SMPのセキュリティダッシュボードで、「クエリパラメータにID/パスワードを渡してのログインの許可」についてエラー表示されている場合は、脆弱性、情報漏洩のリスクがあります。
対策を必要とする場合は、システム設定より変更を行う必要があります。
01クエリパラメータの基礎知識
1.1 クエリパラメータとは
サーバーに情報を共有するため、URLの末尾に付け加える文字列のことです。
通常のURLの末尾に「?」と任意の変数を付与することで、URLクエリパラメータ作成し、サーバーに送信したいデータを付与することが可能となります。
図1.クエリパラメータの見方について |
ログインを行うURLでクエリパラメータにID/PASSの情報を付与した状態で使用することで、ログイン時にID/PASSの入力を省略することも可能になります。
しかし、もしクエリパラメータを使用しログインを行った場合は該当のID/PASSの情報が流出する可能性があり、情報の脆弱性が危ぶまれます。
1.2 SMPでの影響について
ログインURLにクエリパラメータを付与することがSMPでも可能です。
クエリパラメータを付与した場合は、URLにIDとPASSが含まれてしまうため、アクセスログなどから流出する危険性があります。
SMPのログインIDとPASSが流出してしまうと、SMPの管理画面にログインされてしまい悪意のある人が情報の閲覧や、管理画面の操作などを行うことが可能となります。
情報の流出を防ぐため、SMPではクエリパラメータを使用したログインを許可しないようにする設定があります。
02SMPでのクエリパラメータ対策について
SMPではクエリパラメータ対策として、設定[システム設定一覧]から、設定を変更することが可能です。
2.1 設定手順
- 全キャンペーン(青色の画面)>設定[システム設定一覧]をクリック
- 上部にある[編集]をクリック
- 画面内検索で「クエリパラメータ」と検索
- 「クエリパラメータにID/パスワードを渡してのログインの許可」「クエリパラメータにID/パスワードを渡してのログインの許可(サイト認証)」の項目に[0]を入力
- 下部にある[登録]をクリック
2.2 確認
設定完了後は、パラメータを利用しない通常のログインができるか確認を行います。
以下URLのログイン画面より、管理者でのログインが可能か確認を行ってください。
機能 | ログインURL(https://{ドメイン}「ログインURL」) |
---|---|
管理者ログイン機能 |
/public/login |
リードログイン機能 | /public/login /public/mypage/login |
ユーザー認証APIログイン機能 ※ユーザー認証APIを利用している場合はこちらも併せて確認を行ってください。 |
/public/authapi/login/admin /public/authapi/login/visitor /public/authapi/login |
03関連コンテンツ