Citrix ADC

XML 外部实体 (XXE) 攻击保护

XML 外部实体 (XXE) 攻击保护检查传入有效负载是否有关 Web 应用程序所在的受信任域以外的实体的任何未经授权的 XML 输入。如果您具有较弱的 XML 解析器,该解析器使用包含对外部实体的引用的输入解析 XML 负载,则会发生 XXE 攻击。

在 Citrix ADC 设备中,如果 XML 解析器配置不正确,利用该漏洞的影响可能是危险的。它允许攻击者读取 Web 服务器上的敏感数据,执行拒绝服务攻击等。因此,保护设备免受 XXE 攻击非常重要。只要内容类型被标识为 XML,Web 应用程序防火墙就能够保护设备免受 XXE 攻击。为防止恶意用户绕过此保护机制,如果 HTTP 标头中的“推断”内容类型与正文的内容类型不匹配,WAF 会阻止传入请求。此机制可防止在使用列入白名单的默认或非默认内容类型时绕过 XXE 攻击保护。

影响 Citrix ADC 设备的一些潜在 XXE 威胁包括:

  • 机密数据泄漏
  • 拒绝服务 (DOS) 攻击
  • 服务器端伪造请求
  • 端口扫描

XML 外部实体 (XXE) 保护的工作原理

  1. 当存在传入请求时,WAF 会检查 XML 有效负载的前 512 个字节是否存在内容类型标头和有效负载的内容类型中的任何不匹配。
  2. 如果内容类型匹配,则 XML XXE 保护将启用并应用于 HTTP 请求。
  3. 但是,如果内容类型标头与正文的内容类型不匹配,则会根据配置的操作阻止、删除或记录请求。
  4. 您可以启用日志记录以生成日志消息。您可以监视日志以确定对合法请求的响应是否被阻止。日志消息数量的大幅增加可能表明尝试发起攻击。
  5. 您还可以启用统计功能,以收集有关违规和日志的统计数据。统计数据计数器出现意外激增可能表明您的应用程序受到攻击。

配置 XML 外部实体 (XXE) 注入保护

使用命令界面配置 XML 外部实体 (XXE) 检查: 在命令行界面中,您可以添加或修改应用程序防火墙配置文件命令以配置 XXE 设置。您可以启用阻止、记录和统计操作。

在命令提示窗口中,键入:

set appfw profile <name> [-inferContentTypeXmlPayloadAction <inferContentTypeXmlPayloadAction <block | log | stats | none>]

注意:

默认情况下,XXE 操作设置为“无”。

示例:

set appfw profile profile1 -inferContentTypeXmlPayloadAction Block

其中,操作类型为:

阻止:请求被阻止,请求中的 URL 没有任何例外。

日志:如果 HTTP 请求标头中的内容类型与有效负载之间发生不匹配,则日志消息中必须包含有关违规请求的信息。

统计信息:如果检测到内容类型不匹配,则此违规类型的相应统计信息将递增。

无:如果检测到内容类型不匹配,则不会执行任何操作。无不能与任何其他操作类型结合使用。默认操作设置为“无”。

使用 Citrix ADC GUI 配置 XXE 注入检查

完成以下步骤以配置 XXE 注入检查。

  1. 导航到安全性 > Citrix Web App Firewall > 配置文件
  2. 配置文件页面上,选择一个配置文件,然后单击编辑
  3. Citrix Web App Firewall 配置文件页面上,转到高级设置部分,然后单击安全检查

    XML 外部实体检查部分

  4. 安全检查部分中,选择推断内容类型 XML 有效负载,然后单击操作设置。
  5. 在“推断内容类型 XML 有效负载设置”页中,设置以下参数:

    1. 操作。为 XXE 注入安全检查选择一个或多个要执行的操作。
  6. 单击确定

    配置 XML 外部实体检查设置

查看 XXE 注入流量和违规统计信息

“Citrix Web App Firewall 统计信息”页以表格或图形格式显示安全通信和安全违规详细信息。

使用命令界面查看安全统计信息。

在命令提示窗口中,键入:

stat appfw profile profile1

使用 Citrix ADC GUI 查看 XXE 注入统计信息

完成以下步骤以查看 XXE 注入统计信息:

  1. 导航到安全性 > Citrix Web App Firewall > 配置文件
  2. 在详细信息窗格中,选择 Web App Firewall 配置文件,然后单击统计
  3. Citrix Web App Firewall 统计 信息”页显示 XXE 命令注入流量和违规详细信息。
  4. 您可以选择表格视图或切换到图形视图以表格或图形格式显示数据。

XML 外部实体检查违规统计信息

XML 外部实体 (XXE) 攻击保护