コードインジェクション

コードインジェクション

コードインジェクション攻撃とは、ウェブサイト(Login with Amazonクライアントなど)で想定外の行動を引き起こすように入力やパラメーターの値を変更する攻撃手法です。ウェブサイトが受信データを検証せずに処理すると、コードインジェクション攻撃を受ける可能性があります。

Login with Amazonクライアントウェブサイトでは、認可サービスからの入力データ(特にstateパラメーター)を処理する前に検証する必要があります。また、ユーザープロファイルがプログラムで使用されている場合はそのデータも検証する必要があります。