.htaccess ファイルの LIMIT ディレクティブの不適切な構成

medium Web App Scanning プラグイン ID 98095

概要

.htaccess ファイルの LIMIT ディレクティブの不適切な構成

説明

Web サーバーで使用できる HTTP メソッドはいくつもあります (「OPTIONS」、「HEAD」、「GET」、「POST」、「PUT」、「DELETE」など)。これらのメソッドはそれぞれ異なる機能を実行し、Web サーバーでの使用が許可されている場合に、それぞれ関連するレベルのリスクがあります。

Apache の「.htaccess」ファイル内の「<Limit>」ディレクティブを使用して、管理者はブロックしたいメソッドを定義できます。ただし、これはブラックリスト化のアプローチであるため、サーバー管理者が誤って特定の HTTP メソッドのブロックのために追加し忘れ、アプリケーションやサーバーに対するリスクのレベルを増大させる可能性があります。

ソリューション

推奨される構成は、「<LimitExcept>」ディレクティブを利用して、認証されていない HTTP メソッドの使用を防ぐことです。
このディレクティブは、ホワイトリストアプローチを使用して HTTP メソッドを許可する一方で、ディレクティブにリストされていない他のすべてをブロックします。このため、メソッドの改ざんの試みがブロックされます。
ほとんどの場合、ほとんどのシナリオで必要な HTTP メソッドは「GET」と「POST」のみです。これらの HTTP メソッドを許可するサンプルは、次のとおりです。`<LimitExcept POST GET> valid-user が必要 </LimitExcept>`

参考資料

http://httpd.apache.org/docs/2.2/mod/core.html#limit

プラグインの詳細

深刻度: Medium

ID: 98095

タイプ: remote

ファミリー: Web Servers

公開日: 2017/3/31

更新日: 2024/6/10

スキャン テンプレート: api, basic, full, pci, scan

リスク情報

VPR

リスクファクター: Low

スコア: 2.5

CVSS v2

リスクファクター: Medium

基本値: 6.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N

CVSS スコアのソース: Tenable

CVSS v3

リスクファクター: Medium

基本値: 6.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

CVSS スコアのソース: Tenable

参照情報