Manipulación de parámetros
¿Qué es Manipulación de parámetros?
Manipulación de parámetrosAtaque en el que el adversario modifica parámetros de peticiones HTTP, cookies o campos ocultos para manipular el comportamiento de la aplicación.
La manipulación de parámetros ataca los datos que envía el cliente pero que el servidor no debería confiar: query strings, cuerpo POST, inputs ocultos, cookies, claims de JWT y cabeceras HTTP. Abusos típicos: cambiar el campo precio en un checkout, alterar un userId en un endpoint de perfil, modificar un parámetro role o saltarse la validación del cliente. La causa raíz es tratar los datos del cliente como autoritativos en vez de recomputarlos o validarlos contra el estado del servidor. Defensas: validación y autorización en servidor para cada valor sensible, estado del servidor o firma criptográfica para precios y totales, esquemas de entrada con lista blanca y WAF como defensa en profundidad.
● Ejemplos
- 01
Modificar un campo oculto de precio en el checkout de 100 a 1 antes de confirmar la compra.
- 02
Cambiar role=user a role=admin en una petición de registro.
● Preguntas frecuentes
¿Qué es Manipulación de parámetros?
Ataque en el que el adversario modifica parámetros de peticiones HTTP, cookies o campos ocultos para manipular el comportamiento de la aplicación. Pertenece a la categoría de Vulnerabilidades en ciberseguridad.
¿Qué significa Manipulación de parámetros?
Ataque en el que el adversario modifica parámetros de peticiones HTTP, cookies o campos ocultos para manipular el comportamiento de la aplicación.
¿Cómo defenderse de Manipulación de parámetros?
Las defensas contra Manipulación de parámetros combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Manipulación de parámetros?
Nombres alternativos comunes: Manipulación de parámetros web, Tampering de petición.