■Hidden Manipulation／Hidden Field Manipulation
　HTMLのhiddenフィールドを改ざんする攻撃手法。

　hiddenフィールドは、Webブラウザ上では表示されないことから、複数Webページ間のデータ受け渡しに利用される。例えば、ユーザー認証の結果をhiddenフィールドに埋め込み、そこを参照して認証済みユーザーにのみページを表示するといった処理を実現することが可能になる。またショッピング・サイトでは、購入した商品の価格や数量をhiddenフィールドに埋め込むことで、複数のWebページにまたがった買い物を、最後に一括で処理するといった使われ方も可能だ。

　しかし、hiddenフィールドは、表示されないだけで、Webブラウザに値が送られている。そのため、HTMLソースを開くことで、hiddenフィールドの値を参照したり、改ざんしたりすることができてしまう。このようなWebサイトを見つけ、hiddenフィールドの値を改ざんするなどする攻撃を「Hidden Manipulation」または「Hidden Field Manipulation」と呼ぶ。

　Hidden Manipulationを防ぐには、データの受け渡しにhiddenフィールドを使わずに、セッション変数を利用すればよい。