Útoky typu XML External Entity (XXE) představují významné bezpečnostní riziko pro aplikace, které zpracovávají XML. Tyto útoky mohou umožnit útočníkovi číst soubory na serveru, provádět vzdálené požadavky z kontextu serveru nebo dokonce způsobit odmítnutí služby. Apache server, běžící na systému CentOS 7, může být zabezpečen proti těmto útokům několika způsoby. V tomto článku se podíváme na konkrétní kroky, jak zvýšit bezpečnost Apache serveru a chránit jej před XXE útoky.

1. Aktualizace softwaru

a. Aktualizace systému a Apache Prvním a základním krokem je ujistit se, že máte nainstalované nejnovější verze softwaru. Zabezpečení chyb, které umožňují XXE útoky, je často řešeno v nejnovějších verzích aplikací a knihoven.

• Spusťte příkaz sudo yum update k aktualizaci všeho softwaru na vašem CentOS 7, včetně Apache.

b. Zabezpečení závislostí

• Ujistěte se, že všechny knihovny a závislosti používané vašimi webovými aplikacemi jsou také aktualizované.

2. Konfigurace Apache

a. Omezení přístupu

• Konfigurujte .htaccess nebo hlavní konfigurační soubor Apache (httpd.conf nebo apache2.conf), aby omezil přístup k citlivým souborům a adresářům.

b. Použití mod_security

• mod_security je open-source webový aplikační firewall (WAF) pro Apache, který poskytuje ochranu proti různým útokům, včetně XXE.
• Nainstalujte a konfigurujte mod_security s pravidly, která blokují známé vektory útoků XXE.

3. Konfigurace zpracování XML

a. Zakázání externích entit v XML

• Pokud vaše aplikace používá PHP, Java, Python nebo jiné jazyky a knihovny pro zpracování XML, ujistěte se, že je konfigurace nastavena tak, aby nepovolovala zpracování externích XML entit.

b. PHP příklad:

• Pro PHP aplikace, upravte php.ini soubor, aby zakázal zpracování externích entit:

  libxml_disable_entity_loader(true);
  ​

c. Java příklad:

• Pro Java aplikace, ujistěte se, že je parser XML konfigurován, aby nezpracovával externí entity:

  XMLInputFactory xif = XMLInputFactory.newInstance();
  xif.setProperty(XMLInputFactory.SUPPORT_DTD, false);
  ​

 

4. Monitorování a auditování

a. Logování

• Zapněte podrobné logování na Apache serveru, což vám umožní identifikovat pokusy o útok a analyzovat vzorce chování.

b. Pravidelné bezpečnostní auditování

• Pravidelně provádějte bezpečnostní audit vašich systémů a aplikací. Využijte nástroje jako jsou OWASP ZAP nebo Nessus pro skenování zranitelností.

5. Vzdělávání a osvěta

• Vzdělávejte vývojáře a správce systémů o rizicích spojených s XXE útoky a o nejlepších postupech pro jejich prevenci.

Zabezpečení proti útokům typu XXE vyžaduje komplexní přístup, který zahrnuje jak hardwarové, tak softwarové aspekty, stejně jako neustálé vzdělávání a osvětu mezi vývojáři a IT profesionály. Následováním uvedených kroků můžete výrazně snížit riziko, že váš Apache server běžící na CentOS 7 bude kompromitován prostřednictvím XXE útoku.