Przeglądasz dokumentację Apigee Edge.
Przejdź do
Dokumentacja Apigee X. informacje.
Co
Eliminuj luki w zabezpieczeniach kodu XML i zminimalizuj liczbę ataków na interfejs API. Opcjonalnie wykrywaj ładunek XML ataków opartych na skonfigurowanych limitach. Filtruj zagrożenia związane z plikami XML za pomocą: podejścia:
- Weryfikowanie wiadomości przy użyciu schematu XML (
.xsd) - Oceń treść wiadomości pod kątem określonych słów kluczowych lub wzorców, które chcesz wykluczyć
- Wykrywaj uszkodzone lub uszkodzone wiadomości, zanim zostaną one przeanalizowane
Odwołanie do elementu
Odwołanie do elementu opisuje elementy i atrybuty obiektu XMLThreatProtection .
<XMLThreatProtection async="false" continueOnError="false" enabled="true" name="XML-Threat-Protection-1">
<DisplayName>XML Threat Protection 1</DisplayName>
<NameLimits>
<Element>10</Element>
<Attribute>10</Attribute>
<NamespacePrefix>10</NamespacePrefix>
<ProcessingInstructionTarget>10</ProcessingInstructionTarget>
</NameLimits>
<Source>request</Source>
<StructureLimits>
<NodeDepth>5</NodeDepth>
<AttributeCountPerElement>2</AttributeCountPerElement>
<NamespaceCountPerElement>3</NamespaceCountPerElement>
<ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount>
</StructureLimits>
<ValueLimits>
<Text>15</Text>
<Attribute>10</Attribute>
<NamespaceURI>10</NamespaceURI>
<Comment>10</Comment>
<ProcessingInstructionData>10</ProcessingInstructionData>
</ValueLimits>
</XMLThreatProtection>
<XMLThreatProtection> atrybuty
<XMLThreatProtection async="false" continueOnError="false" enabled="true" name="XML-Threat-Protection-1">
W tej tabeli opisano atrybuty wspólne dla wszystkich elementów nadrzędnych zasad:
| Atrybut | Opis | Domyślny | Obecność |
|---|---|---|---|
name |
Wewnętrzna nazwa zasady. Wartość atrybutu Opcjonalnie możesz użyć elementu |
Nie dotyczy | Wymagane |
continueOnError |
Ustaw jako Ustaw jako |
fałsz | Opcjonalnie |
enabled |
Aby egzekwować zasadę, ustaw wartość Aby wyłączyć zasadę, ustaw wartość |
prawda | Opcjonalnie |
async |
Ten atrybut został wycofany. |
fałsz | Wycofano |
<DisplayName> element
Używaj oprócz atrybutu name do oznaczania zasady w
edytor proxy interfejsu zarządzania z inną nazwą w języku naturalnym.
<DisplayName>Policy Display Name</DisplayName>
| Domyślny |
Nie dotyczy Jeśli pominiesz ten element, atrybut |
|---|---|
| Obecność | Opcjonalnie |
| Typ | Ciąg znaków |
<NameLimits> element
Określa limity znaków, które mają być sprawdzane i egzekwowane przez zasadę.
<NameLimits> <Element>10</Element> <Attribute>10</Attribute> <NamespacePrefix>10</NamespacePrefix> <ProcessingInstructionTarget>10</ProcessingInstructionTarget> </NameLimits>
| Domyślne: | Nie dotyczy |
| Obecność: | Opcjonalnie |
| Typ: | Nie dotyczy |
<NameLimits>/<Element> element
Określa limit maksymalnej liczby znaków dozwolonej w dowolnej nazwie elementu w pliku XML dokument.
Weźmy na przykład ten kod XML:
<book category="WEB"> <title>Learning XML</title> <author>Erik T. Ray</author> <year>2003</year> </book>
Podczas analizowania powyższego kodu XML wartość elementu <Element> w zasadzie
Fragment poniżej zweryfikuje, że nazwy elementów (book , title,
author i year) nie przekraczają 10 znaków.
<NameLimits> <Element>10</Element> <Attribute>10</Attribute> <NamespacePrefix>10</NamespacePrefix> <ProcessingInstructionTarget>10</ProcessingInstructionTarget> </NameLimits>
| Domyślne: | Jeśli nie określisz limitu, system zastosuje wartość domyślną -1,
w której systemie
nie ma ograniczeń. |
| Obecność: | Opcjonalnie |
| Typ: | Liczba całkowita |
<NameLimits>/<Attribute> element
Określa limit maksymalnej liczby znaków dozwolonej w nazwie atrybutu w atrybucie Dokument XML.
Weźmy na przykład ten kod XML:
<book category="WEB"> <title>Learning XML</title> <author>Erik T. Ray</author> <year>2003</year> </book>
Podczas analizowania powyższego kodu XML wartość elementu <Attribute> w zasadzie
poniższy fragment kodu sprawdzi, czy nazwa atrybutu category nie przekracza
10 znaków.
<NameLimits> <Element>10</Element> <Attribute>10</Attribute> <NamespacePrefix>10</NamespacePrefix> <ProcessingInstructionTarget>10</ProcessingInstructionTarget> </NameLimits>
| Domyślne: | Jeśli nie określisz limitu, system zastosuje wartość domyślną -1,
w której systemie
nie ma ograniczeń. |
| Obecność: | Opcjonalnie |
| Typ: | Liczba całkowita |
<NameLimits>/<NamespacePrefix> element
Określa limit maksymalnej liczby znaków dozwolonej w prefiksie przestrzeni nazw w Dokument XML.
Weźmy na przykład ten kod XML:
<ns1:myelem xmlns:ns1="http://ns1.com"/>
Analizując powyższy kod XML, wartość elementu <NamespacePrefix> w parametrze
poniższy fragment zasad sprawdzi, czy prefiks przestrzeni nazw ns1 nie przekracza
10 znaków.
<NameLimits> <Element>10</Element> <Attribute>10</Attribute> <NamespacePrefix>10</NamespacePrefix> <ProcessingInstructionTarget>10</ProcessingInstructionTarget> </NameLimits>
| Domyślne: | Jeśli nie określisz limitu, system zastosuje wartość domyślną -1,
w której systemie
nie ma ograniczeń. |
| Obecność: | Opcjonalnie |
| Typ: | Liczba całkowita |
<NameLimits>/<ProcessingInstructionTarget> element
Określa limit maksymalnej liczby znaków w elemencie docelowym z instrukcjami przetwarzania w dokumencie XML.
Weźmy na przykład ten kod XML:
<?xml-stylesheet type="text/xsl" href="style.xsl"?>
Podczas analizowania powyższego kodu XML element <ProcessingInstructionTarget>
w poniższym fragmencie zasad sprawdzi się, czy cel instrukcji przetwarzania
Maksymalna liczba znaków w polu xml-stylesheet wynosi 10.
<NameLimits> <Element>10</Element> <Attribute>10</Attribute> <NamespacePrefix>10</NamespacePrefix> <ProcessingInstructionTarget>10</ProcessingInstructionTarget> </NameLimits>
| Domyślne: | Jeśli nie określisz limitu, system zastosuje wartość domyślną -1,
w której systemie
nie ma ograniczeń. |
| Obecność: | Opcjonalnie |
| Typ: | Liczba całkowita |
<Source> element
Komunikat kontroli pod kątem ataków ładunków XML. Najczęściej jest to wartość
request, ponieważ zwykle trzeba zweryfikować żądania przychodzące z aplikacji klienckich.
Gdy ustawisz wartość message, ten element automatycznie sprawdzi wiadomość z prośbą.
po dołączeniu do procesu żądania i komunikatu z odpowiedzią (po dołączeniu do odpowiedzi).
przepływu danych.
<Source>request</Source>
| Domyślne: | żądanie |
| Obecność: | Opcjonalnie |
| Typ: |
Ciąg tekstowy. Wybierz jedną z opcji: |
<StructuralLimits> element
Określa limity strukturalne, które mają być sprawdzane i egzekwowane przez zasadę.
<StructureLimits> <NodeDepth>5</NodeDepth> <AttributeCountPerElement>2</AttributeCountPerElement> <NamespaceCountPerElement>3</NamespaceCountPerElement> <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount> </StructureLimits>
| Domyślne: | Nie dotyczy |
| Obecność: | Opcjonalnie |
| Typ: | Nie dotyczy |
<StructuralLimits>/<NodeDepth> element
Określa maksymalną głębokość węzła w pliku XML.
<StructureLimits> <NodeDepth>5</NodeDepth> <AttributeCountPerElement>2</AttributeCountPerElement> <NamespaceCountPerElement>3</NamespaceCountPerElement> <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount> </StructureLimits>
| Domyślne: | Jeśli nie określisz limitu, system zastosuje wartość domyślną -1,
w której systemie
nie ma ograniczeń. |
| Obecność: | Opcjonalnie |
| Typ: |
Liczba całkowita |
<StructuralLimits>/<AttributeCountPerElement> element
Określa maksymalną liczbę atrybutów dozwolonych dla dowolnego elementu.
Weźmy na przykład ten kod XML:
<book category="WEB"> <title>Learning XML</title> <author>Erik T. Ray</author> <year>2003</year> </book>Podczas analizy powyższego kodu XML wartość elementu
<AttributeCountPerElement>
w poniższym fragmencie zasad sprawdzisz, czy elementy book, title,
Atrybuty author i year mają nie więcej niż 2 atrybutów.
Pamiętaj, że atrybuty używane do definiowania przestrzeni nazw nie są zliczane.
<StructureLimits> <NodeDepth>5</NodeDepth> <AttributeCountPerElement>2</AttributeCountPerElement> <NamespaceCountPerElement>3</NamespaceCountPerElement> <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount> </StructureLimits>
| Domyślne: | Jeśli nie określisz limitu, system zastosuje wartość domyślną -1,
w której systemie
nie ma ograniczeń. |
| Obecność: | Opcjonalnie |
| Typ: |
Liczba całkowita |
<StructuralLimits>/<NameSpaceCountPerElement> element
Określa maksymalną liczbę definicji przestrzeni nazw dozwoloną dla każdego elementu.
Weźmy na przykład ten kod XML:
<e1 attr1="val1" attr2="val2">
<e2 xmlns="http://apigee.com" xmlns:yahoo="http://yahoo.com" one="1" yahoo:two="2"/>
</e1>
Podczas analizowania powyższego kodu XML wartość elementu <NamespaceCountPerElement>
w poniższym fragmencie zasad sprawdzi, czy elementy e1 i e2
nie mają więcej niż 2 definicji przestrzeni nazw każda. W tym przypadku tag <e1> ma 0 definicji przestrzeni nazw.
<e2> ma 2 przestrzenie nazw
definicje: xmlns="http://apigee.com" oraz
xmlns:yahoo="http://yahoo.com"
<StructureLimits> <NodeDepth>5</NodeDepth> <AttributeCountPerElement>2</AttributeCountPerElement> <NamespaceCountPerElement>3</NamespaceCountPerElement> <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount> </StructureLimits>
| Domyślne: | Jeśli nie określisz limitu, system zastosuje wartość domyślną -1,
w której systemie
nie ma ograniczeń. |
| Obecność: | Opcjonalnie |
| Typ: |
Liczba całkowita |
<StructuralLimits>/<ChildCount> element
Określa maksymalną liczbę elementów podrzędnych dozwolonych dla dowolnego elementu.
<StructureLimits> <NodeDepth>5</NodeDepth> <AttributeCountPerElement>2</AttributeCountPerElement> <NamespaceCountPerElement>3</NamespaceCountPerElement> <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount> </StructureLimits>
| Domyślne: | Jeśli nie określisz limitu, system zastosuje wartość domyślną -1,
w której systemie
nie ma ograniczeń. |
| Obecność: | Opcjonalnie |
| Typ: |
Liczba całkowita |
Atrybuty
| Atrybut | Domyślny | Obecność |
|---|---|---|
| includeComment | prawda | Opcjonalnie |
| includeElement | prawda | Opcjonalnie |
| includeProcessingInstructions | prawda | Opcjonalnie |
| includeText | prawda | Opcjonalnie |
<ValueLimits> element
Określa limit znaków dla wartości, które mają być sprawdzane i egzekwowane przez zasadę.
<ValueLimits> <Text>15</Text> <Attribute>10</Attribute> <NamespaceURI>10</NamespaceURI> <Comment>10</Comment> <ProcessingInstructionData>10</ProcessingInstructionData> </ValueLimits>
| Domyślne: | Nie dotyczy |
| Obecność: | Opcjonalnie |
| Typ: |
Nie dotyczy |
<ValueLimits>/<Text> element
Określa limit znaków dla wszystkich węzłów tekstowych w dokumencie XML.
Weźmy na przykład ten kod XML:
<book category="WEB"> <title>Learning XML</title> <author>Erik T. Ray</author> <year>2003</year> </book>Podczas analizy powyższego kodu XML wartość elementu
<Text> w zasadzie
poniższy fragment kodu sprawdzi, czy wartości Learning XML, Erik T.
Ray, i 2003 w tekście elementu nie przekraczają 15 znaków.
<ValueLimits> <Text>15</Text> <Attribute>10</Attribute> <NamespaceURI>10</NamespaceURI> <Comment>10</Comment> <ProcessingInstructionData>10</ProcessingInstructionData> </ValueLimits>
| Domyślne: | Jeśli nie określisz limitu, system zastosuje wartość domyślną -1,
w której systemie
nie ma ograniczeń. |
| Obecność: | Opcjonalnie |
| Typ: |
Liczba całkowita |
<ValueLimits>/<Attribute> element
Określa limit znaków dla dowolnej wartości atrybutu w dokumencie XML.
Weźmy na przykład ten kod XML:
<book category="WEB"> <title>Learning XML</title> <author>Erik T. Ray</author> <year>2003</year> </book>Podczas analizy powyższego kodu XML wartość elementu
<Attribute> w zasadzie
poniższy fragment kodu sprawdzi, czy wartość atrybutu WEB nie przekracza
10 znaków.
<ValueLimits> <Text>15</Text> <Attribute>10</Attribute> <NamespaceURI>10</NamespaceURI> <Comment>10</Comment> <ProcessingInstructionData>10</ProcessingInstructionData> </ValueLimits>
| Domyślne: | Jeśli nie określisz limitu, system zastosuje wartość domyślną -1,
w której systemie
nie ma ograniczeń. |
| Obecność: | Opcjonalnie |
| Typ: |
Liczba całkowita |
<ValueLimits>/<NamespaceURI> element
Określa limit znaków dla dowolnych identyfikatorów URI przestrzeni nazw znajdujących się w dokumencie XML.
Weźmy na przykład ten kod XML:
<ns1:myelem xmlns:ns1="http://ns1.com"/>Przy analizowaniu powyższego kodu XML wartość elementu
<NamespaceURI> w parametrze
Poniższy fragment kodu zasady sprawdzi, czy wartość http://ns1.com identyfikatora URI przestrzeni nazw
nie może przekraczać 10 znaków.
<ValueLimits> <Text>15</Text> <Attribute>10</Attribute> <NamespaceURI>10</NamespaceURI> <Comment>10</Comment> <ProcessingInstructionData>10</ProcessingInstructionData> </ValueLimits>
| Domyślne: | Jeśli nie określisz limitu, system zastosuje wartość domyślną -1,
w której systemie
nie ma ograniczeń. |
| Obecność: | Opcjonalnie |
| Typ: |
Liczba całkowita |
<ValueLimits>/<Comment> element
Określa limit znaków dla komentarzy w dokumencie XML.
Weźmy na przykład ten kod XML:
<book category="WEB"> <!-- This is a comment --> <title>Learning XML</title> <author>Erik T. Ray</author> <year>2003</year> </book>Podczas analizy powyższego kodu XML wartość elementu
<Comment> w zasadzie
poniższy fragment kodu sprawdzi, czy tekst komentarza This is a comment nie przekracza
10 znaków.
<ValueLimits> <Text>15</Text> <Attribute>10</Attribute> <NamespaceURI>10</NamespaceURI> <Comment>10</Comment> <ProcessingInstructionData>10</ProcessingInstructionData> </ValueLimits>
| Domyślne: | Jeśli nie określisz limitu, system zastosuje wartość domyślną -1,
w której systemie
nie ma ograniczeń. |
| Obecność: | Opcjonalnie |
| Typ: |
Liczba całkowita |
<ValueLimits>/<ProcessingInstructionData> element
Określa limit znaków dla dowolnego tekstu instrukcji przetwarzania znajdującego się w pliku XML. dokument.
Weźmy na przykład ten kod XML:
<?xml-stylesheet type="text/xsl" href="style.xsl"?>Przy analizowaniu powyższego kodu XML element
<ProcessingInstructionData>
w poniższym fragmencie zasad, aby sprawdzić, czy tekst instrukcji przetwarzania
Maksymalna liczba znaków dla wartości type="text/xsl" href="style.xsl" wynosi 10.
<ValueLimits> <Text>15</Text> <Attribute>10</Attribute> <NamespaceURI>10</NamespaceURI> <Comment>10</Comment> <ProcessingInstructionData>10</ProcessingInstructionData> </ValueLimits>
| Domyślne: | Jeśli nie określisz limitu, system zastosuje wartość domyślną -1,
w której systemie
nie ma ograniczeń. |
| Obecność: | Opcjonalnie |
| Typ: |
Liczba całkowita |
Informacje o błędzie
W tej sekcji opisano kody błędów i komunikaty o błędach, które są zwracane, oraz zmienne błędów ustawiane przez Edge, gdy ta zasada wyzwala błąd. Warto o tym wiedzieć, jeśli rozwijasz reguły błędów, aby obsługi błędów. Więcej informacji znajdziesz w artykule Co musisz wiedzieć o błędach związanych z zasadami i postępowaniu z błędami
Błędy w czasie wykonywania
Te błędy mogą wystąpić podczas wykonywania zasady.
| Kod błędu | Stan HTTP | Przyczyna | Napraw |
|---|---|---|---|
steps.xmlthreatprotection.ExecutionFailed |
500 | Zasada XMLThreatProtection może zgłaszać wiele różnych typów błędów ExecutionFailed. Większość z tych błędów występuje po przekroczeniu określonego progu ustawionego w zasadzie. Te typy błędów to między innymi: długość nazwy elementu, liczba elementów podrzędnych, głębokość węzła, liczba atrybutów, długość nazwy atrybutu, i wiele innych. Pełną listę znajdziesz w temacie Rozwiązywanie problemów z błędami w czasie działania zasady XMLThreatProtection. | build |
steps.xmlthreatprotection.InvalidXMLPayload |
500 |
Ten błąd występuje, jeśli wejściowy ładunek komunikatu określony przez element <Source> zasady XMLThreatProtection nie jest prawidłowym dokumentem XML.
|
build |
steps.xmlthreatprotection.SourceUnavailable |
500 |
Ten błąd występuje, jeśli komunikat
określona w elemencie <Source> to:
|
build |
steps.xmlthreatprotection.NonMessageVariable |
500 |
Ten błąd występuje, jeśli element <Source> jest ustawiony na zmienną, która
jest innego typu
wiadomość.
|
build |
Uwagi:
- Nazwa błędu ExecutionFailed to domyślna nazwa błędu i będzie zwracana niezależnie od tego, typ wykrytego błędu; ale można je zmienić, ustawiając usłudze na poziomie organizacji. Jeśli określisz tę właściwość, nazwa błędu będzie odzwierciedlać . Na przykład „TextExceeded” lub „AttrValueExceeded”. Zobacz informacje o korzystaniu z .
- Domyślnym stanem jest HTTP 500. ale stan HTTP można zmienić na 400 przez błędy w przepływie żądania przez ustawienie usługi na poziomie organizacji. Zobacz informacje o korzystaniu z .
Błędy wdrażania
Brak.
Zmienne błędów
Te zmienne są ustawiane po wystąpieniu błędu działania. Więcej informacji znajdziesz w artykule Podstawowe informacje o błędach związanych z naruszeniem zasad.
| Zmienne | Gdzie | Przykład |
|---|---|---|
fault.name="fault_name" |
fault_name to nazwa błędu podana w tabeli Błędy czasu działania powyżej. Nazwa błędu to ostatnia część kodu błędu. | fault.name Matches "SourceUnavailable" |
xmlattack.policy_name.failed |
policy_name to określona przez użytkownika nazwa zasady, która spowodowała błąd. | xmlattack.XPT-SecureRequest.failed = true |
Przykładowa odpowiedź na błąd
{ "fault": { "faultstring": "XMLThreatProtection[XPT-SecureRequest]: Execution failed. reason: XMLThreatProtection[XTP-SecureRequest]: Exceeded object entry name length at line 2", "detail": { "errorcode": "steps.xmlthreatprotection.ExecutionFailed" } } }
Przykładowa reguła błędu
<FaultRule name="XML Threat Protection Policy Faults">
<Step>
<Name>AM-CustomErrorResponse</Name>
<Condition>(fault.name Matches "ExecutionFailed") </Condition>
</Step>
<Condition>(xmlattack.XPT-SecureRequest.failed = true) </Condition>
</FaultRule>
Schematy
Zastosowanie
Każdy serwer odbierający dane online jest podatny na atak, zarówno złośliwy, jak i niezamierzony. Niektóre ataki wykorzystują elastyczność języka XML, tworząc nieprawidłowe dokumenty może zagrażać bezpieczeństwu systemów. Uszkodzone lub bardzo złożone dokumenty XML mogą powoduje, że serwery przydzielają więcej pamięci, niż jest dostępne, przez co łączą zasoby procesora i pamięci usterki parserów, a także wyłączenie przetwarzania wiadomości i tworzenia na poziomie aplikacji ataki typu DoS.
Konfiguracja błędu ochrony przed zagrożeniami
Ważne informacje dotyczące tworzenia reguł FaultRule dla tej zasady:
domyślnie Edge zgłasza kod stanu wewnętrznego błędu serwera HTTP 500 i błąd ExecutionFailed
w przypadku, gdy wiadomość nie przejdzie poza zasady ochrony przed zagrożeniami w formacie JSON lub XML. Możesz zmienić
z nową usługą na poziomie organizacji. Podczas ustawiania organizacji
właściwość features.isPolicyHttpStatusEnabled ma wartość true (prawda), następujące
zachowanie zachodzi:
- Żądanie: gdy do każdego przepływu żądań dołączona jest zasada ochrony przed zagrożeniami, nieprawidłowe wiadomości zwraca kod stanu nieprawidłowego żądania 400 wraz z odpowiednim błędem związanym z zasadami. (a nie tylko ExecutionFailed).
- Odpowiedź: gdy do dowolnego przepływu odpowiedzi dołączono zasadę ochrony przed zagrożeniami, nieprawidłowe wiadomości nadal zwracają kod stanu wewnętrznego błędu serwera 500, a także jeden z zgłaszane są odpowiednie kody błędów związanych z zasadami (a nie tylko ExecutionFailed);
Klienci Cloud muszą skontaktować się z zespołem pomocy Apigee Edge, aby ustawić usłudze organizacji.