Restrição de entidades externas XML [Atualizado na Central de segurança 1.3]
Use a propriedade glide.security.file.mime_type.validation para ativar a verificação de tipo MIME para uploads. Você pode habilitar (definir a propriedade como verdadeira) ou desabilitar (defini-la como falsa) a validação do tipo MIME para anexos de arquivo.
Pré-requisitos
Antes de definir esta propriedade, defina a propriedade glide.attachment.extensions. Somente as extensões especificadas em glide.attachment.extensions são verificadas quanto ao tipo MIME durante o upload.
Aviso:
Esta é uma propriedade tipo porto seguro, o que significa que o valor não pode ser alterado após ser mudado. A reversão não é possível.
Mais informações
| Atributo | Descrição |
|---|---|
| Nome da propriedade | glide.xml.entity.whitelist |
| Tipo de configuração | Propriedades do sistema (/sys_properties_list.do) |
| Categoria | Validação, limpeza e codificação |
| Finalidade | Esse controle de correção deve ser ativado para se defender contra ataques XXE. |
| Valor recomendado | verdadeiro |
| Valor-padrão | verdadeiro |
| Classificação de risco de segurança | 5,4 |
| Impacto funcional | (Baixo) Se a personalização estiver usando uma entidade externa, não a inclusão listada na propriedade glide.xml.entity.whitelist, a NOW Platform poderá bloquear o processamento adicional. |
| Risco à segurança | (Crítico) Um invasor pode usar o DTD para incluir solicitações HTTP arbitrárias que o servidor pode executar. Isso pode levar a outros ataques usando o relacionamento de confiança do servidor com outras entidades. |