許可リストを使用した XMLdoc/XMLUtil エンティティ検証 (インスタンスセキュリティ強化)
glide.xml.entity.whitelist.enabled プロパティを使用すると外部エンティティの検証が有効になり、包含リストに含まれているもののみを処理できます。
- このプロパティを true に設定すると、包含リストに記載されたエンティティの処理のみが許可されます (推奨設定)。
- このプロパティを false に設定すると、すべての外部エンティティの処理が許可されます。
必須条件
このプロパティを設定する前に、glide.xml.entity.whitelist プロパティでカンマ区切りの FQDN リストを定義してください。XML エンティティ処理を使用してアクセスできるのは、これらの URL のみになります。詳細については、XML 外部エンティティ処理 - 許可リスト を参照してください。
詳細情報
| 属性 | 説明 |
|---|---|
| プロパティ名 | glide.xml.entity.whitelist.enabled |
| 構成タイプ | システムプロパティ (/sys_properties_list.do) |
| Instance Security Center での構成 | あり |
| 目的 | この修復コントロールは、XXE 攻撃から防御するために有効にする必要があります。 |
| 推奨値 | true |
| 機能への影響度 | (低) カスタマイズで glide.xml.entity.whitelist プロパティの包含リストではなく外部エンティティを使用している場合、Now Platform が以降の処理をブロックする可能性があります。詳細については、XML 外部エンティティ処理 - 許可リスト を参照してください。 |
| セキュリティリスク | (高) 攻撃者は DTD を使用して、サーバーが実行する可能性のある任意の HTTP 要求を含めることができます。この場合、サーバーと他のエンティティとの信頼関係を利用する他の攻撃につながる可能性があります。 |
| ワークアラウンド | 外部エンティティ拡張を使用していない場合は、無効にします。詳細については、「エンティティ拡張の無効化」を参照してください。 |
システムプロパティの追加または作成の詳細については、「Add a system property」を参照してください。