产品文档
Citrix ADC
Current Release 13.0 12.1 11.1
查看 PDF

XML 外部实体 (XXE) 攻击保护

August 24, 2021
投稿者: 
C

XML 外部实体 (XXE) 攻击保护检查传入有效负载是否有关 Web 应用程序所在的受信任域以外的实体的任何未经授权的 XML 输入。如果您具有较弱的 XML 解析器,该解析器使用包含对外部实体的引用的输入解析 XML 负载,则会发生 XXE 攻击。

在 Citrix ADC 设备中,如果 XML 解析器配置不正确,利用该漏洞的影响可能是危险的。它允许攻击者读取 Web 服务器上的敏感数据。执行拒绝服务攻击等等。因此,保护设备免受 XXE 攻击非常重要。只要内容类型被标识为 XML,Web 应用程序防火墙就能够保护设备免受 XXE 攻击。为防止恶意用户绕过此保护机制,如果 HTTP 标头中的 “推断” 内容类型与正文的内容类型不匹配,WAF 会阻止传入请求。当使用白名单的默认或非默认内容类型时,此机制可防止绕过 XXE 攻击防护。

影响 Citrix ADC 设备的一些潜在 XXE 威胁包括:

  • 机密数据泄漏
  • 拒绝服务 (DOS) 攻击
  • 服务器端伪造请求
  • 端口扫描

配置 XML 外部实体 (XXE) 注入保护

要使用命令界面配置 XML 外部实体 (XXE) 检查: 在命令行界面中,可以添加或修改应用程序防火墙配置文件命令以配置 XXE 设置。 您可以启用阻止、记录和统计操作。

在命令提示符下,键入:

set appfw profile <name> [-inferContentTypeXmlPayloadAction <inferContentTypeXmlPayloadAction <block | log | stats | none>]

注意:

默认情况下,XXE 操作设置为 “无”。“

示例:

set appfw profile profile1 -inferContentTypeXmlPayloadAction Block

其中,操作类型为:

阻止:请求被阻止,请求中的 URL 没有任何例外。

日志:如果 HTTP 请求标头中的内容类型与有效负载之间发生不匹配,则日志消息中必须包含有关违规请求的信息。

统计信息:如果检测到内容类型不匹配,则此违规类型的相应统计信息将递增。

无:如果检测到内容类型不匹配,则不会执行任何操作。无不能与任何其他操作类型结合使用。默认操作设置为“无”。

使用 Citrix ADC GUI 配置 XXE 注入检查

完成以下步骤以配置 XXE 注入检查。

  1. 导航到安全 > Citrix Web App Firewall > 配置文件
  2. 配置文件页面上,选择一个配置文件,然后单击编辑

  3. Citrix Web App Firewall 配置文件页面上,转到“高级设置”部分,然后单击“安全检查”。

    XML 外部实体检查部分

  4. 在“安全检查”部分中,选择“推断内容类型 XML 有效负载”,然后单击操作设置。

  5. 在“推断内容类型 XML 有效负载设置”页中,设置以下参数:

    1. 操作。为 XXE 注入安全检查选择一个或多个要执行的操作。

  6. 单击 OK(确定)。

    配置 XML 外部实体检查设置

查看 XXE 注入流量和违规统计信息

“Citrix Web App Firewall 统计 信息”页以表格或图形格式显示安全通信和安全违规详细信息。

使用命令界面查看安全统计信息。

在命令提示符下,键入:

stat appfw profile profile1

使用 Citrix ADC GUI 查看 XXE 注入统计信息

完成以下步骤以查看 XXE 注入统计信息:

  1. 导航到安全 > Citrix Web App Firewall > 配置文件
  2. 在详细信息窗格中,选择 Web App Firewall 配置文件并单击统计信息
  3. Citrix Web App Firewall 统计 信息”页显示 XXE 命令注入流量和违规详细信息。
  4. 您可以选择“表格视图”或切换到“图形视图”以表格或图形格式显示数据。

XML 外部实体检查违规统计信息

XML 外部实体 (XXE) 攻击保护
August 24, 2021
投稿者: 
C
August 24, 2021
投稿者: 
C

在本文中

站点反馈 | 隐私和法律条款 | Cookie 首选项 | 同意设置
© 1999- Citrix Systems, Inc. All rights reserved.