Parameter Tampering und was man darunter Versteht

Parameter Tampering, Parameter Injection oder gar Parameter Manipulation? Was Verbirgt sich hinter diesem ominösen Begriff? Eine kleine Erklärung will ich an dieser Stelle liefern.

Ein "Parameter Tampering" Angriff basiert auf der Manipulation der Daten die zwischen Client und Server ausgetauscht werden. Das verfolgte Ziel hierbei ist es, Daten wie z.B. Benutzerinformationen, Zugriffsrechte oder Produkt preise usw. auf dem Zielsystem zu manipulieren. Die folgen hieraus sind einer solchen Änderung, kann sich wohl jeder Vorstellen. Flasche Bestellungen. Benutzer mit höheren Systemrechten, bis hin zur kompletten Serverübernahme...
Die zu manipulierenden Daten stehen meist in Cookies, HTML Hidden Fields oder sogar direkt in der URL als Parameter.

Der Angriff wird meist von Leuten durchgeführt, die die Anwendungslogik brechen, und sich somit einen meist finanziellen Vorteil verschaffen wollen. Alternativ kann das Ziel auch darin bestehen, sich Zugriffsrechte auf dem System zu beschaffen um von dort Angriffe auf Dritte via DDOS oder Man-in-the-Middle auszuführen.

Um sich vor Solchen Angriffen zu schützen kann mal auf eine Web Applikation Firewall setzen, und/oder schon bei der Programmierung der Anwendung darauf achten, jede Ein-/Ausgabe zu kontrollieren. Hier gilt der Grundsatz: "Traue niemandem! Kontrolliere alles."

Einige der bekanntesten Angriffe dieser Art sind: XSS, SQL-Injection und Path Traversal