Manipulation de paramètres

Aussi appelé: Manipulation de paramètres web, Tampering de requête

Attaque dans laquelle l'adversaire modifie des paramètres de requête HTTP, des cookies ou des champs cachés pour manipuler le comportement de l'application.

La manipulation de paramètres vise les données envoyées par le client mais que le serveur ne devrait pas considérer comme fiables : chaînes de requête, corps POST, champs cachés, cookies, revendications JWT, en-têtes HTTP. Abus typiques : modifier un champ prix lors d'un checkout, changer un userId dans un endpoint profil, basculer un paramètre role ou contourner la validation côté client. La cause racine est que le serveur considère les données client comme autoritaires plutôt que de les recalculer ou de les valider contre un état autoritaire. Défenses : validation et autorisation côté serveur de chaque valeur sensible, prix et totaux issus du serveur ou signés cryptographiquement, schémas d'entrée en allow-list, WAF en défense en profondeur.

Exemples

Modifier un champ prix caché lors du checkout de 100 à 1 avant la validation.
Changer role=user en role=admin dans une requête d'inscription.

Manipulation de paramètres

Exemples

Termes liés

Contrôle d'accès défaillant

Référence directe non sécurisée à un objet (IDOR)

Affectation en masse

Input Validation

Pare-feu applicatif web (WAF)

Définition

Exemples

Termes liés

Contrôle d'accès défaillant

Référence directe non sécurisée à un objet (IDOR)

Affectation en masse

Input Validation

Pare-feu applicatif web (WAF)