[問題]
リクエストを送信する際、hiddenで宣言している値をfiddlerでJavaScriptのコードに書き換えた。
また、他の必須入力項目を空にして業務エラーを発生させた。
その後、エラー画面に戻ってきた際にポップアップが上がってしまった。
[原因]
hiddenの値を出力する際に値のサニタイジングが行えていなかった為。
[対応]
案1 出力する値をサニタイジングする。
案2 hiddenの値を送信する際、前回の値と同じかどうか突合せをする。
体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践
- 作者: 徳丸浩
- 出版社/メーカー: SBクリエイティブ
- 発売日: 2011/03/01
- メディア: 単行本
- 購入: 119人 クリック: 4,283回
- この商品を含むブログ (146件) を見る