リクエストに含まれるURLの正規化ポリシーを設定することで、パストラバーサル攻撃からWebサイトを保護します。
URLの正規化ポリシーは、URLのデコード方法である URLデコードと Unicodeデコードを可能にします。復号化は、URLに悪意のあるコードを隠して、セキュリティを奪います。
- URLデコード:URL内のスペースやその他の文字を変換します。そのため、フォームデータを読み取るプログラムを異なるセキュアな文字と混同する可能性があります。
- Unicodeデコード:プラットフォーム、プログラム、および言語に関係なく、URLにあるすべての文字に一意の番号が与えられます。
パストラバーサルまたは、パス・ディスクロージャ攻撃は、巧妙に細工された URIを使用して Webサイトを悪用します。このURLの正規化ポリシーは、パス(./)を表す文字を削除し、パス開示攻撃を減らします。
| 項目名 | 内容 |
|---|---|
| デフォルト文字セット | Webサイトが使用している文字コードに変更します。(必ずご変更ください) インバウンドリクエストの文字コードが他の方法で認識不可の場合、指定されたデフォルト文字コードが使用されます。 |
| レスポンス文字セットの検出 | 文字セットを検知するためフォームに新しいパラメータを挿入し、フォームが送信された際に正規の文字セットを認識します。 値:はい / いいえ 推奨: いいえ |
| パラメータセパレータ | フォームパラメータは一般的に「&」で区切られますが、アプリケーションにより「;」も使用できます。 値:アンパサンドとセミコロン、アンパサンドのみ、セミコロンのみ 推奨: アンパサンドのみ |
| ダブルデコードの適用 | 通常のURL正規化の完了後に文字セットのデコードを検出するには、「はい」に設定します。 デコードに失敗すると、要求はアクティブモードでブロックされ、ログは「基本設定」>「Webファイアウォールログ」ページで生成されます。 パッシブモードでは、要求は許可され、ログも生成されます。 「いいえ」に設定すると、二重デコード検出が無効になります。 推奨:いいえ |