人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

Webアプリのセキュリティ対策

ユーザー認証を組み合わせた掲示板にてユーザー名をセッションIDから取得し “〜さんこんにちわ” と表示しています。 投稿する際はログインしないと投稿フォームが表示されない仕組みで、投稿の際投稿者名としてID名を<input type=”hidden” name=”id” value=”ID”>のようにして渡しています。しかしよく考えたらローカルでソースを保存しname=”ID”を別なID名に書き換えれば成りすましできてしまうのではないかと思い今対策方法を考え中です。

そこでIDを書き換えられずログインしたID名で投稿させるにはどのようにしたらいいのでしょうか?

また、はてなや教えてgooなど登録制が必要な掲示板サイトはどのようにこのようなアタックに対して対策をとっているのでしょうか?

●質問者: esecua
●カテゴリ:ビジネス・経営 コンピュータ
✍キーワード:name Web こんにちわ はてな アタック
○ 状態 :終了
└ 回答数 : 3/3件

▽最新の回答へ

1 ● Futame
●35ポイント

http://www.atmarkit.co.jp/fsecurity/rensai/webhole01/webhole01.h...

@IT:Webアプリケーションに潜むセキュリティホール(1)

http://www.ipa.go.jp/security/awareness/vendor/programming/a01_0...

1-5. hiddenは危険(セッション変数を利用しよう)

通常はセッション変数の中に保持しておきます。

◎質問者からの返答

なるほど、セッションですか。

ありがとうございました。


2 ● n_kusano
●3ポイント

http://d.hatena.ne.jp/keyword/referer

refererとは - はてなダイアリー

リファラー(referer)を使ってリンク元を制限してはいかがですか。

◎質問者からの返答

どのようにPHP上で制限すればよろしいでしょうか?


3 ● n_kusano
●22ポイント

http://oku.edu.mie-u.ac.jp/~okumura/php/env.php

サーバ変数

2で回答したものです。説明不足ですみませんでした。

<?php

echo $_SERVER[’HTTP_REFERER’];

?>

とすると、リンク元(遷移元)のURLを表示します。

例えば、ページA→ページBと遷移した場合、ページBではページAのURLを取得できます。もしページAをローカルコピーし改ざんしてページBに遷移した場合、$_SERVER[’HTTP_REFERER’]はページAのURLではありません。遷移元のURLが限定できるのであれば、もしリファラーの値が限定したURL以外であれば受け付けないようにする、というのはどうでしょうか?

if ($_SERVER[’HTTP_REFERER’] != ’http://...’) などとして。

◎質問者からの返答

回答ありがとうございます。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ