Validation d’entité XMLdoc/XMLUtil avec liste d’autorisation (renforcement de la sécurité de l’instance)

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Utilisez la glide.xml.entity.whitelist.enabled propriété pour activer la validation des entités externes et n’autorise que le traitement des entités sur liste d’inclusion.

    • Si vous définissez cette propriété sur vrai, elle autorise uniquement le traitement des entités sur liste d’inclusion (paramètre recommandé).
    • Si vous définissez cette propriété sur false, elle autorise le traitement de toutes les entités externes.

    Prérequis

    Avant de définir cette propriété, définissez une liste de noms de domaine complets délimités par des virgules dans la glide.xml.entity.whitelist propriété, qui sont les seules URL atteignables à l’aide du processus XML Entity. Pour en savoir plus, consultez Traitement d’entité externe XML : liste d’autorisation.

    En savoir plus

    Attribut Description
    Nom de la propriété glide.xml.entity.whitelist.enabled
    Type de configuration Propriétés système (/sys_properties_list.do)
    Configurer dans le centre de sécurité de l’instance Oui
    Objectif Ce contrôle de correction doit être activé pour assurer la défense contre les attaques XXE.
    Valeur recommandée VRAI
    Impact fonctionnel (Faible) Si la personnalisation utilise une entité externe, non répertoriée comme inclusion dans la propriété, le traitement ultérieur peut bloquer le glide.xml.entity.whitelistNow Platform traitement ultérieur. Pour en savoir plus, consultez Traitement d’entité externe XML : liste d’autorisation.
    Risque de sécurité (Élevé) Un attaquant peut utiliser la DTD pour inclure des requêtes HTTP arbitraires que le serveur peut exécuter. Cela pourrait conduire à d’autres attaques utilisant la relation de confiance du serveur avec d’autres entités.
    Solution de contournement Si vous n’utilisez pas l’extension d’entité externe, désactivez-la. Pour en savoir plus, reportez-vous à la rubrique Désactiver l’expansion des entités.

    Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à Add a system property.