URLのパラメータ改ざんとは? 不正アクセスの意味と対策とは
- URLのパラメータ改ざんとは、URLに付加されるパラメータを直接改ざんして不正なアクセスを行う行為のことです。他人や友人のIDを検索する際に、URLのパラメータを変えて検索することも不正アクセス行為となります。
- URLの末尾にあるパラメータに不正なコマンドを混入させて表示させようとする行為は、SQLインジェクションと呼ばれます。通常は特定のキーワードや文字列を検索フォームに入力するものですが、パラメータに特定の文字列を入れて検索する行為もSQLインジェクションに該当します。
- URLのパラメータ改ざんやSQLインジェクションなどの不正アクセス行為に対する対策としては、入力値のバリデーションやエスケープ処理の実施、セキュリティ対策の実施が重要です。また、セキュリティ意識の向上や最新のセキュリティ情報の把握も行うことが重要です。
- ベストアンサー
URLのパラメータ改ざんとは何でしょうか?
この記事の文中で 「URLに付加されるパラメータを直接改ざんして不正なアクセスをする」と書かれていますが、これが正直意味が分かりません。 だとすれば、他人や友人のIDを検索する際に、 example.com/user?id=1234 を example.com/user?id=5678 と変えて検索する事も不正アクセス行為なのでしょうか? また、あるウェブサイトの不正アクセス被害の記事の中で、「URLの末尾にあるパラメータに不正なコマンドを混入させ表示させようとするSQLインジェクション」の意味が分かりません。 SQLインジェクションは普通「delete from」や「union select」などの文字列を検索フォームに入れる行為ですが、 パラメータにfrom無しで「delete」だけ入れて検索する行為もそうなのでしょうか? example.com/watch?v=delete など 詳しい解説を宜しくお願いします。 【引用記事】 https://www.techmatrix.co.jp/product/appscan/w_attackofappli/attack1.html
- PHP
- 回答数2
- ありがとう数5
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
技術用語の不正アクセスと法律用語の不正アクセスをしっかり分けて考えましょう 製作者の意図しない動作をされてしまうのが技術用語の不正アクセスです SQLインジェクションはSQLでなければSQLインジェクションになりません
その他の回答 (1)
- wormhole
- ベストアンサー率28% (1620/5655)
本当にそれらの意味を理解されたいのでしたら、 httpプロトコルやwebアプリケーションの仕組み等を勉強してください。
お礼
分かりました。 回答ありがとうございました
関連するQ&A
- [PHP]URLパラメータの受け取り方
こんにちは。 PHPで下記のことを実装しようとしていますが、なかなかうまく行きません。 http://example.com/aaa というURLにアクセスがあった場合、「aaa」だけを抜き出して処理する、 ということを実装したいのですが、上記アドレスにアクセスするとNotFoundになってしまいます。 上記の場合、「aaaというファイルを探しにいく」という処理がされているためNotFoundになることは分かるのですが、どのようにすればindex.phpでaaaをパラメータとして受け取れるのでしょうか? ※システムの都合上、http://example.com/?id=aaaという風には出来ません。 大変恐縮ですがご教授いただけるとありがたいです。
- ベストアンサー
- PHP
- 消された動画やホームページを見る時に
youtubeで消された動画を見たいと思い込み、 (1) deleteyoutube.com にアクセスしたら、 The content of the page cannot be displayed と表示され、見れませんでした。 一方同じように消された動画を見たい時に、 (2)「youtube.com/watch?v=delete」とアクセスしたら、 「動画が見れません」 スマホからは 「問題が発生しました」と表示されて見れませんでした。 この時、(1)と(2)のパターンで動画は消されてしまったのでしょうか? 一部の動画が見れなくなったのも、このようにアクセスしたのが原因なのでしょうか? また、消されたページを閲覧する時に、 URLの先頭にdeleteを付けてアクセスした時、閲覧出来る代わりに、一部のページも削除されてしまいますか? ※example の部分は yahoo や google okwaveなどです。 例えば、 (3) example.com/page/12345 が見れない時に、 delete/example.com/page/12345 と検索して見れたが、 example.com/page/12345 以外の全てのページが消えた (4) example.com/page?id=5000 が見れない時に、 example.com/page?id=delete と検索した時、 example.com/page?id=5000が見れたが、 ?id=5000 以外の記事が全削除された という(3)(4)のケースもありますか? 自分では便利な裏技だなと思い、質問させていただきました。 プログラミングに詳しい方、回答を宜しくお願いします。
- ベストアンサー
- PHP
- URLのディレクトリにdelete
URLのディレクトリにdeleteを組み込んで、アドレスバーに検索した時、 その対象のホームページのデータは抹消してしまうのでしょうか。 例1) ディレクトリが /mypage/の場合、 www.example.com/mypage/123/delete/ 末尾に/delete 例2) www.example.com/delete/123/ mypageをdeleteに変えて検索 例3) www.example.com/mypage/delete/123 mypageの前にdeleteを組み込んで検索した時。 mypage のデータが消えてしまうのでしょうか? 「気にしすぎ」等の回答は求めていません。 明確な回答をお願いします。
- ベストアンサー
- PHP
- パラメータの前にスラッシュ
example.com?hoge=1・・・① example.com/?hoge=1・・・② 上記URLで2種類のURLの違いは何でしょうか。 あるサイトに最初にアクセスした時は example.com/keyword?anyword=hoge の形式でしたが、 本日アクセスしたら、 example.com/keyword/?anyword=hoge の形式で keywordの前にスラッシュが付いたものに変わっていました。 なぜ、このような現象が起きたのでしょうか。 また、上記のURL①と②はアクセスしても同じ検索結果でした。
- ベストアンサー
- PHP
- URLのアンドマークについて
検索結果のURLを手入力でシェアする際に、アンドマークに「clear」や「delete」「finish」などの単語が入ってしまった場合、全てのデータが消されてしまう事ってあるのでしょうか? 例えば、検索結果で「delete 意味」と検索結果URLは example.com/search?q=delete%20意味 だったのですが、 この%20 の部分をアンド検索にしたいので、 example.com/search?q=delete&意味 という感じでシェアする時です。 これはタグ付きのサイトなどで、「#意味」と付けられたページは全削除されてしまう恐れはありますか? 回答宜しくお願いします。
- ベストアンサー
- CSS
- .htaccessでURLの一部を書き換えるには?
.htaccessでURLの一部を書き換える(抜き取る)方法について、質問致します。 例えば http://example.com/user/ランダムな文字列のディレクトリ/ のような構成になっているものを http://example.com/ランダムな文字列のディレクトリ/ でアクセス出来るようにしたいのですが、調べても書き換えまくっても、どうしても上手く行きません。 解決策そのものだけじゃなく、ヒントや調べ方でも良いので、是非ご教授ください! 現在は下記のように書いています。 RewriteEngine on RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule ^(.+)/?$ user/$1/ [L] ただ、これだと http://example.com/ランダムな文字列のディレクトリ/ にアクセスするとちゃんと動くのですが、元の http://example.com/user/ランダムな文字列のディレクトリ/ にアクセスしても動いちゃっています。 元のURLにアクセスしたら、新しいURLにリダイレクトされて、そこでは元のURLのデータが表示されて欲しいのですが。。 どなたかご教示のほど、よろしくお願い致します。
- ベストアンサー
- その他(プログラミング・開発)
- これは正常なエラーですか?
URLのパラメータについてですが、これは正常なエラーと言えるのでしょうか。 (通常) example.com/watch?v=○○ この○○を、アドレスバーから example.com/watch?v=update example.com/watch?v=delete と検索して →この動画は見れません →問題が発生しました、と表示されたとき、 これは正常なエラーでしょうか? また、写真のような画面が表示されたからといってコメントが消えたということは考えられますか? 最近、コメントが少なくなってきたのでそれなのかなと思いました。 そもそも、パラメータ?にdelete と含ませて検索すれば消された動画が見れるけど、一部のコメントは消えてしまうよ、と聞きましたがこれはウソだったのでしょうか。
- ベストアンサー
- セキュリティソフト
- ページが見つからないのに200 OKの理由
404 Not Found について質問です。 あるサイトで過去記事を検索しているのですが、 例えば1月1日の記事のリンクは http://www.example.com/2021/01/01 という形のURLです。 http://www.example.com/2021/01/32 と存在しないページにアクセスする時、 ステータスコードが404では無く200となっていました。 http://www.example.com/2021/01/32 にアクセスする時、 「お探しのページは見つかりません」と表示されたのですが、何故200のステータスコードなのでしょうか? http://www.example.com/2021/01/32は 2021年2月1日の記事と同じ内容です。 http://www.example.com/2021/01/32 にアクセスした時、 2021年2月1日の記事 http://www.example.com/2021/02/01 は今後使われる事なくなり、 2月1日の記事は削除されるのでしょうか? URL推測で未来のページを検索していますが、 セキュリティ上今後控えた方が良いのでしょうか? 宜しくお願いします。
- ベストアンサー
- その他(セキュリティ対策・ネットトラブル)
- URLのパラメーター解析
アクセスログの集計ツールを作っているのですが URLのパラメーター解析の所がうまくいきません。 例えば、以下の様に変更したいのです。 /folder/test.html?ID=0001&TEST=bbb&NAME=1111&WORK=**** /folder/test.html?ID=0002&TEST=ccc&NAME=2222 /folder/test.html?ID=0003&NAME=3333 /folder/test.html?ID=0004&NAME=4444&WORK=**** を ID,TEST,NAME,WORK 0001,bbb,1111,**** 0002,ccc,2222, 0003,,3333, 0004,,4444,**** (カンマ区切り) 可能ならば、Linuxのコマンドを利用(awkコマンドの連想配列?) して作りたいのですが、他に簡単にできそうな方法はないでしょうか? PERLでやるのが無難でしょうか?
- ベストアンサー
- Linux系OS
お礼
回答ありがとうございました