XML Externe Entitäten (XXE) Angriffsschutz
Der XXE-Angriffsschutz (XML Externe Entitäten) prüft, ob eine eingehende Payload eine nicht autorisierte XML-Eingabe in Bezug auf Entitäten außerhalb der vertrauenswürdigen Domäne hat, in der sich die Webanwendung befindet. Der XXE-Angriff tritt auf, wenn Sie einen schwachen XML-Parser haben, der eine XML-Nutzlast mit Eingaben analysiert, die Verweise auf externe Entitäten enthalten.
Wenn der XML-Parser in einer Citrix ADC Appliance nicht ordnungsgemäß konfiguriert ist, kann die Ausnutzung der Sicherheitsanfälligkeit gefährlich sein. Es ermöglicht einem Angreifer, sensible Daten auf dem Webserver zu lesen. Führe den Denial-of-Service-Angriff aus und so weiter. Daher ist es wichtig, die Appliance vor XXE-Angriffen zu schützen. Web Application Firewall ist in der Lage, die Appliance vor XXE-Angriffen zu schützen, solange der Inhaltstyp als XML identifiziert wird. Um zu verhindern, dass ein böswilliger Benutzer diesen Schutzmechanismus umgeht, blockiert WAF eine eingehende Anforderung, wenn der “abgeleitete” Inhaltstyp in den HTTP-Headern nicht mit dem Inhaltstyp des Körpers übereinstimmt. Dieser Mechanismus verhindert die Umgehung des XXE-Angriffsschutzes, wenn ein standardmäßiger oder nicht standardmäßiger Inhaltstyp auf der Positivliste verwendet wird.
Einige der möglichen XXE-Bedrohungen, die eine Citrix ADC Appliance betreffen, sind:
- Lecks vertraulicher Daten
- Denial-of-Service (DOS) Angriffe
- Serverseitige Fälschungsanforderungen
- Port-Scannen
Konfigurieren des XXE-Einschleusungsschutzes für externe XML-Entitäten
So konfigurieren Sie die Prüfung von externen XML-Entitäten (XXE) mithilfe der Befehlszeilenschnittstelle: In der Befehlszeilenschnittstelle können Sie den Befehl Application Firewall-Profil hinzufügen oder ändern, um die XXE-Einstellungen zu konfigurieren. Sie können die Block-, Protokoll- und Statistikaktionen aktivieren.
Geben Sie an der Eingabeaufforderung Folgendes ein:
set appfw profile <name> [-inferContentTypeXmlPayloadAction <inferContentTypeXmlPayloadAction <block | log | stats | none>]
Hinweis:
Standardmäßig ist die XXE-Aktion auf “none” festgelegt.
Beispiel:
set appfw profile profile1 -inferContentTypeXmlPayloadAction Block
Wo sind Aktionstypen:
Blockieren: Die Anforderung wird ohne Ausnahme von den URLs in der Anforderung blockiert.
Log: Wenn eine Nichtübereinstimmung zwischen Inhaltstyp in einem HTTP-Anforderungsheader und Payload auftritt, müssen Informationen über die verletzende Anforderung in der Protokollmeldung enthalten sein.
Statistiken: Wenn eine Nichtübereinstimmung in den Inhaltstypen festgestellt wird, wird die entsprechende Statistik für diesen Verstoßtyp erhöht.
Keine: Es wird keine Aktion ausgeführt, wenn eine Nichtübereinstimmung in Inhaltstypen festgestellt wird. Keine kann nicht mit einem anderen Aktionstyp kombiniert werden. Die Standardaktion ist auf Keine festgelegt.
Konfigurieren der XXE-Einschleusungsprüfung über die Citrix ADC GUI
Führen Sie die folgenden Schritte aus, um die XXE-Injectionsprüfung zu konfigurieren.
- Navigieren Sie zu Sicherheit > Citrix Web App Firewall > Profile.
- Wählen Sie auf der Seite Profile ein Profil aus, und klicken Sie auf Bearbeiten.
-
Wechseln Sie auf der Seite Citrix Web App Firewall Profil zum Abschnitt Erweiterte Einstellungen und klicken Sie auf Sicherheitsprüfungen.
- Wählen Sie im Abschnitt Sicherheitsprüfungen die Option Content-Typ XML Payload ableiten, und klicken Sie auf Aktionseinstellungen.
-
Legen Sie auf der Seite XML-Payload-Einstellungen für den Ableiten des Inhaltstyps die folgenden Parameter fest:
- Aktionen. Wählen Sie eine oder mehrere Aktionen aus, die für die XXE-Injectionssicherheitsprüfung ausgeführt werden sollen.
-
Klicken Sie auf OK.
Anzeigen von XXE-Einschleusungsdatenverkehrs und Verstößen
Auf der Seite Citrix Web App Firewall -Statistiken werden Details zu Sicherheitsdatenverkehr und Sicherheitsverletzungen in einem tabellarischen oder grafischen Format angezeigt.
So zeigen Sie Sicherheitsstatistiken mithilfe der Befehlszeilenschnittstelle an.
Geben Sie an der Eingabeaufforderung Folgendes ein:
stat appfw profile profile1
Anzeigen von XXE-Injection-Statistiken über die Citrix ADC GUI
Führen Sie die folgenden Schritte aus, um die XXE-Injectionsstatistik anzuzeigen:
- Navigieren Sie zu Sicherheit > Citrix Web App Firewall > Profile.
- Wählen Sie im Detailbereich ein Web App Firewall Profil aus und klicken Sie auf Statistiken.
- Auf der Seite Statistiken der Citrix Web App Firewall werden die Details zum XXE-Befehl Injection Traffic und Verletzungen angezeigt.
- Sie können Tabellarische Ansicht auswählen oder zu Graphische Ansicht wechseln, um die Daten in einem tabellarischen oder grafischen Format anzuzeigen.
