Parameter tampering
Was ist Parameter tampering?
Beim Parameter Tampering werden Anfragen mit Parameterwerten versendet, die bekanntermaßen dazu führen, dass dem Benutzer Fehler angezeigt werden, wenn sie unsachgemäß behandelt werden. Antworten werden geprüft, um sicherzustellen, dass ein Serverfehlerstatuscode zurückgegeben wird.
Diese werden anschließend mit einer normalen HTTP-Antwort verglichen, um sicherzustellen, dass keine Warnung ausgegeben wird, wenn der fehlerhafte Parameter keine Auswirkung auf die Ausgabe hat. Schließlich wird der Inhalt des Antworttextes mit verschiedenen Mustern verglichen, die in Java-Servlet-, Microsoft VBScript-, OLE DB-, JET-, PHP- und Tomcat-Fehlern gefunden werden können. Wenn eine Übereinstimmung gefunden wird, wird eine Warnmeldung ausgegeben und der Scanner kehrt sofort zurück.
Lösung
Eingaben sollten für die aktuelle interne Darstellung der Anwendung vor der Validierung dekodiert und kanonisiert werden. Stellen Sie zudem sicher, dass die Anwendung nicht dieselbe Eingabe zweimal decodiert. Solche Fehler könnten zur Umgehung von Whitelist-Validierungsschemata verwendet werden, indem nach der Überprüfung gefährliche Eingaben vorgenommen werden.
Tipp
Wenn Sie noch Fragen bezüglich eines Online Marketing Themas haben, dann können Sie gerne unseren Glossar besuchen und sich über das Thema informieren, wo Sie noch speziell Fragen haben.
Sie haben noch Fragen?