ADC

Schutz vor Angriffen durch externe XML-Entitäten (XXE)

Der Schutz vor Angriffen mit XML External Entities (XXE) untersucht, ob eine eingehende Payload unbefugte XML-Eingaben enthält, die sich auf Entitäten außerhalb der vertrauenswürdigen Domain beziehen, in der sich die Webanwendung befindet. Der XXE-Angriff tritt auf, wenn Sie einen schwachen XML-Parser haben, der eine XML-Payload mit Eingaben analysiert, die Verweise auf externe Entitäten enthalten.

Wenn der XML-Parser in einer Citrix ADC Appliance nicht ordnungsgemäß konfiguriert ist, kann die Ausnutzung der Sicherheitsanfälligkeit gefährlich sein. Es ermöglicht einem Angreifer, sensible Daten auf dem Webserver zu lesen. Führe den Denial-of-Service-Angriff aus und so weiter. Daher ist es wichtig, die Appliance vor XXE-Angriffen zu schützen. Web Application Firewall ist in der Lage, die Appliance vor XXE-Angriffen zu schützen, solange der Inhaltstyp als XML identifiziert wird. Um zu verhindern, dass ein böswilliger Benutzer diesen Schutzmechanismus umgeht, blockiert WAF eine eingehende Anforderung, wenn der “abgeleitete” Inhaltstyp in den HTTP-Headern nicht mit dem Inhaltstyp des Körpers übereinstimmt. Dieser Mechanismus verhindert die Umgehung des XXE-Angriffsschutzes, wenn ein standardmäßiger oder nicht standardmäßiger Inhaltstyp auf der Positivliste verwendet wird.

Einige der möglichen XXE-Bedrohungen, die eine Citrix ADC Appliance betreffen, sind:

  • Lecks vertraulicher Daten
  • Denial-of-Service (DOS) -Angriffe
  • Serverseitige Fälschungsanforderungen
  • Port-Scannen

Konfigurieren des XXE-Einschleusungsschutzes für externe XML-Entitäten

So konfigurieren Sie die Prüfung von externen XML-Entitäten (XXE) mithilfe der Befehlszeilenschnittstelle: In der Befehlszeilenschnittstelle können Sie den Befehl Application Firewall-Profil hinzufügen oder ändern, um die XXE-Einstellungen zu konfigurieren. Sie können die Block-, Protokoll- und Statistikaktionen aktivieren.

Geben Sie in der Befehlszeile Folgendes ein:

set appfw profile <name> [-inferContentTypeXmlPayloadAction <inferContentTypeXmlPayloadAction <block | log | stats | none>]

Hinweis:

Standardmäßig ist die XXE-Aktion auf “none” festgelegt.

Beispiel:

set appfw profile profile1 -inferContentTypeXmlPayloadAction Block

Wo sind Aktionstypen:

Sperren: Die Anfrage wird ausnahmslos für die URLs in der Anfrage blockiert.

Protokoll: Wenn eine Diskrepanz zwischen dem Inhaltstyp in einem HTTP-Anforderungsheader und der Payload auftritt, müssen Informationen über die verletzende Anfrage in der Protokollnachricht enthalten sein.

Statistiken: Wenn eine Nichtübereinstimmung der Inhaltstypen festgestellt wird, werden die entsprechenden Statistiken für diesen Verstoßtyp erhöht.

Keine: Wenn eine Nichtübereinstimmung der Inhaltstypen festgestellt wird, werden keine Maßnahmen ergriffen. Keiner kann mit einem anderen Aktionstyp kombiniert werden. Die Standardaktion ist auf Keine festgelegt.

Konfigurieren Sie die XXE-Injektionsprüfung mithilfe der Citrix ADC GUI

Gehen Sie wie folgt vor, um den XXE-Injektionscheck zu konfigurieren.

  1. Navigieren Sie zu Sicherheit > Citrix Web App Firewall > Profile.
  2. Wählen Sie auf der Seite Profile ein Profil aus, und klicken Sie auf Bearbeiten.
  3. Gehen Sie auf der Profilseite der Citrix Web App Firewall zum Abschnitt Erweiterte Einstellungen und klicken Sie auf Sicherheitsprüfungen.

  4. Wählen Sie im Abschnitt Sicherheitsprüfungen die Option Infer Content Type XML Payload aus und klicken Sie auf Aktionseinstellungen.
  5. Stellen Sie auf der Seite „XML-Payload-Einstellungen für den Inhaltstyp ableiten“ die folgenden Parameter ein:

    1. Aktionen. Wählen Sie eine oder mehrere Aktionen aus, die für die XXE-Injection-Sicherheitsprüfung ausgeführt werden sollen.
  6. Klicken Sie auf OK.

Statistiken zu Datenverkehr und Verstößen gegen XXE-Injektionen anzeigen

Auf der Seite “ Citrix Web App Firewall Statistics “ werden Details zu Sicherheitsdatenverkehr und Sicherheitsverletzungen in einem tabellarischen oder grafischen Format angezeigt.

So zeigen Sie Sicherheitsstatistiken mithilfe der Befehlszeilenschnittstelle an.

Geben Sie in der Befehlszeile Folgendes ein:

stat appfw profile profile1

Anzeigen von XXE-Injektionsstatistiken mit der Citrix ADC GUI

Gehen Sie wie folgt vor, um die XXE-Injektionsstatistiken einzusehen:

  1. Navigieren Sie zu Sicherheit > Citrix Web App Firewall > Profile.
  2. Wählen Sie im Detailbereich ein Web App Firewall-Profil aus und klicken Sie auf Statistik.
  3. Auf der Seite Citrix Web App Firewall Statistics werden der XXE-Command Injection-Verkehr und die Verstoßdetails angezeigt.
  4. Sie können die Tabellarische Ansicht wählen oder zur grafischen Ansicht wechseln, um die Daten in einem tabellarischen oder grafischen Format anzuzeigen.
Schutz vor Angriffen durch externe XML-Entitäten (XXE)