リクエストに含まれるURLの正規化ポリシーを設定することで、パストラバーサル攻撃からWebサイトを保護します。
URLの正規化ポリシーは、URLのデコード方法である URLデコードと Unicodeデコードを可能にします。復号化は、URLに悪意のあるコードを隠して、セキュリティを奪います。
- URLデコード:URL内のスペースやその他の文字を変換します。そのため、フォームデータを読み取るプログラムを異なるセキュアな文字と混同する可能性があります。
- Unicodeデコード:プラットフォーム、プログラム、および言語に関係なく、URLにあるすべての文字に一意の番号が与えられます。
パストラバーサルまたは、パス・ディスクロージャ攻撃は、巧妙に細工された URIを使用して Webサイトを悪用します。このURLの正規化ポリシーは、パス(./)を表す文字を削除し、パス開示攻撃を減らします。
| 項目名 | 内容 |
|---|---|
| デフォルト文字セット | Webサイトが使用している文字コードに変更します。(必ずご変更ください) インバウンドリクエストの文字コードが他の方法で認識不可の場合、指定されたデフォルト文字コードが使用されます。 |
| レスポンス文字セットの検出 | 文字セットを検知するためフォームに新しいパラメータを挿入し、フォームが送信された際に正規の文字セットを認識します。推奨: いいえ |
| パラメータセパレータ | フォームパラメータは一般的に「&」で区切られますが、アプリケーションにより「;」も使用できます。推奨: アンパサンドのみ |
| ダブルデコードの適用 | URLデコード(%XX シーケンスを用いる)に適用されます。推奨: いいえ |