パラメーター操作による不正な機能の利用について説明していきます。

■概要
「パラメーター操作による不正な機能の利用」は、WebアプリケーションにおいてユーザーがURLやフォームのパラメーターを意図的に改ざんすることで、本来許されていない機能やデータにアクセスしてしまう脆弱性です。

■想定される被害
パラメーター操作による不正な機能の利用によって、以下のような被害にあう可能性があります。
どのような被害を受ける可能性があるかあらかじめ把握しておき、攻撃を受けないように対策を検討することが必要です。

・他人の個人情報や注文履歴への不正アクセス
・本来閲覧・操作できない機能の利用（管理画面、内部設定変更など）
・不正な価格での購入・取引

■対策
パラメーター操作による不正な機能の利用の対策として挙げられるものは以下のようなものとなります。
・パラメーターを信頼せず、「ログイン中のユーザーの権限」や「自分のデータのみ操作できる」かを確認する。
・金額・権限などの情報はサーバーで管理し、信頼できない入力に依存しないようにする。
・IDを連番でなくランダム値にするなど、予測を困難にして他人のデータを特定しづらくする。

The following two tabs change content below.

• この記事を書いた人
• 最新の記事

田中 勇也

最新記事 by 田中 勇也 (全て見る)

• 脆弱性の種類　パラメーター操作による不正な機能の利用 - 2025年5月31日
• 脆弱性の種類　不要な情報の存在 - 2025年4月30日
• 脆弱性の種類　ディレクトリリスティング - 2025年3月31日