[サイバー攻撃大辞典 トップへ]

クライアント入力値改ざん


スポンサー リンク

説明


クライアント側で表示される入力フィールドに関して、HTMLファイルを改ざんして入力値を変更してサーバに送信する。
(特に hidden フィールドなど)
クライアント側の入力値チェックは(容易に無効化することが可能であるため)実質的に意味がない場合が多い。
例えばクライアント側で行われるJavaScriptによるチェックはクライアント側でJavaScriptを無効にすることが可能であるため意味が無い。


攻撃例


・HTMLファイルでmax_length指定されているフィールドに関して、指定以上の入力値を設定しサーバ側で誤動作させる。
・hiddenフィールドでセッションIDを記憶している場合、クライアント側でフィールドを偽装してセッションを乗っ取る。


対策


・クライアント側の入力値は原則信用しない。サーバ側でチェックを行う。
例1:セッション管理はセッションクッキーを使用する。
例2:入力値チェックはクライアント側ではなくサーバ側でも行う。


スポンサー リンク






[サイバー攻撃大辞典 トップへ]


本サイト内掲載されている情報は、誰もその正当性は保証しません。独自の調査により判明した事項を記載しており、内容に誤りがある可能性があります。
内容により発生したいかなる損害は誰も補償しません。自己責任で参考として閲覧してください。
本サイト内掲載されている情報は、著作権法により保護されています。いかなる場合でも権利者の許可なくコピー、配布することはできません。 このページはリンクフリーです。(このページへの直接リンクも可能です。) Copyright(c) securitychecklist.net 2917