ホームペーシセの改ざんを阻止するには?
| ■ホームページの改ざん対策 |
| |
| 選択項目の改ざん |
| |
| 入力の手間を省くために、リストボックスやチェックボックスなどを使っているサイトはたくさんあります。 |
| あらかじめ選択できる項目が決まっているので、使う側としても入力の手間を省けて便利です。 |
| ところが、訪問者は普通に使ってくれるひとばかりではありません。 |
| たとえ選択項目を書き込んでおいたとしても、送信されてきた値をチェックしないと、とんでもない値を送られる |
| かもしれません。 |
| |
| 以下、当サイト内で実験しました(ここに出てきたフォルダは、現在削除してあります)。 |
| |
| 1.選択画面の表示 |
|
| ラジオボタンでもチェックボックスでもよいので、選択項目のあるページを表示させます。 |
| 画面は個数の選択をしているところです。1〜3までの値が選択できるので、1を選んでみます。 |
| |
 |
| |
| 2.確認画面 |
| |
| ボタンを押して確認画面へ行きました。 |
| 1を選んだので、確認結果も1が表示されています。 |
| |
 |
| |
| 3.選択画面のソースを表示 |
| |
| ひとつ前の選択画面へ戻って、ソースを表示してみます。 |
| |
 |
| |
| 4.ソースの改ざん |
| |
| 2箇所だけ修正します。 |
| 第4の選択項目として、「あいうえお」と追加します。 |
| そして、ACTIONの指定をフルパス入力します。 |
| 確認ボタンを押したあとの飛び先は、「2.確認画面」のURLで表示されているので、これを書き込みます。 |
| |
| 修正が終わったら、ディスクトップ上に保存します。 |
| |
 |
| |
| 5.改ざんした選択画面を表示 |
| |
| 画面写真のURL部分を見てください。 |
| ディスクトップ上のファイルを開いているのが分かると思います。 |
| 「あいうえお」を選択して、ボタンを押してください。 |
| |
 |
| |
| 6.確認画面 |
| |
| 画面写真のURLを見てください。サーバー側から呼び出したものだと分かります。 |
| そして、通常の操作をしているかぎり入らないはずの文字、「あいうえお」が入っています。 |
| |
 |
| |
| |
| まとめ |
| |
| ラジオボタン、チェックボックス、リストボックス……入力の手間を省くための選択項目は、入力される値を限定 |
| しているため、チェックの必要がないと思われています。 |
| ところが、たったこれだけの操作で、予想外の値を返せてしまうのです。 |
| |
| 今回の事例では、数値しか入らないはずのところに、文字を入れました。 |
| 選択項目だから、入力チェックがついているようなものだと安心していると、とんでもないことになります。 |
| |
| 特にホームページ上から入力された値が、データベースやプログラム内で使われるようになっていると、 |
| エラーの発生につながります。最悪、サーバーがダウンするでしょう。 |
| |
| より悪意のあるものなら、0(ゼロ)とO(オー)や、1(イチ)と I (アイ)という値を巧妙に入力してきます。 |
| |
| 入力チェックをしていなかったばかりに、苦労する羽目になるわけですが、これらはとても気づきにくい |
| ミスになります。 |
| |
| 項目選択は入力チェックの代わりだと思い込んでいることや、初歩的すぎるミスなどするわけがないと、これも |
| また思い込んでいるからです。他の部分が間違っているのだろうと、見当はずれの箇所を調査したりしかねません。 |
| 入力項目にも入力チェックが必要だということです。 |
| |
| |
| |
| |
| |
| |
| |
| |
|
|
| |
| |
| TOPへ戻る |
Copyright (C) starthp.com, All Rights Reserved.
|
