Eingeschränkte herunterladbare MIME-Typen definieren [In Security Center 1.5 entfernt]

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Verwenden Sie die Eigenschaft glide.ui.attachment.force_download_all_mime_types, um MIME-Typen herunterzuladen und im Browser nicht inline darzustellen.

    Zum Beispiel erzwingt das Herunterladen von text/html, dass eine HTML-Datei als Datei auf den Client heruntergeladen und nicht inline im Browser angezeigt wird, wodurch ein XSS-Angriff verhindert wird.

    Um eine Liste vorhandener MIME-Typen anzuzeigen, geben Sie /sys_attachment_icon_rule_list.do ein. Sie können einen dieser MIME-Typen aktivieren, um die Sicherheits-Compliance-Anforderungen in Now Platformzu erfüllen.

    Weitere Informationen

    Attribut Beschreibung
    Eigenschaftsname glide.ui.attachment.force_download_all_mime_types
    Konfigurationstyp Systemeigenschaften (/sys_properties_list.do)
    Kategorie Validierung, Bereinigung und Codierung
    Zweck Um die Darstellung der Dateitypen im Browser einzuschränken, um die Ausführung versteckter schädlicher Skripts zu vermeiden.
    CVSS-Bewertung 8
    Empfohlener Wert Wahr
    Funktionale Auswirkung (Niedrig) Diese Fehlerkorrektur erzwingt die Durchführung von Validierungsprüfungen, bevor eine Aktion ausgeführt wird, wenn Sie in einer Now Platform -Anwendung auf einen Anhang klicken. Es gibt keine potenziellen Auswirkungen, aber die Benutzer-Experience wird geändert.
    Sicherheitsrisiko (Hoch) Clientseitige Skripting-Angriffsvektoren gibt es in verschiedenen Varianten, und der Missbrauch von MIME-Typ-Anhängen ist keine Ausnahme.

    Angreifer können MIME-Typen missbrauchen und unbeabsichtigte Skriptinhalte im Anhang auf der Seite des Opfers platzieren, um vertrauliche Informationen zu erfassen. Die Möglichkeit, über XSS zu verfügen, kann zu einer leicht zu erreichenden Berechtigungseskalation auf höhere Rollen wie „Administrator“ führen, in der mehr Seitwärtsbewegung möglich ist.

    Füllen Sie im aktuellen Kontext die Eigenschaft mit einer Liste von kommagetrennten MIME-Typen für Anhänge aus, die im Browser nicht inline dargestellt werden sollen.

    Beispiele: text/html, text/csv
    Zugehörige Links Download von MIME-Typen erzwingen.

    Weitere Informationen zum Hinzufügen oder Erstellen einer Systemeigenschaft finden Sie unter Add a system property.