아파치 406 오류를 계속 반환하는 Google의 openid 구현을 디버깅하는 중 내 호스팅 회사에서 "/ id"가 포함 된 문자열을 GET 매개 변수 (예 : '예')로 전달할 수 없음을 발견했습니다. php? anyattribute = % 2Fid "일단 URL 인코딩 됨).HTTP GET 매개 변수로 "/ id"가 보안 위반이되는 이유는 무엇입니까?
Google 오픈 ID 끝 점이 "/ id"(https://google.com/accounts/o8/id)라는 죽음의 단어를 포함하므로 다소 귀찮습니다. 이로 인해 내 앱이 Google에 로그인 할 때마다 406 오류가 반환됩니다. 나는 이것이 보안 목적으로 비활성화되었다고 말한 나의 호스팅 회사에 연락했다.
대신 POST를 사용할 수 있습니다. 그러나 이것이 보안 문제를 일으킬 수있는 이유를 알 수있는 사람이 있습니까 ???
호스트가 바보가 아닙니다. 문자열 /id에 대한 마법 같은 것은 없습니다.
때때로 사람들은 비열한 분류되고, 내가하면 어떻게되는지 궁금 내 사용자가 id 3을 가지고 있으며, 때문에 example.com/mysensitivedata/id/3/ 내 데이터를 표시되도록 아무도, 다음 무엇을 생각하려고하지 않습니다 가정처럼, 문자열 /id와 바보 같은 짓을합니까 example.com/mysensitivedata/id/4/으로 이동하면 사이트가 맹목적으로 나를 통해 다른 사람의 콘텐츠를 볼 수 있습니다.
공격으로 인해 사이트가 손상된 경우 주최자가 아무리 도움을 받더라도 도움이되지 않습니다.
URL의 단순한 ID가 보안 문제 일 수있는 한 가지 이유는 사용자가 자신의 ID를보고 정수를 다음 정수를 선택할 가능성이있는 다른 ID를 볼 수 있고 잠재적으로 다른 ID를 볼 수 있기 때문입니다 사용자 정보가 보호되지 않은 경우
당신은 모두 똑같은 답변을하고 있습니다. 그래서 나는이 특정 기능을 사용 중지하도록 합리적으로 요청할 수 있다고 생각합니다. 대단히 감사합니다 !! – ccazette
다시 호스팅 업체에 연락하여 문제에 대한 자세한 내용을 요청하지 않는 이유는 무엇입니까? – Anax
호스팅 회사에 왜 이것이 * 문제라고 생각하는지 설명하도록 요청 했습니까? 그들이 당신에게 그것을 설명 할 수 없다면, 왜 그들이 그것을하고 있는지 알지 못합니다, 이것은 아마도 그들이 더 일반적인 의미에서 무엇을하고 있는지를 알지 못함을 암시합니다. 이 경우 다른 회사로 이전하는 것이 좋습니다. – NickFitz
글쎄, 그들은 방금 보안 모듈로 http://www.modsecurity.org/를 사용하고 그 문서에보고해야한다고 대답했다. 그래서 내가 생각하는이 모듈을 사용하는 호스팅 회사를 가진 사람에게 일어날 수 있습니다. 기술적 인 사람과 이야기를 나눴는지 잘 모르겠지만, 어쨌든 지금 대답을 얻었고이 특정 기능을 사용 중지하도록 요청할 것입니다. 모두에게 감사드립니다! – ccazette