目次
このページのトピック
Open Redirectポリシーを設定する
新しいOpen Redirectルールを追加する
Open Redirectルールを削除する
Open Redirectイベント
Open Redirectイベントを管理する

オープンリダイレクト

オープンリダイレクト攻撃は、リダイレクト先を検証せずにユーザを新しいWebサイトにリダイレクトするフィッシング攻撃でよく使用されます。Application Security は、明示的に許可したリダイレクトのみを許可することでアプリケーションを保護します。

Open Redirectポリシーを設定する

  1. グループを選択します。
  2. 左側のペインのメニューで、グループポリシーアイコンをクリックします。
  3. Open Redirectであることを確認します。
  4. 状態を Reportに設定します。これにより、要求をブロックせずにイベントがトリガされるため、アプリケーションを実行して、 Open Redirect イベントをトリガする予期される動作を確認できます。
  5. ページの右側で、ポリシーの設定アイコンをクリックします。

  6. Redirect Controls がデフォルトのルール *://*です。

    *://* は、初期設定で Blockに設定されています。完全修飾ドメインリダイレクトはブロックされますが、相対リダイレクトはブロックされません。

  7. Open Redirect Policy Configuration ウィンドウを閉じます。

    スクリーンショット

  8. アプリケーションに移動して、処理するように設計されたさまざまなシナリオで使用します。

  9. Application Security ダッシュボードで、[Events]ページに Open Redirect イベントがないか確認します。トリガされた場合は、「Open Redirectイベントの管理」の手順に従います。
  10. ポリシーの設定に問題がなく、予期した動作によってイベントがトリガされなくなった場合は、 Your Group > Policies > Open Redirectに移動します。
  11. Open Redirectの右側で、状態を Mitigateに設定します。ルールが実行されると、試行がブロックされ、 Open Redirect イベントがダッシュボードに表示されます。

新しいOpen Redirectルールを追加する

ポリシールールはトップダウンで処理され、一致するルールが適用されます。したがって、すべての Allow ルールは、 Block ルールよりも上に配置する必要があります。

  1. [ Open Redirect Policy Configuration ]画面の右側にある[ Add new rule ]ボタンを選択します。
  2. [ Enter a pattern to match ] で、URLに一致するglobパターンを入力します。
  3. [ Enter text to preview match ] で、保護する実際のURLを入力します。上記で入力したグロブパターンが正しいパターンであり、URLを含んでいる場合、URLは[ Results ]の下で緑色で強調表示されます。URLがグレーの場合は、グロブパターンを修正してください。

  4. [ Submit ]を選択してルールを保存します。初期設定では、ルールは _Allow_に設定されます。

    スクリーンショット

Open Redirectルールを削除する

  1. 削除するルールを含む行で、 X アイコンを選択します。
    スクリーンショット
  2. [ Save Changes ]を選択してウィンドウを閉じます。

Open Redirectイベント

Open Redirect イベントは、 Events のダッシュボードまたは各グループのダッシュボードに表示されます。

すべてのイベントには、そのイベントに関する一般的な情報を示す Request Details パネルがあります。詳細については、「 Manage Events」を参照してください。

[ Redirect Details]に、次の情報が表示されます。

  • Trigger: Open Redirect イベントがトリガされた理由
  • Matched rule:一致し、 Open Redirect イベントをトリガしたルール

  • Target URL:リダイレクトしようとしているURL

    スクリーンショット

Open Redirectイベントを管理する

Application Security が Open Redirect イベントをレポートしている場合:

  • [イベントの詳細]パネルの右上隅で、[ View Stack ]を選択して、コード内で攻撃が利用された場所を確認します。 Open Redirect 攻撃が今後利用されないようにコードを変更してください。

  • アプリケーションの予期される動作によってイベントがトリガされ、コードを変更せずにその動作を許可する場合は、[ Click to Manage Policy]を選択します。[ Alert ]セクションで、対象パスと、イベントをトリガした既存のルールを確認できます。[ Insert as rule above matched rule ]を選択すると、URLのグロブパターンが自動的に追加されます。これにより、許可ルールが作成されます。グロブパターンを編集する場合は、完了したら、 Customize ruleSubmit を選択します。

    スクリーンショット