■Hidden Manipulation/Hidden Field Manipulation
HTMLのhiddenフィールドを改ざんする攻撃手法。
hiddenフィールドは、Webブラウザ上では表示されないことから、複数Webページ間のデータ受け渡しに利用される。例えば、ユーザー認証の結果をhiddenフィールドに埋め込み、そこを参照して認証済みユーザーにのみページを表示するといった処理を実現することが可能になる。またショッピング・サイトでは、購入した商品の価格や数量をhiddenフィールドに埋め込むことで、複数のWebページにまたがった買い物を、最後に一括で処理するといった使われ方も可能だ。
しかし、hiddenフィールドは、表示されないだけで、Webブラウザに値が送られている。そのため、HTMLソースを開くことで、hiddenフィールドの値を参照したり、改ざんしたりすることができてしまう。このようなWebサイトを見つけ、hiddenフィールドの値を改ざんするなどする攻撃を「Hidden
Manipulation」または「Hidden Field Manipulation」と呼ぶ。
Hidden Manipulationを防ぐには、データの受け渡しにhiddenフィールドを使わずに、セッション変数を利用すればよい。
|