XML 外部エンティティを制限する (セキュリティセンター 1.3 および 2.0 で更新)
XML 外部エンティティ (XXE) 攻撃を防ぐために、 glide.xml.entity.whitelist プロパティと glide.xml.entity.whitelist.enabled プロパティが推奨値に設定されていることを確認してください。
許可リストを使用して XXE 攻撃から保護し、サーバーが実行する可能性のある任意の HTTP 要求を攻撃者が含めるのを防ぎます。これにより、サーバーと他のエンティティとの信頼関係を利用した追加の攻撃につながる可能性があります。
glide.xml.entity.whitelist システムプロパティの値に http://java.sun.com/j2ee/dtds/ を追加し、glide.xml.entity.whitelist.enabled システムプロパティを true に設定します。
http://java.sun.com/j2ee/dtds/ 以外の値は、glide.xml.entity.whitelist プロパティに含めることができますが、初期設定のプラットフォーム状態には不要です。追加の値を確認して、安全かどうかを判断します。
警告:
これはセーフハーバープロパティです。つまり、いったん変更したら変えることはできません。元に戻すことはできません。
詳細情報
| 属性 | 説明 |
|---|---|
| プロパティ名 | glide.xml.entity.whitelist,glide.xml.entity.whitelist.enabled |
| 構成タイプ | システムプロパティ (/sys_properties_list.do) |
| カテゴリ | 検証、サニタイズ、およびエンコーディング |
| 目的 | この修復コントロールは、XXE 攻撃から防御するために有効にする必要があります。 |
| 推奨値 | http://java.sun.com/j2ee/dtds/ |
| デフォルト値 | http://java.sun.com/j2ee/dtds/ |
| セキュリティリスク評価 | 9.8 |
| 機能への影響度 | カスタマイズで glide.xml.entity.whitelist プロパティの包含リストではなく外部エンティティを使用している場合、NOW Platform が以降の処理をブロックする可能性があります。 |
| セキュリティリスク | (重大) 攻撃者は DTD を使用して、サーバーが実行する可能性のある任意の HTTP 要求を含めることができます。この場合、サーバーと他のエンティティとの信頼関係を利用する他の攻撃につながる可能性があります。 |