Подмена параметров
Что такое Подмена параметров?
Подмена параметровАтака, при которой злоумышленник изменяет параметры HTTP-запросов, cookie или скрытые поля форм, чтобы повлиять на поведение приложения.
Подмена параметров нацелена на данные, которые клиент шлёт, но сервер не должен им доверять: строки запроса, тело POST, скрытые поля, cookie, claims JWT и заголовки HTTP. Типичные злоупотребления: изменение поля цены при оформлении заказа, подмена userId в endpoint профиля, смена параметра role, обход клиентской валидации. Корень — сервер считает клиентские данные авторитетными вместо того, чтобы пересчитывать их или сверять с авторитетным состоянием. Защита: серверная валидация и авторизация каждого чувствительного значения, цены/итоги формируются на сервере или подписаны криптографически, allow-list схемы ввода, WAF как эшелон защиты.
● Примеры
- 01
Изменить скрытое поле цены при оформлении заказа со 100 на 1 и подтвердить покупку.
- 02
Заменить role=user на role=admin в запросе регистрации.
● Частые вопросы
Что такое Подмена параметров?
Атака, при которой злоумышленник изменяет параметры HTTP-запросов, cookie или скрытые поля форм, чтобы повлиять на поведение приложения. Относится к категории Уязвимости в кибербезопасности.
Что означает Подмена параметров?
Атака, при которой злоумышленник изменяет параметры HTTP-запросов, cookie или скрытые поля форм, чтобы повлиять на поведение приложения.
Как защититься от Подмена параметров?
Защита от Подмена параметров обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Подмена параметров?
Распространённые альтернативные названия: Веб-подмена параметров, Tampering запроса.