アプリケーションの攻撃パターン - 2) hiddenフィールドの不正操作 | AppScan

資料ダウンロード

アプリケーションの攻撃パターン - 2) hiddenフィールドの不正操作

Hiddenフィールドとは、Webブラウザの画面には表示されないHTMLフォーム項目です。画面には表示されないですが、Webブラウザからリクエストを送信するときに一緒に送信される仕組みです。この値は通常変更されることがないため、複数のWebページをまたがって情報を保持するために利用されます。

よくある使用例としては、ショッピングサイトにおいて商品の価格をHiddenフィールドに埋め込むといった方法です。しかし、この情報はHTMLソースを表示すれば誰にでも参照可能で、容易に改ざんも可能なのです。実際、商品価格をHiddenフィールドに埋め込んでいたショッピングサイトにおいて、値を改ざんされたために通常価格よりも安い値段で商品を出荷してしまった事例が過去にたくさん報道されています。
以下に、具体的な手口を図解します。

右図は、デモサイトにてカメラが40ドルで販売されているWebページです。(図2-1)

このページをHTMLソース表示にすると、以下のような記述がありました。

Hiddenフィールドの不正操作　図2-1

図2-1

改ざんを行うためには、このHTMLページをローカルにダウンロードし、エディタを使って40という数字を書き換えるだけです。実際にこの数字を2ドルに書き換えて、再度Webブラウザに読み込ませてみます。

図2-2

すると、画面上の価格が2ドルに変更されてしまっています。この情報をWebサーバに送信して、アプリケーション側で処理してしまった場合、40ドルのカメラは2ドルで購入されてしまうでしょう。このように、通常変更されるはずのないHiddenフィールドの値を不正に改ざんする攻撃をHiddenフィールドの不正操作といいます。

本文中に記載されている会社名および製品名はそれぞれ各社の商標、または登録商標です。