Hidden Form Fields werden in HTML-Formularen benutzt, bei denen Surfer Daten eingeben müssen. Die meisten dieser Datenfelder sind sichtbar. Andere Bereiche, die HTML-Programmierer für das Speichern von Informationen vorgesehen haben, bleiben jedoch verborgen ("hidden"). Hacker können sich dieser Formularfelder bedienen und Schaden anrichten. Beispielsweise wären sie laut Miora Systems in der Lage, sich unberechtigten Zugriff zu verschaffen, indem sie Felder auslesen, die Benutzernamen und Paßwörter für die Online-Authentifizierung gespeichert haben.

Noch Schlimmeres können Angreifer anrichten, wenn sie über diesen Weg Zugriff auf CGI-Programme erhalten. Auf diese Weise erlangen sie zum Beispiel direkten Zugang zu Datenbank-Servern, die mit dem Web-Server verbunden sind. Angriffspunkte liefern auch Transaktionssitzungen. Denn über Hidden Form Fields kann sich nach Aussage von MSC ein Hacker in eine Session einklinken und beispielsweise Geldüberweisungen manipulieren. Speichern Web-Anwendungen in versteckten Feldern sensible Firmeninformationen ab, lassen sich auch diese Daten ausspähen.

Eine von MSC entwickelte Lösung soll das Sicherheitsloch schließen. Es steht kostenlos unter http://www.miora.com im Internet zur Verfügung. Nach Unternehmensangaben können Web-Server-Betreiber diesen Fix ohne aufwendiges Redesign der Site einspielen. Ferner rät Miora Systems allen Web-Administratoren, ihre Homepages auf die Art der Nutzung unsichtbarer Felder hin zu überprüfen.