Restringir entidades XML externas [Atualizado na Central de segurança 1.3 e 2.0]
Certifique-se de que as propriedades glide.xml.entity.whitelist e glide.xml.entity.whitelist.enabled estejam definidas com os valores recomendados para impedir ataques de entidade externa de XML (XXE).
Proteja-se contra ataques XXE usando uma lista de permissões para impedir que invasores incluam solicitações HTTP arbitrárias que o servidor pode executar. Isso pode levar a ataques adicionais usando o relacionamento de confiança do servidor com outras entidades.
Adicione http://java.sun.com/j2ee/dtds/ ao valor da propriedade do sistema glide.xml.entity.whitelist e defina a propriedade do sistema glide.xml.entity.whitelist.enabled como verdadeira.
Valores diferentes de http://java.sun.com/j2ee/dtds/ podem ser incluídos na propriedade glide.xml.entity.whitelist, mas são desnecessários para o estado da plataforma pronta para uso. Revise todos os valores adicionais para determinar se eles são seguros.
Mais informações
| Atributo | Descrição |
|---|---|
| Nome da propriedade | glide.xml.entity.whitelist,glide.xml.entity.whitelist.enabled |
| Tipo de configuração | Propriedades do sistema (/sys_properties_list.do) |
| Categoria | Validação, limpeza e codificação |
| Finalidade | Esse controle de correção deve ser ativado para se defender contra ataques XXE. |
| Valor recomendado | http://java.sun.com/j2ee/dtds/ |
| Valor padrão | http://java.sun.com/j2ee/dtds/ |
| Classificação de risco de segurança | 9,8 |
| Impacto funcional | Se a personalização estiver usando uma entidade externa, não a inclusão listada na propriedade glide.xml.entity.whitelist, a NOW Platform poderá bloquear o processamento adicional. |
| Risco à segurança | (Crítico) Um invasor pode usar o DTD para incluir solicitações HTTP arbitrárias que o servidor pode executar. Isso pode levar a outros ataques usando o relacionamento de confiança do servidor com outras entidades. |