Impact ワークスペースモジュールの説明フィールドの HTML をサニタイズ (Security Center 7.0 の新機能)
sn_impact_common.blacklist_tags_HTML_injection プロパティで HTML インジェクション攻撃のソースである HTML タグを削除して、説明フィールドの HTML をサニタイズします。
- sn_impact_common_capabilities_mapテーブルとsn_impact_common_par_version_phase_app_mappingテーブルのcustomer_notesフィールド。
- sn_impact_common_manual_capability_descriptionテーブルのmanual_descriptionフィールド。
このシステムプロパティに HTML タグ (スクリプトなど) のカンマ区切りリストが含まれている場合、それらのタグとそのコンテンツは、リストされたフィールドの HTML 部分から削除されます。これらのタグを削除すると、HTML インジェクション攻撃のソースである HTML タグが削除され、説明フィールドの HTML がサニタイズされます。このプロパティがシステムプロパティ [sys_properties] テーブルで設定されていない場合、値はデフォルトで拒否された HTML タグのデフォルトリストになります。プロパティが空の場合、すべての HTML タグが許可されます。
Impact ワークスペースモジュールの説明フィールドから削除される HTML タグのカンマ区切りリストを指定する sn_impact_common.blacklist_tags_HTML_injection を使用します。この削除は、HTML インジェクション攻撃を防ぐのに役立ちます。少なくとも、このリストにはデフォルトリストの内容が含まれている必要があります。システムプロパティ [sys_properties] テーブルでプロパティが設定されていない場合、デフォルトは script、iframe、object、embed、form、onerror、onload、style、img、video、audio、source、button のリストになります。
詳細情報
| 属性 | 説明 |
|---|---|
| プロパティ名 | sn_impact_common.blacklist_tags_HTML_injection |
| 構成タイプ | システムプロパティ (/sys_properties_list.do) |
| カテゴリ | 検証、サニタイズ、およびエンコーディング |
| 目的 | HTML インジェクション攻撃のソースである HTML タグを削除して、説明フィールドの HTML をサニタイズします。 |
| 推奨値 | 少なくとも、script、iframe、object、embed、form、onerror、onload、style、img、video、audio、source、button のデフォルト値 |
| デフォルト値 | script,iframe,object,embed,form,onerror,onload,style,img,video,audio,source,button |
| セキュリティリスク評価 | 4.4 |
| 機能への影響 | HTML タグをデフォルトのリストに追加すると、説明フィールドに必要な HTML 機能が制限される場合があります。正確な影響は、お客様のインスタンスによって異なります。 |
| セキュリティリスク | (中) |
| 参照 |
システムプロパティの追加または作成の詳細については、「Add a system property」を参照してください。