Я запускаю проверку безопасности на веб-сайте Cake PHP 3, и одной из проблем, о которых он сообщает, является тот факт, что вы можете обнаружить правильный путь, отправляя неаутентифицированные запросы.
Средство сканирования использует библиотеку общих имен и отправляет запросы по URL-адресам, таким как https://example.com/admin.. При этом CakePHP определяет / admin как допустимый путь, а затем перенаправляет пользователя на экран входа с 302 и с путем, переданным на URL, чтобы пользователь мог быть перенаправлен на нужную страницу после входа в систему.
Для неверного пути CakePHP возвращает 404.
То, что я хочу сделать, это вернуть 403 в обоих случаях, не давая возможности определить правильный путь.
Кто-нибудь может предложить лучший способ достичь этого?
Спасибо