Nginx が XML インジェクション攻撃から保護する方法

XML インジェクション攻撃は一般的なネットワーク攻撃手法であり、攻撃者は悪意を持って挿入された XML コードをアプリケーションに渡して、不正アクセスを取得したり、悪意のある操作を実行したりします。 Nginx は、さまざまな方法で XML インジェクション攻撃から保護できる人気の Web サーバーおよびリバース プロキシ サーバーです。

1. 入力のフィルタリングと検証

XML 入力を含む、サーバーへのすべてのデータ入力はフィルタリングされ、検証される必要があります。 Nginx には、リクエストをバックエンド サービスにプロキシする前に検証できる組み込みモジュールがいくつか用意されています。モジュールの 1 つは ngx_http_lua_module です。これは組み込みの Lua 言語サポートを提供し、リクエストのさまざまな段階で実行するカスタム リクエスト検証スクリプトを作成できます。たとえば、アクセス フェーズ中に、Lua コードを使用して入力を検査し、悪意のある XML コードを識別できます。

2. XML 外部エンティティ (XEE) フィルターを有効にする

XML 外部エンティティ (XEE) の脆弱性は広範囲に広がっており、攻撃者は特別に作成した XML ペイロードを送信して XEE の脆弱性を悪用する可能性があります。サーバーから機密情報を取得するか、攻撃を実行します。 Nginx は、XEE フィルターを有効にしてこのタイプの攻撃を防ぐために使用できる ngx_http_xml_module という組み込みモジュールを提供します。このモジュールは、リクエストをバックエンド サービスにプロキシする前に XML ドキュメント内の外部エンティティをチェックし、問題が見つかった場合はリクエストを破棄できます。次のディレクティブを使用して XEE フィルタリングを有効にできます。

xml_parser on;
xml_entities on;

3. 不明な XML ドキュメント タイプの拒否

攻撃者は、サーバーの脆弱性を悪用するために、不明な XML ドキュメント タイプをサーバーに送信する可能性があります。サーバー側のパーサー。このタイプの攻撃を防ぐには、次のディレクティブを使用して受け入れる XML ドキュメントのタイプを指定できます:

xml_known_document_types application/xml application/xhtml+xml image/svg+xml text/xml text/html;

デフォルトでは、Nginx は application/xml および text/xml タイプの XML ドキュメントのみを受け入れ、その他のタイプはすべて受け入れます。全て拒否されてしまいます。

4. XML リクエストのサイズを制限する

攻撃者が大量の XML データを送信すると、サーバーでパフォーマンスの問題が発生したりクラッシュしたりする可能性があります。これを防ぐには、HTTP リクエストの最大サイズを設定して XML のサイズを制限する必要があります。 XML リクエストの最大サイズは、次のディレクティブを使用して設定できます。

client_max_body_size 1m;

これにより、XML リクエストの最大サイズが 1MB に制限されます。

5. ログ ファイルを確認する

ログ内のリクエストを確認すると、攻撃の可能性を適時に検出し、適切な措置を講じることができます。 Nginx は、要求された情報をログ ファイルに記録できる ngx_http_log_module という組み込みモジュールを提供します。次のディレクティブを使用してログ モジュールを有効にできます。

access_log /var/log/nginx/access.log;

結論

Nginx は、さまざまな方法で XML インジェクション攻撃から保護できる人気の Web サーバーおよびリバース プロキシ サーバーです。セキュリティの脆弱性のリスクを軽減するために、Nginx を適用する場合は、上記の予防措置を講じることをお勧めします。

以上がNginx が XML インジェクション攻撃から保護する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。