-
-
Protecciones de nivel superior
-
Protección basada en gramática SQL para cargas útiles HTML y JSON
-
Reglas de relajación y denegación para gestionar ataques de inyección HTML SQL
-
Protección de entidades externas XML
-
Comprobaciones de protección XML
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Protección contra ataques de entidades externas XML (XXE)
La protección contra ataques de entidades externas XML (XXE) examina si una carga útil entrante tiene cualquier entrada XML no autorizada con respecto a entidades fuera del dominio de confianza donde reside la aplicación web. El ataque XXE se produce si tiene un analizador XML débil que analiza una carga XML con entrada que contiene referencias a entidades externas.
En un dispositivo Citrix ADC, si el analizador XML está configurado incorrectamente, el impacto de explotar la vulnerabilidad puede ser peligroso. Permite a un atacante leer datos confidenciales en el servidor web. Realiza el ataque de denegación de servicio, etc. Por lo tanto, es importante proteger el dispositivo de ataques XXE. Web Application Firewall puede proteger el dispositivo de ataques XXE siempre que el tipo de contenido se identifique como XML. Para evitar que un usuario malintencionado omite este mecanismo de protección, WAF bloquea una solicitud entrante si el tipo de contenido “inferido” de los encabezados HTTP no coincide con el tipo de contenido del cuerpo. Este mecanismo evita la omisión de la protección contra ataques XXE cuando se utiliza un tipo de contenido predeterminado o no predeterminado en la lista de permitidos.
Algunas de las posibles amenazas XXE que afectan a un dispositivo Citrix ADC son:
- Fugas de datos confidenciales
- Ataques de denegación de servicio (DOS)
- solicitudes de falsificación del lado del servidor
- Exploración de puertos
Configurar la protección de inyección de entidades externas XML (XXE)
Para configurar entidades externas XML (XXE), compruebe mediante la interfaz de comandos: En la interfaz de línea de comandos, puede agregar o modificar el comando de perfil de firewall de aplicaciones para configurar la configuración de XXE . Puede activar las acciones de bloqueo, registro y estadísticas.
En el símbolo del sistema, escriba:
set appfw profile <name> [-inferContentTypeXmlPayloadAction <inferContentTypeXmlPayloadAction <block | log | stats | none>]
Nota:
De forma predeterminada, la acción XXE se establece como “ninguno”. “
Ejemplo:
set appfw profile profile1 -inferContentTypeXmlPayloadAction Block
Donde los tipos de acción son:
Bloqueo: La solicitud se bloquea sin ninguna excepción a las URL de la solicitud.
Registro: Si se produce una discrepancia entre el tipo de contenido en un encabezado de solicitud HTTP y la carga útil, la información sobre la solicitud infractora debe estar contenida en el mensaje de registro.
Estadísticas: Si se detecta una discrepancia en los tipos de contenido, se incrementan las estadísticas correspondientes para este tipo de infracción.
Ninguno: No se realiza ninguna acción si se detecta una discrepancia en los tipos de contenido. Ninguno no se puede combinar con ningún otro tipo de acción. La acción predeterminada se establece en Ninguno.
Configurar la comprobación de inyección XXE mediante la GUI de Citrix ADC
Complete los siguientes pasos para configurar la comprobación de inyección XXE.
- Vaya a Seguridad > Citrix Web App Firewall > Perfiles.
- En la página Perfiles, seleccione un perfil y haga clic en Modificar.
-
En la página Perfil de Citrix Web App Firewall, vaya a la sección Configuración avanzada y haga clic en Comprobaciones de seguridad.
- En la sección Comprobaciones de seguridad, seleccione Deducir tipo de contenido XML Carga útil y haga clic en Configuración de acciones.
-
En la página Deducir configuración de carga útil XML del tipo de contenido, establezca los siguientes parámetros:
- Acciones. Seleccione una o más acciones para la comprobación de seguridad de inyección XXE.
-
Haga clic en Aceptar.
Visualización de estadísticas de infracciones y tráfico de inyección XXE
La página Estadísticas de Citrix Web App Firewall muestra los detalles del tráfico de seguridad y las infracciones de seguridad en un formato tabular o gráfico.
Para ver las estadísticas de seguridad mediante la interfaz de comandos.
En el símbolo del sistema, escriba:
stat appfw profile profile1
Visualización de estadísticas de inyección XXE mediante la GUI de Citrix ADC
Complete los siguientes pasos para ver las estadísticas de inyección XXE:
- Vaya a Seguridad > Citrix Web App Firewall > Perfiles.
- En el panel de detalles, seleccione un perfil de Web App Firewall y haga clic en Estadísticas.
- La página Estadísticas de Citrix Web App Firewall muestra los detalles del tráfico de inyección de comandos XXE y la infracción.
- Puede seleccionar Vista tabular o cambiar a Vista gráfica para mostrar los datos en formato tabular o gráfico.
Compartir
Compartir
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.