엔터티 확장 사용 안 함 [Security Center 1.5에서 업데이트됨]
사용자 지정에 엔터티 확장이 필요하지 않은 경우 속성을 사용하여 glide.stax.allow_entity_resolution 외부 엔터티 확장을 완전히 비활성화합니다. XML은 구문 분석을 완료하지만 내부 또는 외부 엔터티를 포함하지 않습니다.
- 이 속성을 true로 설정하면 모든 외부 엔터티가 속성 설정에 따라 주체 엔터티를 해결하거나 확장하려고 시도합니다 glide.stax.whitelist_enabled .
- 해당 속성을 false로 설정하면 모든 엔터티 확인 및 확장이 차단됩니다. 자세한 내용은 화이트리스트를 사용한 XMLdoc2 엔터티 유효성 검사를 참조하세요.
필요 조건
이 속성을 설정하기 전에 다음을 수행하십시오.
- glide.xml.entity.whitelist.enabled and glide.stax.whitelist_enabled 속성을 true로 설정합니다. 자세한 내용은 화이트리스트를 사용한 XMLdoc/XMLUtil 엔터티 유효성 검사 및 화이트리스트를 사용한 XMLdoc2 엔터티 유효성 검사를 참조하세요.
- 속성에서 glide.xml.entity.whitelist 쉼표로 구분된 FQDN 목록을 정의합니다. 이는 XML 엔터티 처리를 사용하여 연결할 수 있는 유일한 URL입니다. 속성. 자세한 내용은 XML 외부 엔터티 처리 - 화이트리스트를 참조하세요.
경고:
이는 세이프 하버 속성으로, 한 번 변경되면 값을 변경할 수 없습니다. 되돌릴 수 없습니다.
추가 정보
| 속성 | 설명 |
|---|---|
| 속성 이름 | glide.stax.allow_entity_resolution |
| 구성 유형 | 시스템 속성(/sys_properties_list.do) |
| 범주 | 인증 |
| 목적 | XML Entity Expansion/Billion Laugh 공격으로부터 방어하려면 이 수정 컨트롤을 사용하도록 설정해야 합니다. |
| 권장 값 | false |
| 기능적 영향 | (낮음) 사용자 지정에서 엔터티 확장을 사용하는 경우 추가 처리가 Now Platform 차단될 수 있습니다. |
| 보안 위험 | (위험) 공격자는 이 취약점을 악용하여 데이터를 기하급수적으로 확장하여 모든 시스템 리소스를 빠르게 소모할 수 있습니다. |
| 임시 해결책 | 사용자 지정에 엔터티 확장이 필요한 경우 이 속성을 true로 설정하고 화이트리스트를 사용하여 XMLdoc2 엔터티 유효성 검사에 설명된 단계를 따릅니다. |
시스템 속성을 추가하거나 만드는 방법에 대한 자세한 내용은 다음을 참조하십시오. Add a system property
OWASp 리소스에 대한 자세한 내용은 OWASp를 참조하세요.