Apache “为什么会?”/id";作为HTTP GET参数是否会违反安全性?
在尝试用Google调试openid实现时(Google不断返回Apache 406错误),我最终发现托管公司不允许将包含“/id”的字符串作为GET参数传递(URL编码后类似于“example.php?anyattribute=%2Fid”) 这相当烦人,因为谷歌openid端点包含了这个死亡单词“/id”(),所以每次我登录谷歌时,我的应用程序都会返回406个错误。我联系了我的托管公司,他们告诉我,出于安全目的,这已被停用Apache “为什么会?”/id";作为HTTP GET参数是否会违反安全性?,apache,hosting,web-hosting,security,Apache,Hosting,Web Hosting,Security,在尝试用Google调试openid实现时(Google不断返回Apache 406错误),我最终发现托管公司不允许将包含“/id”的字符串作为GET参数传递(URL编码后类似于“example.php?anyattribute=%2Fid”) 这相当烦人,因为谷歌openid端点包含了这个死亡单词“/id”(),所以每次我登录谷歌时,我的应用程序都会返回406个错误。我联系了我的托管公司,他们告诉我,出于安全目的,这已被停用 我当然可以用POST来代替。但是有人知道为什么这会导致安全问题吗?U
我当然可以用POST来代替。但是有人知道为什么这会导致安全问题吗?URL中的一个简单ID可能会引起安全问题的一个原因是,用户可以看到自己的ID,然后键入另一个ID,例如如果它是一个整数,他们可以向上选择下一个整数,如果URL中的简单ID不受保护,则可能会看到其他用户的信息。URL中的简单ID可能会引起安全问题的一个原因是,用户可以看到他们的ID,然后键入另一个ID,例如,如果它是一个整数,他们可能会向上选择下一个整数,如果它不受保护,则可能会看到其他用户的信息。,你的主人太蠢了。字符串
/id/idexample.com/mysensitedata/id/3/idexample.com/mysensitedata/id/4/如果这种攻击破坏了你的网站,你的主机再多的娇惯也帮不了你。不行,你的主机太蠢了。字符串
/id/idexample.com/mysensitedata/id/3/idexample.com/mysensitedata/id/4/如果这种攻击破坏了你的网站,你的主机再多的娇惯也帮不了你。为什么不再次联系你的主机公司,要求提供更多关于这个问题的详细信息?你有没有要求主机公司解释为什么他们认为这是个问题?如果他们不能向你解释,那么他们不知道为什么要这样做,这表明他们可能不知道从更一般的意义上说他们在做什么;在这种情况下,你可能会考虑搬到另一个公司。他们只是回答了他们作为他们的安全模块,我应该报告它的文档。所以,我想,任何一个使用这个模块的托管公司都可能发生这种情况。我不确定我是否和技术人员谈过,但无论如何,我想我现在得到了答案,并将要求他们禁用此特定功能。谢谢大家!为什么不再次联系您的托管公司,并要求提供有关该问题的更多详细信息?您是否要求托管公司解释为什么他们认为这是一个问题?如果他们不能向你解释,那么他们不知道为什么要这样做,这表明他们可能不知道从更一般的意义上说他们在做什么;在这种情况下,你可能会考虑搬到另一个公司。他们只是回答了他们作为他们的安全模块,我应该报告它的文档。所以,我想,任何一个使用这个模块的托管公司都可能发生这种情况。我不确定我是否和技术人员谈过,但无论如何,我想我现在得到了答案,并将要求他们禁用此特定功能。谢谢大家!你们的回答是一样的,所以我想我可以合理地要求他们禁用这个特定功能。。。非常感谢你!!你们的回答是一样的,所以我想我可以合理地要求他们禁用这个特定功能。。。非常感谢你!!