Affectation en masse

Aussi appelé: Vulnérabilité d'autobinding, Injection d'objet

Vulnérabilité où une application lie aveuglément des champs fournis par le client à des propriétés internes, laissant l'attaquant définir des attributs qu'il ne devrait pas contrôler.

L'affectation en masse se produit lorsque des frameworks (Rails, Spring, ASP.NET, NestJS, Django) mappent automatiquement le JSON ou les champs de formulaire entrants vers les attributs d'un modèle sans liste blanche explicite. L'attaquant ajoute des propriétés supplémentaires — isAdmin, role, balance, tenantId — que le serveur écrit en base. Le défaut est difficile à repérer en revue de code car l'affectation est implicite. Aussi appelé autobinding ou object injection. Mitigations : DTO ou schémas d'entrée explicites, listes blanches strictes, séparation des attributs internes des modèles exposés, tests de sécurité envoyant des clés JSON inattendues.

Exemples

Envoyer {"name":"Bob","isAdmin":true} à /api/users et être promu administrateur.
Mettre à jour une commande avec un champ remise caché via POST pour contourner les règles de prix.

Affectation en masse

Exemples

Termes liés

Contrôle d'accès défaillant

Manipulation de paramètres

Désérialisation non sécurisée

Input Validation

API Security

Définition

Exemples

Termes liés

Contrôle d'accès défaillant

Manipulation de paramètres

Désérialisation non sécurisée

Input Validation

API Security