一般社団法人 全国個人事業主支援協会

COLUMN コラム

  • 脆弱性の種類 パラメーター操作による不正な機能の利用

パラメーター操作による不正な機能の利用について説明していきます。

■概要
「パラメーター操作による不正な機能の利用」は、WebアプリケーションにおいてユーザーがURLやフォームのパラメーターを意図的に改ざんすることで、本来許されていない機能やデータにアクセスしてしまう脆弱性です。

■想定される被害
パラメーター操作による不正な機能の利用によって、以下のような被害にあう可能性があります。
どのような被害を受ける可能性があるかあらかじめ把握しておき、攻撃を受けないように対策を検討することが必要です。

・他人の個人情報や注文履歴への不正アクセス
・本来閲覧・操作できない機能の利用(管理画面、内部設定変更など)
・不正な価格での購入・取引

■対策
パラメーター操作による不正な機能の利用の対策として挙げられるものは以下のようなものとなります。
・パラメーターを信頼せず、「ログイン中のユーザーの権限」や「自分のデータのみ操作できる」かを確認する。
・金額・権限などの情報はサーバーで管理し、信頼できない入力に依存しないようにする。
・IDを連番でなくランダム値にするなど、予測を困難にして他人のデータを特定しづらくする。

この記事をシェアする

  • Twitterでシェア
  • Facebookでシェア
  • LINEでシェア