0
OWASP Top 10 Listによれば、安全でない直接オブジェクト参照を防止する1つの方法は、間接参照のみを提供することです。これらは、サーバ上の直接(例えば、DB)参照にマッピングされる人工参照である。マッピングはセッションに格納されます。安全でない直接オブジェクト参照と検索エンジン
残念ながら、このソリューションはあまり検索エンジンにはあまり役に立ちません。クローラによって保存されたリンクは、別のセッションで無効になります。
この問題を回避する方法はありますか?参照のマッピングやオブジェクトへのアクセスの確認以外にも、他に解決策がありますか?
「安全でない参照」で同じことを理解するかどうかはわかりません。非公開の参照は、公開されていないオブジェクトを指すように、簡単に変更できる公開参照です。例えば。ウェブサイトには2つの記事があります。つまり、ID 12の記事Aは公開、ID 43の記事Bは非公開です。それ以上の予防措置がない場合、パブリック(クロールされた)URL/article?id = 12は、安全性の低い参照を使用します。 – raymi
id = 12は公開されているため、安全ではありません。 id = 43しかし、その文書は公開されていないため、安全ではありません。公開ページと非公開ページでページを分割します。パブリックオブジェクトは、独自のID範囲を持つ必要があります(たとえば、プライマリキーとドキュメントのIDを持つテーブルを使用します)。プライベートページでは、Owaspドキュメントに記載されている手法を使用できるようになりました。また、権限のないユーザーがそのページにアクセスするのを防ぐために追加の保護を設定することもできます。 – Steven
よろしくお願いします。しかし、id範囲を分割することで、一種のアクセス制御が導入されています。とにかく何らかの形のアクセス制御を実装しなければならないとすれば、なぜ間接参照を使用したいのですか?追加の利点はありますか? – raymi