XMLdoc/XMLUtil-Entitätsvalidierung mit Allow-Liste (Härtung der Instanzsicherheit)
Verwenden Sie die Eigenschaft glide.xml.entity.whitelist.enabled, um die Validierung einer externen Entität zu aktivieren. Sie lässt nur die Verarbeitung von Entitäten zu, die auf der Aufnahmeliste stehen.
- Wenn Sie diese Eigenschaft auf truefestlegen, werden nur Entitäten verarbeitet, die in die Aufnahmeliste aufgenommen wurden (empfohlene Einstellung).
- Wenn Sie diese Eigenschaft auf falsefestlegen, wird die Verarbeitung aller externen Entitäten ermöglicht.
Voraussetzungen
Definieren Sie vor dem Festlegen dieser Eigenschaft eine Liste der durch Kommas getrennten FQDNs in der Eigenschaft glide.xml.entity.whitelist. Dies sind die einzigen URLs, die über die XML-Entitätsverarbeitung erreicht werden können. Eigenschaft. Weitere Informationen finden Sie unter Verarbeitung externer XML-Entitäten – Allow-Liste.
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.xml.entity.whitelist.enabled |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Konfigurieren Sie im Instanz-Sicherheitszentrum | Ja |
| Zweck | Diese Korrektursteuerung muss aktiviert sein, um sich gegen XXE-Angriffe zu schützen. |
| Empfohlener Wert | Wahr |
| Funktionale Auswirkung | (Niedrig) Wenn die Anpassung eine externe Entität verwendet, die nicht in der Eigenschaft [ glide.xml.entity.whitelist aufgeführt ist, blockiert Now Platform möglicherweise die weitere Verarbeitung. Weitere Informationen finden Sie unter Verarbeitung externer XML-Entitäten – Allow-Liste. |
| Sicherheitsrisiko | (Hoch) Ein Angreifer kann die DTD verwenden, um beliebige HTTP-Anforderungen einzubeziehen, die der Server ausführen kann. Dies kann zu anderen Angriffen führen, die die Vertrauensstellung des Servers zu anderen Entitäten nutzen. |
| Workaround | Wenn Sie die Erweiterung externer Entitäten nicht verwenden, deaktivieren Sie sie. Weitere Informationen finden Sie unter Entitätserweiterung deaktivieren. |
Weitere Informationen zum Hinzufügen oder Erstellen einer Systemeigenschaft finden Sie unter Add a system property.