Parameter-Manipulation

Auch bekannt als: Web-Parameter-Manipulation, Request-Tampering

Angriff, bei dem ein Angreifer Parameter in HTTP-Requests, Cookies oder versteckten Formularfeldern verändert, um das Verhalten einer Anwendung zu manipulieren.

Parameter-Manipulation zielt auf Daten, die der Client sendet, denen der Server aber nicht trauen sollte: Query-Strings, POST-Body, Hidden-Inputs, Cookies, JWT-Claims, HTTP-Header. Typische Beispiele: Ändern eines Preisfelds beim Checkout, Wechsel der userId in einem Profil-Endpunkt, Umschalten eines role-Parameters oder Umgehen der clientseitigen Validierung. Ursache ist, dass der Server Client-Daten als verbindlich behandelt, statt sie neu zu berechnen oder gegen autoritativen Zustand zu prüfen. Schutz: serverseitige Validierung und Autorisierung für jeden sensiblen Wert, Preise/Summen serverseitig oder kryptographisch signiert, Allow-List-Schemata, WAF als Defense-in-Depth.

Beispiele

Verstecktes Preisfeld im Checkout von 100 auf 1 ändern und Bestellung absenden.
role=user in role=admin ändern in einer Registrierungs-Request.

Parameter-Manipulation

Beispiele

Verwandte Begriffe

Defekte Zugriffskontrolle

Unsichere direkte Objektreferenz (IDOR)

Mass Assignment

Input Validation

Web Application Firewall (WAF)

Definition

Beispiele

Verwandte Begriffe

Defekte Zugriffskontrolle

Unsichere direkte Objektreferenz (IDOR)

Mass Assignment

Input Validation

Web Application Firewall (WAF)