Уязвимости
Подмена параметров
Также известно как: Веб-подмена параметров, Tampering запроса
Определение
Атака, при которой злоумышленник изменяет параметры HTTP-запросов, cookie или скрытые поля форм, чтобы повлиять на поведение приложения.
Примеры
- Изменить скрытое поле цены при оформлении заказа со 100 на 1 и подтвердить покупку.
- Заменить role=user на role=admin в запросе регистрации.
Связанные термины
Нарушенный контроль доступа
Класс уязвимостей, при которых правила авторизации отсутствуют или применяются неверно, давая пользователям выполнять действия или получать данные сверх их прав.
Небезопасная прямая ссылка на объект (IDOR)
Дефект контроля доступа: приложение раскрывает ссылки на внутренние объекты и позволяет пользователю изменять их для доступа к чужим данным.
Массовое присваивание (Mass Assignment)
Уязвимость, при которой приложение слепо привязывает поля запроса от клиента к внутренним свойствам объекта, позволяя задавать те, что не должны контролироваться.
Input Validation
Input Validation — definition coming soon.
Межсетевой экран веб-приложений (WAF)
Фильтр в виде обратного прокси, который инспектирует HTTP/HTTPS-трафик, чтобы блокировать веб-атаки (SQL-инъекции, XSS, злоупотребление ботами) ещё до приложения.