XMLdoc/XMLUtil-Entitätsvalidierung mit Allow-Liste (Härtung der Instanzsicherheit)
Verwenden Sie die Eigenschaft glide.xml.entity.whitelist.enabled, um die Validierung einer externen Entität zu aktivieren. Sie lässt nur die Verarbeitung von Entitäten zu, die auf der Aufnahmeliste stehen.
- Wenn Sie diese Eigenschaft auf „ true“ festlegen, können nur Entitäten auf der Einschlussliste verarbeitet werden (empfohlene Einstellung).
- Wenn Sie diese Eigenschaft auf falsefestlegen, können alle externen Entitäten verarbeitet werden.
Voraussetzungen
Definieren Sie vor dem Festlegen dieser Eigenschaft eine Liste von kommagetrennten FQDNs in der Eigenschaft glide.xml.entity.whitelist, die die einzigen URLs sind, die über die Verarbeitung von XML-Entitäten erreicht werden können. Eigenschaft. Weitere Informationen finden Sie unter Verarbeitung externer XML-Entitäten – Allow-Liste.
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.xml.entity.whitelist.enabled |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Konfigurieren Sie im Instanz-Sicherheitszentrum | Ja |
| Zweck | Diese Korrektursteuerung muss aktiviert sein, um sich gegen XXE-Angriffe zu schützen. |
| Empfohlener Wert | wahr |
| Funktionale Auswirkung | (Niedrig) Wenn die Anpassung eine externe Entität verwendet, die nicht in der Eigenschaft glide.xml.entity.whitelist aufgeführt ist, kann Now Platform die weitere Verarbeitung blockieren. Weitere Informationen finden Sie unter Verarbeitung externer XML-Entitäten – Allow-Liste. |
| Sicherheitsrisiko | (Hoch) Ein Angreifer kann die DTD verwenden, um beliebige HTTP-Anforderungen einzubinden, die vom Server ausgeführt werden könnten. Dies könnte zu weiteren Angriffen führen, die die Vertrauensstellung des Servers zu anderen Entitäten nutzen. |
| Workaround | Wenn Sie die Erweiterung externer Entitäten nicht verwenden, deaktivieren Sie sie. Weitere Informationen finden Sie unter Entitätserweiterung deaktivieren. |
Weitere Informationen zum Hinzufügen oder Erstellen von Systemeigenschaften finden Sie unter Add a system property.