Cara menggunakan Nginx untuk melindungi daripada serangan entiti luaran XML (XXE)

Dengan perkembangan pesat teknologi Internet, keselamatan rangkaian telah menarik lebih banyak perhatian. Antaranya, masalah keselamatan rangkaian biasa ialah serangan entiti luaran XML (XXE). Kaedah serangan ini membolehkan penyerang mendapatkan maklumat sensitif atau melaksanakan kod jauh melalui dokumen XML berniat jahat. Artikel ini akan memperkenalkan cara menggunakan Nginx untuk mencegah serangan XXE.

1. Apakah itu serangan XXE?

Serangan entiti luaran XML ialah kerentanan web yang membolehkan penyerang mengakses data sensitif pada pelayan atau melakukan operasi yang tidak dibenarkan. Serangan ini dicapai dengan membina dokumen XML berniat jahat dan kemudian menyerahkannya kepada penghurai XML terbuka. Penyerang boleh menentukan entiti dalam dokumen XML dan kemudian merujuk fail luaran ke dalam entiti. Penghurai XML memuatkan data daripada fail luaran dan memasukkannya ke dalam dokumen XML, menghasilkan serangan yang berjaya.

Sebagai contoh, penyerang boleh menghantar dokumen XML berniat jahat berikut kepada penghurai XML:

<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE foo [
  <!ELEMENT foo ANY >
  <!ENTITY xxe SYSTEM "file:///etc/passwd" >]>
<foo>&xxe;</foo>

Dalam dokumen XML di atas, kami mentakrifkan entiti luaran bernama "xxe" dan Rujukannya ke dalam elemen "foo" dalam dokumen XML. Entiti luaran ini sebenarnya adalah rujukan kepada fail "/etc/passwd", yang boleh dihuraikan oleh penyerang untuk mendapatkan maklumat sensitif.

2. Gunakan Nginx untuk menghalang serangan XXE

Untuk mencegah serangan XXE dengan berkesan, kami boleh menggunakan Nginx untuk menapis semua permintaan XML yang masuk. Nginx menyediakan beberapa arahan yang berkuasa untuk mengimbas permintaan dan menapisnya untuk entiti XML yang berniat jahat. Berikut ialah beberapa langkah yang mungkin:

1. Lumpuhkan entiti luaran

Entiti luaran boleh dilumpuhkan menggunakan pengisytiharan XML. Dalam Nginx, kita boleh menggunakan arahan berikut untuk mencapai ini:

xml_disable_external_entities on;

Arahan ini akan melumpuhkan penghuraian semua entiti luaran.

2. Hadkan saiz entiti dalaman

Penyerang boleh mentakrifkan sejumlah besar entiti dalaman dalam dokumen XML, dengan itu menggunakan sumber pelayan. Oleh itu, kita boleh mengehadkan saiz entiti dalaman menggunakan arahan berikut:

xml_max_entity_size size;

di mana "saiz" boleh ditetapkan kepada saiz dalam bait. Jika saiz mana-mana entiti dalaman melebihi had ini, permintaan akan ditolak.

3. Lumpuhkan penghuraian DTD

Penyerang boleh mentakrifkan struktur dokumen XML melalui DTD (Definisi Jenis Dokumen). Untuk mengelakkan serangan XXE, kami boleh melumpuhkan penghuraian DTD menggunakan arahan berikut:

xml_disallow_doctype yes;

Jika penghurai cuba memuatkan DTD, permintaan akan ditolak.

4. Hadkan saiz fail XML

Anda boleh menggunakan arahan berikut untuk mengehadkan saiz fail XML:

client_max_body_size size;

di mana "saiz" boleh ditetapkan kepada bait ialah saiz unit. Jika saiz badan permintaan melebihi had ini, permintaan itu ditolak.

Selain langkah di atas, kami juga boleh menggunakan pernyataan penghakiman "jika" Nginx untuk menyemak sama ada terdapat entiti berniat jahat dalam permintaan itu. Sebagai contoh, konfigurasi berikut boleh ditambah untuk menyemak entiti "xxe" dalam permintaan:

if ($request_body ~ "xxe") {
    return 403;
}

Konfigurasi di atas akan menyekat sebarang permintaan yang mengandungi entiti "xxe".

3. Ringkasan

Serangan entiti luaran XML ialah masalah keselamatan rangkaian yang biasa. Untuk melindungi daripada serangan jenis ini, kami boleh menggunakan Nginx untuk memeriksa semua permintaan XML yang masuk dan menapisnya untuk entiti berniat jahat. Langkah-langkah di atas boleh membantu kami melindungi aplikasi web dengan berkesan daripada serangan XXE.

Atas ialah kandungan terperinci Cara menggunakan Nginx untuk melindungi daripada serangan entiti luaran XML (XXE). Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!