마침표 또는 확장명이 없는 리소스를 보호하는 방법

서블릿과 같은 일부 URL에는 마침표가 없습니다. 확장명이 없는 URL도 있습니다. 두 경우 모두 보안상 위험합니다. 아래에서는 이러한 위험에 대해 단계별로 설명합니다.
casso127kkr
서블릿과 같은 일부 URL에는 마침표가 없습니다. 확장명이 없는 URL도 있습니다. 두 경우 모두 보안상 위험합니다. 아래에서는 이러한 위험에 대해 단계별로 설명합니다.
  1. 환경에 보호된 리소스인 /mydir/servlets 디렉터리가 포함되어 있습니다.
  2. 웹 에이전트는 확장명이 .gif인 리소스에 대한 요청을 무시하도록 구성됩니다.
  3. 권한이 없는 사용자가 다음과 같이 존재하지 않는 파일의 이름과 .gif 확장명을 URL 끝에 추가합니다.
    /mydir/servlets/file.gif
  4. 웹 에이전트는 .gif 확장명을 무시하고 권한이 없는 사용자에게 /mydir/servelets 디렉터리에 대한 액세스 권한을 부여합니다.
보안 위험을 가장 중요하게 생각하는 경우에는 에이전트가 확장명을 무시하도록 설정하면 안 됩니다. 그러나 다음과 같은 결과를 고려해야 합니다.
  • 웹 에이전트가 페이지의 모든 이미지 URL을 평가하므로 성능이 저하될 수 있습니다.
  • 이전에는 인증이 필요 없었던 리소스에 대해 사용자 인증이 요청되므로 웹 사이트의 동작이 변경될 수 있습니다.
다음 옵션은 마침표가 없는 URL을 보호할 때 사용할 수 있습니다.
  • OverrideIgnoreExtFilter 기능을 사용하도록 에이전트를 구성합니다.
  • 보호된 리소스에 웹 에이전트에서 무시하도록 구성된 확장명이 없는지 확인합니다.