今回は、「パラメーター改ざん」についてお話ししましょう。

「パラメーター改ざん」とはどのようなセキュリティホールなのでしょう。

【言葉】URLのパラメーター、Cookie、Hidden項目などの情報を書き換えて、サーバーと通信する攻撃の事です。

【どうなる】例えば、CookieやHidden項目に持っていたユーザー情報を書き換えて別のユーザーが商品を購入したように見せかけたりなどすることができます。

【対策】
パラメターは、CookieやHidden項目などには保持せず、Sessionなどに保持し、サーバー側で管理する。どうしてもClient側に保持する必要がある場合は、暗号化するなどの対策を施す。
【テスト方法】☆テスト方法はあくまでも例です。機能などにあったテストを実施してください。
(CASE1)
1.URLのパラメターに、別の文字※を入力してみる。
2.別の情報が表示される。

※例えば、下記のuseridを変更してみる。
http://test.com/user?userid=300

(CASE2)
1.Hidden項目のあるページをローカルに保存する。
2.TextエディタなどでHidden項目のValue値を変更する。
3.登録ボタン押下など次のアクションを促す処理を行う。
4.変更後のデータで正しく処理(登録など)される。

(注意)
何が不具合に当たるかはサイトのポリシーを確認する必要がある。