Schutz vor Angriffen durch externe XML-Entitäten (XXE)
Der Schutz vor Angriffen mit XML External Entities (XXE) untersucht, ob eine eingehende Payload unbefugte XML-Eingaben enthält, die sich auf Entitäten außerhalb der vertrauenswürdigen Domain beziehen, in der sich die Webanwendung befindet. Der XXE-Angriff tritt auf, wenn Sie einen schwachen XML-Parser haben, der eine XML-Payload mit Eingaben analysiert, die Verweise auf externe Entitäten enthalten.
Wenn der XML-Parser in einer NetScaler Appliance nicht ordnungsgemäß konfiguriert ist, kann die Ausnutzung der Sicherheitsanfälligkeit gefährlich sein. Es ermöglicht einem Angreifer, sensible Daten auf dem Webserver zu lesen. Führe den Denial-of-Service-Angriff aus und so weiter. Daher ist es wichtig, die Appliance vor XXE-Angriffen zu schützen. Web Application Firewall ist in der Lage, die Appliance vor XXE-Angriffen zu schützen, solange der Inhaltstyp als XML identifiziert wird. Um zu verhindern, dass ein böswilliger Benutzer diesen Schutzmechanismus umgeht, blockiert WAF eine eingehende Anforderung, wenn der “abgeleitete” Inhaltstyp in den HTTP-Headern nicht mit dem Inhaltstyp des Körpers übereinstimmt. Dieser Mechanismus verhindert die Umgehung des XXE-Angriffsschutzes, wenn ein standardmäßiger oder nicht standardmäßiger Inhaltstyp auf der Positivliste verwendet wird.
Einige der möglichen XXE-Bedrohungen, die eine NetScaler Appliance betreffen, sind:
- Lecks vertraulicher Daten
- Denial-of-Service (DOS) -Angriffe
- Serverseitige Fälschungsanforderungen
- Port-Scannen
Konfigurieren des XXE-Einschleusungsschutzes für externe XML-Entitäten
So konfigurieren Sie die Prüfung von externen XML-Entitäten (XXE) mithilfe der Befehlszeilenschnittstelle: In der Befehlszeilenschnittstelle können Sie den Befehl Application Firewall-Profil hinzufügen oder ändern, um die XXE-Einstellungen zu konfigurieren. Sie können die Block-, Protokoll- und Statistikaktionen aktivieren.
Geben Sie in der Befehlszeile Folgendes ein:
set appfw profile <name> [-inferContentTypeXmlPayloadAction <inferContentTypeXmlPayloadAction <block | log | stats | none>]
Hinweis:
Standardmäßig ist die XXE-Aktion auf “none” festgelegt.
Beispiel:
set appfw profile profile1 -inferContentTypeXmlPayloadAction Block
Wo sind Aktionstypen:
Sperren: Die Anfrage wird ausnahmslos für die URLs in der Anfrage blockiert.
Protokoll: Wenn eine Diskrepanz zwischen dem Inhaltstyp in einem HTTP-Anforderungsheader und der Payload auftritt, müssen Informationen über die verletzende Anfrage in der Protokollnachricht enthalten sein.
Statistiken: Wenn eine Nichtübereinstimmung der Inhaltstypen festgestellt wird, werden die entsprechenden Statistiken für diesen Verstoßtyp erhöht.
Keine: Wenn eine Nichtübereinstimmung der Inhaltstypen festgestellt wird, werden keine Maßnahmen ergriffen. Keiner kann mit einem anderen Aktionstyp kombiniert werden. Die Standardaktion ist auf Keine festgelegt.
Konfigurieren Sie den XXE-Injection-Check mithilfe der NetScaler-GUI
Gehen Sie wie folgt vor, um den XXE-Injektionscheck zu konfigurieren.
- Navigieren Sie zu Sicherheit > NetScaler Web App Firewall > Profile.
- Wählen Sie auf der Seite Profile ein Profil aus, und klicken Sie auf Bearbeiten.
- Gehen Sie auf der NetScaler Web App Firewall-Profilseite zum Abschnitt Erweiterte Einstellungen und klicken Sie auf Sicherheitsprüfungen.
- Wählen Sie im Abschnitt Sicherheitsprüfungen die Option Infer Content Type XML Payload aus und klicken Sie auf Aktionseinstellungen.
-
Stellen Sie auf der Seite „XML-Payload-Einstellungen für den Inhaltstyp ableiten“ die folgenden Parameter ein:
- Aktionen. Wählen Sie eine oder mehrere Aktionen aus, die für die XXE-Injection-Sicherheitsprüfung ausgeführt werden sollen.
- Klicken Sie auf OK.
Statistiken zu Datenverkehr und Verstößen gegen XXE-Injektionen anzeigen
Auf der Seite NetScaler Web App Firewall Statistics werden Details zu Sicherheitsdatenverkehr und Sicherheitsverletzungen in tabellarischer oder grafischer Form angezeigt.
So zeigen Sie Sicherheitsstatistiken mithilfe der Befehlszeilenschnittstelle an.
Geben Sie in der Befehlszeile Folgendes ein:
stat appfw profile profile1
Anzeigen von XXE-Injektionsstatistiken mithilfe der NetScaler-GUI
Gehen Sie wie folgt vor, um die XXE-Injektionsstatistiken einzusehen:
- Navigieren Sie zu Sicherheit > NetScaler Web App Firewall > Profile.
- Wählen Sie im Detailbereich ein Web App Firewall-Profil aus und klicken Sie auf Statistik.
- Auf der Seite mit den NetScaler Web App Firewall-Statistiken werden der Datenverkehr und die Verstöße gegen XXE-Befehlsinjektionen angezeigt.
- Sie können die Tabellarische Ansicht wählen oder zur grafischen Ansicht wechseln, um die Daten in einem tabellarischen oder grafischen Format anzuzeigen.