Q&A
ご返信遅れてしまい申し訳ありません。
ockeghemさんのご指摘部分に注意しつつ、貼って頂きました、「1-5. hiddenは危険(セッション変数を利用しよう)」こちらのリンク先を読んでいきたいと思います。
安全なwebアプリケーションの作り方第2版の3章を読んでいたのですが、疑問な点があった為、質問させて貰いました。
具体的には、input.phpのform内のテキストボックスやラジオボタンで何かを入力し、それをconfirm.phpへpost送信する際、OWASP ZAPというプロキシツールで入力したテキストボックスの値やラジオボタンの値を書き換えることができてしまいます。
自分は、これらの書き換えは「hidden」パラメータでなければ書き換えられないと思っていたのですが、書き換えられるということはhiddenパラメータ以外でも書き換えなどを許してしまうということなのでしょうか...?
どうも、hiddenパラメータは書き換えが可能で危険だとの情報を目にすることが多かった為、何故hiddenパラメータばかり着目されるんだろうといった点も疑問な点ではありました...
回答3件
0
ベストアンサー
自分は、これらの書き換えは「hidden」パラメータでなければ書き換えられないと思っていたのですが、書き換えられるということはhiddenパラメータ以外でも書き換えなどを許してしまうということなのでしょうか...?
はい。hiddenであってもそうでなくても、POSTの際には同様に送信されますので、同じやり方で書き換えが可能です。
投稿2019/09/24 05:50
総合スコア145973
0
以下のポイントに絞って回答します。
どうも、hiddenパラメータは書き換えが可能で危険だとの情報を目にすることが多かった為、何故hiddenパラメータばかり着目されるんだろうといった点も疑問な点ではありました...
そのものずばり、「hiddenは危険」という記事がIPAから公開されていたからだと思います。現在はアーカイブ扱いですが、以下から読むことができます。
「hiddenは危険」という見出しの記事が、ほかならぬIPAから公開されていたわけで、その影響力は絶大であったと思います。
しかしながら、この記事、よく読むとツッコミどころ満載です。つまるところサンプルプログラムの問題は、適切なアクセス制御ができていないことが問題で、そこを区別することなく、hiddenそのものが危険という誤った印象を与えてしまいました。
私の本をお読みいただいているとのことですが、当該の箇所は、前述の「hiddenに対する誤った印象」を払拭することも念頭において書いたものです。
投稿2019/09/24 12:29
編集2019/09/24 12:36
総合スコア11705
0
受ける側の仕組み次第
バリデートして通過したデータは普通はセッションに入れ込んじゃいます
そこに供するたデータが送られてきたとき、上書きするか無視するかによって処理が違います
投稿2019/09/24 06:04
総合スコア116690
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2019/09/24 05:53
2019/09/24 09:51 編集