メインコンテンツへスキップ
攻撃手法

Mass Assignment

Mass Assignment

外部入力をそのままオブジェクトへ割り当てることで、本来変更できない属性まで更新される脆弱性。

Mass Assignmentは、APIの入力項目と内部モデルの対応を曖昧にしたときに起きます。防御では許可フィールドリスト、スキーマ検証、権限別の更新可能項目、テストケースを整えます。

  • 入力値が内部属性へ過剰に反映される
  • 許可フィールドリストで防ぐ
  • 権限別に更新可能項目を分ける

よくある質問

Mass Assignmentとは?

外部入力をそのままオブジェクトへ割り当てることで、本来変更できない属性まで更新される脆弱性。

Mass Assignmentについて詳しく知るには?

Mass Assignmentは、APIの入力項目と内部モデルの対応を曖昧にしたときに起きます。防御では許可フィールドリスト、スキーマ検証、権限別の更新可能項目、テストケースを整えます。

Mass Assignmentのポイントは?

入力値が内部属性へ過剰に反映される 許可フィールドリストで防ぐ 権限別に更新可能項目を分ける

← 用語集一覧に戻る
ESC