get_image_data?image=<ID>.jpg、composer.json、composer.lockのアクセス権

example.com/tools/required/dashboard/get_image_data?image=20230613.jpg
上記のファイルについて、アクセスするタイミングにより末尾のパラメーターが変化しますが、外部からusernameなどの情報が閲覧でき脆弱性に危険があるとBurpで診断されました。

アクセス権がrw-r–r–(644)を640など外部からアクセスできない設定に変更しても問題ありませんでしょうか。

同様にルートディレクトリにあるcomposer.json、composer.lockも640に変更して問題ありませんでしょうか。

ログイン画面の背景に表示される画像の情報を取得するAPIですので、特にサイト内部の情報が取得できる機能ではありません。ツールの誤検知ということで無視して良いと思います。

composer.json, composer.lock は消しても動作に支障はありません。

理解しました！早速のご回答をありがとうございます！