Zasada XMLThreatProtection

Przeglądasz dokumentację Apigee Edge.
Przejdź do Dokumentacja Apigee X. informacje.

Co

Eliminuj luki w zabezpieczeniach kodu XML i zminimalizuj liczbę ataków na interfejs API. Opcjonalnie wykrywaj ładunek XML ataków opartych na skonfigurowanych limitach. Filtruj zagrożenia związane z plikami XML za pomocą: podejścia:

  • Weryfikowanie wiadomości przy użyciu schematu XML (.xsd)
  • Oceń treść wiadomości pod kątem określonych słów kluczowych lub wzorców, które chcesz wykluczyć
  • Wykrywaj uszkodzone lub uszkodzone wiadomości, zanim zostaną one przeanalizowane

Odwołanie do elementu

Odwołanie do elementu opisuje elementy i atrybuty obiektu XMLThreatProtection .

<XMLThreatProtection async="false" continueOnError="false" enabled="true" name="XML-Threat-Protection-1">
   <DisplayName>XML Threat Protection 1</DisplayName>
   <NameLimits>
      <Element>10</Element>
      <Attribute>10</Attribute>
      <NamespacePrefix>10</NamespacePrefix>
      <ProcessingInstructionTarget>10</ProcessingInstructionTarget>
   </NameLimits>
   <Source>request</Source>
   <StructureLimits>
      <NodeDepth>5</NodeDepth>
      <AttributeCountPerElement>2</AttributeCountPerElement>
      <NamespaceCountPerElement>3</NamespaceCountPerElement>
      <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount>
   </StructureLimits>
   <ValueLimits>
      <Text>15</Text>
      <Attribute>10</Attribute>
      <NamespaceURI>10</NamespaceURI>
      <Comment>10</Comment>
      <ProcessingInstructionData>10</ProcessingInstructionData>
   </ValueLimits> 
</XMLThreatProtection>

&lt;XMLThreatProtection&gt; atrybuty

<XMLThreatProtection async="false" continueOnError="false" enabled="true" name="XML-Threat-Protection-1">

W tej tabeli opisano atrybuty wspólne dla wszystkich elementów nadrzędnych zasad:

Atrybut Opis Domyślny Obecność
name

Wewnętrzna nazwa zasady. Wartość atrybutu name może zawierać litery, cyfry, spacje, łączniki, podkreślenia i kropki. Ta wartość nie może przekracza 255 znaków.

Opcjonalnie możesz użyć elementu <DisplayName> do oznaczenia zasady jako edytor proxy interfejsu zarządzania z inną nazwą w języku naturalnym.

 Nie dotyczy Wymagane
continueOnError

Ustaw jako false, aby w przypadku niepowodzenia zasady zwracany był błąd. To normalne w przypadku większości zasad.

Ustaw jako true, aby wykonywanie przepływu było kontynuowane nawet po zastosowaniu zasady niepowodzenie.

 fałsz Opcjonalnie
enabled

Aby egzekwować zasadę, ustaw wartość true.

Aby wyłączyć zasadę, ustaw wartość false. Te zasady nie będą jest wymuszane nawet wtedy, gdy jest ono połączone z przepływem.

 prawda Opcjonalnie
async

Ten atrybut został wycofany.

 fałsz Wycofano

&lt;DisplayName&gt; element

Używaj oprócz atrybutu name do oznaczania zasady w edytor proxy interfejsu zarządzania z inną nazwą w języku naturalnym.

<DisplayName>Policy Display Name</DisplayName>
Domyślny

Nie dotyczy

Jeśli pominiesz ten element, atrybut name zasady otrzyma wartość .
Obecność Opcjonalnie
Typ Ciąg znaków

&lt;NameLimits&gt; element

Określa limity znaków, które mają być sprawdzane i egzekwowane przez zasadę.

<NameLimits>
   <Element>10</Element>
   <Attribute>10</Attribute>
   <NamespacePrefix>10</NamespacePrefix>
   <ProcessingInstructionTarget>10</ProcessingInstructionTarget>     
</NameLimits>
Domyślne: Nie dotyczy
Obecność: Opcjonalnie
Typ: Nie dotyczy

&lt;NameLimits&gt;/&lt;Element&gt; element

Określa limit maksymalnej liczby znaków dozwolonej w dowolnej nazwie elementu w pliku XML dokument.

Weźmy na przykład ten kod XML:

<book category="WEB">
   <title>Learning XML</title>
   <author>Erik T. Ray</author>
   <year>2003</year>
</book>

Podczas analizowania powyższego kodu XML wartość elementu <Element> w zasadzie Fragment poniżej zweryfikuje, że nazwy elementów (book , title, author i year) nie przekraczają 10 znaków.

<NameLimits>
   <Element>10</Element>
   <Attribute>10</Attribute>
   <NamespacePrefix>10</NamespacePrefix>
   <ProcessingInstructionTarget>10</ProcessingInstructionTarget>     
</NameLimits>
Domyślne: Jeśli nie określisz limitu, system zastosuje wartość domyślną -1, w której systemie nie ma ograniczeń.
Obecność: Opcjonalnie
Typ: Liczba całkowita

&lt;NameLimits&gt;/&lt;Attribute&gt; element

Określa limit maksymalnej liczby znaków dozwolonej w nazwie atrybutu w atrybucie Dokument XML.

Weźmy na przykład ten kod XML:

<book category="WEB">
   <title>Learning XML</title>
   <author>Erik T. Ray</author>
   <year>2003</year>
</book>

Podczas analizowania powyższego kodu XML wartość elementu <Attribute> w zasadzie poniższy fragment kodu sprawdzi, czy nazwa atrybutu category nie przekracza 10 znaków.

<NameLimits>
   <Element>10</Element>
   <Attribute>10</Attribute>
   <NamespacePrefix>10</NamespacePrefix>
   <ProcessingInstructionTarget>10</ProcessingInstructionTarget>     
</NameLimits>
Domyślne: Jeśli nie określisz limitu, system zastosuje wartość domyślną -1, w której systemie nie ma ograniczeń.
Obecność: Opcjonalnie
Typ: Liczba całkowita

&lt;NameLimits&gt;/&lt;NamespacePrefix&gt; element

Określa limit maksymalnej liczby znaków dozwolonej w prefiksie przestrzeni nazw w Dokument XML.

Weźmy na przykład ten kod XML:

<ns1:myelem xmlns:ns1="http://ns1.com"/>

Analizując powyższy kod XML, wartość elementu <NamespacePrefix> w parametrze poniższy fragment zasad sprawdzi, czy prefiks przestrzeni nazw ns1 nie przekracza 10 znaków.

<NameLimits>
   <Element>10</Element>
   <Attribute>10</Attribute>
   <NamespacePrefix>10</NamespacePrefix>
   <ProcessingInstructionTarget>10</ProcessingInstructionTarget>     
</NameLimits>
Domyślne: Jeśli nie określisz limitu, system zastosuje wartość domyślną -1, w której systemie nie ma ograniczeń.
Obecność: Opcjonalnie
Typ: Liczba całkowita

&lt;NameLimits&gt;/&lt;ProcessingInstructionTarget&gt; element

Określa limit maksymalnej liczby znaków w elemencie docelowym z instrukcjami przetwarzania w dokumencie XML.

Weźmy na przykład ten kod XML:

<?xml-stylesheet type="text/xsl" href="style.xsl"?>

Podczas analizowania powyższego kodu XML element <ProcessingInstructionTarget> w poniższym fragmencie zasad sprawdzi się, czy cel instrukcji przetwarzania Maksymalna liczba znaków w polu xml-stylesheet wynosi 10.

<NameLimits>
   <Element>10</Element>
   <Attribute>10</Attribute>
   <NamespacePrefix>10</NamespacePrefix>
   <ProcessingInstructionTarget>10</ProcessingInstructionTarget>     
</NameLimits>
Domyślne: Jeśli nie określisz limitu, system zastosuje wartość domyślną -1, w której systemie nie ma ograniczeń.
Obecność: Opcjonalnie
Typ: Liczba całkowita

&lt;Source&gt; element

Komunikat kontroli pod kątem ataków ładunków XML. Najczęściej jest to wartość request, ponieważ zwykle trzeba weryfikować żądania przychodzące z aplikacji klienckich. Gdy ustawisz wartość message, ten element automatycznie sprawdzi wiadomość z prośbą. po dołączeniu do procesu żądania i komunikatu z odpowiedzią (po dołączeniu do odpowiedzi). przepływu danych.

<Source>request</Source>
Domyślne: żądanie
Obecność: Opcjonalnie
Typ:

Ciąg tekstowy.

Wybierz jedną z opcji: request, response lub message.

&lt;StructuralLimits&gt; element

Określa limity strukturalne, które mają być sprawdzane i egzekwowane przez zasadę.

<StructureLimits>
   <NodeDepth>5</NodeDepth>
   <AttributeCountPerElement>2</AttributeCountPerElement>
   <NamespaceCountPerElement>3</NamespaceCountPerElement>
   <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount>
</StructureLimits>
Domyślne: Nie dotyczy
Obecność: Opcjonalnie
Typ: Nie dotyczy

&lt;StructuralLimits&gt;/&lt;NodeDepth&gt; element

Określa maksymalną głębokość węzła w pliku XML.

<StructureLimits>
   <NodeDepth>5</NodeDepth>
   <AttributeCountPerElement>2</AttributeCountPerElement>
   <NamespaceCountPerElement>3</NamespaceCountPerElement>
   <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount>
</StructureLimits>
Domyślne: Jeśli nie określisz limitu, system zastosuje wartość domyślną -1, w której systemie nie ma ograniczeń.
Obecność: Opcjonalnie
Typ:

Liczba całkowita

&lt;StructuralLimits&gt;/&lt;AttributeCountPerElement&gt; element

Określa maksymalną liczbę atrybutów dozwolonych dla dowolnego elementu.

Weźmy na przykład ten kod XML:

<book category="WEB">
   <title>Learning XML</title>
   <author>Erik T. Ray</author>
   <year>2003</year>
</book>
 Podczas analizowania powyższego kodu XML wartość elementu <AttributeCountPerElement> w poniższym fragmencie zasad sprawdzi się, czy elementy book, title, Atrybuty author i year mają nie więcej niż 2 atrybuty. Pamiętaj, że atrybuty używane do definiowania przestrzeni nazw nie są zliczane. 
<StructureLimits>
   <NodeDepth>5</NodeDepth>
   <AttributeCountPerElement>2</AttributeCountPerElement>
   <NamespaceCountPerElement>3</NamespaceCountPerElement>
   <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount>
</StructureLimits>
Domyślne: Jeśli nie określisz limitu, system zastosuje wartość domyślną -1, w której systemie nie ma ograniczeń.
Obecność: Opcjonalnie
Typ:

Liczba całkowita

&lt;StructuralLimits&gt;/&lt;NameSpaceCountPerElement&gt; element

Określa maksymalną liczbę definicji przestrzeni nazw dozwoloną dla każdego elementu.

Weźmy na przykład ten kod XML:

<e1 attr1="val1" attr2="val2">
    <e2 xmlns="http://apigee.com" xmlns:yahoo="http://yahoo.com" one="1" yahoo:two="2"/>
</e1>

Podczas analizowania powyższego kodu XML wartość elementu <NamespaceCountPerElement> w poniższym fragmencie zasad sprawdzi, czy elementy e1 i e2 nie mają więcej niż 2 definicji przestrzeni nazw każda. W tym przypadku tag <e1> ma 0 definicji przestrzeni nazw. <e2> ma 2 przestrzenie nazw definicje: xmlns="http://apigee.com" oraz xmlns:yahoo="http://yahoo.com"

<StructureLimits>
   <NodeDepth>5</NodeDepth>
   <AttributeCountPerElement>2</AttributeCountPerElement>
   <NamespaceCountPerElement>3</NamespaceCountPerElement>
   <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount>
</StructureLimits>
Domyślne: Jeśli nie określisz limitu, system zastosuje wartość domyślną -1, w której systemie nie ma ograniczeń.
Obecność: Opcjonalnie
Typ:

Liczba całkowita

&lt;StructuralLimits&gt;/&lt;ChildCount&gt; element

Określa maksymalną liczbę elementów podrzędnych dozwolonych dla dowolnego elementu.

<StructureLimits>
   <NodeDepth>5</NodeDepth>
   <AttributeCountPerElement>2</AttributeCountPerElement>
   <NamespaceCountPerElement>3</NamespaceCountPerElement>
   <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount>
</StructureLimits>
Domyślne: Jeśli nie określisz limitu, system zastosuje wartość domyślną -1, w której systemie nie ma ograniczeń.
Obecność: Opcjonalnie
Typ:

Liczba całkowita

Atrybuty

Atrybut Domyślny Obecność
includeComment prawda Opcjonalnie
includeElement prawda Opcjonalnie
includeProcessingInstructions prawda Opcjonalnie
includeText prawda Opcjonalnie

&lt;ValueLimits&gt; element

Określa limit znaków dla wartości, które mają być sprawdzane i egzekwowane przez zasadę.

<ValueLimits>
   <Text>15</Text>
   <Attribute>10</Attribute>
   <NamespaceURI>10</NamespaceURI>
   <Comment>10</Comment>
   <ProcessingInstructionData>10</ProcessingInstructionData>
</ValueLimits>
Domyślne: Nie dotyczy
Obecność: Opcjonalnie
Typ:

Nie dotyczy

&lt;ValueLimits&gt;/&lt;Text&gt; element

Określa limit znaków dla wszystkich węzłów tekstowych w dokumencie XML.

Weźmy na przykład ten kod XML:

<book category="WEB">
   <title>Learning XML</title>
   <author>Erik T. Ray</author>
   <year>2003</year>
</book>
 Podczas analizowania powyższego kodu XML wartość elementu <Text> w zasadzie poniższy fragment sprawdzisz, czy wartości tekstu Learning XML, Erik T. Ray, i 2003 elementu nie przekraczają 15 znaków. 
<ValueLimits>
   <Text>15</Text>
   <Attribute>10</Attribute>
   <NamespaceURI>10</NamespaceURI>
   <Comment>10</Comment>
   <ProcessingInstructionData>10</ProcessingInstructionData>
</ValueLimits>
Domyślne: Jeśli nie określisz limitu, system zastosuje wartość domyślną -1, w której systemie nie ma ograniczeń.
Obecność: Opcjonalnie
Typ:

Liczba całkowita

&lt;ValueLimits&gt;/&lt;Attribute&gt; element

Określa limit znaków dla dowolnej wartości atrybutu w dokumencie XML.

Weźmy na przykład ten kod XML:

<book category="WEB">
   <title>Learning XML</title>
   <author>Erik T. Ray</author>
   <year>2003</year>
</book>
 Podczas analizowania powyższego kodu XML wartość elementu <Attribute> w zasadzie poniższy fragment kodu sprawdzi, czy wartość atrybutu WEB nie przekracza 10 znaków. 
<ValueLimits>
   <Text>15</Text>
   <Attribute>10</Attribute>
   <NamespaceURI>10</NamespaceURI>
   <Comment>10</Comment>
   <ProcessingInstructionData>10</ProcessingInstructionData>
</ValueLimits>
Domyślne: Jeśli nie określisz limitu, system zastosuje wartość domyślną -1, w której systemie nie ma ograniczeń.
Obecność: Opcjonalnie
Typ:

Liczba całkowita

&lt;ValueLimits&gt;/&lt;NamespaceURI&gt; element

Określa limit znaków dla dowolnych identyfikatorów URI przestrzeni nazw znajdujących się w dokumencie XML.

Weźmy na przykład ten kod XML:

<ns1:myelem xmlns:ns1="http://ns1.com"/>
 Podczas analizowania powyższego kodu XML wartość elementu <NamespaceURI> w parametrze poniższy fragment zasad sprawdzi, czy wartość http://ns1.com identyfikatora URI przestrzeni nazw sprawdza się nie może przekraczać 10 znaków. 
<ValueLimits>
   <Text>15</Text>
   <Attribute>10</Attribute>
   <NamespaceURI>10</NamespaceURI>
   <Comment>10</Comment>
   <ProcessingInstructionData>10</ProcessingInstructionData>
</ValueLimits>
Domyślne: Jeśli nie określisz limitu, system zastosuje wartość domyślną -1, w której systemie nie ma ograniczeń.
Obecność: Opcjonalnie
Typ:

Liczba całkowita

&lt;ValueLimits&gt;/&lt;Comment&gt; element

Określa limit znaków dla komentarzy w dokumencie XML.

Weźmy na przykład ten kod XML:

<book category="WEB">
   <!-- This is a comment -->
   <title>Learning XML</title>
   <author>Erik T. Ray</author>
   <year>2003</year>
</book>
 Podczas analizowania powyższego kodu XML wartość elementu <Comment> w zasadzie poniższy fragment potwierdzi, że tekst komentarza nie przekracza This is a comment 10 znaków. 
<ValueLimits>
   <Text>15</Text>
   <Attribute>10</Attribute>
   <NamespaceURI>10</NamespaceURI>
   <Comment>10</Comment>
   <ProcessingInstructionData>10</ProcessingInstructionData>
</ValueLimits>
Domyślne: Jeśli nie określisz limitu, system zastosuje wartość domyślną -1, w której systemie nie ma ograniczeń.
Obecność: Opcjonalnie
Typ:

Liczba całkowita

&lt;ValueLimits&gt;/&lt;ProcessingInstructionData&gt; element

Określa limit znaków dla dowolnego tekstu instrukcji przetwarzania znajdującego się w pliku XML. dokument.

Weźmy na przykład ten kod XML:

<?xml-stylesheet type="text/xsl" href="style.xsl"?>
 Podczas analizowania powyższego kodu XML element <ProcessingInstructionData> w poniższym fragmencie zasad, aby sprawdzić, czy tekst instrukcji przetwarzania type="text/xsl" href="style.xsl" nie przekracza 10 znaków. 
<ValueLimits>
   <Text>15</Text>
   <Attribute>10</Attribute>
   <NamespaceURI>10</NamespaceURI>
   <Comment>10</Comment>
   <ProcessingInstructionData>10</ProcessingInstructionData>
</ValueLimits>
Domyślne: Jeśli nie określisz limitu, system zastosuje wartość domyślną -1, w której systemie nie ma ograniczeń.
Obecność: Opcjonalnie
Typ:

Liczba całkowita

Informacje o błędzie

This section describes the fault codes and error messages that are returned and fault variables that are set by Edge when this policy triggers an error. This information is important to know if you are developing fault rules to handle faults. To learn more, see What you need to know about policy errors and Handling faults.

Runtime errors

These errors can occur when the policy executes.

Fault code HTTP status Cause Fix
steps.xmlthreatprotection.ExecutionFailed 500 The XMLThreatProtection policy can throw many different types of ExecutionFailed errors. Most of these errors occur when a specific threshold set in the policy is exceeded. These types of errors include: element name length, child count, node depth, attribute count, attribute name length, and many others. You can see the complete list in the XMLThreatProtection policy runtime error troubleshooting topic.
steps.xmlthreatprotection.InvalidXMLPayload 500 This error occurs if the input message payload specified by the XMLThreatProtection policy's <Source> element is not a valid XML Document.
steps.xmlthreatprotection.SourceUnavailable 500 This error occurs if the message variable specified in the <Source> element is either:
  • Out of scope (not available in the specific flow where the policy is being executed)
  • Is not one of the valid values request, response, or message
steps.xmlthreatprotection.NonMessageVariable 500 This error occurs if the <Source> element is set to a variable which is not of type message.

Notes:

  • The error name ExecutionFailed is the default error name and will be returned regardless of the type of error detected; however, this default can be changed by setting an organization-level property. When this property is set, the error name will reflect the actual error. For example, "TextExceeded" or "AttrValueExceeded". See Usage Notes for details.
  • The 500 HTTP status is the default; however, the HTTP Status can be changed to 400 for request flow faults by setting an organization-level property. See Usage Notes for details.

Deployment errors

None.

Fault variables

These variables are set when a runtime error occurs. For more information, see What you need to know about policy errors.

Variables Where Example
fault.name="fault_name" fault_name is the name of the fault, as listed in the Runtime errors table above. The fault name is the last part of the fault code. fault.name Matches "SourceUnavailable"
xmlattack.policy_name.failed policy_name is the user-specified name of the policy that threw the fault. xmlattack.XPT-SecureRequest.failed = true

Example error response

{
  "fault": {
    "faultstring": "XMLThreatProtection[XPT-SecureRequest]: Execution failed. reason: XMLThreatProtection[XTP-SecureRequest]: Exceeded object entry name length at line 2",
    "detail": {
      "errorcode": "steps.xmlthreatprotection.ExecutionFailed"
    }
  }
}

Example fault rule

<FaultRule name="XML Threat Protection Policy Faults">
    <Step>
        <Name>AM-CustomErrorResponse</Name>
        <Condition>(fault.name Matches "ExecutionFailed") </Condition>
    </Step>
    <Condition>(xmlattack.XPT-SecureRequest.failed = true) </Condition>
</FaultRule>

Schematy

Zastosowanie

Każdy serwer odbierający dane online jest podatny na atak, zarówno złośliwy, jak i niezamierzony. Niektóre ataki wykorzystują elastyczność języka XML, tworząc nieprawidłowe dokumenty może zagrażać bezpieczeństwu systemów. Uszkodzone lub bardzo złożone dokumenty XML mogą powoduje, że serwery przydzielają więcej pamięci, niż jest dostępne, przez co łączą zasoby procesora i pamięci usterki parserów, a także wyłączenie przetwarzania wiadomości i tworzenia na poziomie aplikacji ataki typu DoS.

Konfiguracja błędu ochrony przed zagrożeniami

Ważne informacje dotyczące tworzenia reguł FaultRule dla tej zasady: domyślnie Edge zgłasza kod stanu wewnętrznego błędu serwera HTTP 500 i błąd ExecutionFailed w przypadku, gdy wiadomość nie przejdzie poza zasady ochrony przed zagrożeniami w formacie JSON lub XML. Możesz zmienić z nową usługą na poziomie organizacji. Podczas ustawiania organizacji właściwość features.isPolicyHttpStatusEnabled ma wartość true (prawda), następujące zachowanie zachodzi:

  • Żądanie: gdy do każdego przepływu żądań dołączona jest zasada ochrony przed zagrożeniami, nieprawidłowe wiadomości zwraca kod stanu nieprawidłowego żądania 400 wraz z odpowiednim błędem związanym z zasadami. (a nie tylko ExecutionFailed).
  • Odpowiedź: gdy do dowolnego przepływu odpowiedzi dołączono zasadę ochrony przed zagrożeniami, nieprawidłowe wiadomości nadal zwracają kod stanu wewnętrznego błędu serwera 500, a także jeden z zgłaszane są odpowiednie kody błędów związanych z zasadami (a nie tylko ExecutionFailed);

Klienci Cloud muszą skontaktować się z zespołem pomocy Apigee Edge, aby ustawić usłudze organizacji.

Powiązane artykuły

Zagrożenie w JSON Zasady ochrony

Zwykłe zasady ochrony wyrażeń