适用性和非侵权性的任何暗示保证。
このサビスには,谷歌が提供する翻訳が含まれている可能性があります。谷歌は翻訳について,明示的か黙示的かを問わず,精度と信頼性に関するあらゆる保証,および商品性,特定目的への適合性,第三者の権利を侵害しないことに関するあらゆる黙示的保証を含め,一切保証しません。
Este serviÇo pode conter traduÇÕes fornecidas pelo谷歌。O谷歌se exme de todas as garantias relacionadas com as traduÇÕes, expressas ou implÍcitas, incluindo ququer garantia de precisÃo, conffiabilidade e ququer garantia implÍcita de comercializaÇÃo, adequaÇÃo a um propÓsito especÍfico e nÃo infraÇÃo。