-
-
Protecciones de nivel superior
-
Protección basada en gramática SQL para cargas útiles HTML y JSON
-
Reglas de relajación y denegación para gestionar ataques de inyección HTML SQL
-
Protección de entidades externas XML
-
Comprobaciones de protección XML
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Protección contra ataques de entidades externas XML (XXE)
La protección contra ataques de entidades externas XML (XXE) examina si una carga entrante contiene alguna entrada XML no autorizada en relación con entidades ajenas al dominio de confianza en el que reside la aplicación web. El ataque XXE se produce si tiene un analizador XML débil que analiza una carga XML con entradas que contienen referencias a entidades externas.
En un dispositivo NetScaler ADC, si el analizador XML está configurado incorrectamente, el impacto de explotar la vulnerabilidad puede ser peligroso. Permite a un atacante leer datos confidenciales en el servidor web. Realiza el ataque de denegación de servicio, etc. Por lo tanto, es importante proteger el dispositivo de ataques XXE. Web Application Firewall puede proteger el dispositivo de ataques XXE siempre que el tipo de contenido se identifique como XML. Para evitar que un usuario malintencionado omite este mecanismo de protección, WAF bloquea una solicitud entrante si el tipo de contenido “inferido” de los encabezados HTTP no coincide con el tipo de contenido del cuerpo. Este mecanismo evita la omisión de la protección contra ataques XXE cuando se utiliza un tipo de contenido predeterminado o no predeterminado en la lista de permitidos.
Algunas de las posibles amenazas XXE que afectan a un dispositivo NetScaler ADC son:
- Fugas de datos confidenciales
- Ataques de denegación de servicio (DOS)
- solicitudes de falsificación del lado del servidor
- Exploración de puertos
Configurar la protección de inyección de entidades externas XML (XXE)
Para configurar entidades externas XML (XXE), compruebe mediante la interfaz de comandos: En la interfaz de línea de comandos, puede agregar o modificar el comando de perfil de firewall de aplicaciones para configurar la configuración de XXE. Puede habilitar las acciones de bloqueo, registro y estadísticas.
En la línea de comandos, escriba:
set appfw profile <name> [-inferContentTypeXmlPayloadAction <inferContentTypeXmlPayloadAction <block | log | stats | none>]
Nota:
De forma predeterminada, la acción XXE se establece como “ninguno”.”
Ejemplo:
set appfw profile profile1 -inferContentTypeXmlPayloadAction Block
Donde los tipos de acción son:
Bloquear: la solicitud se bloquea sin excepción alguna en las URL de la solicitud.
Registro: si se produce una discrepancia entre el tipo de contenido del encabezado de una solicitud HTTP y la carga útil, la información sobre la solicitud infractora debe figurar en el mensaje de registro.
Estadísticas: si se detecta una discrepancia en los tipos de contenido, se incrementan las estadísticas correspondientes a este tipo de infracción.
Ninguna: no se realiza ninguna acción si se detecta una discordancia en los tipos de contenido. Ninguna se puede combinar con ningún otro tipo de acción. La acción predeterminada se establece en Ninguna.
Configurar la comprobación de inyección XXE mediante la GUI de Citrix ADC
Complete los siguientes pasos para configurar la comprobación de inyección XXE.
- Vaya a Seguridad > Citrix Web App Firewall > Perfiles.
- En la página Perfiles, seleccione un perfil y haga clic en Modificar.
-
En la página de perfil del Firewall de Aplicaciones Web de Citrix, vaya a la sección Configuración avanzada y haga clic en Comprobaciones de seguridad.
- En la sección Comprobaciones de seguridad, seleccione Deducir tipo de contenido XML Payload y haga clic en Configuración de acciones.
-
En la página Configuración de carga XML del tipo de contenido inferido, defina los siguientes parámetros:
- Acciones. Seleccione una o más acciones para realizar la comprobación de seguridad de la inyección XXE.
- Haga clic en Aceptar.
Visualización de las estadísticas de tráfico e infracciones por inyección XXE
La página Estadísticas de Citrix Web App Firewall muestra los detalles del tráfico de seguridad y las infracciones de seguridad en formato tabular o gráfico.
Para ver las estadísticas de seguridad mediante la interfaz de comandos.
En la línea de comandos, escriba:
stat appfw profile profile1
Visualización de las estadísticas de inyección de XXE mediante la GUI de Citrix ADC
Complete los siguientes pasos para ver las estadísticas de inyección de XXE:
- Vaya a Seguridad > Citrix Web App Firewall > Perfiles.
- En el panel de detalles, seleccione un perfil de Web App Firewall y haga clic en Estadísticas.
- La página de estadísticas del Firewall de Aplicaciones Web de Citrix muestra los detalles de las infracciones y el tráfico de inyección del comando XXE.
- Puede seleccionar Vista tabular o cambiar a Vista gráfica para mostrar los datos en formato tabular o gráfico.
Compartir
Compartir
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.