XML 외부 엔터티 제한 [Security Center 1.3 및 2.0에서 업데이트됨]
및 glide.xml.entity.whitelist.enabled 속성이 권장 값으로 설정되어 XXEglide.xml.entity.whitelist(XML 외부 엔터티) 공격을 방지해야 합니다.
공격자가 서버에서 실행할 수 있는 임의의 HTTP 요청을 포함하지 못하도록 허용 목록을 사용하여 XXE 공격으로부터 보호합니다. 이렇게 하면 다른 엔터티와 서버의 신뢰 관계를 사용하여 추가 공격이 발생할 수 있습니다.
glide.xml.entity.whitelist 시스템 속성 값에 http://java.sun.com/j2ee/dtds/ 추가한 다음 glide.xml.entity.whitelist.enabled 시스템 속성을 true로 설정합니다.
http://java.sun.com/j2ee/dtds/ 이외의 값은 glide.xml.entity.whitelist 속성에 포함될 수 있지만 바로 사용 가능한 플랫폼 상태에는 필요하지 않습니다. 추가 값을 검토하여 안전한지 확인합니다.
경고:
이는 세이프 하버 속성이므로 한 번 변경하면 값을 변경할 수 없습니다. 되돌릴 수 없습니다.
추가 정보
| 속성 | 설명 |
|---|---|
| 속성 이름 | glide.xml.entity.whitelist,glide.xml.entity.whitelist.enabled |
| 구성 유형 | 시스템 속성(/sys_properties_list.do) |
| 범주 | 확인, 삭제 및 인코딩 |
| 목적 | XXE 공격을 방어하려면 이 정정 제어를 활성화해야 합니다. |
| 권장 값 | http://java.sun.com/j2ee/dtds/ |
| 기본값 | http://java.sun.com/j2ee/dtds/ |
| 보안 위험 등급 | 9.8 |
| 기능적 영향 | 커스터마이제이션이 속성에 나열된 glide.xml.entity.whitelist 포함 항목이 아닌 외부 엔터티를 사용하는 경우 NOW Platform에서 추가 처리를 차단할 수 있습니다. |
| 보안 위험 | (중요) 공격자는 DTD를 사용하여 서버가 실행할 수 있는 임의의 HTTP 요청을 포함할 수 있습니다. 이렇게 하면 다른 엔터티와 서버의 신뢰 관계를 사용하여 다른 공격이 발생할 수 있습니다. |