期間や拡張のないリソースを保護する方法

サーブレットなど、期間のない URL があります。拡張のない URL もあります。これらの状況は両方ともセキュリティ リスクをもたらします。以下の手順で、これらのリスクを実証します。
casso11jp
サーブレットなど、期間のない URL があります。拡張のない URL もあります。これらの状況は両方ともセキュリティ リスクをもたらします。以下の手順で、これらのリスクを実証します。
  1. 使用している環境には、保護されたリソースである、/mydir/servlets というディレクトリが含まれています。
  2. Web エージェントは拡張子が .gif のリソースに対する要求を無視するように設定されています。
  3. 不正なユーザが、以下の例に示されるように URL の最後に拡張子 .gif と共に架空のファイルの名前を追加します。
    /mydir/servlets/file.gif
  4. Web エージェントは拡張子 .gif を無視し、不正なユーザに /mydir/servelets ディレクトリへのアクセス権を与えます。
セキュリティのリスク回避が最優先事項である場合、エージェントがどの拡張子も無視できないようにしてください。その際、次のような結果が生じることを考慮してください。
  • Web エージェントがページ上にあるイメージの URL をすべて評価するので、パフォーマンスが低下することがあります。
  • 以前は認証が不要だったリソースに関してユーザが認証を要求されることがあるため、Web サイトの動作が変わることがあります。
期間がない URL を保護するには、以下のオプションがあります。
  • OverrideIgnoreExtFilter 機能を使用するよう、エージェントを設定します。
  • 保護されているリソースに、Web エージェントが無視するよう設定されている拡張子が付いていないことを確認します。