Restringir entidades externas XML [Atualizado na Central de segurança 1,3 e 2,0]
Certifique-se de que glide.xml.entity.whiteliste. glide.xml.entity.whitelist.enabledAs propriedades são definidas com os valores recomendados para evitar ataques de entidade externa XML (XXE).
Proteja-se contra ataques XXE usando uma lista de permissões para impedir que invasores incluam solicitações HTTP arbitrárias que o servidor possa executar. Isso pode levar a ataques adicionais usando o relacionamento de confiança do servidor com outras entidades.
Adicionar http://java.sun.com/j2ee/dtds/ para o valor de glide.xml.entity.whitelist propriedade do sistema e defina entidade.lista de permissões.glide.xml.habilitado propriedade do sistema para verdadeiro .
Valores diferentes de http://java.sun.com/j2ee/dtds/ pode ser incluído no em glide.xml.entity.whitelist , mas são desnecessárias para o estado da plataforma pronta para uso. Revise todos os valores adicionais para determinar se eles são seguros.
Mais informações
| Atributo | Descrição |
|---|---|
| Nome da propriedade | glide.xml.entity.whitelist,glide.xml.entity.whitelist.enabled |
| Tipo de configuração | Propriedades do sistema (/sys_properties_list.do) |
| Categoria | Validação, limpeza e codificação |
| Finalidade | Esse controle de correção deve ser ativado para se defender contra ataques XXE. |
| Valor recomendado | http://java.sun.com/j2ee/dtds/ |
| Valor padrão | http://java.sun.com/j2ee/dtds/ |
| Classificação de risco de segurança | 9,8 |
| Impacto funcional | Se a personalização estiver usando entidade externa, não a inclusão listada em glide.xml.entity.whitelistNOW Platform pode bloquear o processamento adicional. |
| Risco à segurança | (Crítico) Um invasor pode usar o DTD para incluir solicitações HTTP arbitrárias que o servidor pode executar. Isso pode levar a outros ataques usando o relacionamento de confiança do servidor com outras entidades. |