リクエストに含まれるURLの正規化ポリシーを設定することで、パストラバーサル攻撃からWebサイトを保護します。
...
パストラバーサルまたは、パス・ディスクロージャ攻撃は、巧妙に細工された URIを使用して Webサイトを悪用します。このURLの正規化ポリシーは、パス(./)を表す文字を削除し、パス開示攻撃を減らします。
| 項目名 | 内容 |
|---|---|
| デフォルト文字セット | Webサイトが使用している文字コードに変更します。(必ずご変更ください) インバウンドリクエストの文字コードが他の方法で認識不可の場合、指定されたデフォルト文字コードが使用されます。 |
| レスポンス文字セットの検出 | 文字セットを検知するためフォームに新しいパラメータを挿入し、フォームが送信された際に正規の文字セットを認識します。 値:はい / いいえ 推奨: いいえ |
| パラメータセパレータ | フォームパラメータは一般的に「&」で区切られますが、アプリケーションにより「;」も使用できます。 値:アンパサンドとセミコロン、アンパサンドのみ、セミコロンのみ 推奨: アンパサンドのみ |
| ダブルデコードの適用 | 通常のURL正規化の完了後に文字セットのデコードを検出するには、「はい」に設定します。 デコードに失敗すると、要求はアクティブモードでブロックされ、ログは「基本設定」>「Webファイアウォールログ」ページで生成されます。 パッシブモードでは、要求は許可され、ログも生成されます。 「いいえ」に設定すると、二重デコード検出が無効になります。 値:はい / いいえ 推奨:いいえ |
...