Citrix ADC

XML 外部实体 (XXE) 攻击保护

August 24, 2021

贡献者:

XML 外部实体 (XXE) 攻击保护检查传入有效负载是否有关 Web 应用程序所在的受信任域以外的实体的任何未经授权的 XML 输入。如果您具有较弱的 XML 解析器，该解析器使用包含对外部实体的引用的输入解析 XML 负载，则会发生 XXE 攻击。

在 Citrix ADC 设备中，如果 XML 解析器配置不正确，利用该漏洞的影响可能是危险的。它允许攻击者读取 Web 服务器上的敏感数据。执行拒绝服务攻击等等。因此，保护设备免受 XXE 攻击非常重要。只要内容类型被标识为 XML，Web 应用程序防火墙就能够保护设备免受 XXE 攻击。为防止恶意用户绕过此保护机制，如果 HTTP 标头中的 “推断” 内容类型与正文的内容类型不匹配，WAF 会阻止传入请求。当使用白名单的默认或非默认内容类型时，此机制可防止绕过 XXE 攻击防护。

影响 Citrix ADC 设备的一些潜在 XXE 威胁包括：

机密数据泄漏
拒绝服务 (DOS) 攻击
服务器端伪造请求
端口扫描

配置 XML 外部实体 (XXE) 注入保护

要使用命令界面配置 XML 外部实体 (XXE) 检查：在命令行界面中，可以添加或修改应用程序防火墙配置文件命令以配置 XXE 设置。您可以启用阻止、记录和统计操作。

在命令提示符下，键入：

set appfw profile <name> [-inferContentTypeXmlPayloadAction <inferContentTypeXmlPayloadAction <block | log | stats | none>]

注意：

默认情况下，XXE 操作设置为 “无”。“

示例：

set appfw profile profile1 -inferContentTypeXmlPayloadAction Block

其中，操作类型为：

阻止：请求被阻止，请求中的 URL 没有任何例外。

日志：如果 HTTP 请求标头中的内容类型与有效负载之间发生不匹配，则日志消息中必须包含有关违规请求的信息。

统计信息：如果检测到内容类型不匹配，则此违规类型的相应统计信息将递增。

无：如果检测到内容类型不匹配，则不会执行任何操作。无不能与任何其他操作类型结合使用。默认操作设置为“无”。

使用 Citrix ADC GUI 配置 XXE 注入检查

完成以下步骤以配置 XXE 注入检查。

导航到安全 > Citrix Web App Firewall > 配置文件。
在配置文件页面上，选择一个配置文件，然后单击编辑。
在 Citrix Web App Firewall 配置文件页面上，转到“高级设置”部分，然后单击“安全检查”。
在“安全检查”部分中，选择“推断内容类型 XML 有效负载”，然后单击操作设置。
在“推断内容类型 XML 有效负载设置”页中，设置以下参数：
1. 操作。为 XXE 注入安全检查选择一个或多个要执行的操作。
单击 OK（确定）。

查看 XXE 注入流量和违规统计信息

“Citrix Web App Firewall 统计信息”页以表格或图形格式显示安全通信和安全违规详细信息。

使用命令界面查看安全统计信息。

在命令提示符下，键入：

stat appfw profile profile1

使用 Citrix ADC GUI 查看 XXE 注入统计信息

完成以下步骤以查看 XXE 注入统计信息：

导航到安全 > Citrix Web App Firewall > 配置文件。
在详细信息窗格中，选择 Web App Firewall 配置文件并单击统计信息。
“Citrix Web App Firewall 统计 信息”页显示 XXE 命令注入流量和违规详细信息。
您可以选择“表格视图”或切换到“图形视图”以表格或图形格式显示数据。

XML 外部实体检查违规统计信息

本内容的正式版本为英文版。部分 Citrix 文档内容采用了机器翻译，仅供您参考。Citrix 无法控制机器翻译的内容，这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性，或者您的 Citrix 产品或服务沿用了任何机器翻译的内容，我们均不作任何明示或暗示的保证，并且适用的最终用户许可协议或服务条款或者与 Citrix 签订的任何其他协议（产品或服务与已进行机器翻译的任何文档保持一致）下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题，Citrix 不承担任何责任。

XML 外部实体 (XXE) 攻击保护

August 24, 2021

贡献者:

August 24, 2021

贡献者: