criterio XMLThreatProtection

Stai visualizzando la documentazione di Apigee Edge.
Vai alla sezione Documentazione di Apigee X. Informazioni

Cosa

Risolvi le vulnerabilità XML e riduci al minimo gli attacchi alla tua API. Facoltativamente, rileva il payload XML e gli attacchi basati su limiti configurati. Filtra le minacce XML utilizzando i seguenti approcci:

  • Convalida i messaggi in base a uno schema XML (.xsd)
  • Valuta i contenuti del messaggio per parole chiave o pattern specifici da escludere
  • Rileva i messaggi corrotti o in formato non corretto prima che vengano analizzati

Riferimento elemento

Il riferimento all'elemento descrive gli elementi e gli attributi della protezione XMLThreatProtection .

<XMLThreatProtection async="false" continueOnError="false" enabled="true" name="XML-Threat-Protection-1">
   <DisplayName>XML Threat Protection 1</DisplayName>
   <NameLimits>
      <Element>10</Element>
      <Attribute>10</Attribute>
      <NamespacePrefix>10</NamespacePrefix>
      <ProcessingInstructionTarget>10</ProcessingInstructionTarget>
   </NameLimits>
   <Source>request</Source>
   <StructureLimits>
      <NodeDepth>5</NodeDepth>
      <AttributeCountPerElement>2</AttributeCountPerElement>
      <NamespaceCountPerElement>3</NamespaceCountPerElement>
      <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount>
   </StructureLimits>
   <ValueLimits>
      <Text>15</Text>
      <Attribute>10</Attribute>
      <NamespaceURI>10</NamespaceURI>
      <Comment>10</Comment>
      <ProcessingInstructionData>10</ProcessingInstructionData>
   </ValueLimits> 
</XMLThreatProtection>

&lt;XMLThreatProtection&gt; attributi

<XMLThreatProtection async="false" continueOnError="false" enabled="true" name="XML-Threat-Protection-1">

La tabella seguente descrive gli attributi comuni a tutti gli elementi principali del criterio:

Attributo Descrizione Predefinito Presenza
name

Il nome interno del criterio. Il valore dell'attributo name può Deve contenere lettere, numeri, spazi, trattini, trattini bassi e punti. Questo valore non può superare i 255 caratteri.

Se vuoi, puoi utilizzare l'elemento <DisplayName> per etichettare il criterio in l'editor proxy della UI di gestione con un nome diverso in linguaggio naturale.

 N/D Obbligatorio
continueOnError

Imposta il valore su false per restituire un errore quando un criterio non viene eseguito. Si tratta di un comportamento previsto per la maggior parte dei criteri.

Imposta su true per fare in modo che l'esecuzione del flusso continui anche dopo un criterio non riesce.

 falso Facoltativo
enabled

Imposta il valore su true per applicare il criterio.

Imposta false per disattivare il criterio. Il criterio non verrà applicata anche se rimane collegata a un flusso.

 true Facoltativo
async

Questo attributo è obsoleto.

 falso Deprecato

&lt;DisplayName&gt; elemento

Da utilizzare in aggiunta all'attributo name per etichettare il criterio in editor proxy della UI di gestione con un nome diverso e in linguaggio naturale.

<DisplayName>Policy Display Name</DisplayName>
Predefinito

N/D

Se ometti questo elemento, il valore dell'attributo name del criterio è in uso.
Presenza Facoltativo
Tipo Stringa

&lt;NameLimits&gt; elemento

Specifica i limiti di caratteri che devono essere controllati e applicati dal criterio.

<NameLimits>
   <Element>10</Element>
   <Attribute>10</Attribute>
   <NamespacePrefix>10</NamespacePrefix>
   <ProcessingInstructionTarget>10</ProcessingInstructionTarget>     
</NameLimits>
Predefinita: N/D
Presenza: Facoltativo
Tipo: N/D

&lt;NameLimits&gt;/&lt;Element&gt; elemento

Specifica un limite al numero massimo di caratteri consentiti in qualsiasi nome di elemento nel file XML documento.

Considera ad esempio il seguente XML:

<book category="WEB">
   <title>Learning XML</title>
   <author>Erik T. Ray</author>
   <year>2003</year>
</book>

Quando analizzi il codice XML riportato sopra, il valore dell'elemento <Element> nel criterio lo snippet seguente convaliderà i nomi degli elementi (book , title, I valori author e year) non superano i 10 caratteri.

<NameLimits>
   <Element>10</Element>
   <Attribute>10</Attribute>
   <NamespacePrefix>10</NamespacePrefix>
   <ProcessingInstructionTarget>10</ProcessingInstructionTarget>     
</NameLimits>
Predefinita: Se non specifichi un limite, il sistema applica un valore predefinito di -1. che il sistema equivale a nessun limite.
Presenza: Facoltativo
Tipo: Numero intero

&lt;NameLimits&gt;/&lt;Attribute&gt; elemento

Specifica un limite al numero massimo di caratteri consentiti in qualsiasi nome di attributo nel Documento XML.

Considera ad esempio il seguente XML:

<book category="WEB">
   <title>Learning XML</title>
   <author>Erik T. Ray</author>
   <year>2003</year>
</book>

Quando analizzi il codice XML riportato sopra, il valore dell'elemento <Attribute> nel criterio lo snippet di seguito convaliderà che il nome dell'attributo category non supera 10 caratteri.

<NameLimits>
   <Element>10</Element>
   <Attribute>10</Attribute>
   <NamespacePrefix>10</NamespacePrefix>
   <ProcessingInstructionTarget>10</ProcessingInstructionTarget>     
</NameLimits>
Predefinita: Se non specifichi un limite, il sistema applica un valore predefinito di -1. che il sistema equivale a nessun limite.
Presenza: Facoltativo
Tipo: Numero intero

&lt;NameLimits&gt;/&lt;NamespacePrefix&gt; elemento

Specifica un limite per il numero massimo di caratteri consentiti nel prefisso dello spazio dei nomi nella Documento XML.

Considera ad esempio il seguente XML:

<ns1:myelem xmlns:ns1="http://ns1.com"/>

Quando analizzi il codice XML riportato sopra, il valore dell'elemento <NamespacePrefix> nel lo snippet del criterio riportato di seguito verificherà che il prefisso dello spazio dei nomi ns1 non superi 10 caratteri.

<NameLimits>
   <Element>10</Element>
   <Attribute>10</Attribute>
   <NamespacePrefix>10</NamespacePrefix>
   <ProcessingInstructionTarget>10</ProcessingInstructionTarget>     
</NameLimits>
Predefinita: Se non specifichi un limite, il sistema applica un valore predefinito di -1. che il sistema equivale a nessun limite.
Presenza: Facoltativo
Tipo: Numero intero

&lt;NameLimits&gt;/&lt;ProcessingInstructionTarget&gt; elemento

Specifica un limite per il numero massimo di caratteri consentiti nel target di qualsiasi istruzioni per l'elaborazione nel documento XML.

Considera ad esempio il seguente XML:

<?xml-stylesheet type="text/xsl" href="style.xsl"?>

Quando analizzi il codice XML riportato sopra, l'elemento <ProcessingInstructionTarget> nello snippet del criterio riportato di seguito confermerà che il target dell'istruzione di elaborazione xml-stylesheet non supera 10 caratteri.

<NameLimits>
   <Element>10</Element>
   <Attribute>10</Attribute>
   <NamespacePrefix>10</NamespacePrefix>
   <ProcessingInstructionTarget>10</ProcessingInstructionTarget>     
</NameLimits>
Predefinita: Se non specifichi un limite, il sistema applica un valore predefinito di -1. che il sistema equivale a nessun limite.
Presenza: Facoltativo
Tipo: Numero intero

&lt;Source&gt; elemento

Messaggio da verificare per gli attacchi di payload XML. Il valore generalmente impostato è request, poiché in genere occorre convalidare le richieste in entrata provenienti dalle app client. Se impostato su message, questo elemento valuterà automaticamente il messaggio di richiesta quando allegato al flusso della richiesta e il messaggio di risposta quando allegato alla risposta flusso di lavoro.

<Source>request</Source>
Predefinita: richiesta
Presenza: Facoltativo
Tipo:

Stringa.

Seleziona tra request, response o message.

&lt;StructuralLimits&gt; elemento

Specifica i limiti strutturali che devono essere controllati e applicati dal criterio.

<StructureLimits>
   <NodeDepth>5</NodeDepth>
   <AttributeCountPerElement>2</AttributeCountPerElement>
   <NamespaceCountPerElement>3</NamespaceCountPerElement>
   <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount>
</StructureLimits>
Predefinita: N/D
Presenza: Facoltativo
Tipo: N/D

&lt;StructuralLimits&gt;/&lt;NodeDepth&gt; elemento

Specifica la profondità massima dei nodi consentita nel file XML.

<StructureLimits>
   <NodeDepth>5</NodeDepth>
   <AttributeCountPerElement>2</AttributeCountPerElement>
   <NamespaceCountPerElement>3</NamespaceCountPerElement>
   <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount>
</StructureLimits>
Predefinita: Se non specifichi un limite, il sistema applica un valore predefinito di -1. che il sistema equivale a nessun limite.
Presenza: Facoltativo
Tipo:

Numero intero

&lt;StructuralLimits&gt;/&lt;AttributeCountPerElement&gt; elemento

Specifica il numero massimo di attributi consentiti per ogni elemento.

Considera ad esempio il seguente XML:

<book category="WEB">
   <title>Learning XML</title>
   <author>Erik T. Ray</author>
   <year>2003</year>
</book>
Quando analizzi il codice XML riportato sopra, il valore dell'elemento <AttributeCountPerElement> nello snippet delle norme riportato di seguito verificherà che gli elementi book, title, author e year non hanno più di 2 attributi ciascuno. Tieni presente che gli attributi utilizzati per definire gli spazi dei nomi non vengono conteggiati. 
<StructureLimits>
   <NodeDepth>5</NodeDepth>
   <AttributeCountPerElement>2</AttributeCountPerElement>
   <NamespaceCountPerElement>3</NamespaceCountPerElement>
   <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount>
</StructureLimits>
Predefinita: Se non specifichi un limite, il sistema applica un valore predefinito di -1. che il sistema equivale a nessun limite.
Presenza: Facoltativo
Tipo:

Numero intero

&lt;StructuralLimits&gt;/&lt;NameSpaceCountPerElement&gt; elemento

Specifica il numero massimo di definizioni dello spazio dei nomi consentite per qualsiasi elemento.

Considera ad esempio il seguente XML:

<e1 attr1="val1" attr2="val2">
    <e2 xmlns="http://apigee.com" xmlns:yahoo="http://yahoo.com" one="1" yahoo:two="2"/>
</e1>

Quando analizzi il codice XML riportato sopra, il valore dell'elemento <NamespaceCountPerElement> nello snippet delle norme riportato di seguito verificherà che gli elementi e1 e e2 non hanno più di 2 definizioni dello spazio dei nomi ciascuna. In questo caso, <e1> ha 0 definizioni dello spazio dei nomi e <e2> ha 2 spazi dei nomi definizioni: xmlns="http://apigee.com" e xmlns:yahoo="http://yahoo.com".

<StructureLimits>
   <NodeDepth>5</NodeDepth>
   <AttributeCountPerElement>2</AttributeCountPerElement>
   <NamespaceCountPerElement>3</NamespaceCountPerElement>
   <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount>
</StructureLimits>
Predefinita: Se non specifichi un limite, il sistema applica un valore predefinito di -1. che il sistema equivale a nessun limite.
Presenza: Facoltativo
Tipo:

Numero intero

&lt;StructuralLimits&gt;/&lt;ChildCount&gt; elemento

Specifica il numero massimo di elementi secondari consentito per qualsiasi elemento.

<StructureLimits>
   <NodeDepth>5</NodeDepth>
   <AttributeCountPerElement>2</AttributeCountPerElement>
   <NamespaceCountPerElement>3</NamespaceCountPerElement>
   <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount>
</StructureLimits>
Predefinita: Se non specifichi un limite, il sistema applica un valore predefinito di -1. che il sistema equivale a nessun limite.
Presenza: Facoltativo
Tipo:

Numero intero

Attributi

Attributo Predefinito Presenza
includeComment true Facoltativo
includeElement true Facoltativo
includeProcessingInstructions true Facoltativo
includeText true Facoltativo

&lt;ValueLimits&gt; elemento

Specifica i limiti di caratteri per i valori che devono essere controllati e applicati dal criterio.

<ValueLimits>
   <Text>15</Text>
   <Attribute>10</Attribute>
   <NamespaceURI>10</NamespaceURI>
   <Comment>10</Comment>
   <ProcessingInstructionData>10</ProcessingInstructionData>
</ValueLimits>
Predefinita: N/D
Presenza: Facoltativo
Tipo:

N/D

&lt;ValueLimits&gt;/&lt;Text&gt; elemento

Specifica un limite di caratteri per i nodi di testo presenti nel documento XML.

Considera ad esempio il seguente XML:

<book category="WEB">
   <title>Learning XML</title>
   <author>Erik T. Ray</author>
   <year>2003</year>
</book>
Quando analizzi il codice XML riportato sopra, il valore dell'elemento <Text> nel criterio Lo snippet seguente verificherà che i valori di testo dell'elemento Learning XML, Erik T. Ray, e 2003 non superino 15 caratteri ciascuno. 
<ValueLimits>
   <Text>15</Text>
   <Attribute>10</Attribute>
   <NamespaceURI>10</NamespaceURI>
   <Comment>10</Comment>
   <ProcessingInstructionData>10</ProcessingInstructionData>
</ValueLimits>
Predefinita: Se non specifichi un limite, il sistema applica un valore predefinito di -1. che il sistema equivale a nessun limite.
Presenza: Facoltativo
Tipo:

Numero intero

&lt;ValueLimits&gt;/&lt;Attribute&gt; elemento

Specifica un limite di caratteri per i valori degli attributi presenti nel documento XML.

Considera ad esempio il seguente XML:

<book category="WEB">
   <title>Learning XML</title>
   <author>Erik T. Ray</author>
   <year>2003</year>
</book>
Quando analizzi il codice XML riportato sopra, il valore dell'elemento <Attribute> nel criterio lo snippet seguente verificherà che il valore dell'attributo WEB non superi 10 caratteri. 
<ValueLimits>
   <Text>15</Text>
   <Attribute>10</Attribute>
   <NamespaceURI>10</NamespaceURI>
   <Comment>10</Comment>
   <ProcessingInstructionData>10</ProcessingInstructionData>
</ValueLimits>
Predefinita: Se non specifichi un limite, il sistema applica un valore predefinito di -1. che il sistema equivale a nessun limite.
Presenza: Facoltativo
Tipo:

Numero intero

&lt;ValueLimits&gt;/&lt;NamespaceURI&gt; elemento

Specifica un limite di caratteri per eventuali URI dello spazio dei nomi presenti nel documento XML.

Considera ad esempio il seguente XML:

<ns1:myelem xmlns:ns1="http://ns1.com"/>
Quando analizzi il codice XML riportato sopra, il valore dell'elemento <NamespaceURI> nel lo snippet del criterio riportato di seguito convaliderà il valore dell'URI dello spazio dei nomi http://ns1.com non più di 10 caratteri. 
<ValueLimits>
   <Text>15</Text>
   <Attribute>10</Attribute>
   <NamespaceURI>10</NamespaceURI>
   <Comment>10</Comment>
   <ProcessingInstructionData>10</ProcessingInstructionData>
</ValueLimits>
Predefinita: Se non specifichi un limite, il sistema applica un valore predefinito di -1. che il sistema equivale a nessun limite.
Presenza: Facoltativo
Tipo:

Numero intero

&lt;ValueLimits&gt;/&lt;Comment&gt; elemento

Specifica un limite di caratteri per i commenti presenti nel documento XML.

Considera ad esempio il seguente XML:

<book category="WEB">
   <!-- This is a comment -->
   <title>Learning XML</title>
   <author>Erik T. Ray</author>
   <year>2003</year>
</book>
Quando analizzi il codice XML riportato sopra, il valore dell'elemento <Comment> nel criterio lo snippet seguente verificherà che il testo del commento This is a comment non superi 10 caratteri. 
<ValueLimits>
   <Text>15</Text>
   <Attribute>10</Attribute>
   <NamespaceURI>10</NamespaceURI>
   <Comment>10</Comment>
   <ProcessingInstructionData>10</ProcessingInstructionData>
</ValueLimits>
Predefinita: Se non specifichi un limite, il sistema applica un valore predefinito di -1. che il sistema equivale a nessun limite.
Presenza: Facoltativo
Tipo:

Numero intero

&lt;ValueLimits&gt;/&lt;ProcessingInstructionData&gt; elemento

Specifica un limite di caratteri per il testo dell'istruzione di elaborazione presente nel file XML documento.

Considera ad esempio il seguente XML:

<?xml-stylesheet type="text/xsl" href="style.xsl"?>
Quando analizzi il codice XML riportato sopra, l'elemento <ProcessingInstructionData> nello snippet delle norme riportato di seguito confermerà che il testo dell'istruzione per l'elaborazione type="text/xsl" href="style.xsl" non supera 10 caratteri. 
<ValueLimits>
   <Text>15</Text>
   <Attribute>10</Attribute>
   <NamespaceURI>10</NamespaceURI>
   <Comment>10</Comment>
   <ProcessingInstructionData>10</ProcessingInstructionData>
</ValueLimits>
Predefinita: Se non specifichi un limite, il sistema applica un valore predefinito di -1. che il sistema equivale a nessun limite.
Presenza: Facoltativo
Tipo:

Numero intero

Messaggi di errore

Questa sezione descrive i codici e i messaggi di errore restituiti, nonché le variabili di errore impostate da Edge quando questo criterio attiva un errore. È importante sapere se stai sviluppando regole di errore per per gestire gli errori. Per saperne di più, consulta Cosa devi sapere sugli errori relativi ai criteri e sulla gestione di errore.

Errori di runtime

Questi errori possono verificarsi quando il criterio viene eseguito.

Codice di errore Stato HTTP Causa Correggi
steps.xmlthreatprotection.ExecutionFailed 500 Il criterio XMLThreatProtection può generare molti tipi diversi di errori ExecutionFailed. La maggior parte di questi errori si verifica quando viene superata una soglia specifica impostata nel criterio. Questi tipi di errori includono: element name length, numero di bambini, profondità del nodo, conteggio attributi, lunghezza del nome dell'attributo, e molti altri. Puoi visualizzare l'elenco completo nell'argomento Risoluzione degli errori di runtime del criterio XMLThreatProtection.
steps.xmlthreatprotection.InvalidXMLPayload 500 Questo errore si verifica se il payload del messaggio di input specificato dall'elemento <Source> del criterio XMLThreatProtection non è un documento XML valido.
steps.xmlthreatprotection.SourceUnavailable 500 Questo errore si verifica se il messaggio specificata nell'elemento <Source> è:
  • Fuori ambito (non disponibile nel flusso specifico in cui viene eseguito il criterio)
  • Non è uno dei valori validi request, response, o message
steps.xmlthreatprotection.NonMessageVariable 500 Questo errore si verifica se l'elemento <Source> è impostato su una variabile che non è di tipo messaggio.

Note:

  • Il nome dell'errore ExecutionFailed è il nome predefinito dell'errore e verrà restituito indipendentemente dal il tipo di errore rilevato; tuttavia, questo valore predefinito può essere modificato impostando a livello di organizzazione. Quando questa proprietà è impostata, il nome dell'errore rifletterà . Ad esempio, "TextExceeded" o "AttrValueExceeded". Vedi le Note di utilizzo per i dettagli.
  • Lo stato HTTP 500 è l'impostazione predefinita; tuttavia, lo stato HTTP può essere modificato in 400 per di errore nel flusso di richieste impostando una proprietà a livello di organizzazione. Vedi le Note di utilizzo per i dettagli.

Errori di deployment

Nessuno.

Variabili di errore

Queste variabili vengono impostate quando si verifica un errore di runtime. Per ulteriori informazioni, vedi Cosa devi sapere sugli errori relativi alle norme.

Variabili Dove Esempio
fault.name="fault_name" fault_name è il nome dell'errore, come elencato nella precedente tabella Errori di runtime. Il nome dell'errore è l'ultima parte del codice di errore. fault.name Matches "SourceUnavailable"
xmlattack.policy_name.failed policy_name è il nome specificato dall'utente del criterio che ha generato l'errore. xmlattack.XPT-SecureRequest.failed = true

Esempio di risposta di errore

{
  "fault": {
    "faultstring": "XMLThreatProtection[XPT-SecureRequest]: Execution failed. reason: XMLThreatProtection[XTP-SecureRequest]: Exceeded object entry name length at line 2",
    "detail": {
      "errorcode": "steps.xmlthreatprotection.ExecutionFailed"
    }
  }
}

Esempio di regola di errore

<FaultRule name="XML Threat Protection Policy Faults">
    <Step>
        <Name>AM-CustomErrorResponse</Name>
        <Condition>(fault.name Matches "ExecutionFailed") </Condition>
    </Step>
    <Condition>(xmlattack.XPT-SecureRequest.failed = true) </Condition>
</FaultRule>

Schemi

Note sull'utilizzo

Qualsiasi server che riceve dati online è soggetto ad attacchi, dannosi o non intenzionali. Alcuni attacchi sfruttano la flessibilità del linguaggio XML costruendo documenti non validi con il potenziale di compromettere i sistemi di backend. I documenti XML danneggiati o estremamente complessi possono fa sì che i server allocano più memoria di quella disponibile, associando le risorse di CPU e memoria, che causano l'arresto anomalo dei parser e, in genere, la disattivazione dell'elaborazione dei messaggi e la creazione a livello di applicazione attacchi DoS.

Configurazione degli errori di protezione dalle minacce

Informazioni importanti se crei FaultRules per questo criterio: tramite per impostazione predefinita, Edge genera un codice di stato Errore interno del server HTTP 500 e un errore ExecutionFailed. se un messaggio non supera un criterio di protezione dalle minacce JSON o XML. Puoi modificare per modificare il comportamento di errore con una nuova proprietà a livello di organizzazione. Quando imposti l'organizzazione features.isPolicyHttpStatusEnabled su true, come segue che si verifica:

  • Richiesta: con un criterio di protezione dalle minacce collegato a qualsiasi flusso di richieste, i messaggi non validi Restituire un codice di stato Richiesta non valida 400, insieme a un errore di violazione delle norme corrispondente (anziché solo ExecutionFailed).
  • Risposta: con un criterio di protezione dalle minacce collegato a qualsiasi flusso di risposta, i messaggi non validi restituiscono comunque un codice di stato Errore interno del server 500 e uno dei vengono generati i codici di errore del criterio corrispondenti (anziché solo ExecutionFailed).

I clienti Cloud devono contattare l'assistenza Apigee Edge per impostare proprietà dell'organizzazione.

Argomenti correlati

Minaccia JSON Norme sulla protezione

Normale Norme di Protezione espressioni