Restreindre les entités externes XML [Mis à jour dans Security Center 1.3 et 2.0]
Assurez-vous que les propriétés ET glide.xml.entity.whitelist.enabled sont définies sur les valeurs recommandées pour éviter les attaques d’entités glide.xml.entity.whitelist externes XML (XXE).
Protégez-vous contre les attaques XXE en utilisant une liste d’autorisation pour empêcher les attaquants d’inclure des requêtes HTTP arbitraires que le serveur peut exécuter. Cela pourrait entraîner des attaques supplémentaires utilisant la relation de confiance du serveur avec d’autres entités.
Ajoutez http://java.sun.com/j2ee/dtds/ à la valeur de la propriété système glide.xml.entity.whitelist , puis définissez la propriété système glide.xml.entity.whitelist.enabled sur true.
Des valeurs autres que http://java.sun.com/j2ee/dtds/ peuvent être incluses dans la propriété glide.xml.entity.whitelist , mais ne sont pas nécessaires pour l’état de la plateforme prête à l’emploi. Examinez toutes les valeurs supplémentaires pour déterminer si elles sont sûres.
En savoir plus
| Attribut | Description |
|---|---|
| Nom de la propriété | glide.xml.entity.whitelist,glide.xml.entity.whitelist.enabled |
| Type de configuration | Propriétés système (/sys_properties_list.do) |
| Catégorie | Validation, nettoyage et codage |
| Objectif | Ce contrôle de remédiation doit être activé pour se défendre contre les attaques XXE. |
| Valeur recommandée | http://java.sun.com/j2ee/dtds/ |
| Valeur par défaut | http://java.sun.com/j2ee/dtds/ |
| Cote de risque de sécurité | 9.8 |
| Impact fonctionnel | Si la personnalisation utilise une entité externe, et non une inclusion répertoriée dans la glide.xml.entity.whitelist propriété, NOW Platform peut bloquer tout traitement ultérieur. |
| Risque de sécurité | (Critique) Un attaquant peut utiliser la DTD pour inclure des requêtes HTTP arbitraires que le serveur peut exécuter. Cela pourrait conduire à d’autres attaques utilisant la relation de confiance du serveur avec d’autres entités. |