Manipulação de parâmetros
O que é Manipulação de parâmetros?
Manipulação de parâmetrosAtaque no qual o adversário modifica parâmetros em pedidos HTTP, cookies ou campos ocultos para manipular o comportamento da aplicação.
A manipulação de parâmetros visa dados enviados pelo cliente mas que o servidor não deve confiar: query strings, corpo POST, inputs ocultos, cookies, claims JWT e cabeçalhos HTTP. Abusos comuns: alterar um campo preço no checkout, mudar um userId num endpoint de perfil, virar um parâmetro role ou contornar validação do lado do cliente. A causa raiz é o servidor tratar dados do cliente como autoritativos em vez de recalcular ou validar contra estado servidor. Defesas: validação e autorização no servidor para cada valor sensível, preços e totais provenientes do servidor ou assinados, esquemas de entrada com allow-list e WAF como defesa em profundidade.
● Exemplos
- 01
Alterar um campo preço oculto no checkout de 100 para 1 antes de submeter o pedido.
- 02
Mudar role=user para role=admin num pedido de registo.
● Perguntas frequentes
O que é Manipulação de parâmetros?
Ataque no qual o adversário modifica parâmetros em pedidos HTTP, cookies ou campos ocultos para manipular o comportamento da aplicação. Pertence à categoria Vulnerabilidades da cibersegurança.
O que significa Manipulação de parâmetros?
Ataque no qual o adversário modifica parâmetros em pedidos HTTP, cookies ou campos ocultos para manipular o comportamento da aplicação.
Como se defender contra Manipulação de parâmetros?
As defesas contra Manipulação de parâmetros costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Manipulação de parâmetros?
Nomes alternativos comuns: Manipulação de parâmetros web, Tampering de pedido.