zenpou https://blog.hatena.ne.jp/zenpou/ zenpouの日記 https://zenpou.hatenadiary.org/ 新人教育 というわけで、思いつく奴をさらさらっと書いてみる パラメータを信頼するな。ユーザー側の情報はすべてユーザーが書き換え可能。 アプリケーションを作る時にgetリクエストの場合、URLの後ろに?nantoka_id=10&kantoka=5とか つく事がありますが、これはurlの中身を書き換える事で簡単にパラメータの変更ができます。 postだって、htmlのフォームの内容を書き換えれば、簡単にパラメータの変更が出来ます。 簡単に言うと、user_idを弄る事で他のユーザーの情報にアクセス出来てしまうとかが想定されます。 セッション情報と付き合わせる事やプログラムごとにログインユーザーの権限を確認… 190 <iframe src="https://hatenablog-parts.com/embed?url=https%3A%2F%2Fzenpou.hatenadiary.org%2Fentry%2F20080427%2F1209268437" title="最低限知っておくべきwebサイトのセキュリティ - zenpouの日記" class="embed-card embed-blogcard" scrolling="no" frameborder="0" style="display: block; width: 100%; height: 190px; max-width: 500px; margin: 10px 0px;"></iframe> Hatena Blog https://hatena.blog 2008-04-27 12:53:57 rich https://zenpou.hatenadiary.org/entry/20080427/1209268437 1.0 100%