.htaccess 檔案的 LIMIT 指示詞中的設定錯誤

medium Web App Scanning Plugin ID 98095

語系：

概要

說明

有多種 HTTP 方法可用於 Web 伺服器 (例如「OPTIONS」、「HEAD」、「GET」、「POST」、「PUT」、「DELETE」等等)。這些方法中的每一個皆執行不同的功能，且當允許在 Web 伺服器上使用時，每個方法都有相關的風險等級。

Apache「.htaccess」檔案內的「<Limit>」指示詞讓管理員能夠定義他們想要封鎖的方法。不過，由於這是列入黑名單的方法，伺服器管理員難免會意外遺漏新增要封鎖的某些 HTTP 方法，進而增加應用程式和/或伺服器的風險等級。

解決方案

偏好的設定是透過使用「<LimitExcept>」指示詞來防止使用未經授權的 HTTP 方法。
此指示詞使用列入白名單的方法來允許 HTTP 方法，同時封鎖指示詞中未列出的所有其他方法，因此這也會封鎖任何竄改方法的嘗試。
最常見的情況是，大多數情形下唯一需要的 HTTP 方法是「GET」和「POST」。允許這些 HTTP 方法的範例如下：`<LimitExcept POST GET> require valid-user </LimitExcept>`