Externe XML-Entitäten beschränken [aktualisiert in Security Center 1,3 und 2,0]
Stellen Sie sicher, dass glide.xml.entity.whitelistUnd glide.xml.entity.whitelist.enabledEigenschaften sind auf die empfohlenen Werte festgelegt, um Angriffe auf externe XML-Entitäten (XXE) zu verhindern.
Schützen Sie sich vor XXE-Angriffen, indem Sie eine Allow-Liste verwenden, um zu verhindern, dass Angreifer beliebige HTTP-Anforderungen aufnehmen, die der Server ausführen kann. Dies kann zu zusätzlichen Angriffen führen, die die Vertrauensbeziehung des Servers mit anderen Entitäten verwenden.
Hinzufügen http://java.sun.com/j2ee/dtds/ Auf den Wert von Glide.xml.Entität.Whitelist Systemeigenschaft, legen Sie dann fest Glide.xml.Entität.Whitelist.aktiviert Systemeigenschaft zu Wahr .
Andere Werte als http://java.sun.com/j2ee/dtds/ Kann in der enthalten sein Glide.xml.Entität.Whitelist Eigenschaft, sind jedoch für den sofort einsatzbereiten Plattformstatus unnötig. Überprüfen Sie alle zusätzlichen Werte, um festzustellen, ob sie sicher sind.
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.xml.entity.whitelist,glide.xml.entity.whitelist.enabled |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Kategorie | Validierung, Bereinigung und Codierung |
| Zweck | Diese Korrektursteuerung muss aktiviert sein, um sich gegen XXE-Angriffe zu schützen. |
| Empfohlener Wert | http://java.sun.com/j2ee/dtds/ |
| Standardwert | http://java.sun.com/j2ee/dtds/ |
| Sicherheitsrisikobewertung | 9.8 |
| Funktionale Auswirkung | Wenn die Anpassung eine externe Entität verwendet, wird die Aufnahme nicht in aufgeführt glide.xml.entity.whitelistEigenschaft, kann die NOW Platform die weitere Verarbeitung blockieren. |
| Sicherheitsrisiko | (Kritisch) ein Angreifer kann die DTD verwenden, um beliebige HTTP-Anforderungen einzubeziehen, die der Server möglicherweise ausführen kann. Dies kann zu anderen Angriffen führen, die die Vertrauensbeziehung des Servers mit anderen Entitäten verwenden. |