この製品はポリシーの名前空間を定義し、URLが正規のものであるという仮定に基づいて認可の決定を行う。このため、正規でないURLは認可をバイパスすることができる。
アプリケーションがポリシーの名前空間を定義し、URL に基づいて認可決定を行うが、認可決定を行う前に正規の URL を要求しないか、あるいは正規の URL に変換しない場合、アプリケーションを攻撃される可能性があります。例えば、アプリケーションが http://www.example.com/mypage へのアクセスだけを許可したい場合、攻撃者は以下のような等価な URL を使ってこの制限を迂回できるかもしれません:
したがって、すべての代替エンコーディングが拒否された、ある標準的な形式のパス情報に基づくアクセス制 御ポリシーを指定することが重要です(これはデフォルトの拒否ルールで実現できます)。
The product defines policy namespaces and makes authorization decisions based on the assumption that a URL is canonical. This can allow a non-canonical URL to bypass the authorization.
If an application defines policy namespaces and makes authorization decisions based on the URL, but it does not require or convert to a canonical URL before making the authorization decision, then it opens the application to attack. For example, if the application only wants to allow access to http://www.example.com/mypage, then the attacker might be able to bypass this restriction using equivalent URLs such as:
Therefore it is important to specify access control policy that is based on the path information in some canonical form with all alternate encodings rejected (which can be accomplished by a default deny rule).