Définir les types MIME téléchargeables restreints [supprimé dans Security Center 1.5]

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Utilisez cette propriété pour télécharger les glide.ui.attachment.force_download_all_mime_types types MIME et pour ne pas effectuer le rendu en ligne dans le navigateur.

    Par exemple, le téléchargement de texte/html force un fichier HTML à être téléchargé sur le client en tant que fichier plutôt que d’être affiché en ligne dans le navigateur, empêchant ainsi une attaque XSS.

    Pour afficher une liste des types MIME existants, tapez /sys_attachment_icon_rule_list.do. Vous pouvez activer l’un de ces types MIME pour satisfaire aux exigences de conformité de sécurité dans le Now Platform.

    En savoir plus

    Attribut Description
    Nom de la propriété glide.ui.attachment.force_download_all_mime_types
    Type de configuration Propriétés système (/sys_properties_list.do)
    Catégorie Validation, assainissement et encodage
    Objectif Pour empêcher l’affichage des types de fichiers dans le navigateur afin d’éviter toute exécution de script malveillante cachée.
    Cote CVSS 8
    Valeur recommandée Vrai
    Impact fonctionnel (Faible) Cette correction impose l’exécution de contrôles de validation avant d’effectuer une action lorsque vous cliquez sur une pièce jointe dans une Now Platform application. Il n’y a pas d’impact potentiel, mais l’expérience utilisateur est altérée.
    Risque de sécurité (Élevé) Les vecteurs d’attaque de scripting côté client se déclinent en différents types et l’abus de pièce jointe de type MIME ne fait pas exception.

    Les attaquants peuvent abuser des types MIME et placer du contenu de script involontaire dans la pièce jointe du côté de la victime pour capturer des informations sensibles. La possibilité d’avoir des XSS peut conduire à une élévation de privilège facilement atteinte vers des rôles plus élevés, tels que l’administrateur, où un mouvement plus latéral peut être effectué.

    Dans le contexte actuel, renseignez la propriété avec une liste de types MIME de pièces jointes séparés par des virgules qui ne doivent pas être affichés en ligne dans le navigateur.

    Exemples : text/html, text/csv
    Liens connexes Forcer le téléchargement des types MIME.

    Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à Add a system property.