Parameter tampering

Was ist Parameter tampering?

Beim Parameter Tampering werden Anfragen mit Parameterwerten versendet, die bekanntermaßen dazu führen, dass dem Benutzer Fehler angezeigt werden, wenn sie unsachgemäß behandelt werden. Antworten werden geprüft, um sicherzustellen, dass ein Serverfehlerstatuscode zurückgegeben wird. Diese werden anschließend mit einer normalen HTTP-Antwort verglichen, um sicherzustellen, dass keine Warnung ausgegeben wird, wenn der fehlerhafte Parameter keine Auswirkung auf die Ausgabe hat. Schließlich wird der Inhalt des Antworttextes mit verschiedenen Mustern verglichen, die in Java-Servlet-, Microsoft VBScript-, OLE DB-, JET-, PHP- und Tomcat-Fehlern gefunden werden können. Wenn eine Übereinstimmung gefunden wird, wird eine Warnmeldung ausgegeben und der Scanner kehrt sofort zurück.

Tipp

Überprüfen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

Lösung

Eingaben sollten für die aktuelle interne Darstellung der Anwendung vor der Validierung dekodiert und kanonisiert werden. Stellen Sie zudem sicher, dass die Anwendung nicht dieselbe Eingabe zweimal decodiert. Solche Fehler könnten zur Umgehung von Whitelist-Validierungsschemata verwendet werden, indem nach der Überprüfung gefährliche Eingaben vorgenommen werden.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte