konekto Inc with PHP , MySQL コネクト株式会社 技術情報コンテンツ


セキュリティ指針

入力値はすべて危険!

説明

よくあるWebプログラマの勘違いに、Hedden項目やCookieの入力を安全として入力してしまうことがある。 しかしそれは正しくない、Webセキュリティの基本は、「外部からの入力はすべて疑え」 である。

被害例

Webアンケートなどで、複数の項目を入力するページが存在したとする。

  1. ページ1(データ入力)→データチェック→DBには反映せずHeddenの項目でページへ持ちまわす。
  2. ページ2(データ入力)→(ページ2のみ)データチェック→DBに反映 この場合、ページ1にて受け渡されたHedden項目が改ざんされDBに不正なデータが入力されることとなる。

対策

HeddenやCookieの項目は、ブラウザの設定もしくは中間に入るプロキシによっていくらでも改ざんが可能である。そのため、すべてのクライアントからくるデータについて不正な入力データが存在しないかどうかを、スクリプトでチェックする必要がある。


最終更新のRSS