Entitätserweiterung deaktivieren (Härtung der Instanzsicherheit)
Wenn Anpassungen keine Entitätserweiterung erfordern, verwenden Sie die Eigenschaft glide.stax.allow_entity_resolution, um die Erweiterung externer Entitäten vollständig zu deaktivieren. Die XML-Datei schließt die Analyse ab, enthält jedoch keine internen oder externen Entitäten.
- Wenn Sie diese Eigenschaft auf truefestlegen, versuchen alle externen Entitäten, abhängig von der Einstellung der Eigenschaft glide.stax.whitelist_enabled, Betreffentitäten aufzulösen oder zu erweitern.
- Wenn Sie diese Eigenschaft auf „ false“ festlegen, werden alle Entitätsauflösungen und -erweiterungen blockiert. Weitere Informationen finden Sie unter XMLdoc2-Entitätsvalidierung mit Allow-Liste.
Voraussetzungen
Vor dem Festlegen dieser Eigenschaft:
- Legen Sie die Eigenschaften glide.xml.entity.whitelist.enabled und glide.stax.whitelist_enabled auf „true“ fest. Weitere Informationen finden Sie unter XMLdoc/XMLUtil-Entitätsvalidierung mit Allow-Liste und XMLdoc2-Entitätsvalidierung mit Allow-Liste.
- Definieren Sie eine Liste von durch Kommas getrennten FQDNs in der Eigenschaft glide.xml.entity.whitelist. Dies sind die einzigen URLs, die über die XML-Entitätsverarbeitung erreicht werden können. Eigenschaft. Weitere Informationen finden Sie unter Verarbeitung externer XML-Entitäten – Allow-Liste.
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.stax.allow_entity_resolution |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Konfigurieren Sie im Instanz-Sicherheitszentrum | Ja |
| Zweck | Diese Korrektursteuerung muss aktiviert sein, um sich gegen einen XML-Entitätserweiterungs-/Billion-Lach-Angriff zu schützen. |
| Empfohlener Wert | false |
| Funktionale Auswirkung | (Niedrig) Wenn die Anpassung eine Entitätserweiterung verwendet, blockiert Now Platform möglicherweise die weitere Verarbeitung. |
| Sicherheitsrisiko | (Hoch) Ein Angreifer kann diese Schwachstelle verwenden, um Daten exponentiell zu erweitern, wodurch schnell alle Systemressourcen verbraucht werden. |
| Workaround | Wenn die Anpassung eine Entitätserweiterung erfordert, legen Sie diese Eigenschaft auf „true“ fest, und führen Sie die in XMLdoc2-Entitätsvalidierung mit Allow-Listedokumentierten Schritte aus. |
Weitere Informationen zum Hinzufügen oder Erstellen einer Systemeigenschaft finden Sie unter Add a system property.
Weitere Informationen zu OWASp-Ressourcen finden Sie unter OWASp.