403 から 404 へのリダイレクト

403 HTTP ステータスリターンコードを 404 にリダイレクトします

なぜ？

403 (禁止) HTTP ステータス コードは正しいパスに関する手がかりを与えますが、それにアクセスする権限がありません。これにより、ファイル/フォルダーが存在し、制限されていることが確認されます。

したがって、403 を使用すると、ハッカーはファイル システムの構造とセキュリティの脆弱性の余地についてさらに知ることができます。

推測の余地がないように、403 リターン コードを 404 (見つからない) にリダイレクトすることをお勧めします。これは、決済業界やトランザクション アプリケーションの制作システムでの実装を求められることがよくあります。

これを行うには複数の方法がありますが、ここでは Apache HTTP と Nginx で行う方法について説明しました。

注: 変更する前に、必要な構成ファイルのバックアップを作成してください。そして、可能であれば、最初に非実稼働環境でテストしてください。

アパッチHTTP

これを実現するには、 ErrorDocument ディレクティブ を使用します。

• 404 で提供される DocumentRoot レベルでファイルを作成します。
• ファイルに「404」という名前を付けましょう
• httpd.conf ファイルに以下を追加します

 ErrorDocument 403 /404 

上記では、403 が発生するたびに /404 ファイルを提供するように Apache に指示しています。

• 設定ファイルを保存し、Apache を再起動してテストします。

Nginx

これを行うには、 error_page ディレクティブを使用しましょう

• 404.html という名前のファイルを作成します。
• Nginx 設定ファイルの server セクションに以下を追加します

 error_page 404 /404.html;
error_page 403 =404 /404.html; 

上記の最初の行では、ファイルが見つからない場合は常に Nginx が /404.html を提供し、2 行目では、要求されたリソースが 403 を返すたびに /404.html が提供されます。

ワードプレス

Custom Error Pages プラグインを使用すると、ステータス コード 401 および 403 のカスタム ページをセットアップできます。

これがお役に立てば幸いです。 Web セキュリティの学習に興味がある場合は、この コース をチェックすることをお勧めします。