Comment utiliser Nginx pour se protéger contre les attaques d'entités externes XML (XXE)

Avec le développement rapide de la technologie Internet, la sécurité des réseaux attire de plus en plus d'attention. Parmi eux, un problème courant de sécurité réseau est l’attaque d’entité externe XML (XXE). Cette méthode d'attaque permet aux attaquants d'obtenir des informations sensibles ou d'exécuter du code à distance via des documents XML malveillants. Cet article explique comment utiliser Nginx pour empêcher les attaques XXE.

1. Qu'est-ce qu'une attaque XXE ?

L'attaque d'entité externe XML est une vulnérabilité Web qui permet à un attaquant d'accéder à des données sensibles sur le serveur ou d'effectuer des opérations non autorisées. Cette attaque est réalisée en construisant un document XML malveillant, puis en le transmettant à un analyseur XML ouvert. Un attaquant peut définir des entités dans un document XML, puis référencer des fichiers externes dans les entités. L'analyseur XML charge les données d'un fichier externe et les insère dans le document XML, ce qui entraîne une attaque réussie.

Par exemple, un attaquant pourrait transmettre le document XML malveillant suivant à un analyseur XML :

<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE foo [
  <!ELEMENT foo ANY >
  <!ENTITY xxe SYSTEM "file:///etc/passwd" >]>
<foo>&xxe;</foo>

Dans le document XML ci-dessus, nous avons défini une entité externe nommée "xxe" et l'avons référencée dans le document XML dans l'élément "foo" . Cette entité externe est en réalité une référence au fichier "/etc/passwd", qu'un attaquant peut analyser pour obtenir des informations sensibles.

2. Utilisez Nginx pour empêcher les attaques XXE

Afin de prévenir efficacement les attaques XXE, nous pouvons utiliser Nginx pour filtrer toutes les requêtes XML entrantes. Nginx fournit des directives puissantes pour analyser les requêtes et les filtrer à la recherche d'entités XML malveillantes. Voici quelques mesures possibles :

1. Désactiver les entités externes

Les entités externes peuvent être désactivées à l'aide de déclarations XML. Dans Nginx, nous pouvons utiliser la directive suivante pour y parvenir :

xml_disable_external_entities on;

Cette directive désactivera l'analyse de toutes les entités externes.

2. Limiter la taille des entités internes

Un attaquant peut définir un grand nombre d'entités internes dans un document XML, consommant ainsi les ressources du serveur. Par conséquent, nous pouvons limiter la taille des entités internes en utilisant la directive suivante :

xml_max_entity_size size;

où "size" peut être défini sur la taille en octets. Si la taille d'une entité interne dépasse cette limite, la demande est rejetée.

3. Analyse DTD interdite

Un attaquant peut définir la structure d'un document XML via une DTD (Document Type Definition). Pour nous protéger contre les attaques XXE, nous pouvons désactiver l'analyse DTD en utilisant la directive suivante :

xml_disallow_doctype yes;

Si l'analyseur tente de charger une DTD, la requête sera rejetée.

4. Limiter la taille du fichier XML

Vous pouvez utiliser la commande suivante pour limiter la taille des fichiers XML :

client_max_body_size size;

Où "taille" peut être défini sur la taille en octets. Si la taille du corps de la requête dépasse cette limite, la requête est rejetée.

En plus des mesures ci-dessus, nous pouvons également utiliser l'instruction de jugement « if » de Nginx pour vérifier s'il y a une entité malveillante dans la requête. Par exemple, la configuration suivante peut être ajoutée pour vérifier l'entité « xxe » dans la requête :

if ($request_body ~ "xxe") {
    return 403;
}

La configuration ci-dessus bloquera toute requête contenant l'entité « xxe ».

3. Résumé

L'attaque d'entité externe XML est un problème courant de sécurité réseau. Pour nous protéger contre ce type d'attaque, nous pouvons utiliser Nginx pour inspecter toutes les requêtes XML entrantes et les filtrer à la recherche d'entités malveillantes. Les mesures ci-dessus peuvent nous aider à protéger efficacement les applications Web contre les attaques XXE.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!