Manipulación de parámetros

También conocido como: Manipulación de parámetros web, Tampering de petición

Ataque en el que el adversario modifica parámetros de peticiones HTTP, cookies o campos ocultos para manipular el comportamiento de la aplicación.

La manipulación de parámetros ataca los datos que envía el cliente pero que el servidor no debería confiar: query strings, cuerpo POST, inputs ocultos, cookies, claims de JWT y cabeceras HTTP. Abusos típicos: cambiar el campo precio en un checkout, alterar un userId en un endpoint de perfil, modificar un parámetro role o saltarse la validación del cliente. La causa raíz es tratar los datos del cliente como autoritativos en vez de recomputarlos o validarlos contra el estado del servidor. Defensas: validación y autorización en servidor para cada valor sensible, estado del servidor o firma criptográfica para precios y totales, esquemas de entrada con lista blanca y WAF como defensa en profundidad.

Ejemplos

Modificar un campo oculto de precio en el checkout de 100 a 1 antes de confirmar la compra.
Cambiar role=user a role=admin en una petición de registro.

Manipulación de parámetros

Ejemplos

Términos relacionados

Control de acceso roto

Referencia directa insegura a objetos (IDOR)

Asignación masiva

Input Validation

Cortafuegos de aplicaciones web (WAF)

Definición

Ejemplos

Términos relacionados

Control de acceso roto

Referencia directa insegura a objetos (IDOR)

Asignación masiva

Input Validation

Cortafuegos de aplicaciones web (WAF)