Désactiver l’expansion de l’entité (renforcement de la sécurité de l’instance)

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Si les personnalisations ne nécessitent pas d’expansion d’entité, utilisez la propriété pour désactiver complètement l’expansion d’entité glide.stax.allow_entity_resolution externe. Le XML termine l’analyse, mais n’inclut aucune entité interne ou externe.

    • Si vous définissez cette propriété sur vrai, toutes les entités externes tentent de résoudre ou de développer les entités sujets, sous réserve de la définition de la glide.stax.whitelist_enabled propriété.
    • Si vous définissez cette propriété sur faux, toute la résolution et l’expansion de l’entité sont bloquées. Pour en savoir plus, consultez Validation d’entité XMLdoc2 avec liste d’autorisation.

    Prérequis

    Avant de définir cette propriété :

    En savoir plus

    Attribut Description
    Nom de la propriété glide.stax.allow_entity_resolution
    Type de configuration Propriétés système (/sys_properties_list.do)
    Configurer dans le centre de sécurité de l’instance Oui
    Objectif Ce contrôle de rattrapage doit être activé pour assurer la défense contre une attaque d’expansion d’entité XML/d’un milliard de rires.
    Valeur recommandée faux
    Impact fonctionnel (Faible) Si la personnalisation utilise l’expansion de l’entité, la peut bloquer le Now Platform traitement ultérieur.
    Risque de sécurité (Élevé) Un attaquant peut utiliser cette vulnérabilité pour étendre les données de manière exponentielle, consommant rapidement toutes les ressources du système.
    Solution de contournement Si la personnalisation nécessite une expansion de l’entité, définissez cette propriété sur true et suivez les étapes documentées à la section Validation d’entité XMLdoc2 avec liste d’autorisation.

    Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à Add a system property.

    Pour plus d’informations sur les ressources OWASp, consultez OWASp.