Externe XML-Entitäten einschränken [in Security Center 1.3 und 2.0 aktualisiert]

  • Freigeben Version: Yokohama
  • Aktualisiert 11. Februar 2025
  • 1 Minute Lesedauer

    • Stellen Sie sicher, dass die Eigenschaften glide.xml.entity.whitelist und glide.xml.entity.whitelist.enabled auf die empfohlenen Werte festgelegt sind, um XXE-Angriffe (Externe XML-Entität) zu verhindern.

    Schützen Sie sich vor XXE-Angriffen, indem Sie eine Allow-Liste verwenden, um zu verhindern, dass Angreifer beliebige HTTP-Anforderungen einbeziehen, die vom Server ausgeführt werden könnten. Dies könnte zu zusätzlichen Angriffen führen, bei denen die Vertrauensstellung des Servers zu anderen Entitäten verwendet wird.

    Addieren Sie http://java.sun.com/j2ee/dtds/ zum Wert der Systemeigenschaft glide.xml.entity.whitelist, und legen Sie dann die Systemeigenschaft glide.xml.entity.whitelist.enabled auf wahrfest.

    Andere Werte als http://java.sun.com/j2ee/dtds/ können in der Eigenschaft „glide.xml.entity.whitelist“ enthalten sein, sind für den Status der sofort einsatzbereiten Plattform jedoch unnötig. Überprüfen Sie alle zusätzlichen Werte, um sicherzustellen, dass sie sicher sind.

    Warnung:
    Dies ist eine Safe-Harbor-Eigenschaft. Das bedeutet, dass der Wert nicht geändert werden kann, nachdem er geändert wurde. Er kann nicht rückgängig gemacht werden.

    Weitere Informationen

    Attribut Beschreibung
    Eigenschaftsname glide.xml.entity.whitelist,glide.xml.entity.whitelist.enabled
    Konfigurationstyp Systemeigenschaften (/sys_properties_list.do)
    Kategorie Validierung, Bereinigung und Codierung
    Zweck Diese Korrektursteuerung muss aktiviert sein, um sich gegen XXE-Angriffe zu schützen.
    Empfohlener Wert http://java.sun.com/j2ee/dtds/
    Standardwert http://java.sun.com/j2ee/dtds/
    Sicherheitsrisikobewertung 9.8
    Funktionale Auswirkung Wenn die Anpassung eine externe Entität verwendet, die nicht in der Eigenschaft glide.xml.entity.whitelist aufgeführt ist, blockiert die NOW Platform möglicherweise die weitere Verarbeitung.
    Sicherheitsrisiko (Kritisch) Ein Angreifer kann die DTD verwenden, um beliebige HTTP-Anforderungen einzubeziehen, die der Server ausführen könnte. Dies könnte zu weiteren Angriffen führen, die die Vertrauensstellung des Servers zu anderen Entitäten nutzen.