简体中文(ZH-CN)English(EN)繁体中文(ZH-TW)日本語(JA)한국어(KO)Melayu(MS)Français(FR)Deutsch(DE)
ホームページ
記事
に質問
コース
特集
ダウンロード
ゲーム
辞書
最近の更新

ホームページ  >  記事  >  運用・保守  >  Nginx を使用して XML 外部エンティティ攻撃 (XXE) から保護する方法

Nginx を使用して XML 外部エンティティ攻撃 (XXE) から保護する方法

WBOY
WBOYオリジナル
2023-06-10 19:47:161526ブラウズ

インターネット技術の急速な発展に伴い、ネットワークセキュリティへの注目がますます高まっています。その中で、一般的なネットワーク セキュリティ問題は XML 外部エンティティ攻撃 (XXE) です。この攻撃方法により、攻撃者は悪意のある XML ドキュメントを通じて機密情報を取得したり、リモート コードを実行したりすることができます。この記事では、Nginxを使ってXXE攻撃を防ぐ方法を紹介します。

1. XXE 攻撃とは

XML 外部エンティティ攻撃は、攻撃者がサーバー上の機密データにアクセスしたり、不正な操作を実行したりするために使用できる Web 脆弱性です。この攻撃は、悪意のある XML ドキュメントを作成し、それをオープン XML パーサーに渡すことによって達成されます。攻撃者は XML ドキュメント内でエンティティを定義し、そのエンティティ内で外部ファイルを参照する可能性があります。 XML パーサーは外部ファイルからデータをロードし、それを XML ドキュメントに挿入し、攻撃が成功します。

たとえば、攻撃者は次の悪意のある XML ドキュメントを XML パーサーに渡す可能性があります: 

<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE foo [
  <!ELEMENT foo ANY >
  <!ENTITY xxe SYSTEM "file:///etc/passwd" >]>
<foo>&xxe;</foo>

上記の XML ドキュメントでは、「xxe」という名前の外部エンティティを定義し、それをXML ドキュメント内の「foo」要素。この外部エンティティは実際には「/etc/passwd」ファイルへの参照であり、攻撃者はこれを解析して機密情報を入手できます。

2. Nginx を使用して XXE 攻撃を防止する

XXE 攻撃を効果的に防止するために、Nginx を使用してすべての受信 XML リクエストをフィルターできます。 Nginx は、リクエストをスキャンし、悪意のある XML エンティティをフィルタリングするためのいくつかの強力なディレクティブを提供します。以下に、考えられる対策のいくつかを示します。

  1. 外部エンティティを無効にする

XML 宣言を使用して、外部エンティティを無効にすることができます。 Nginx では、次のディレクティブを使用してこれを実現できます: 

xml_disable_external_entities on;

このディレクティブは、すべての外部エンティティの解析を無効にします。

  1. 内部エンティティのサイズを制限する

攻撃者は XML ドキュメント内に多数の内部エンティティを定義し、それによってサーバー リソースを消費する可能性があります。したがって、次のディレクティブを使用して内部エンティティのサイズを制限できます: 

xml_max_entity_size size;

ここで、「size」はバイト単位のサイズに設定できます。内部エンティティのサイズがこの制限を超える場合、リクエストは拒否されます。

  1. DTD 解析を無効にする

攻撃者は、DTD (Document Type Definition) を通じて XML ドキュメントの構造を定義できます。 XXE 攻撃を防ぐために、次のディレクティブを使用して DTD 解析を無効にできます。 

xml_disallow_doctype yes;

パーサーが DTD をロードしようとすると、リクエストは拒否されます。

  1. XML ファイル サイズの制限

次の手順を使用して、XML ファイルのサイズを制限できます:

client_max_body_size size;

「サイズ」を設定できる場所to バイトは単位のサイズです。リクエスト本文のサイズがこの制限を超える場合、リクエストは拒否されます。

上記の対策に加えて、Nginx の if 判定ステートメントを使用して、リクエストに悪意のあるエンティティが存在するかどうかを確認することもできます。たとえば、次の設定を追加して、リクエスト内の「xxe」エンティティを確認できます。 

if ($request_body ~ "xxe") {
    return 403;
}

上記の設定は、「xxe」エンティティを含むリクエストをブロックします。

3. 概要

XML 外部エンティティ攻撃は、ネットワーク セキュリティの一般的な問題です。この種の攻撃から保護するために、Nginx を使用してすべての受信 XML リクエストを検査し、悪意のあるエンティティをフィルタリングできます。上記の対策は、Web アプリケーションを XXE 攻撃から効果的に保護するのに役立ちます。

以上がNginx を使用して XML 外部エンティティ攻撃 (XXE) から保護する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

nginx if xml 网络安全
声明:
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
前の記事:Nginx リバースプロキシにおけるドメイン名バインディング攻撃と防御方法次の記事:Nginx リバースプロキシにおけるドメイン名バインディング攻撃と防御方法

関連記事

続きを見る