トップページ サービスの詳細 セキュリティ情報 購読の申し込み
HotFix Report
/セキュリティ用語/

■Hidden Manipulation/Hidden Field Manipulation
 HTMLのhiddenフィールドを改ざんする攻撃手法。

 hiddenフィールドは、Webブラウザ上では表示されないことから、複数Webページ間のデータ受け渡しに利用される。例えば、ユーザー認証の結果をhiddenフィールドに埋め込み、そこを参照して認証済みユーザーにのみページを表示するといった処理を実現することが可能になる。またショッピング・サイトでは、購入した商品の価格や数量をhiddenフィールドに埋め込むことで、複数のWebページにまたがった買い物を、最後に一括で処理するといった使われ方も可能だ。

 しかし、hiddenフィールドは、表示されないだけで、Webブラウザに値が送られている。そのため、HTMLソースを開くことで、hiddenフィールドの値を参照したり、改ざんしたりすることができてしまう。このようなWebサイトを見つけ、hiddenフィールドの値を改ざんするなどする攻撃を「Hidden Manipulation」または「Hidden Field Manipulation」と呼ぶ。

 Hidden Manipulationを防ぐには、データの受け渡しにhiddenフィールドを使わずに、セッション変数を利用すればよい。

 
 
Copyright (C) Digital Advantage Corp.
無断で複製・再配信などを行うことはできません。

HotFix Reportでは、細心の注意を払って情報提供を行っておりますが、本サービスにおける情報の正確性、最新性、適切性などについて、明示的又は黙示的な保証を行いません。また本サービスの停止や欠陥、それらに起因して発生する損失や損害について、一切責任を負いません。