Exiger la validation des entités XMLdoc2 avec l’expansion des entités allowlistDisable [Mise à jour dans Security Center 1.3]
Si les personnalisations ne nécessitent pas d’expansion d’entité, utilisez la propriété pour désactiver complètement l’expansion d’entité glide.xmlutil.max_entity_expansion externe. Le XML termine l’analyse mais n’inclut aucune entité interne ou externe.
- Si vous définissez cette propriété sur vrai, toutes les entités externes tentent de résoudre ou de développer les entités sujets, sous réserve de la définition de la glide.stax.whitelist_enabled propriété.
- Si vous définissez cette propriété sur false, toute la résolution et l’expansion de l’entité sont bloquées. Pour en savoir plus, consultez Validation d’entité XMLdoc2 avec liste d’autorisation.
Prérequis
Avant de définir cette propriété :
- Définissez les glide.xml.entity.whitelist.enabled propriétés and glide.stax.whitelist_enabled sur true. Pour en savoir plus, consultez Validation des entités XMLdoc/XMLUtil avec liste d’autorisation et Validation d’entité XMLdoc2 avec liste d’autorisation.
- Définissez une liste de FQDN délimités par des virgules dans la glide.xml.entity.whitelist propriété, car il s’agit des seules URL atteignables à l’aide de la propriété de traitement d’entité XML. Pour en savoir plus, consultez Traitement d’entité externe XML : liste d’autorisation.
Avertissement :
Il s’agit d’une propriété de sphère de sécurité, ce qui signifie que la valeur ne peut pas être modifiée une fois qu’elle a été modifiée. Il n’est pas réversible.
En savoir plus
| Attribut | Description |
|---|---|
| Nom de la propriété | glide.stax.whitelist_enabled |
| Type de configuration | Propriétés système (/sys_properties_list.do) |
| Catégorie | Validation, nettoyage et codage |
| Objectif | Ce contrôle de rattrapage doit être activé pour assurer la défense contre une attaque par expansion d’entité XML/Billion Laugh. |
| Valeur recommandée | VRAI |
| Valeur par défaut | faux |
| Cote de risque de sécurité | 9.8 |
| Impact fonctionnel | (Faible) Si la personnalisation utilise l’expansion des entités, le peut bloquer le Now Platform traitement ultérieur. |
| Risque de sécurité | (Critique) Un attaquant peut utiliser cette vulnérabilité pour étendre les données de manière exponentielle, consommant rapidement toutes les ressources du système. |
| Solution de contournement | Si la personnalisation nécessite une expansion de l’entité, définissez cette propriété sur vrai et suivez les étapes documentées à la rubrique Validation d’entité XMLdoc2 avec liste d’autorisation. |
Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à la section Add a system property.
Pour plus d’informations sur les ressources OWASp, consultez OWASp.