アプリケーションの攻撃パターン - 2) hiddenフィールドの不正操作

Hiddenフィールドとは、Webブラウザの画面には表示されないHTMLフォーム項目です。画面には表示されないですが、Webブラウザからリクエストを送信するときに一緒に送信される仕組みです。この値は通常変更されることがないため、複数のWebページをまたがって情報を保持するために利用されます。

よくある使用例としては、ショッピングサイトにおいて商品の価格をHiddenフィールドに埋め込むといった方法です。しかし、この情報はHTMLソースを表示すれば誰にでも参照可能で、容易に改ざんも可能なのです。実際、商品価格をHiddenフィールドに埋め込んでいたショッピングサイトにおいて、値を改ざんされたために通常価格よりも安い値段で商品を出荷してしまった事例が過去にたくさん報道されています。
以下に、具体的な手口を図解します。
右図は、デモサイトにてカメラが40ドルで販売されているWebページです。(図2-1)

このページをHTMLソース表示にすると、以下のような記述がありました。

Hiddenフィールドの不正操作 図2-1

図2-1

HTMLソース例
改ざんを行うためには、このHTMLページをローカルにダウンロードし、エディタを使って40という数字を書き換えるだけです。 実際にこの数字を2ドルに書き換えて、再度Webブラウザに読み込ませてみます。

図2-2

図2-2

すると、画面上の価格が2ドルに変更されてしまっています。この情報をWebサーバに送信して、アプリケーション側で処理してしまった場合、40ドルのカメラは2ドルで購入されてしまうでしょう。このように、通常変更されるはずのないHiddenフィールドの値を不正に改ざんする攻撃をHiddenフィールドの不正操作といいます。


Rational AppScanは、International Business Machines Corporationの米国および他の国々における登録商標です。
本文中に記載されている会社名および製品名はそれぞれ各社の商標、または登録商標です。

AppScanに
関するお問い合わせ

  • テクマトリックス株式会社
    東京本社

    ネットワークセキュリティ事業部
    セキュリティ営業部
    セキュリティプロダクツ営業2課

    03-4405-7814

メールでのお問い合わせ
watchfire@techmatrix.co.jp

CONTACT

製品についてやテクマトリックスについてなど、
こちらよりお気軽にお問い合わせいただけます。