엔터티 확장 사용 안 함(인스턴스 보안 강화)
사용자 지정에 엔터티 확장이 필요하지 않은 경우 속성을 사용하여 glide.stax.allow_entity_resolution 외부 엔터티 확장을 완전히 비활성화합니다. XML은 구문 분석을 완료하지만 내부 또는 외부 엔터티를 포함하지 않습니다.
- 이 속성을 true로 설정하면 모든 외부 엔터티가 속성 설정에 따라 주체 엔터티를 해결하거나 확장하려고 시도합니다 glide.stax.whitelist_enabled .
- 해당 속성을 false로 설정하면 모든 엔터티 확인 및 확장이 차단됩니다. 자세한 내용은 허용 목록이 있는 XMLdoc2 엔터티 유효성 확인 문서를 참조하십시오.
필요 조건
이 속성을 설정하기 전에 다음을 수행하십시오.
- glide.xml.entity.whitelist.enabled and glide.stax.whitelist_enabled 속성을 true로 설정합니다. 자세한 내용은 해당 문서를 허용 목록이 있는 XMLdoc2 엔터티 유효성 확인참조하십시오허용 목록을 사용한 XMLdoc/XMLUtil 엔터티 유효성 검사.
- 속성에서 glide.xml.entity.whitelist 쉼표로 구분된 FQDN 목록을 정의합니다. 이는 XML 엔터티 처리를 사용하여 연결할 수 있는 유일한 URL입니다. 속성. 자세한 내용은 XML 외부 엔티티 처리 - 허용 목록 문서를 참조하십시오.
추가 정보
| 속성 | 설명 |
|---|---|
| 속성 이름 | glide.stax.allow_entity_resolution |
| 구성 유형 | 시스템 속성(/sys_properties_list.do) |
| 인스턴스 보안 센터에서 구성 | 예 |
| 목적 | XML Entity Expansion/Billion Laugh 공격으로부터 방어하려면 이 수정 컨트롤을 사용하도록 설정해야 합니다. |
| 권장 값 | false |
| 기능적 영향 | (낮음) 사용자 지정에서 엔터티 확장을 사용하는 경우 추가 처리가 Now Platform 차단될 수 있습니다. |
| 보안 위험 | (높음) 공격자는 이 취약점을 악용하여 데이터를 기하급수적으로 확장하여 모든 시스템 리소스를 빠르게 소모할 수 있습니다. |
| 임시 해결책 | 사용자 지정에 엔터티 확장이 필요한 경우 이 속성을 true로 설정하고 에 허용 목록이 있는 XMLdoc2 엔터티 유효성 확인설명된 단계를 따릅니다. |
시스템 속성 추가 또는 생성에 대한 자세한 내용은 을 참조하십시오 Add a system property.
OWASp 리소스에 대한 자세한 내용은 OWASp를 참조하세요.