質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.01%

hiddenパラメータ以外の書き換えについて

解決済

回答 3

投稿 編集

  • 評価
  • クリップ 1
  • VIEW 223

aae_11

score 72

安全なwebアプリケーションの作り方第2版の3章を読んでいたのですが、疑問な点があった為、質問させて貰いました。
具体的には、input.phpのform内のテキストボックスやラジオボタンで何かを入力し、それをconfirm.phpへpost送信する際、OWASP ZAPというプロキシツールで入力したテキストボックスの値やラジオボタンの値を書き換えることができてしまいます。
自分は、これらの書き換えは「hidden」パラメータでなければ書き換えられないと思っていたのですが、書き換えられるということはhiddenパラメータ以外でも書き換えなどを許してしまうということなのでしょうか...?
どうも、hiddenパラメータは書き換えが可能で危険だとの情報を目にすることが多かった為、何故hiddenパラメータばかり着目されるんだろうといった点も疑問な点ではありました...

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 3

checkベストアンサー

+4

自分は、これらの書き換えは「hidden」パラメータでなければ書き換えられないと思っていたのですが、書き換えられるということはhiddenパラメータ以外でも書き換えなどを許してしまうということなのでしょうか...?

はい。hiddenであってもそうでなくても、POSTの際には同様に送信されますので、同じやり方で書き換えが可能です。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2019/09/24 14:53

    > 何故hiddenパラメータばかり着目されるんだろう

    hidden以外はユーザー入力を受け付けるものですので、「正常な動作でも変わりうる」ものです。一方で、hiddenはふつうのユーザー操作では書き換わらないので、「書き換えられる」ことを想定せずにプログラムを組んでしまうことがありえます。

    キャンセル

  • 2019/09/24 18:50 編集

    ご回答どうもです!
    >hiddenはふつうのユーザー操作では書き換わらないので、「書き換えられる」ことを想定せずにプログラムを組んでしまうことがありえます。
    ここの部分非常に納得できました!

    キャンセル

+1

以下のポイントに絞って回答します。

どうも、hiddenパラメータは書き換えが可能で危険だとの情報を目にすることが多かった為、何故hiddenパラメータばかり着目されるんだろうといった点も疑問な点ではありました...

そのものずばり、「hiddenは危険」という記事がIPAから公開されていたからだと思います。現在はアーカイブ扱いですが、以下から読むことができます。

1-5. hiddenは危険(セッション変数を利用しよう)

「hiddenは危険」という見出しの記事が、ほかならぬIPAから公開されていたわけで、その影響力は絶大であったと思います。

しかしながら、この記事、よく読むとツッコミどころ満載です。つまるところサンプルプログラムの問題は、適切なアクセス制御ができていないことが問題で、そこを区別することなく、hiddenそのものが危険という誤った印象を与えてしまいました。

私の本をお読みいただいているとのことですが、当該の箇所は、前述の「hiddenに対する誤った印象」を払拭することも念頭において書いたものです。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2019/09/27 15:22

    ご返信遅れてしまい申し訳ありません。
    ockeghemさんのご指摘部分に注意しつつ、貼って頂きました、「1-5. hiddenは危険(セッション変数を利用しよう)」こちらのリンク先を読んでいきたいと思います。

    キャンセル

0

受ける側の仕組み次第

バリデートして通過したデータは普通はセッションに入れ込んじゃいます
そこに供するたデータが送られてきたとき、上書きするか無視するかによって処理が違います

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.01%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる