Désactiver l’expansion des entités [Mise à jour dans Security Center 1.5]
Si les personnalisations ne nécessitent pas d’expansion d’entité, utilisez la propriété pour désactiver complètement l’expansion d’entité glide.stax.allow_entity_resolution externe. Le XML termine l’analyse, mais n’inclut aucune entité interne ou externe.
- Si vous définissez cette propriété sur vrai, toutes les entités externes tentent de résoudre ou de développer les entités sujets, sous réserve de la définition de la glide.stax.whitelist_enabled propriété.
- Si vous définissez cette propriété sur faux, toute la résolution et l’expansion de l’entité sont bloquées. Pour plus d’informations, consultez Validation d’entités XMLdoc2 avec liste blanche.
Prérequis
Avant de définir cette propriété :
- Définissez les glide.xml.entity.whitelist.enabled propriétés and glide.stax.whitelist_enabled sur true. Pour plus d’informations, consultez Validation d’entité XMLdoc/XMLUtil avec liste blanche et Validation d’entité XMLdoc2 avec liste blanche.
- Définissez une liste de noms de domaine complets délimités par des virgules dans la glide.xml.entity.whitelist propriété, qui sont les seules URL atteignables à l’aide du processus XML Entity. Pour en savoir plus, consultez Traitement d’entité externe XML - liste blanche.
Avertissement :
Il s’agit d’une propriété d’exonération, ce qui signifie que la valeur ne peut pas être modifiée une fois qu’elle a été modifiée. Il n’est pas réversible.
En savoir plus
| Attribut | Description |
|---|---|
| Nom de la propriété | glide.stax.allow_entity_resolution |
| Type de configuration | Propriétés système (/sys_properties_list.do) |
| Catégorie | Authentification |
| Objectif | Ce contrôle de rattrapage doit être activé pour assurer la défense contre une attaque d’expansion d’entité XML/d’un milliard de rires. |
| Valeur recommandée | faux |
| Impact fonctionnel | (Faible) Si la personnalisation utilise l’expansion de l’entité, la peut bloquer le Now Platform traitement ultérieur. |
| Risque de sécurité | (Critique) Un attaquant peut utiliser cette vulnérabilité pour étendre les données de manière exponentielle, consommant rapidement toutes les ressources du système. |
| Solution de contournement | Si la personnalisation nécessite une expansion de l’entité, définissez cette propriété sur true et suivez les étapes documentées dans Validation de l’entité XMLdoc2 avec liste blanche. |
Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à Add a system property
Pour plus d’informations sur les ressources OWASp, consultez OWASp.