参数篡改

Q: 参数篡改 是什么?

攻击者修改 HTTP 请求、Cookie 或隐藏表单字段中的参数,以操纵应用行为的攻击。 它属于网络安全的 漏洞 分类。

Q: 如何防御 参数篡改?

针对 参数篡改 的防御通常结合技术控制与运营实践,详见上方完整定义。

审核人Florian AmetteCybersecurity entrepreneur & security researcher

参数篡改是什么?

参数篡改攻击者修改 HTTP 请求、Cookie 或隐藏表单字段中的参数,以操纵应用行为的攻击。

参数篡改针对客户端发送但服务端不应信任的数据,包括查询字符串、POST 主体、隐藏字段、Cookie、JWT 声明和 HTTP 头。常见滥用方式包括在结算请求中修改价格、在个人资料接口中切换 userId、翻转 role 参数或绕过客户端校验。根本原因在于服务端将客户端数据视为权威,而非重新计算或与权威状态进行校验。防御措施包括对所有敏感字段在服务端校验与授权、价格与总额由服务端存储或使用加密签名、采用白名单输入模式,并以 WAF 作为纵深防御。

● 示例

01
在结算时把隐藏价格字段从 100 改为 1 后提交订单。
02
在注册请求中把 role=user 改成 role=admin。

● 常见问题

参数篡改是什么?

攻击者修改 HTTP 请求、Cookie 或隐藏表单字段中的参数,以操纵应用行为的攻击。它属于网络安全的漏洞分类。

参数篡改是什么意思?

攻击者修改 HTTP 请求、Cookie 或隐藏表单字段中的参数,以操纵应用行为的攻击。

如何防御参数篡改?

针对参数篡改的防御通常结合技术控制与运营实践,详见上方完整定义。

参数篡改还有哪些其他名称?

常见的别称包括: Web 参数篡改, 请求篡改。

● 相关术语

● 另见

Cookie 污染 (Cookie Poisoning)

参数篡改 是什么?

● 示例

● 常见问题

● 相关术语

● 另见

参数篡改是什么?