.htaccess ファイルの LIMIT ディレクティブの不適切な構成

medium Web App Scanning プラグイン ID 98095

Language:

概要

説明

Web サーバーで使用できる HTTP メソッドはいくつもあります (「OPTIONS」、「HEAD」、「GET」、「POST」、「PUT」、「DELETE」など)。これらのメソッドはそれぞれ異なる機能を実行し、Web サーバーでの使用が許可されている場合に、それぞれ関連するレベルのリスクがあります。

Apache の「.htaccess」ファイル内の「<Limit>」ディレクティブを使用して、管理者はブロックしたいメソッドを定義できます。ただし、これはブラックリスト化のアプローチであるため、サーバー管理者が誤って特定の HTTP メソッドのブロックのために追加し忘れ、アプリケーションやサーバーに対するリスクのレベルを増大させる可能性があります。

ソリューション

推奨される構成は、「<LimitExcept>」ディレクティブを利用して、認証されていない HTTP メソッドの使用を防ぐことです。
このディレクティブは、ホワイトリストアプローチを使用して HTTP メソッドを許可する一方で、ディレクティブにリストされていない他のすべてをブロックします。このため、メソッドの改ざんの試みがブロックされます。
ほとんどの場合、ほとんどのシナリオで必要な HTTP メソッドは「GET」と「POST」のみです。これらの HTTP メソッドを許可するサンプルは、次のとおりです。`<LimitExcept POST GET> valid-user が必要 </LimitExcept>`