Externe XML-Entitäten einschränken [in Security Center 1.3 aktualisiert]
Verwenden Sie die Eigenschaft glide.security.file.mime_type.validation, um die Überprüfung des MIME-Typs für Uploads zu aktivieren. Sie können die MIME-Typvalidierung für Dateianhänge aktivieren (setzen Sie die Eigenschaft auf wahr) oder deaktivieren (setzen Sie sie auf falsch).
Voraussetzungen
Legen Sie vor dem Festlegen dieser Eigenschaft die Eigenschaft glide.attachment.extensions fest. Nur die in glide.attachment.extensions angegebenen Erweiterungen werden während des Uploads auf den MIME-Typ überprüft.
Warnung:
Dies ist eine Safe-Harbor-Eigenschaft. Das bedeutet, dass der Wert nicht geändert werden kann, nachdem er geändert wurde. Er kann nicht rückgängig gemacht werden.
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.xml.entity.whitelist |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Kategorie | Validierung, Bereinigung und Codierung |
| Zweck | Diese Korrektursteuerung muss aktiviert sein, um sich gegen XXE-Angriffe zu schützen. |
| Empfohlener Wert | wahr |
| Standardwert | wahr |
| Sicherheitsrisikobewertung | 5.4 |
| Funktionale Auswirkung | (Niedrig) Wenn die Anpassung eine externe Entität verwendet, die nicht in der Eigenschaft glide.xml.entity.whitelist aufgeführt ist, blockiert die NOW Platform möglicherweise die weitere Verarbeitung. |
| Sicherheitsrisiko | (Kritisch) Ein Angreifer kann die DTD verwenden, um beliebige HTTP-Anforderungen einzubeziehen, die der Server ausführen könnte. Dies könnte zu weiteren Angriffen führen, die die Vertrauensstellung des Servers zu anderen Entitäten nutzen. |