Manipulação de parâmetros

Também conhecido como: Manipulação de parâmetros web, Tampering de pedido

Ataque no qual o adversário modifica parâmetros em pedidos HTTP, cookies ou campos ocultos para manipular o comportamento da aplicação.

A manipulação de parâmetros visa dados enviados pelo cliente mas que o servidor não deve confiar: query strings, corpo POST, inputs ocultos, cookies, claims JWT e cabeçalhos HTTP. Abusos comuns: alterar um campo preço no checkout, mudar um userId num endpoint de perfil, virar um parâmetro role ou contornar validação do lado do cliente. A causa raiz é o servidor tratar dados do cliente como autoritativos em vez de recalcular ou validar contra estado servidor. Defesas: validação e autorização no servidor para cada valor sensível, preços e totais provenientes do servidor ou assinados, esquemas de entrada com allow-list e WAF como defesa em profundidade.

Exemplos

Alterar um campo preço oculto no checkout de 100 para 1 antes de submeter o pedido.
Mudar role=user para role=admin num pedido de registo.

Manipulação de parâmetros

Exemplos

Termos relacionados

Controlo de acesso quebrado

Referência Direta Insegura a Objetos (IDOR)

Atribuição em massa

Input Validation

Firewall de Aplicação Web (WAF)

Definição

Exemplos

Termos relacionados

Controlo de acesso quebrado

Referência Direta Insegura a Objetos (IDOR)

Atribuição em massa

Input Validation

Firewall de Aplicação Web (WAF)