Entry № 887
パラメータ改ざん
パラメータ改ざん とは何ですか?
パラメータ改ざん攻撃者が HTTP リクエスト、Cookie、隠しフォームフィールドのパラメータを書き換え、アプリの挙動を操作する攻撃。
パラメータ改ざんは、クライアントが送信するがサーバーが信用すべきでないデータ(クエリ文字列、POST ボディ、hidden 入力、Cookie、JWT クレーム、HTTP ヘッダ)を狙います。代表的な悪用は、決済リクエストでの価格フィールド改変、プロフィール API での userId 置換、role パラメータの書き換え、クライアント側バリデーションの回避などです。根本原因は、サーバーがクライアントデータを権威ある値として扱い、再計算や権威状態との照合を行っていない点にあります。対策は、機微な値ごとのサーバー側検証・認可、価格や合計のサーバー側保持または暗号署名、入力スキーマの許可リスト化、WAF による多層防御です。
● 例
- 01
決済の隠し価格フィールドを 100 から 1 に書き換えて注文を確定する。
- 02
登録リクエストで role=user を role=admin に変更する。
● よくある質問
パラメータ改ざん とは何ですか?
攻撃者が HTTP リクエスト、Cookie、隠しフォームフィールドのパラメータを書き換え、アプリの挙動を操作する攻撃。 サイバーセキュリティの 脆弱性 カテゴリに属します。
パラメータ改ざん とはどういう意味ですか?
攻撃者が HTTP リクエスト、Cookie、隠しフォームフィールドのパラメータを書き換え、アプリの挙動を操作する攻撃。
パラメータ改ざん からどのように防御しますか?
パラメータ改ざん に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
パラメータ改ざん の別名は何ですか?
一般的な別名: Web パラメータ改ざん, リクエスト改ざん。