Asignación masiva
¿Qué es Asignación masiva?
Asignación masivaVulnerabilidad en la que la aplicación enlaza ciegamente campos del cliente a propiedades internas, permitiendo al atacante establecer atributos que no debería controlar.
La asignación masiva surge cuando frameworks (Rails, Spring, ASP.NET, NestJS, Django) mapean automáticamente JSON o campos de formulario a atributos del modelo sin una lista blanca explícita. Un atacante puede añadir propiedades adicionales —isAdmin, role, balance, tenantId— que el servidor escribe en la base de datos. Es difícil de detectar en revisión porque la asignación es implícita. También se conoce como autobinding o object injection. Mitigaciones: DTO o esquemas de entrada explícitos, listas blancas estrictas de campos enlazables, separar atributos internos de los modelos enlazables y pruebas de seguridad que envíen claves JSON inesperadas.
● Ejemplos
- 01
Enviar {"name":"Bob","isAdmin":true} a /api/users y convertirse en administrador.
- 02
Actualizar un pedido con un campo oculto de descuento vía POST para saltarse las reglas de precios.
● Preguntas frecuentes
¿Qué es Asignación masiva?
Vulnerabilidad en la que la aplicación enlaza ciegamente campos del cliente a propiedades internas, permitiendo al atacante establecer atributos que no debería controlar. Pertenece a la categoría de Vulnerabilidades en ciberseguridad.
¿Qué significa Asignación masiva?
Vulnerabilidad en la que la aplicación enlaza ciegamente campos del cliente a propiedades internas, permitiendo al atacante establecer atributos que no debería controlar.
¿Cómo defenderse de Asignación masiva?
Las defensas contra Asignación masiva combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Asignación masiva?
Nombres alternativos comunes: Vulnerabilidad de autobinding, Inyección de objetos.