Como desativar a expansão de entidade no Analisador de fluxo de XMLDocument2 [Atualizado na Central de segurança 1.5]
Se as personalizações não exigirem expansão de entidade, use a propriedade glide.stax.allow_entity_resolution para desabilitar completamente a expansão de entidade externa. O XML conclui a análise, mas não inclui entidades internas ou externas.
Desabilite a expansão de entidade em sua instância para proteger sua instância contra ataques, como a capacidade de ler arquivos do sistema e negação de serviço. Use a propriedade do sistema para proibir que as entidades XML sejam expandidas durante a análise pelo analisador de streaming (XMLDocument2).
Defina a propriedade do sistema glide.stax.allow_entity_resolution como falsa para desabilitar a expansão da entidade em sua instância. Se esta propriedade não for exibida na tabela Propriedades do sistema [sys_properties], o valor padrão será verdadeiro. Crie o registro de propriedade e defina o valor como falso para mudar seu valor.
Pré-requisitos
- Defina as propriedades glide.xml.entity.whitelist.enabled e glide.stax.whitelist_enabled como verdadeiras. Para aprender mais, consulte Restringir entidades XML externas [Atualizado na Central de segurança 1.3 e 2.0] e Exigência de validação da entidade XMLdoc2 com expansão da entidade allowlistDisable [Atualizado na Central de segurança 1.3].
- Defina uma lista de FQDN delimitada por vírgulas na propriedade glide.xml.entity.whitelist, que são os únicos URLs que podem ser acessados usando o a propriedade de processamento de entidade de XML. Para saber mais, consulte Restringir entidades XML externas [Atualizado na Central de segurança 1.3 e 2.0].
Mais informações
| Atributo | Descrição |
|---|---|
| Nome da propriedade | glide.stax.allow_entity_resolution |
| Tipo de configuração | Propriedades do sistema (/sys_properties_list.do) |
| Categoria | Validação, limpeza e codificação |
| Finalidade | Este controle de correção deve ser habilitado para defesa contra um ataque de expansão de entidade XML/Billion laughs. |
| Valor recomendado | falso |
| Valor padrão | verdadeiro |
| Impacto funcional | Se a personalização estiver usando expansão de entidade, Now Platform poderá bloquear o processamento adicional. |
| Risco à segurança | (Crítico) Um invasor pode usar esta vulnerabilidade para expandir os dados de forma exponencial, consumindo rapidamente todos os recursos do sistema. |
| Solução alternativa | Se a personalização exigir expansão da entidade, defina esta propriedade como verdadeira e siga as etapas documentadas na Exigência de validação da entidade XMLdoc2 com expansão da entidade allowlistDisable [Atualizado na Central de segurança 1.3]. |
Para saber mais sobre como adicionar ou criar uma propriedade do sistema, consulte Add a system property.
Para obter mais informações sobre os recursos OWASp, consulte OWASp.