XMLDocument2 스트리밍 파서 내에서 엔터티 확장 사용 안 함 [Security Center 1.5에서 업데이트됨]
사용자 지정에 엔터티 확장이 필요하지 않은 경우 이 glide.stax.allow_entity_resolution 속성을 사용하여 외부 엔터티 확장을 완전히 비활성화합니다. XML은 구문 분석을 완료하지만 내부 또는 외부 엔터티를 포함하지 않습니다.
- 이 속성을 true로 설정하면 모든 외부 엔터티가 속성 설정에 glide.stax.whitelist_enabled 따라 주체 엔터티를 해결하거나 확장하려고 시도합니다.
- 이 속성을 false로 설정하면 모든 엔터티 확인 및 확장이 차단됩니다. 자세한 내용은 화이트리스트를 사용한 XMLdoc2 엔터티 유효성 검사를 참조하세요.
필수 구성요소
이 속성을 설정하기 전에 다음을 수행합니다.
- glide.xml.entity.whitelist.enabled and glide.stax.whitelist_enabled 속성을 true로 설정합니다. 자세한 내용은 화이트리스트를 사용한 XMLdoc/XMLUtil 엔터티 유효성 검사 및 화이트리스트를 사용한 XMLdoc2 엔터티 유효성 검사를 참조하세요.
- 속성에 glide.xml.entity.whitelist 쉼표로 구분된 FQDN 목록을 정의합니다. 이는 XML 엔터티 처리를 사용하여 연결할 수 있는 유일한 URL입니다. 속성. 자세한 내용은 XML 외부 엔터티 처리 - 화이트리스트를 참조하세요.
경고:
이는 세이프 하버 속성이므로 변경된 후에는 값을 변경할 수 없습니다. 되돌릴 수 없습니다.
추가 정보
| 속성 | 설명 |
|---|---|
| 속성 이름 | glide.stax.allow_entity_resolution |
| 구성 유형 | 시스템 속성(/sys_properties_list.do) |
| 범주 | 인증 |
| 목적 | XML Entity Expansion/Billion Laugh 공격을 방어하려면 이 수정 컨트롤을 사용하도록 설정해야 합니다. |
| 권장 값 | 거짓 |
| 기본값 | 예 |
| 기능적 영향 | (낮음) 커스터마이제이션에서 엔터티 확장을 사용하는 경우 추가 처리가 Now Platform 차단될 수 있습니다. |
| 보안 위험 | (중요) 공격자는 이 취약점을 악용하여 데이터를 기하급수적으로 확장하여 모든 시스템 리소스를 빠르게 소모할 수 있습니다. |
| 임시 해결책 | 커스터마이제이션에 엔터티 확장이 필요한 경우 이 속성을 예로 설정하고 화이트리스트가 있는 XMLdoc2 엔터티 유효성 확인에 설명된 단계를 수행합니다. |
시스템 속성 추가 또는 생성에 대한 자세한 내용은 다음을 참조하십시오. Add a system property
OWASp 리소스에 대한 자세한 내용은 OWASp를 참조하세요.