Manipulation de paramètres
Qu'est-ce que Manipulation de paramètres ?
Manipulation de paramètresAttaque dans laquelle l'adversaire modifie des paramètres de requête HTTP, des cookies ou des champs cachés pour manipuler le comportement de l'application.
La manipulation de paramètres vise les données envoyées par le client mais que le serveur ne devrait pas considérer comme fiables : chaînes de requête, corps POST, champs cachés, cookies, revendications JWT, en-têtes HTTP. Abus typiques : modifier un champ prix lors d'un checkout, changer un userId dans un endpoint profil, basculer un paramètre role ou contourner la validation côté client. La cause racine est que le serveur considère les données client comme autoritaires plutôt que de les recalculer ou de les valider contre un état autoritaire. Défenses : validation et autorisation côté serveur de chaque valeur sensible, prix et totaux issus du serveur ou signés cryptographiquement, schémas d'entrée en allow-list, WAF en défense en profondeur.
● Exemples
- 01
Modifier un champ prix caché lors du checkout de 100 à 1 avant la validation.
- 02
Changer role=user en role=admin dans une requête d'inscription.
● Questions fréquentes
Qu'est-ce que Manipulation de paramètres ?
Attaque dans laquelle l'adversaire modifie des paramètres de requête HTTP, des cookies ou des champs cachés pour manipuler le comportement de l'application. Cette notion relève de la catégorie Vulnérabilités en cybersécurité.
Que signifie Manipulation de paramètres ?
Attaque dans laquelle l'adversaire modifie des paramètres de requête HTTP, des cookies ou des champs cachés pour manipuler le comportement de l'application.
Comment se défendre contre Manipulation de paramètres ?
Les défenses contre Manipulation de paramètres combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Manipulation de paramètres ?
Noms alternatifs courants : Manipulation de paramètres web, Tampering de requête.