ADC

Protección contra ataques de entidades externas XML (XXE)

La protección contra ataques de entidades externas XML (XXE) examina si una carga entrante contiene alguna entrada XML no autorizada en relación con entidades ajenas al dominio de confianza en el que reside la aplicación web. El ataque XXE se produce si tiene un analizador XML débil que analiza una carga XML con entradas que contienen referencias a entidades externas.

En un dispositivo NetScaler ADC, si el analizador XML está configurado incorrectamente, el impacto de explotar la vulnerabilidad puede ser peligroso. Permite a un atacante leer datos confidenciales en el servidor web. Realiza el ataque de denegación de servicio, etc. Por lo tanto, es importante proteger el dispositivo de ataques XXE. Web Application Firewall puede proteger el dispositivo de ataques XXE siempre que el tipo de contenido se identifique como XML. Para evitar que un usuario malintencionado omite este mecanismo de protección, WAF bloquea una solicitud entrante si el tipo de contenido “inferido” de los encabezados HTTP no coincide con el tipo de contenido del cuerpo. Este mecanismo evita la omisión de la protección contra ataques XXE cuando se utiliza un tipo de contenido predeterminado o no predeterminado en la lista de permitidos.

Algunas de las posibles amenazas XXE que afectan a un dispositivo NetScaler ADC son:

  • Fugas de datos confidenciales
  • Ataques de denegación de servicio (DOS)
  • solicitudes de falsificación del lado del servidor
  • Exploración de puertos

Configurar la protección de inyección de entidades externas XML (XXE)

Para configurar entidades externas XML (XXE), compruebe mediante la interfaz de comandos: En la interfaz de línea de comandos, puede agregar o modificar el comando de perfil de firewall de aplicaciones para configurar la configuración de XXE. Puede habilitar las acciones de bloqueo, registro y estadísticas.

En la línea de comandos, escriba:

set appfw profile <name> [-inferContentTypeXmlPayloadAction <inferContentTypeXmlPayloadAction <block | log | stats | none>]

Nota:

De forma predeterminada, la acción XXE se establece como “ninguno”.”

Ejemplo:

set appfw profile profile1 -inferContentTypeXmlPayloadAction Block

Donde los tipos de acción son:

Bloquear: la solicitud se bloquea sin excepción alguna en las URL de la solicitud.

Registro: si se produce una discrepancia entre el tipo de contenido del encabezado de una solicitud HTTP y la carga útil, la información sobre la solicitud infractora debe figurar en el mensaje de registro.

Estadísticas: si se detecta una discrepancia en los tipos de contenido, se incrementan las estadísticas correspondientes a este tipo de infracción.

Ninguna: no se realiza ninguna acción si se detecta una discordancia en los tipos de contenido. Ninguna se puede combinar con ningún otro tipo de acción. La acción predeterminada se establece en Ninguna.

Configurar la comprobación de inyección XXE mediante la GUI de Citrix ADC

Complete los siguientes pasos para configurar la comprobación de inyección XXE.

  1. Vaya a Seguridad > Citrix Web App Firewall > Perfiles.
  2. En la página Perfiles, seleccione un perfil y haga clic en Modificar.
  3. En la página de perfil del Firewall de Aplicaciones Web de Citrix, vaya a la sección Configuración avanzada y haga clic en Comprobaciones de seguridad.

  4. En la sección Comprobaciones de seguridad, seleccione Deducir tipo de contenido XML Payload y haga clic en Configuración de acciones.
  5. En la página Configuración de carga XML del tipo de contenido inferido, defina los siguientes parámetros:

    1. Acciones. Seleccione una o más acciones para realizar la comprobación de seguridad de la inyección XXE.
  6. Haga clic en Aceptar.

Visualización de las estadísticas de tráfico e infracciones por inyección XXE

La página Estadísticas de Citrix Web App Firewall muestra los detalles del tráfico de seguridad y las infracciones de seguridad en formato tabular o gráfico.

Para ver las estadísticas de seguridad mediante la interfaz de comandos.

En la línea de comandos, escriba:

stat appfw profile profile1

Visualización de las estadísticas de inyección de XXE mediante la GUI de Citrix ADC

Complete los siguientes pasos para ver las estadísticas de inyección de XXE:

  1. Vaya a Seguridad > Citrix Web App Firewall > Perfiles.
  2. En el panel de detalles, seleccione un perfil de Web App Firewall y haga clic en Estadísticas.
  3. La página de estadísticas del Firewall de Aplicaciones Web de Citrix muestra los detalles de las infracciones y el tráfico de inyección del comando XXE.
  4. Puede seleccionar Vista tabular o cambiar a Vista gráfica para mostrar los datos en formato tabular o gráfico.
Protección contra ataques de entidades externas XML (XXE)