Parameter-Manipulation
Was ist Parameter-Manipulation?
Parameter-ManipulationAngriff, bei dem ein Angreifer Parameter in HTTP-Requests, Cookies oder versteckten Formularfeldern verändert, um das Verhalten einer Anwendung zu manipulieren.
Parameter-Manipulation zielt auf Daten, die der Client sendet, denen der Server aber nicht trauen sollte: Query-Strings, POST-Body, Hidden-Inputs, Cookies, JWT-Claims, HTTP-Header. Typische Beispiele: Ändern eines Preisfelds beim Checkout, Wechsel der userId in einem Profil-Endpunkt, Umschalten eines role-Parameters oder Umgehen der clientseitigen Validierung. Ursache ist, dass der Server Client-Daten als verbindlich behandelt, statt sie neu zu berechnen oder gegen autoritativen Zustand zu prüfen. Schutz: serverseitige Validierung und Autorisierung für jeden sensiblen Wert, Preise/Summen serverseitig oder kryptographisch signiert, Allow-List-Schemata, WAF als Defense-in-Depth.
● Beispiele
- 01
Verstecktes Preisfeld im Checkout von 100 auf 1 ändern und Bestellung absenden.
- 02
role=user in role=admin ändern in einer Registrierungs-Request.
● Häufige Fragen
Was ist Parameter-Manipulation?
Angriff, bei dem ein Angreifer Parameter in HTTP-Requests, Cookies oder versteckten Formularfeldern verändert, um das Verhalten einer Anwendung zu manipulieren. Es gehört zur Kategorie Schwachstellen der Cybersicherheit.
Was bedeutet Parameter-Manipulation?
Angriff, bei dem ein Angreifer Parameter in HTTP-Requests, Cookies oder versteckten Formularfeldern verändert, um das Verhalten einer Anwendung zu manipulieren.
Wie schützt man sich gegen Parameter-Manipulation?
Schutzmaßnahmen gegen Parameter-Manipulation kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Parameter-Manipulation?
Übliche alternative Bezeichnungen: Web-Parameter-Manipulation, Request-Tampering.