-
Schutzmaßnahmen auf höchster Ebene
-
Regeln zur Entspannung und Ablehnung von HTML-SQL-Einschleusungsangriffen
-
XML-Schutz für externe Entitäten
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Schutz vor Angriffen durch externe XML-Entitäten (XXE)
Der Schutz vor Angriffen mit XML External Entities (XXE) untersucht, ob eine eingehende Payload unbefugte XML-Eingaben enthält, die sich auf Entitäten außerhalb der vertrauenswürdigen Domain beziehen, in der sich die Webanwendung befindet. Der XXE-Angriff tritt auf, wenn Sie einen schwachen XML-Parser haben, der eine XML-Payload mit Eingaben analysiert, die Verweise auf externe Entitäten enthalten.
Wenn der XML-Parser in einer Citrix ADC Appliance nicht ordnungsgemäß konfiguriert ist, kann die Ausnutzung der Sicherheitsanfälligkeit gefährlich sein. Es ermöglicht einem Angreifer, sensible Daten auf dem Webserver zu lesen. Führe den Denial-of-Service-Angriff aus und so weiter. Daher ist es wichtig, die Appliance vor XXE-Angriffen zu schützen. Web Application Firewall ist in der Lage, die Appliance vor XXE-Angriffen zu schützen, solange der Inhaltstyp als XML identifiziert wird. Um zu verhindern, dass ein böswilliger Benutzer diesen Schutzmechanismus umgeht, blockiert WAF eine eingehende Anforderung, wenn der “abgeleitete” Inhaltstyp in den HTTP-Headern nicht mit dem Inhaltstyp des Körpers übereinstimmt. Dieser Mechanismus verhindert die Umgehung des XXE-Angriffsschutzes, wenn ein standardmäßiger oder nicht standardmäßiger Inhaltstyp auf der Positivliste verwendet wird.
Einige der möglichen XXE-Bedrohungen, die eine Citrix ADC Appliance betreffen, sind:
- Lecks vertraulicher Daten
- Denial-of-Service (DOS) -Angriffe
- Serverseitige Fälschungsanforderungen
- Port-Scannen
Konfigurieren des XXE-Einschleusungsschutzes für externe XML-Entitäten
So konfigurieren Sie die Prüfung von externen XML-Entitäten (XXE) mithilfe der Befehlszeilenschnittstelle: In der Befehlszeilenschnittstelle können Sie den Befehl Application Firewall-Profil hinzufügen oder ändern, um die XXE-Einstellungen zu konfigurieren. Sie können die Block-, Protokoll- und Statistikaktionen aktivieren.
Geben Sie in der Befehlszeile Folgendes ein:
set appfw profile <name> [-inferContentTypeXmlPayloadAction <inferContentTypeXmlPayloadAction <block | log | stats | none>]
Hinweis:
Standardmäßig ist die XXE-Aktion auf “none” festgelegt.
Beispiel:
set appfw profile profile1 -inferContentTypeXmlPayloadAction Block
Wo sind Aktionstypen:
Sperren: Die Anfrage wird ausnahmslos für die URLs in der Anfrage blockiert.
Protokoll: Wenn eine Diskrepanz zwischen dem Inhaltstyp in einem HTTP-Anforderungsheader und der Payload auftritt, müssen Informationen über die verletzende Anfrage in der Protokollnachricht enthalten sein.
Statistiken: Wenn eine Nichtübereinstimmung der Inhaltstypen festgestellt wird, werden die entsprechenden Statistiken für diesen Verstoßtyp erhöht.
Keine: Wenn eine Nichtübereinstimmung der Inhaltstypen festgestellt wird, werden keine Maßnahmen ergriffen. Keiner kann mit einem anderen Aktionstyp kombiniert werden. Die Standardaktion ist auf Keine festgelegt.
Konfigurieren Sie die XXE-Injektionsprüfung mithilfe der Citrix ADC GUI
Gehen Sie wie folgt vor, um den XXE-Injektionscheck zu konfigurieren.
- Navigieren Sie zu Sicherheit > Citrix Web App Firewall > Profile.
- Wählen Sie auf der Seite Profile ein Profil aus, und klicken Sie auf Bearbeiten.
-
Gehen Sie auf der Profilseite der Citrix Web App Firewall zum Abschnitt Erweiterte Einstellungen und klicken Sie auf Sicherheitsprüfungen.
- Wählen Sie im Abschnitt Sicherheitsprüfungen die Option Infer Content Type XML Payload aus und klicken Sie auf Aktionseinstellungen.
-
Stellen Sie auf der Seite „XML-Payload-Einstellungen für den Inhaltstyp ableiten“ die folgenden Parameter ein:
- Aktionen. Wählen Sie eine oder mehrere Aktionen aus, die für die XXE-Injection-Sicherheitsprüfung ausgeführt werden sollen.
- Klicken Sie auf OK.
Statistiken zu Datenverkehr und Verstößen gegen XXE-Injektionen anzeigen
Auf der Seite “ Citrix Web App Firewall Statistics “ werden Details zu Sicherheitsdatenverkehr und Sicherheitsverletzungen in einem tabellarischen oder grafischen Format angezeigt.
So zeigen Sie Sicherheitsstatistiken mithilfe der Befehlszeilenschnittstelle an.
Geben Sie in der Befehlszeile Folgendes ein:
stat appfw profile profile1
Anzeigen von XXE-Injektionsstatistiken mit der Citrix ADC GUI
Gehen Sie wie folgt vor, um die XXE-Injektionsstatistiken einzusehen:
- Navigieren Sie zu Sicherheit > Citrix Web App Firewall > Profile.
- Wählen Sie im Detailbereich ein Web App Firewall-Profil aus und klicken Sie auf Statistik.
- Auf der Seite Citrix Web App Firewall Statistics werden der XXE-Command Injection-Verkehr und die Verstoßdetails angezeigt.
- Sie können die Tabellarische Ansicht wählen oder zur grafischen Ansicht wechseln, um die Daten in einem tabellarischen oder grafischen Format anzuzeigen.
Teilen
Teilen
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.