Массовое присваивание (Mass Assignment)
Что такое Массовое присваивание (Mass Assignment)?
Массовое присваивание (Mass Assignment)Уязвимость, при которой приложение слепо привязывает поля запроса от клиента к внутренним свойствам объекта, позволяя задавать те, что не должны контролироваться.
Массовое присваивание возникает, когда фреймворки (Rails, Spring, ASP.NET, NestJS, Django) автоматически отображают входящий JSON или поля формы на атрибуты модели без явного allow-list. Атакующий добавляет дополнительные свойства — isAdmin, role, balance, tenantId — и сервер записывает их в БД. Из-за неявности присваивание трудно заметить при ревью; также называют autobinding или object injection. Защита: явные DTO или схемы входа, строгие allow-list связываемых полей, отделение внутренних атрибутов от моделей, доступных извне, тесты безопасности с неожиданными ключами JSON.
● Примеры
- 01
Отправка {"name":"Bob","isAdmin":true} на /api/users и получение прав администратора.
- 02
Обновление заказа со скрытым полем скидки через POST, обходящее ценовую логику.
● Частые вопросы
Что такое Массовое присваивание (Mass Assignment)?
Уязвимость, при которой приложение слепо привязывает поля запроса от клиента к внутренним свойствам объекта, позволяя задавать те, что не должны контролироваться. Относится к категории Уязвимости в кибербезопасности.
Что означает Массовое присваивание (Mass Assignment)?
Уязвимость, при которой приложение слепо привязывает поля запроса от клиента к внутренним свойствам объекта, позволяя задавать те, что не должны контролироваться.
Как защититься от Массовое присваивание (Mass Assignment)?
Защита от Массовое присваивание (Mass Assignment) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Массовое присваивание (Mass Assignment)?
Распространённые альтернативные названия: Уязвимость автопривязки, Object injection.